El compliment de la normativa de proteccio de dades

Download El compliment de la normativa de proteccio de dades

Post on 25-Jul-2015

182 views

Category:

Law

0 download

Embed Size (px)

TRANSCRIPT

<ul><li><p>EL COMPLIMENT DE LA NORMATIVA </p><p>DE PROTECCIO DE DADES A LES </p><p>EMPRESES I ALS DESPATXOS </p><p>PROFESSIONALS</p><p>LLEI ORGNICA 15/1999REIAL DECRET 1720/2007 </p><p>Serveis de</p><p>Protecci</p><p>De Dades</p><p>Montserrat Navarro SnchezDiplomada en Cincies EmpresarialsLlicenciada en Administraci i Direcci dEmpresesAdvocada</p><p>Rambla Catalunya, 57 - 3 planta - 08007 Barcelona - Telf. 93 159 15 15Fax 932721990 e-mail: m.navarro@protecciondatos.com</p></li><li><p>NOCIONS PRVIES 2</p><p>SERVEIS DE PROTECCI DE DADES</p><p>FITXER: Conjunt organitzat de dades de carcter personal, en</p><p>qualsevol modalitat de creaci, emmagatzematge, organitzaci i</p><p>accs.</p><p>DADES DE CARCTER PERSONAL: Qualsevol informaci</p><p>numrica, alfabtica, grfica, fotogrfica, acstica o de qualsevol</p><p>altre tipus concernent a persones fsiques identificades o</p><p>identificables.</p></li><li><p>NOCIONS PRVIES (continuaci) 3</p><p>SERVEIS DE PROTECCI DE DADES</p><p>FITXER: Finalitat legtima i no es pot utilitzar per finalitats</p><p>incompatibles amb les declarades.</p><p>La AEPD entn incompatible com diferent</p><p>DADES DE CARCTER PERSONAL:</p><p>Seran exactes i actualitzades</p><p>Han de ser necessries i precises</p><p>Quan ja no siguin necessries o pertinents, es cancellaran</p></li><li><p>NOCIONS PRVIES (continuaci)</p><p>Definicions:</p><p> Responsable del fitxer o tractament</p><p> Encarregat del tractament</p><p> Prestador de servei</p><p> Tercer</p><p> Cessi de dades: Consentida</p><p>No consentida</p><p>Obligatria</p><p>4</p><p>SERVEIS DE PROTECCI DE DADES</p></li><li><p>NOCIONS PRVIES (continuaci)</p><p>MBIT SUBJECTIU:</p><p>Empreses, empresaris, professionals, associacions, fundacions, comunitats..</p><p>Fora de lmbit de la Llei: exclusivament els fitxers personals de carcterdomstic, tractats per persones fsiques en mbit privat i familiar.</p><p>MBIT OBJECTIU:</p><p>Totes les bases de dades informatitzades o en suport paper que continguin</p><p>dades de carcter personal, tractades en mbit pblic i privat.</p><p>5</p><p>SERVEIS DE PROTECCI DE DADES</p></li><li><p>NOCIONS PRVIES (continuaci) 6</p><p>SERVEIS DE PROTECCI DE DADES</p></li><li><p>NOCIONS PRVIES (continuaci) 7</p><p>SERVEIS DE PROTECCI DE DADES</p></li><li><p>OBLIGACIONS DEL RESPONSABLE 8</p><p>SERVEIS DE PROTECCI DE DADES</p></li><li><p>OBLIGACIONS DEL RESPONSABLE (continuaci) 9</p><p>SERVEIS DE PROTECCI DE DADES</p></li><li><p>CONSENTIMENT PER TRACTAR o CEDIR LES DADES: 10</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Norma general: Es necessitar consentiment previ</p><p>No caldr el consentiment:</p><p> Si ho autoritza una norma amb rang de llei</p><p> Per satisfer un inters legtim del responsable o del cessionari</p><p> Per complir una obligaci legal</p><p> Que siguin extretes de fonts accessibles al pblic</p></li><li><p>CONSENTIMENT PER TRACTAR o CEDIR LES DADES </p><p>(continuaci)</p><p>11</p><p>SERVEIS DE PROTECCI DE DADES</p><p>No caldr el consentiment per tractar les dades: Recollides per Administracions Pbliques en les seves competncies. Recollides en ocasi dun contracte, precontracte, relaci negocial, laboral </p><p>o administrativa.</p><p> Per necessitats mdiques realitzat per professionals sanitaris.</p><p>No caldr el consentiment per cedir: La cessi que respongui a una relaci jurdica. Cessions destinades al Defensor del Poble, M Fiscal, Jutjats Entre AAPP sempre que sigui amb finalitats histriques, que les reculli una </p><p>Administraci per lliurar a un altre o que tinguin competncies idntiques o sobre les mateixes matries.