1. LA LLEI DE PROTECCIÓ DE DADES,
COM T'AFECTA COM A EMPRESA
Els ponents: Ester Bellera ester@sagaris.cat i Ramon Arno
ramon@sagaris.cat
Consultora legal sagaris, s.l.
La Borrassa - Rural Lab. Carrer Nou, 2
25400, Les Borges Blanques, Les Garrigues.
2. INDEX
UNS VIDEOS FORMATIUS................................................................................................................3
LA NOSTRA ÉS UN VISIO JURIDICA ............................................................................................3
PERÒ SEMPRE N´HI HA D´ALTRES ..............................................................................................3
ELS CONFLICTES MES HABITUALS EN DADES DE CARACTER PERSONAL...................3
UNA PETITA INTRODUCCIO...........................................................................................................4
LA PROTECCIO DE DADES PERSONALS.....................................................................................7
I LA RESPONSABILITAT ................................................................................................................23
DECÀLEG PER A LA PROTECCIO DE DADES PERSONALS................................................. 24
LA PROPIETAT INTEL.LECTUAL................................................................................................26
EL KNOW HOW.................................................................................................................................28
EL DRET A LA IMATGE.................................................................................................................. 28
LA LLEI DE SERVEIS DE LA S. I I DE C.E...................................................................................29
FILLS DIGITALS I PARES ANALÒGICS......................................................................................30
CURRICULUM....................................................................................................................................32
ELS MILLOR LINKS ........................................................................................................................32
3. Uns videos formatius
https://www.apda.ad/ca/node/146
http://www.youtube.com/watch?v=aKPIpuTmnSY&feature=related
http://www.youtube.com/watch?v=3dffPpXbsRU
http://www.youtube.com/watch?v=qkbA_6kwuis
http://www.youtube.com/watch?v=TT-t6HNwbts
http://www.youtube.com/watch?v=iiTXEFKLbmE&feature=related
La nostra és un visio juridica ...
“ ... Si la natureleza tuviera tantas leyes como el Estado, incluso Dios
se veria en dificultades para gobernarla ...” –L. BORNE
“ ... Los abogados son como las tormentas, impredecibles en cuanto a
resultados pero necesarios para nuestra naturaleza ... ” -ANONIM
Però sempre n´hi ha d´altres ...
Els conflictes mes habituals en dades de caracter personal
La AGPD multa con 601,01 euros por felicitar las fiestas por e-mail sin
CCO.
La AGPD multa a la Mutua de Pamplona por perder documentos en la
calle.
4. Multa de 600 euros de la AGPD por dos vídeos en Youtube
La AGPD ha multado con 120.202,41€ a France Telecom, por meter en
el ASNEF a una persona
La Agencia Española de Protección de Datos (AEPD) ha sancionado con
una multa de 150.000 euros a una clínica ginecológica de Bilbao por
considerar que no “ha custodiado con el debido sigilo” los datos de sus
pacientes. La información acabó circulando por Internet.
La Agencia de Protección de Datos multa a la SGAE por grabar una
boda sin consentimiento
Multa de 180 millones a la productora de 'Gran Hermano' por la fuga
de datos de aspirantes en Internet
La Agencia Española de Protección de Datos ha sancionado al Banco
Cetelem con 60.000 euros de multa por dejar visible, en una
comunicación post”al con un cliente, las palabras "ha devuelto impagado,
el recibo" desde el exterior del sobre. Además del nombre, apellidos y
dirección se podía leer esa frase desde la ventanilla del sobre.
La Agencia de Protección de Datos amonesta a la Guardia Civil por
olvidar datos de operaciones en el ordenador de un "narco”.
Sanción de 60.000 euros a una hotelera por manejo indebido de un
currículo de un aspirante a recepcionista.
Una petita introduccio
És un dret poc conegut i poc aplicat: molts tenen fitxers inscrits,
alguns informen, pocs tenen cultura de protecció. Parlem de dades
personals, no de dades intimes ….
Les dades personals son dels afectats, no de les empreses, vales molts
diners, el mercat de la informació, la informatica permet enmagatzemar
moltes dades que es poden transferir i creuar. Internet, videovigilancia,
cal buscar equilibri.
Hi ha moltes obligacions formals: documentar per escrit, formar al
personal, implantar mesures de seguretat ..
Els afectats depositen confiança en el responsable.
Dos figures importants: el responsable i l´afectat: persona fisica, si
professional, no juridica, comerciant individual -depèn-.
Hi ha normes importants: la LOPD -15/1999-, el RLOPD –RD
1720/2007-, la LSSICE –34/2002 els correus electrònics- i la LGT
-32/2003- les faxs i les trucades-.
Hi ha unes agencies encarregades de tutelar el dret
S´aplica: al tractament (demanar, recollir, tractar, cedir, destruir …)
de dades personals referides a persones identificables (noms, cognoms,
dni, correu electronic, videovigilancia, fotografies) tant als fitxers manuals
o automatitzats.
5. Ni ha dades molt protegides: ideología, religió, creençes, afiliació
sindical, origen racial, salud, vida sexual, infraccions penals i
administratives, violencia de gènere.
Mol de compte menors d´edat.
Cal conservar la documentació i si cal destruir-la.
