La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empresa a la LOPD
1. La gestió documental a l’empresa
La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Activitat cofinançada per:
Mòdul 1
Com i per què adaptar la teva empresa a la LOPD
Autora: Alicia Rios ®
2. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
El desconeixement de la llei no eximeix del seu compliment
El tractament de dades de caràcter personal es regeix per la LOPD
(Llei Orgànica de Protecció de Dades de Caràcter Personals).
Complir amb la LOPD ens don seguretat i imatge
L'adequació a la LOPD és d’obligat compliment per a tota organització,
independentment del seu volum de negoci o activitat.
3. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Què és exactament LA LLEI DE PROTECCIÓ DE DADES?
La informació no és no més sobre fets i dades, la informació afecta a persones. I el
mètode en que obtenim i tractem la informació afectarà al benestar de la gent i a la
seva confiança amb nosaltres.
La protecció de dades és un dret fonamental de les persones, que busca protegir la
seva intimitat i privacitat davant la vulneració d'aquests drets, que poguessin sorgir de
la recollida i emmagatzematge de les seves dades personals per qualsevol
organització, que utilitzi fitxers amb dades de caràcter personal
La Llei Orgànica de Protecció de Dades Personals obliga a complir les especificacions
regulades en la normativa vigent, sobre la matèria, a tota persona física o jurídica.
4. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Glossari de termes més habituals
Fitxer: Conjunt organitzat de dades en qualsevol forma i finalitat
Tractament de dades: Operacions i procediments tècnics de caràcter automatitzat, o no
Responsable del fitxer: Persona física, jurídica que obté les dades amb determinada finalitat
Encarregat del tractament: persona física o jurídica que tracta dades per compta del Responsable del fitxer
Responsable del tractament: pot ser el propi Responsable del fitxer o un empleat d’aquest.
Afectat o interessat: persona física titular de les dades objecte del tractament
Dada dissociada: és la que no permet per si mateixa identificar a l’interessat.
Cessió de dades: revelació de dades a una persona diferent de l'interessat
Fonts accessibles al públic: son fitxers que es poden consultar sense més exigència que, si escau, un
abonament econòmic: cens promocional, registres col·legis professionals, registres mercantils o de la
propietat, guies telefòniques de l’any en curs, etc...
Transferència de dades: és el transport de dades per mitjans informàtics, o transport per correu o mitja
convencional
Transferència internacional de dades: és l’enviament de dades a un territori fora de l’Espai Econòmic
Europeu
5. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Què passaria si no existís la LOPD?
- Els nostres telèfons no pararien de
sonar amb trucades i SMS publicitaris.
- Les nostres bústies de correu
electrònic i postal estarien plens
de publicitat sense que
poguéssim fer res per evitar-ho
- Les nostres dades es podrien publicar
a internet Internet sense cap mirament
6. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Què passaria si no existís la LOPD?
Es podrien vendre lliurement bases
de dades amb els nostres perfils.
Els Estats podrien controlar als seus
ciutadans sense cap tipus
d'inconvenient ni previsió legal
Les càmeres de seguretat podrien
gravar tots els nostres moviments
sense que fóssim conscients.
7. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Què passaria si no existís la LOPD?
- Els nostres passos per Internet serien
emmagatzemats, guardats i vigilats sense
que fóssim conscients.
- Es podrien crear fitxers
personalitzats, d'accés lliure.
- Els ciutadans no sabrien on adreçar-se
per protegir-se dels abusos que es fan
amb les seves dades, sense una Llei que
els protegeixi.
8. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
A què ens obliga la LOPD?
Tot dret comporta una obligació
Tota organització està obligada, per Reial Decret, a complir amb la normativa vigent,
aplicant les mesures de protecció establertes per a les dades que tracta.
No aplicar les mesures de seguretat, o fer un ús indegut de les dades de les
persones, pot ocasionar seriosos problemes, tant econòmics com d'imatge sobre la
qualitat dels nostres serveis.
9. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Decàleg d'implementació de la seguretat de les dades a l’organització
1. Analitzar el circuit de la informació a l’empresa.
2. Avaluar el nivell de classificació de les dades en funció del grau de seguretat requerit
3. Aplicació de les mesures tècniques i organitzatives necessàries en funció del nivell.
4. Complir amb el deure d’informació per l’ús i tractament de les dades dels nostres clients.
5.Obtenir el consentiment d’incloure les dades als fitxers i, si escau, de la cessió a tercers.
6. Legalitzar els fitxers inscrivint-los al registre oficial de l’Agencia Espanyola de Protecció da Dades
7. Redactar el document de seguretat que recull les mesures implementades a la organització
8. Anomenar contractualment a responsables i encarregats del tractament.
9. Auditar les mesures de seguretat implementades i la seva contrastació amb la normativa.
10.Garantir contractualment la aplicació de les mesures de protecció per part de tercers autoritzats al tractament.
10. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Què vol dir tot aixó?
11. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
1. Analitzar el circuit de la informació a l’empresa.
Millora de la
productivitat
12. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
2. Avaluar el nivell de classificació de les dades en
funció del grau de seguretat requerit
Millora
organitzativa
13. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
3. Aplicació de les mesures tècniques i organitzatives
necessàries en funció del nivell.
Evitemriscos
innecessaris
14. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
4. Complir amb el deure d’informació per l’ús i tractament de
les dades dels nostres clients.
Cadascú
assumeix la seva
responsabilitat
15. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
5. Obtenir el consentiment per tractar, incloure les dades
als fitxers i, si escau, de la cessió a tercers.
Conèixer els
punts dèbils ens
don seguretat
16. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
6. Legalitzar els fitxers inscrivint-los al registre oficial de l’Agencia
Espanyola de Protecció da Dades
Tothom coneix
i assumeix
responsabilitats
17. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
7. Redactar el document de seguretat que recull les
mesures implementades a la organització
Demostrem
qualitat
18. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
8. Anomenar contractualment a responsables i encarregats del
tractament.
Evitar riscos
innecessaris
19. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
9. Auditar les mesures de seguretat implementades i la seva
contrastació amb la normativa.
Cadascú
assumeix la seva
responsabilitat
20. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
10. Garantir contractualment la aplicació de les mesures de protecció
per part de tercers autoritzats al tractament.
Creem hàbits
de bones
pràctiques
21. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Com fer-ho?
22. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
1.- Conceptes bàsics - El com i per què de la LOPD?
Els ciutadans que cedeixen les seves dades, sigui quina sigui la finalitat, estan
emparats pels drets d'accés, rectificació, cancel·lació i oposició de les dades que
haguessin cedit, això és el que resumim com a drets A.R.C.O. (Accés, rectificació,
cancel·lació i oposició)
L'organització o empresa que hagi recollit les dades personals, ha de facilitar
aquests drets l'interessat, en la forma i mitjans que imposa el reglament vigent.
La Llei és aplicable a tot el territori de la Comunitat Econòmica Europea i per a
qualsevol ciutadà, independentment del seu origen, condició i situació.
23. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
2.- Definició dels drets A.R.C.O.
Accés: és el dret de qualsevol persona a ser informada de les dades pròpies que
consten en els fitxers de l’entitat. El termini màxim per donar resposta és de 30 dies.
Rectificació i cancel·lació: Tothom te el dret, i en molts casos la obligació de
rectificar les dades incorrectes o que hagin canviat, domicili, telèfon, etc. O cancel·lar
determinades dades que considerin no necessàries. Disposarem de 10 dies per fer
efectiu el requeriment.
Oposició: es el dret de la persona a oposar-se al manteniment de les seves dades
personals en els nostres fitxers. Sempre i quan no hagi una llei que ens obligui a
mantenir-les, com ara dades de facturació, que fiscalment hem de conservar durant 5
anys. Tot i així pot oposar-se a qualsevol altre utilitat de les dades, indistintament de
la finalitat que tinguessin a l’inici de la relació. Tindrem 10 dies per complir amb la
sol·licitud.
24. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
3.- Obligacions d'empreses, associacions i professionals.
Les obligacions bàsiques de les organitzacions, es podrien englobar en els
següents punts i els que derivin d'aquests:
• Inscripció de fitxers
• Sol·licitar només les dades necessàries per la finalitat que es demanen.
• Informar prèviament a la recollida de les dades.
• Obtenir el consentiment per al tractament i cessió de les dades.
• Implantació de mesures de seguretat que garanteixin la seva pèrdua o difusió.
• Designar documentalment als responsables del tractament de les dades.
• Nomenament documental dels encarregat del tractament
25. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
4.- Marc Legal i components tècnics
La custòdia de dades per part de les organitzacions, implica implementar les
mesures de seguretat necessàries per a la seva protecció. Per aquest motiu,
l'organització ha d'instal·lar les eines tecnològiques perquè la informació
continguda en el seu sistema estigui degudament protegida dels atacs externs, o la
pèrdua accidental.
Així doncs, l'empresa està obligada a utilitzar tants components tècnics com fossin
necessaris per tenir protegit el seu sistema i mantenir-lo perfectament actualitzat.
26. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
5.- Principi de informació.
Què informar?
Sobre l’existència del fitxer, finalitat i destinataris
De la identitat i adreça del responsable del tractament
Caràcter necessari de les respostes obtingudes.