</p><p> Dades de salut entre serveis del Sistema Nacional de Salut.</p></li><li><p>CONSENTIMENT PER TRACTAR o CEDIR LES DADES </p><p>(continuaci)</p><p>12</p><p>SERVEIS DE PROTECCI DE DADES</p><p> En totes les dems situacions el Responsable haur dobtenir elconsentiment de lafectat per a la cessi i el tractament de dades.Si estracta de dades de nivell alt, haur de ser exprs.</p><p> La sollicitud per al tractament haur dindicar el tractament concret, lafinalitat i tots els extrems pertinents.</p><p> Lafectat ha de ser informat a qui se li cediran les dades i per a quinafinalitat, si no el consentiment s nul.</p><p> Correspon al Responsable demostrar lexistncia del consentiment.</p></li><li><p>CONSENTIMENT PER TRACTAR o CEDIR LES DADES </p><p>(continuaci)</p><p>13</p><p>SERVEIS DE PROTECCI DE DADES</p><p>TRACTAMENT DE DADES DE MENORS:</p><p> Els majors de 14 anys podran donar el consentiment per al tractament de les seves dades, tret dels casos que la Llei preveu l'assistncia del pare o tutor.</p><p> En el cas de menors de 14 anys es requerir sempre el consentiment dels pares o tutors per el seu tractament.</p><p> En cap cas es podran recaptar dades del menor que permetin obtenir informaci del resta de membres de la famlia, o sobre caracterstiques de la activitat professional dels progenitors, informaci econmica, dades sociolgiques o qualsevol altres sense consentiment dels pares o tutors.</p></li><li><p>MANERA DE RECAPTAR EL CONSENTIMENT 14</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Procediment general Art. 14: Informar a lafectat en els termesde lart. 5 de la Llei Orgnica, i concedir-li 30 dies permanifestar la seva negativa al tractament, advertint-li que en elcas de no pronunciar-se sentendr que consenteix en eltractament de les seves dades.</p><p> El mitj per manifestar la negativa ser gratut i fcil.</p><p> En el cas de responsables que prestin un servei que generiinformaci peridica o reiterada, o facturaci peridica,aquesta comunicaci es podr incloure a la factura, semprede manera clara i visible.</p></li><li><p>MANERA DE RECAPTAR EL CONSENTIMENT </p><p>(continuaci)</p><p>15</p><p>SERVEIS DE PROTECCI DE DADES</p><p> En tot cas, el Responsable ha de poder conixer si lacomunicaci ha estat tornada, llavors no podr tractar-les.</p><p> Si un interessat es nega al tractament, no es podr tornar apreguntar fins que hagi passat un any.</p><p>Recordar:</p><p>Larticle 10 diu que no caldr el consentiment per tractar lesdades de relacions negocials, laborals, precontractes ocontractes </p></li><li><p>MANERA DE RECAPTAR EL CONSENTIMENT </p><p>(continuaci)</p><p>16</p><p>SERVEIS DE PROTECCI DE DADES</p><p>Important:</p><p> Art. 15 Si el Responsable del tractament sollicits el consentimentde lafectat durant el procs de formaci dun contracte per afinalitats que no guardin relaci directa amb el seu manteniment,haur de permetre a lafectat que manifesti expressament la sevanegativa al tractament o comunicaci de dades.</p><p> Sentendr que sha complert aquest deure si en el formulari hi hauna casella clarament visible que pugui marcar per indicar la sevanegativa o un altre mitj igualment visible i clar.</p></li><li><p>MANERA DE RECAPTAR EL CONSENTIMENT </p><p>(continuaci)</p><p>17</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Lafectat podr revocar en qualsevol moment el seuconsentiment. Se li haur de permetre fer-ho gratutament i</p><p>duna manera senzilla. Shauran de deixar de tractar les dadesen un termini mxim de 10 dies.