Navegacio per Internet, us del correu electrónic, etc (protocol us)
Ara tots està als nuvols .... he sentit parlar del cloud computing? Això
planteja problemes juridics (sla, seguretat, proteccio dades, etc)
I la gestió de la teva reputació a la xarxa? ... com que hi ha un nou
actor a la xarxa ... cal per tant una nova actitut per a sobreviure a
Internet que es diu “la gestio de la reputació online” (ORM, OnLine
Reputation Management) es a dir el coneixement i control de l´informació
de tota l´informació de l´empresa que pugui afectar-la, ara ja no es fa
amb els retalls dels diaris sino amb serveis com wikisearch, que permet
ordenar els resultats segons el teu propi criteri
Un exemple
http://www.google.com/support/websearch/bin/answer.py?
hl=es&answer=115764
6. Que cal fer ...
1.- Glogear cada dia –nom empresa o dels directors, treballadors,
productes- o directament monitoritzar –contractar un software especific-.
2.- Crear alertes de noticies a Google y Yahoo amb el nom de de la
empresa i dels competidors
Google Alerts< http://www.google.com/alerts?hl=es
Yahoo! Alerts< http://alerts.yahoo.com/
Ah ... i compte pero amb l´efecte “Barbra Streisand”: La reaccio
excesiva davant d´una critica:
http://es.wikipedia.org/wiki/Efecto_Streisand
“ ... El término debe su nombre a un incidente ocurrido en 2003 con la
cantante estadounidense Barbra Streisand, que denunció al fotógrafo
Kenneth Adelman y la página de fotografías pictopia.com por 50 000 000
$, exigiendo que se retirase una foto aérea de su casa de una publicidad
que contenía imágenes de la costa de California, alegando su derecho a
la privacidad. Adelman argumentó que se dedicaba a fotografiar las
propiedades en primera línea de playa para documentar la erosión de la
costa de California. El periódico San Jose Mercury News advirtió poco
después que aquella imagen se había hecho popular en Internet. Con su
intento de censura, Barbra Streisand consiguió que una información en
un primer momento intrascendente acabase obteniendo una gran
repercusión mediática ... ”.
Una xarxa interna vol dir per tant compartir l´informacio, hi ha models
corporatius en que les empreses gestionen el seu coneixement pero:
a.- el treballador no vol compartir el seus coneixements –aixo pensa
que vol dir pèrdua de competitivat professional-.
b.- legalment cal fer-ho be: sino, ens coneixeran a totes les xarxes
rapidament com li va passar per cert a Deutsche Bank:
http://www.internautas.org/html/122.html
Ja tenim una resposta juridica del Tribunal Suprem (STS 26-09-2007, D.
Aurelio Desdentado) sobre l´us del treballador déines com el correu,
internet, etc:
- Possibilitat de control ús ordinador per part empresari i dels arxius
temporals dels llocs visitats a traves d'internet.
- L'empara legal es l'art. 20.3 de l'ET i no a l'art. 18 de l'ET. Article
20.3. Direcció i control de l'activitat laboral. L'empresari podrà adoptar les
mesures que estimi més oportunes de vigilància i control per verificar el
compliment pel treballador de les seves obligacions i deures laborals,
guardant en la seva adopció i aplicació la consideració deguda a la seva
dignitat humana i tenint en compte la capacitat real dels treballadors
disminuïts, en el seu cas. Article 18. Inviolabilitat de la persona del
treballador. Només podran realitzar-se registres sobre la persona del
treballador, a les seves taquilles i efectes particulars, quan siguin
necessaris per a la protecció del patrimoni empresarial i del dels altres
treballadors de l'empresa, dins del centre de treball i en hores de treball.
En la seva realització es respectarà al màxim la dignitat i intimitat del
treballador i s'explicarà amb l'assistència d'un representant legal dels
treballadors o, en la seva absència del centre de treball, d'un altre
treballador de l'empresa, sempre que això fos possible.
7. - El control empresarial d'un mitjà de treball (l'ordinador) no necessita
una justificació específica cas per cas. Al contrari, la seva legitimitat
deriva directament de l'article 20.3 de l'Estatut dels Treballadors.
- Però hi ha un hàbit social generalitzat de tolerància en l'ús dels
mitjans informatics i s´ha creat expectativa de confidencialitat.
- Per tant s´han establir-se per l'empresari, de conformitat amb les
regles de la bona fe, prèviament les normes d'ús (prohibicion absoluta o
parcial), d'informant amb caracter previ als treballadors de l'existència
del control, els mitjans, les mesures a adoptar, la possibilitat excloure
determinades connexions i les mesures aplicables en cas d'incompliment.
- Si el treballador utilitza aquestes eines en contra de les prohibicions,
el poder de control empresarial és legitim ja que és un instrument de
produccio i es pot actuar per la protecció del sistema informàtic de
l'empresa, que pot ser afectat negativament per determinats usos, i per
la prevenció de responsabilitats que per a l'empresa poguessin derivar
també algunes formes il•lícites d'ús davant tercers.