Dels drets dels afectats i com exercir-los.
Quan?
Dades facilitades per l'interessat: prèviament a la recollida
Resta de casos: dins dels tres mesos següents
Com?
Formularis, contractes, correu electrònic, mailing, etc... i justificants de recepció
27. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
6.- Deure d'obtenció del consentiment per al tractament
de les dades o cessions posteriors.
Forma: lliure, inequívoca, específica i informada
Excepcions: Fonts accessibles al públic – cal informar posteriorment a la obtenció per fer-les
servir
Possibilitat de revocació – s’ha de informar a l’interessat que pot rebutjar que tinguem les seves
dades -
Dades de menors d'edat – cal obtenir l’autorització dels pares o tutors, però no de l’interessat
Casos en que una Llei diferent obligui a obtenir les dades – p.e. registres oficials o contractes
negocials-
28. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
7.- Cessions de dades a prestadors de serveis externs.
Encarregats del tractament.
- Abans de cedir les dades a tercers, hi ha d'haver un contracte previ on s’anomeni a
“l’encarregat del tractament , que és el tercer a qui cediríem les dades.
- Quan la cessió sigui obligatòria per a l'empresa no es considera cessió (ex.
Seguretat Social, Hisenda, etc.)
- El contracte obliga a l’encarregat del tractament a complir amb les mesures de
seguretat del fitxer
- No es poden utilitzar les dades per a finalitats diferents per a les que es van obtenir.
- No es poden comunicar a persones diferents a l’encarregat del tractament.
- Un cop acabat el tractament les dades han de ser destruïdes o retornades al
responsable del fitxer.
29. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
8.- Tipus de nivells de seguretat que estableix la LOPD sobre les dades
Nivell bàsic
Las mesures de seguretat de nivell bàsic
s’aplicaran a tots els fitxers que continguin
dades personals, independentment de que
per el tipus de dades sigui necessari afegir
mesures previstes en els nivells mig i alt.
Nivell mig
• D’infraccions administratives o penals
• Dades de tipus financer, solvència o crèdit
• De responsabilitat d’Entitats Gestores,
com la Seguretat Social
• Tributaries i en relació amb l’Administració
• De mútues d’accidents i malalties professionals
• I els que per acumulació de dades permetin
obtenir característiques de personalitat o
comportament
Nivell alt
• Ideologia, afiliació sindical, religió, origen racial,
salut o orientació sexual
• Dades amb finalitat policial sense consentiment
dels afectats.
• Els derivats d’actes de violència de gènere
30. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
8.- Exigències dels nivells de seguretat per tipus.
bàsic mig alt
• Funcions i obligacions del personal si si si
• Registre d’incidències si si si
• Control d'accessos si si si
• Gestió de suports i documents si si si
• Identificació i autenticació si si si
• Còpies de seguretat i recuperació si si si
• Responsable de seguretat - si si
• Auditories –bianuals- - si si
• Gestió de suports i documents –reg. entrada i sortida - si si
• Identificació i autenticació -limitació d’intents- - si si
• Control d’accés físic - si si
• Registre d’incidències - si si
• Gestió i distribució de suports – xifrat i codificació- - - si
• Còpies de seguretat i recuperació - - si
• Registre d’accessos- - -
• Telecomunicacions - -
31. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
9.- Funciones y obligaciones del personal
Clasificación del personal: responsable del fichero, responsable de seguridad,
administradores y usuarios
Obligaciones generales:
- No comunicar los datos a personas no autorizadas para acceder a los mismos.
- Facilitar los derechos de acceso, rectificación y cancelación a los interesados a petición
del Responsable del Fichero.
-Cambiar contraseñas de acceso con la periodicidad establecida o cuando sea conocida,
accidental o fraudulentamente por compañeros, colaboradores, etc.
- No guardar referencia de su contraseña de acceso al sistema de información.
-No dejar información visible en la pantalla de su PC cuando abandone su puesto.
- Destruir toda la información en soporte papel, de forma que resulte ilegible.
- Hacer las copias de seguridad de toda la información introducida o generada por el
sistema informático y custodiarla según las medidas de seguridad aplicables.
32. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
10.- Infraccions i sancions.
L’incompliment de la normativa vigent serà considerat una infracció i motiu de sanció
Les infraccions es classifiquen en tres nivells: lleus, greus i molt greus Art. 44.2 de la LOPD
Infraccions lleus.
Es considerarien infraccions lleus:
• No atendre a la sol·licitud de l’interessat per la rectificació o cancel·lació de les dades
• No atendre les sol·licituds de l’AEPD
• No realitzar la inscripció de fitxers en els registres, quan no sigui constitutiu d’infracció
greu
• Recollir dades sense proporcionar la informació que senyala l’Art. 5 de la LOPD.