</p><p> SUPSITS ESPECIALS:</p><p>En el cas que es produeixi una escissi, fusi, cessi global</p><p>dactius i passius o duna branca dactivitat, etc. No esproduir una cessi de dades, sens perjudici del compliment</p><p>del deure dinformaci.</p></li><li><p>DRET DINFORMACI 18</p><p>SERVEIS DE PROTECCI DE DADES</p><p>Art. 5 de la LOPD: Els interessat a qui es demanin dades personals,hauran de ser prviament informats de manera expressa e inequvoca delexistncia del fitxer, Responsable, de la finalitat, destinatari, possibilitatdexercitar els drets...</p><p>Important: El deure dinformaci sha de dur a terme de manera que el responsable</p><p>pugui acreditar el seu compliment i sha de conservar tot el temps enque es realitzi el tractament de les dades.</p><p> La conservaci del suport on consti el compliment del deuredinformaci es realitzar per qualsevol mitj tcnic o electrnic.</p></li><li><p>ENCARREGAT DEL TRACTAMENT 19</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Laccs a les dades per part de lencarregat del tractament que resultiprecs per tal de prestar el servei contractat pel responsable, no es</p><p>considerar comunicaci de dades, sempre i quan es compleixi lo establert</p><p>en la Llei Orgnica 15/1999.</p><p> Lart. 12 LOPD, obliga a tenir firmat un contracte entre ambdues parts. Elservei pot ser remunerat o no, temporal o indefinit, per ha destar subjectea un contracte.</p><p> El document de seguretat haur dincloure els fitxers tractats per tercers i larelaci dels Responsables.</p></li><li><p>PRESTADOR DE SERVEI 20</p><p>SERVEIS DE PROTECCI DE DADES</p><p> En el cas de que el servei es presti sense tenir accs ales dades, el contracte emparar expressament la</p><p>prohibici daccedir a les dades i la obligaci de secretrespecte de les dades que el personal hagi pogut</p><p>conixer amb motiu de la prestaci del servei.</p><p> El Document de Seguretat haur dindicar tots aquestsextrems.</p></li><li><p>SUBCONTRACTACI dels serveis 21</p><p>SERVEIS DE PROTECCI DE DADES</p><p> LEncarregat del tractament no podr subcontractar amb un tercerel servei que li han encomanat sense lautoritzaci delResponsable.</p><p> La subcontractaci sefectuar en nom i per compte delResponsable.</p><p> Ser possible subcontractar sense autoritzaci sempre que:1. Estigui previst en el contracte quin serveis es poden subcontractar i, si</p><p>es possible, shaur dindicar la empresa que es subcontractar.2. Si no fos possible, shaur de comunicar al Responsable les dades de</p><p>la empresa subcontractada abans de procedir a la subcontractaci.</p><p>3. LEncarregat del tractament i el subcontractista hauran de signartamb el seu contracte de prestaci de serveis.</p></li><li><p>DRETS DACCS, RECTIFICACI, CANCELLACI I </p><p>OPOSICI (ARCO)</p><p>22</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Dret daccs: sollicitud de quines dades t el Responsable</p><p> Dret de rectificaci: modificaci de les dades.</p><p> Dret de cancellaci: pot ser total o parcial o simplement un bloqueig.</p><p> Dret doposici: que no es porti a terme el tractament (fitxers que no requereixen consentiment o que no es </p><p>poden cancellar)</p></li><li><p>DRETS DACCS, RECTIFICACI, CANCELLACI I </p><p>OPOSICI (ARCO) (continuaci)</p><p>23</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Drets de carcter personalssim. Si no sexerceixen enpersona caldr representaci, en les administracions</p><p>pbliques haur de ser per qualsevol vlid en dret.</p><p> Els drets shan de poder exercir de manera senzilla i gratuta.</p><p> Hi ha uns procediments i terminis per contestar-los.</p></li><li><p>FITXERS TEMPORALS I CPIES DE TREBALL DE DOCUMENTS : 24</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Els fitxers temporals sn els documents informtics que es tenendurant un temps i desprs, les seves dades, passen a un programa</p><p>definitiu o sn destruts.