Temes sensibles: menors, indexacio de perfils. Les multes. La
suplantació d´identitat, es a dir que la identitat d´una persona que ha
estat registrada per una altra persona (amb els dominis d´internet aixo es
diu cybersquatting)
La proteccio de dades personals
Acomplir la llei de proteccio de dades es el primer objectiu, ja que
segurament es la part mes sensible. Aqui un gran bloc ...
http://www.samuelparra.com/
Temes sensibles: menors, indexacio de perfils. Les multes. La
suplantació d´identitat, es a dir que la identitat d´una persona que ha
estat registrada per una altra persona (amb els dominis d´internet aixo es
diu cybersquatting)
I que cal fer doncs .... en el tractament de dades personals per part del
responsable del fitxer o tractament hi ha 3 etapes:
1.- abans del tractament de les dades:
8. 1.1.- Declaració dels fitxers existents a l´AGPD. Estudiar els fitxers que
hi ha declarats a l´AGPD i revisar amb el responsable quins tractaments
efectua, per si cal declarar-ne algun de nou, modificar els existents o
donar-los de baixa. Quin son
Quins són els fitxers habituals:
- Personal/recursos humans.
- Curriculums.
- Clients/Facturacio.
- Proveeidors.
- Comptabilitat.
- Contactes.
- Newsletteragpd
- Internet.
- Videovigilancia.
1.2- Mesures de seguretat: capitol VIII rd 1720/2007.
Quin és l’objectiu bàsic de les mesures de seguretat? Garantir la
seguretat de les dades personals i evitar l’alteració, la pèrdua, el
tractament no autoritzat i l’accés no autoritzat a les dades personals.
Qui té el deure d’implantar les mesures de seguretat? El responsable
del tractament és qui té el deure d’adoptar les mesures de seguretat i
preveure tot allò que sigui necessari per garantir que les dades personals
estan efectivament protegides. En determinades circumstàncies, aquest
deure també afecta els anomenats encarregats del tractament.
On s’han d’aplicar les mesures de seguretat? Als centres de
tractament, als locals, als equips, als sistemes i als programes. En
definitiva, a tot allò relacionat amb el tractament de dades personals.
Quins tipus de fitxers o tractaments afecta? Amb caràcter general, les
mesures de seguretat han de protegir les dades de caràcter personal,
independentment de la seva ubicació o sistema de tractament. Per tant,
les mesures s’apliquen a tots els fitxers que continguin dades personals,
tant si són automatitzats com si són en suport paper (no automatitzats).
Com s’estructuren les mesures de seguretat? El Reial decret
1720/2007, que aprova el Reglament de desenvolupament de la LOPD
(RLOPD), dedica el títol VIII a les mesures de seguretat en el tractament
de dades de caràcter personal.
En primer lloc, es regula una part general, que afecta tot tipus de
tractaments i tots els nivells de seguretat (capítols I i II, articles 79 a 88).
Després es tracta la regulació de les mesures de seguretat per als
tractaments automatitzats, en què s’utilitza l’assignació de nivell de
seguretat bàsic, mitjà o alt (capítol III, articles 89 a 104).
Finalment, es regulen les mesures de seguretat per als tractaments no
automatitzats, seguint el mateix esquema de nivells de seguretat (capítol
IV, articles 105 a 114).
Tots els fitxers i tractaments necessiten les mateixes mesures de
seguretat? No. Hi ha tres nivells de seguretat, segons la naturalesa de la
9. informació: nivell bàsic, nivell mitjà i nivell alt. Però cal tenir en compte
que els nivells de seguretat són acumulatius, de manera que en un fitxer
de nivell alt s’han d’aplicar també les mesures previstes en els nivells
bàsic i mitjà.
Com sabem les mesures de seguretat que cal aplicar en cada cas? Els
tres nivells en què s’organitzen les mesures de seguretat, bàsic, mitjà i
alt, s’apliquen en funció del tipus de dades objecte del tractament. Per a
cada nivell es descriuen una sèrie de requeriments de protecció de les
dades adreçats a determinar què és el que ha de procurar la mesura de
seguretat. No s’estableix com s’ha de fer, excepte en aspectes molt
puntuals.
A quins fitxers i tractaments s’apliquen les mesures de nivell bàsic?. A
tots els que continguin dades personals.
També, en casos particulars:
a.Fitxers o tractaments de dades d’ideologia, afiliació sindical, religió,
creences, origen racial, salut o vida sexual quan: i. Les dades
s’utilitzin amb l’única finalitat de fer una transferència de diners a les
entitats de què els afectats siguin associats o membres. ii. Es tracti de
fitxers o tractaments no automatitzats en què, de forma incidental o
accessòria, s’inclouen les dades sense tenir relació amb la seva finalitat.
iii. Fitxers o tractaments que continguin dades relatives a la salut quan
es refereixin exclusivament al grau de discapacitat o a la simple
declaració de la condició de discapacitat o invalidesa de la persona
afectada, amb motiu del compliment dels deures públics.