• Incomplir el deure de secret establert en l’Art. 10 de la LOPD, quan no sigui constitutiu
d’infracció greu.
Sanció lleu. Art. 45.1 LOPD. : Les infraccions lleus es sancionaran amb multes d’entre
900 € a 40.000 €
33. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
10.- Tipus d’infraccions
Infraccions greus.
Es considerarien infraccions greus:
• Vulnerar el deure de secret en les dades incorporades als fitxers sobre: infraccions
administratives o penals. Hisenda pública, serveis financers, solvència patrimonial i crèdit,
o fitxers que continguin un conjunt de dades suficients per obtenir una avaluació de la
personalitat (ex. Currículums)
• Ometre la seguretat en els equips i programes que continguin dades personals.
• No enviar a l’AEPD les notificacions previstes en la Llei en el termini en que siguin
requerits.
• Obstrucció de l’exercici de la funció inspectora.
• No inscriure el fitxer en els registres quan hagi sigut requerit per el Director de l’AEPD.
• Incomplir el deure d’informació quan les dades s’obtinguin de persones diferents a
l’afectat.
Sanció greu. Art. 45.2 LOPD.: les infraccions greus es sancionaran amb multes d’entre
60.000,-€ a 300.500,- €
34. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
10.- Infraccions i sancions.
Infraccions molt greus.
• Tractar dades de forma il·legítima o amb menyspreu dels principis i garanties que
siguin d’aplicació, quan impedeixi o atempti contra l’exercici dels drets fonamentals.
• Vulnera el deure de secret sobre dades personals que s’hagin recollit amb finalitat
policial sense el consentiment de l’afectat.
• No atendre o obstaculitzar de forma sistemàtica l’exercici dels drets d’accés,
rectificació, cancel·lació o oposició.
• No atendre de forma sistemàtica el deure legal de notificació de la inclusió de dades
de caràcter personal en un fitxer.
Sanció molt greu. Art. 45.3 de la LOPD.: les infraccions molt greus es sancionaran amb
multes d’entre 300.500 € a 600.000 €
35. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
10.- Infraccions i sancions.
Sobre aquests articles sancionador existeix una variant que ve donada per l’aprovació de la
Llei d’Economia Sostenible del 6 de març de 2011, que inclou canvis referits al règim
sancionador de la LOPD. Aquests canvis es resumeixen en que l’AEPD podrà modular i
adequar les sancions en funció de que es donin varies circumstancies concurrents com :
• Si es una pime o una gran organització.
• Depenent de l’activitat de l’entitat infractora.
• El reconeixement espontani de culpabilitat de l’infractor.
• Que la infracció sigui conseqüència d’una fusió d’entitats.
• Si la conducta de l’entitat es diligent i acord a prendre mesures correctives.
L’AEPD podrà ampliar les opcions per adoptar mesures preventives en el compliment de la llei
mitjan la figura de l’apercebiment com a mesura no sancionadora. Sempre que les infraccions
no estiguin qualificades de molt greus i no siguin reincidents. Optant per l’adopció de mesures
correctores que permetin evitar la repetició de la conducta.
En resum queda sota el criteri de l’AEPD aplicar l’apercebiment o una reducció de la sanció.
36. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
Aquest resum pretén donar a conèixer les bases sobre les quals s'assenta la Llei
Orgànica de Protecció de Dades, els drets que confereix als ciutadans i les
obligacions que les associacions han de complir.
Les particularitats derivades de la idiosincràsia de tota organització, ja siguin pimes,
associacions, multinacionals, administracions públiques, comunitats de veïns, clubs...
haurien de ser analitzades de forma individual per poder avaluar en quina mesura pot
estar afectat el seu circuit d'informació i quines mesures de seguretat s'han d'adoptar
per garantir la protecció de les dades que tracta.
Es recomana que aquesta tasca sigui realitzada per especialistes, o be sol·licitar l’ajut
directe de l’Agencia Espanyola de Protecció da Dades, que ofereix un servei
d’atenció que resoldrà els dubtes personalitzats per cada cas.
www.agpd.es
37. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
L’HI HA QUEDAT CAP DUBTE?
38. La gestió documental a l’empresa
Mòdul 1
Com i per què adaptar la
teva empresa a la LOPD
®
La gestió documental a l’empresa
Mòdul 2
Limitacions i obligacions sobre la protecció
de dades en el comerç electrònic - LSSI-CE
Pròxim 2 de desembre 2014
de 9:30 a 12:30
Professora: Alicia Rios
Gracies per la seva atenció