</p><p> Les cpies de treball de documents sn aquells documents ensuport paper en els quals hi ha algunes dades que desprs</p><p>sinclouen en documents definitius i noms tenen utilitat mentreselaboren.</p><p> Ambds, es destruiran o sesborraran quan ja no facin falta.</p></li><li><p>TRANSFERNCIES INTERNACIONALS DE DADES: 25</p><p>SERVEIS DE PROTECCI DE DADES</p><p> Per realitzar transferncies internacionals de dades caldrlautoritzaci del Director de la AEPD, excepte en els casosprevistos en lart. 34 de la LOPD.</p><p> No caldr lautoritzaci quan la transferncia s realitzi aEstats que ofereixin un nivell adequat de protecci (llista de</p><p>pasos en el full web de la AEPD)</p><p> En tot cas, shaur dindicar al declarar el fitxer.</p></li><li><p>TRANSFERNCIES INTERNACIONALS DE DADES: </p><p>(continuaci)</p><p>26</p><p>SERVEIS DE PROTECCI DE DADES</p><p>En pasos que no ofereixin un nivell adequat:</p><p> Haur daportar contracte escrit en el que constin lesgaranties.</p><p> Els grups multinacionals dempreses hauran dadoptar reglesvinculants per les empreses del grup on constin les mesures</p><p>de protecci.</p></li><li><p>INFRACCIONS I SANCIONS 27</p><p>SERVEIS DE PROTECCI DE DADES</p><p>Tipus de infraccions:</p><p> Lleus:</p><p> Greus:</p><p>No declarar, modificar, etc. un fitxer</p><p>Incomplemt del deure dinformacin al recabar dadesContractar encarrgat de tractament sense formalitats art. 12 LOPD</p><p>No recabar el consentiment quan sigui obligatori</p><p>Tractar dades o fer-les servir conculcant els principis i garanties del art. 4 </p><p>Vulnerar el deure de guardar secret</p><p>Impedir o obstaculitzar els drets daccsNo tenir els fitxers, programes, locals sense les degudes mesures de </p><p>seguretat</p><p>No atendre a la Agencia Espaola de Proteccin de Datos.</p><p>Cedir dades sense legitimaci ni autoritzaci</p></li><li><p>INFRACCIONS I SANCIONS (continuaci) 28</p><p>SERVEIS DE PROTECCI DE DADES</p><p>Tipus de infraccions:</p><p> Molt greus: Recollir dades de manera enganyosa o fraudulentaTractar o cedir dades especialmente protegides sense consentiment</p><p>No deixar de tractar dades quan hi ha un requeriment previ de lAgenciaper no fer-ho.</p><p>La transferencia internacional de dades a paisos que no garanteixen el </p><p>nivell de protecci sense lautoritzaci de la Agencia.</p></li><li><p>INFRACCIONS I SANCIONS (continuaci) 29</p><p>SERVEIS DE PROTECCI DE DADES</p><p>Tipus de sancions:</p><p> Lleus: de 900 a 40.000 </p><p> Greus: de 40.001 a 300.000 </p><p> Molt greus: de 300.001 a 600.000 </p><p>La graduaci de la sanci es far atenent diversos criteris (entre daltres):</p><p>El carcter continuat de la infracci Si tenia mesures de seguretat implantades</p><p>El volum de negoci El volum de tractaments efectuats</p><p>El beneficis obtinguts El grau dintencionalitat...</p></li><li><p>REQUISITS TCNICS 30</p><p>SERVEIS DE PROTECCI DE DADES</p><p>OBJECTIUS Art. 9 LOPD:</p><p> Evitar tractament i accessos indeguts</p><p> Evitar prdues de dades</p><p> Evitar alteracions</p><p>La Llei no especifica les mesures, dona objectius</p></li><li><p>REQUISITS TCNICS (continuaci) 31</p><p>SERVEIS DE PROTECCI DE DADES</p><p>MESURES MNIMES</p><p>Per evitar accessos indeguts:</p><p> Noms dusuari i contrasenyes niques</p><p> Antivirus, Firewall, spyware...</p><p> Servidors centrals amb carpetes per usuaris</p><p>Evitar prdues de dades</p><p> Bon sistema de cpies de seguretat</p><p> Sistema darxiu eficient (paper)</p><p>Evitar alteracions</p><p> Definir laccs per usuari i tipus daccs</p></li></ul>