A quins fitxers i tractaments s’apliquen les mesures de nivell mitjà?
i. Als relatius a la comissió d’infraccions administratives o penals.
ii. Als relatius a solvència patrimonial i crèdit.
iii. A aquells els responsables dels quals siguin les administracions
tributàries i es relacionin amb l’exercici de les seves potestats tributàries.
iv. A aquells els responsables dels quals siguin les entitats financeres
amb finalitats relacionades amb la prestació de serveis financers.
v. A aquells els responsables dels quals siguin les entitats gestores i
serveis comuns de la seguretat social i es relacionin amb l’exercici de les
seves competències.
vi. A aquells els responsables dels quals siguin les mútues d’accidents
de treball i malalties professionals de la Seguretat Social.
vii. A aquells que continguin un conjunt de dades personals que
ofereixin una definició de les característiques o de la personalitat dels
ciutadans i que permetin avaluar determinats aspectes de la personalitat
o del comportament d’aquests.
viii. Amb particularitats: 1. A aquells els responsables dels quals
siguin els operadors que prestin serveis de comunicacions electròniques
disponibles al públic o explotin xarxes públiques de comunicacions
electròniques respecte de les dades de tràfic i les dades de localització. A
aquests fitxers se’ls ha d’aplicar, a més, una mesura de nivell alt, la
relativa al registre dels accessos a la informació que contenen.
A quins fitxers s’apliquen les mesures de seguretat de nivell alt?:
10. 1. Als que es refereixen a dades d’ideologia, afiliació sindical, religió,
creences, origen racial, salut o vida sexual.
2. Als que continguin o es refereixin a dades recollides amb finalitats
policials sense el consentiment de les persones afectades.
3. Als que continguin dades derivades d’actes de violència de gènere.
Quines són les mesures de seguretat que s’han d’implementar? S’han
d’implementar les mesures de seguretat previstes al títol VIII del RLOPD,
en funció del tipus de dades tractades. Aquestes mesures de seguretat
s’han de descriure en el document de seguretat que recollirà les mesures
tècniques i organitzatives aplicables al tractament o fitxer.
Com es clasifiquen les mesures de seguretat:
1.- Organitzatives.
2.- Relacionades amb els usuaris
3.- Relacionades amb l’ús de la informació (cicle de vida de la
informació):
1. Recollida o captació de dades
2. Enregistrament
3. Emmagatzemament
4. Processament o tractament
5. Cesio
6. Conservació
7. Destrucció
8. Relacionades amb les situacions fora del tractament habitual
iv. Relacionades amb situacions excepcionals
7.- OBLIGACIONS DEL PERSONAL (document de seguretat)
Anexo H. Funciones y obligaciones del personal
<<En este anexo se describen las funciones y responsabilidades de
cada persona con acceso a los datos del fichero, que ya han sido citadas
en el cuerpo del documento, pero agrupadas por tipo o perfil de usuario.
Deberá copiarse tal como está en el documento de seguridad que se
reparta al personal que trabaje con el fichero. El responsable del fichero,
o el responsable de seguridad si lo hubiese, o el encargado del
tratamiento, podrán añadir obligaciones particulares aplicables al fichero,
pero respetando todas las que aquí figuran.
Según se dice en el párrafo 2 del documento, una copia del mismo con
las funciones específicas de cada colectivo, deberá ser repartida a todos
los usuarios del fichero para su conocimiento.
En el caso de los usuarios sólo se deberá entregar un documento
divulgativo que incluya el presente Anexo junto con el procedimiento de
Notificación de incidencias y el Procedimiento para la Destrucción de
desechos informáticos. Asimismo se facilitara a cada usuario los
11. procedimientos que sean necesarios para el desarrollo de sus funciones,
que deberán estar recogidos en el Anexo G. >>
H.1 Obligaciones que afectan a todo el Personal
•Guardar secreto profesional y confidencialidad de la información
tratada. Quienes intervengan en cualquier fase del tratamiento de los
datos de carácter personal están obligados al secreto profesional
respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aún después de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
•La vulneración del deber de guardar secreto sobre los datos de
carácter personal incorporados a ficheros que contengan datos
personales será considerado como una falta leve, grave o muy grave de
conformidad con lo previsto en el artículo 44 de la LOPD, lo cual dará
lugar a iniciación de actuaciones disciplinarias, si procediesen.
•Utilizar los sistemas de información, recursos técnicos así como la
información personal a la que se accede, únicamente para el desarrollo y
desempeño profesional que el usuario tiene asignado.
•Facilitar el derecho de acceso, rectificación y cancelación a los
titulares de los datos. Para ello se informará inmediatamente al
Responsable del Fichero Responsable de Seguridad o Encargado del
tratamiento y se recogerá siempre en solicitud escrita.
H.2 Funciones y obligaciones del Responsable del Fichero
El responsable es la persona física o jurídica que tenga atribuida la
competencia a la que sirva instrumentalmente los datos contenidos en el
fichero. Decide sobre la finalidad, uso y contenido de los mismos.
•Elaborará el documento de seguridad. En caso de que exista un
encargado de tratamiento, y se realice el tratamiento del fichero fuera
de los locales del responsable del fichero, la elaboración del mismo podría
corresponder al encargado de tratamiento
•Implantará y hará cumplir las medidas de seguridad establecidas en
este documento.
•Deberá garantizar la difusión del cuerpo y de los Anexos de este
Documento que les afecten, entre todo el personal que vaya a utilizar el
fichero.
•Deberá mantener actualizado este documento siempre que se
produzcan cambios relevantes en la organización o entorno del fichero, y
deberá adecuar en todo momento el contenido del mismo a las
disposiciones vigentes en materia de protección de datos personales.
•Autorizar expresamente la ejecución de los procedimientos de
recuperación de los datos.
•Designará uno o varios responsables de seguridad que deberán
figurar en el Anexo F.
•Ordenar al menos cada dos años la realización de una auditoría,
externa o interna que dictamine el correcto cumplimiento y la adecuación
de las medidas del presente documento de seguridad o las exigencias del
Reglamento, identificando las deficiencias y proponiendo las medidas
correctoras necesarias. Los informes de auditoría serán analizados por el
12. responsable de seguridad, quien propondrá al responsable del Fichero las
medidas correctoras correspondientes.
•Nombrará uno o varios responsables delegados, cuyo nombramiento
deberá adjuntar al Anexo F, que, sin menoscabo de la propia
responsabilidad y obligaciones del responsable del fichero, podrán asumir
por él las obligaciones sobre el cumplimiento de las normas que designe
especificadas en el presente documento.
H.3 Funciones y obligaciones que el Responsable del fichero podrá
delegar en otras personas
Los responsables delegados que el responsable del fichero pueda
nombrar opcionalmente, o en su defecto el propio responsable del
fichero, deberán asumir además las siguientes funciones y
responsabilidades.
Autorización del personal que puede acceder al fichero
•Encargarse de que exista una relación actualizada de usuarios con
acceso autorizado para acceder a los datos del fichero.
•Conceder, alterar o anular el acceso autorizado sobre datos o los
recursos.
•Velar porque se cumpla el procedimiento para dar de alta, modificar o
anular una autorización de acceso que está especificado en le Anexo G.
Procedimientos de Identificación y Autenticación de usuarios
• Velar por que se cumpla el procedimiento de asignación distribución
y almacenamiento de contraseñas que se encuentra descrito en el Anexo
G.
• Velar por que las contraseñas se asignen y se cambien mediante el
mecanismo y periodicidad que se determina en el Anexo G.
• Si es posible, habilitará controles de acceso basados en certificados
digitales electrónicos o datos biometricos.
Entorno de Sistema Operativo y de Comunicaciones
• Aprobar y designar al administrador que se responsabilizará del
sistema operativo y de comunicaciones que deberá estar relacionado en
el Anexo F.
Sistema Informático o aplicaciones de acceso al Fichero
• Velar porque los sistemas informáticos de acceso al Fichero tengan
su acceso restringido mediante un código de usuario y una contraseña.
• Asimismo cuidará que todos los usuarios autorizados para acceder
al Fichero, relacionados en el Anexo F, tengan un código de usuario que
sea único, y que esté asociado a la contraseña correspondiente, que sólo
será conocida por el propio usuario.
Trabajo fuera de los locales de ubicación del Fichero
•Habilitar los controles necesarios para que no se copie ni transporte
información del fichero en ordenadores portátiles o estaciones de trabajo
que se encuentren fuera de las oficinas sin la correspondiente
autorización.
13. • Autorizar el trabajo con datos personales fuera de los locales En el
Anexo G se referencia un procedimiento para el tratamiento de ficheros
fuera de su ubicación, como es el caso de los ordenadores portátiles.
Gestión de soportes
• Autorizar la salida de soportes informáticos que contengan datos del
fichero fuera de los locales indicados en el Anexo E.
• En cualquier caso deberá especificarse en el Anexo G, el
procedimiento para la destrucción o almacenaje de esos soportes.
• Mantener un registro de entradas y/ o salidas donde se guardarán
los formularios de entradas y de salidas de soportes descritos en el Anexo
G, con indicación de tipo de soporte, fecha y hora, emisor, número de
soportes, tipo de información que contienen, forma de envío, destinatario,
o persona responsable de la recepción que deberán estar debidamente
autorizadas.
Entrada y salida de datos por red
• Autorizar al usuario que podrá realizar desde una única cuenta o
dirección de correo las salidas de datos por correo electrónico ó
trasferencias.
• Igualmente si existen entradas de datos mediante sistemas de
transferencia de ficheros por red, o correo electrónico autorizar al
usuario o administrador que podrá realizar esas operaciones. .
• Mantener un registro de las salidas y/o entradas de datos por red.
Procedimientos de respaldo y recuperación
• Se encargará de verificar la definición y correcta aplicación de las
normas y periodicidad de la realización de copias de respaldo, al menos
semestralmente.
• Autorizar cuando sea necesario la ejecución de los procedimientos de
recuperación de los datos, tras una pérdida del fichero, y se asegurará
del registro de las incidencias y de las manipulaciones que hayan debido
realizarse para dichas recuperaciones, incluyendo la persona que realizó
el proceso, los datos restaurados y los datos que hayan debido ser
grabados manualmente en el proceso de recuperación.
Controles periódicos de verificación del cumplimiento
• Junto con el responsable de seguridad, analizaran con periodicidad al
menos trimestral las incidencias registradas, para independientemente
de las medidas particulares que se hayan adoptado en el momento que
se produjeron, poner las medidas correctoras que limiten esas incidencias
en el futuro.
H.4 Funciones y obligaciones del Encargado de tratamiento
El encargado del tratamiento es la persona física o jurídica que trata
datos personales por cuenta del responsable del fichero, como
consecuencia de una relación jurídica que le vincula con el mismo y
delimita su actuación, y deberá acreditarse mediante la documentación
que se adjuntará en el Anexo A.
• En el caso de existir encargado del tratamiento le corresponderá
elaborar el documento de seguridad de los ficheros y tratamientos
prestados en sus propios locales que figuran en el Anexo E.
14. • En el caso de prestar los servicios en los locales del responsable del
fichero, él mismo y su personal deberán cumplir normas del documento
de seguridad elaborado por el responsable.
• Cuando el acceso sea remoto y se hubiese prohibido utilizar al
encargado incorporar datos a sistemas o soportes distintos a los del
responsable, se hará constar esta circunstancia en el documento del
responsable.
• Cuando los ficheros se procesen en locales de uno y otro, el
encargado facilitara al responsable la documentación necesaria para
completar el documento de seguridad del responsable.
• El encargado de tratamiento deberá asumir todas las obligaciones
del responsable del fichero excepto en las autorizaciones de acceso de
usuarios o nombramientos de los responsable de legados.
• Especialmente deberá cumplir todas las normas relacionadas con el
entorno físico, sistema operativo y comunicaciones, sistemas informáticos
o aplicaciones de acceso al Fichero, trabajo fuera de los locales de
ubicación del fichero, gestión de soportes, entrada y salida de datos por
red, procedimientos de respaldo y recuperación, y en general todas
aquellas referenciadas en el cuerpo de este documento que estén
relacionadas con el entorno que es de su responsabilidad donde se va a
tratar el fichero.
H.5 Funciones y obligaciones del Responsable de seguridad
• Es el encargado de coordinar y controlar las medidas definidas en el
presente documento
• El responsable de seguridad coordinará la puesta en marcha de las
medidas de seguridad, colaborará con el responsable del fichero en la
difusión del Documento de seguridad y cooperará con el responsable del
fichero controlando el cumplimiento de las mismas.
• Analizara las incidencias registradas, tomando las medidas oportunas
en colaboración con el responsable del Fichero.
• El responsable de seguridad del Fichero comprobará, con una
periodicidad al menos trimestral, que la lista de usuarios autorizados del
Anexo F se corresponde con la lista de los usuarios realmente autorizados
en la aplicación de acceso al Fichero y perfiles, para lo que recabará la
lista de usuarios y sus códigos de acceso al administrador o
administradores del Fichero. Además de estas comprobaciones
periódicas, el administrador comunicará al responsable de seguridad, en
cuanto se produzca, cualquier alta o baja de usuarios con acceso
autorizado al Fichero.
• Comprobará también al menos con periodicidad semestral la
existencia de copias de respaldo que permitan la recuperación de Fichero
según lo estipulado en el apartado 9 de este documento. El encargado
del tratamiento enviará al Responsable de seguridad del Fichero, con
periodicidad trimestral evidencias de esta comprobación.
• A su vez, y también con periodicidad al menos semestral, los
administradores del Fichero comunicaran al responsable de seguridad
cualquier cambio que se haya realizado en los datos técnicos de los
Anexos, como por ejemplo cambios en el software o hardware, base de
15. datos o aplicación de acceso al Fichero, procediendo igualmente a la
actualización de dichos Anexos.
• El responsable de seguridad, verificará, con periodicidad al menos
trimestral, el cumplimiento de lo previsto en los apartados 7 y 8 de este
documento en relación con las entradas y salidas de datos, sean por red
o en soporte magnético.
• Al menos cada dos años, se realizará una auditoría, externa o interna
que dictamine el correcto cumplimiento y la adecuación de las medidas
del presente documento de seguridad o las exigencias del Reglamento,
identificando las deficiencias y proponiendo las medidas correctoras
necesarias. Los informes de auditoria serán analizados por el responsable
de seguridad, quien propondrá al responsable del Fichero las medidas
correctoras correspondientes.
• Los mecanismos que permiten el registro de accesos estarán bajo el
control directo del responsable de seguridad sin que se deba permitir en
ningún caso la desactivación de los mismos.
• El responsable de seguridad se encargará de revisar, con
periodicidad al menos mensual, la información de control registrada en el
registro de accesos, y elaborará un informe que entregará al responsable
de fichero y que será adjuntado en el Anexo J.
• Los resultados de todos estos controles periódicos, serán adjuntadas
a este documento de seguridad en el Anexo J.
H.6 Funciones y obligaciones de los Usuarios
El personal autorizado a acceder a la información de carácter personal
del Fichero, realizará las funciones propias de su puesto de trabajo, que
se encuentran previstas en las relaciones de puestos de trabajo del
Centro o Unidad Administrativa a la que pertenezca, a la correspondiente
definición de funciones que se aplique a dicho personal.
Además de dichas funciones relativas al desempeño profesional
asociado a su puesto laboral, todo el personal colaborará con el
Responsable del Fichero y Responsable/s de Seguridad en pro de velar
por el cumplimiento de la legislación y reglamentación vigente sobre
Protección de Datos de Carácter Personal.
• Cada usuario será responsable de la confidencialidad de su
contraseña y, en caso de que la misma sea conocida fortuita o
fraudulentamente por personas no autorizadas, deberá registrarlo como
incidencia y proceder inmediatamente a su cambio.
• Cada usuario deberá cambiar la contraseña inicial que se le asigne,
en el primer acceso que realice al sistema o tras el desbloqueo de su
contraseña cuando haya sido necesaria la intervención de una tercera
persona en dicho proceso. Las contraseñas deberán ser suficientemente
complejas y difícilmente adivinables por terceros, evitando el uso del
propio identificador como contraseña o palabras sencillas, el nombre
propio, fecha de nacimiento etc.
• Para ello se seguirán las siguientes pautas en la elección de las
contraseñas:
- deberán tener una longitud mínima de 8 caracteres alfanuméricos.
- no deberán coincidir con el código de usuario.
16. - no deberán estar basadas en cadenas de caracteres que sean
fácilmente asociadas al usuario (Nombre, apellidos, ciudad y fecha de
nacimiento, nombres de familiares, matrícula del coche, etc.).
- el usuario deberá aplicar reglas nemotécnicas para poder
construir una contraseña lo suficientemente difícil de adivinar por
terceros y que a la vez sea muy fácil de recordar por él.
• Los puestos de trabajo estarán bajo la responsabilidad de algún
usuario autorizado que garantizará que la información que muestran no
pueda ser visible por personas no autorizadas.
• Tanto las pantallas como las impresoras u otro tipo de dispositivos
conectados al puesto de trabajo deberán estar físicamente ubicados en
lugares que garanticen esa confidencialidad.
• Cuando el responsable de un puesto de trabajo lo abandone, bien
temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en
un estado que impida la visualización de los datos protegidos, como por
ejemplo un protector de pantalla con contraseña. La reanudación del
trabajo implicará la desactivación de la pantalla protectora con la
introducción de la contraseña correspondiente.
• En el caso de las impresoras deberá asegurarse de que no quedan
documentos impresos en la bandeja de salida que contengan datos
protegidos. Si las impresoras son compartidas con otros usuarios no
autorizados para acceder a los datos de Fichero, los responsables de cada
puesto deberán retirar los documentos conforme vayan siendo impresos.
• Queda expresamente prohibido cualquier cambio de la configuración
de la conexión de los puestos de trabajo a redes o sistemas exteriores,
que no esté autorizado expresamente por el Responsable del Fichero o el
Director del Centro o departamento al que pertenezca cada usuario. La
revocación de esta prohibición deberá ser autorizada expresamente
• Los puestos de trabajo desde los que se tiene acceso al fichero
tendrán una configuración fija en sus aplicaciones, sistemas operativos
que solo podrá ser cambiada bajo al autorización del responsable de
seguridad o por administradores autorizados del Anexo F.
• Queda expresamente prohibido el tratamiento datos extraídos del
Fichero, con programas ofimáticos, como procesadores de texto u hojas
de cálculo, sin comunicarlo para su aprobación al Responsable del
Seguridad para que se proceda a implantar las medidas de seguridad
adecuadas. La utilización de dichos programas para el tratamiento de
datos personales sin comunicarlo al responsable de Seguridad será
considerado como una falta contra la seguridad del fichero por parte de
ese usuario.
• Se deberá evitar el guardar copias de los datos personales del
Fichero en archivos intermedios o temporales. En el caso de que sea
imprescindible realizar esas copias temporales por exigencias del
tratamiento, se deberán adoptar las siguientes precauciones:
- Realizar siempre esas copias sobre un mismo directorio de nombre
TEMP o similar, de forma que no queden dispersas por todo el disco del
ordenador y siempre se pueda conocer donde están los datos temporales.
- Tras realizar el tratamiento para los que han sido necesarios esos
datos temporales, proceder al borrado o destrucción de los mismos.
17. - Los ficheros temporales creados exclusivamente para la realización
de trabajos temporales o auxiliares, deberán cumplir el nivel de
seguridad que les corresponda con arreglo a los criterios expresados en
el Reglamento de Medidas de Seguridad.
• Trabajo fuera de los locales de ubicación del fichero. No se deberá
copiar ni transportar información de los sistemas centrales en portátiles
o estaciones de trabajo que se encuentren fuera de las oficinas sin
la correspondiente autorización del Responsable del Fichero. En el Anexo
G se referencia un procedimiento para el tratamiento de ficheros fuera de
su ubicación, como es el caso de los ordenadores portátiles.
• Cualquier usuario que tenga conocimiento de una incidencia es
responsable de la comunicación de la misma al Responsable de
Seguridad o al Responsable del Fichero o a la persona encargada de
registrarla. En el caso de que el procedimiento de Incidencias estuviese
automatizado, deberá proceder a su registro en el sistema habilitado
para ello. El modelo de notificación de incidencias figura en el Anexo I.
• El conocimiento y la no notificación de una incidencia por parte de un
usuario será considerado como una falta contra la seguridad del Fichero
por parte de ese usuario.
• Cuando un usuario gestione o produzca soportes que contengan
datos del Fichero, bien como consecuencia de operaciones intermedias
propias de la aplicación que los trata, o bien como consecuencia de
procesos periódicos de respaldo o cualquier otra operación esporádica,
estos deberán estar claramente identificados con una etiqueta
externa que indique de qué fichero se trata, que tipo de datos contiene,
proceso que los ha originado y fecha de creación.
• Cuando se reciclen medios que sean reutilizables, y que hayan
contenido copias de datos del Fichero, deberán ser borrados físicamente
antes de su reutilización, de forma que los datos que contenían no sean
recuperables. Aquellos que no vayan a ser reutilizados deberán ser
destruidos mediante un procedimiento especificado en el Anexo G.
• Los soportes que contengan datos del Fichero deberán ser
almacenados en lugares a lo que no tengan acceso personas no
autorizadas para el uso del Fichero.
• La salida de soportes informáticos que contengan datos del Fichero
fuera de los locales donde está ubicado el Fichero deberá ser
expresamente autorizada por el responsable del Fichero. Mediante el
procedimiento descrito en el Anexo G.
• Solo se podrán realizar envíos del Fichero, por correo electrónico o
transferencias electrónicas, desde una única cuenta o dirección de correo
controlado por un usuario especialmente autorizado por el Responsable o
persona autorizada tal como se describe en el Anexo G.
• Existirá una cuenta o dirección de correo electrónica controlada por
un usuario especialmente autorizado, para recibir datos del fichero.
• Se dejará constancia de todas las salidas y entradas de datos del
fichero a través de correo electrónico, en directorios históricos de esa
dirección de correo o en algún otro sistema de registro de salidas y/o
entradas que permita conocer en cualquier momento los envíos
realizados o recibidos, a quien iban dirigidos, o los remitentes y la
18. información enviada, tal como se indica en procedimiento que deberá
adjuntarse en el Anexo G.
• Cuando los datos del Fichero deban ser enviados fuera del recinto
físicamente protegido donde se encuentra ubicado el Fichero, bien sea
mediante un soporte físico de grabación de datos o bien a través de c
orreo electrónico, deberán ser cifrados o bien se utilizará cualquier otro
mecanismo que asegure que dicha información no sea accesible o
manipulada durante su transporte. En el Anexo G se especificará el
procedimiento.
• Se cifraran los datos que contengan los ordenadores portátiles
cuando estos se encuentren fuera de las instalaciones que están
bajo el control del responsable, si esto no es posible se hará constar el
procedimiento que deberá figurar en el Anexo G.
• La transmisión de datos de carácter personal de nivel alto a través
de redes de públicas telecomunicaciones o inalámbricas ó la salida ó
distribución de soportes con datos de nivel alto fuera, se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la información no sea inteligible ni manipulada por
terceros. En el Anexo G, se especificará el procedimiento.
H.7 Funciones y obligaciones de los Administradores o Personal
Informático
Es el personal que administra los sistemas informáticos del fichero. Se
puede clasificar en varias categorías, que no necesariamente deberán
estar presentes en todos los casos, siendo en algunas ocasiones
asumidas por una misma persona o personas.
- Administradores (Red, Sistemas operativos y Bases de Datos). Serán
los responsables de los máximos privilegios y por tanto de máximo riesgo
de que una actuación errónea pueda afectar al sistema. Tendrán acceso
al software (programas y datos) del sistema, a las herramientas
necesarias para su trabajo y a los ficheros o bases de datos necesarios
para resolver los problemas que surjan.
- Operadores (Red, Sistemas operativos, Bases de Datos y Aplicación).
Sus actuaciones están limitadas a la operación de los equipos y redes
utilizando las herramientas de gestión disponibles. No deben, en
principio, tener acceso directo a los datos del Fichero, ya que su
actuación no precisa de dicho acceso.
- Mantenimiento de los sistemas y aplicaciones. Personal responsable
de la resolución de incidencias que puedan surgir en el entono
hardware/software de los sistemas informáticos o de la propia aplicación
de acceso al Fichero.
- Cualquier otro que la organización establezca.
• Los administradores deberán garantizar que el sistema operativo
donde se ejecuta el sistema de acceso al fichero tenga su acceso
restringido mediante un código de usuario y una contraseña. Ninguna
herramienta o programa de utilidad que permita el acceso al Fichero
deberá ser accesible a ningún usuario o administrador no autorizado en el
Anexo F.
• En la norma anterior se incluye cualquier medio de acceso en bruto,
es decir no elaborado o editado, a los datos del Fichero, como los
19. llamados "queries", editores universales, analizadores de ficheros, etc.,
que deberán estar bajo el control de los administradores autorizados
relacionados en el Anexo F.
• Si la aplicación o sistema de acceso al Fichero utilizase usualmente
ficheros temporales, ficheros de "logging", o cualquier otro medio en el
que pudiesen ser grabados copias de los datos protegidos, los
administradores deberá asegurarse de que esos datos no son accesibles
posteriormente por personal no autorizado.
• Si el ordenador en el que está ubicado el fichero está integrado en
una red de comunicaciones de forma que desde otros ordenadores
conectados a la misma sea posible el acceso al Fichero, los
administradores deberán asegurarse de que este acceso no se permite a
personas no autorizadas.
• Deberán controlar los intentos de acceso fraudulento al fichero,
limitando el número máximo de intentos fallidos, y es recomendable
cuando sea técnicamente posible, guardar en un fichero auxiliar la fecha,
hora, código y claves erróneas que se han introducido, así como otros
datos relevantes que ayuden a descubrir la autoría de esos intentos de
acceso fraudulentos.
• Deberá garantizar la obtención periódica de una copia de seguridad
del fichero, a efectos de respaldo y posible recuperación en caso de fallo.
• Estas copias deberán realizarse con una periodicidad, al menos,
semanal, salvo en el caso de que no se haya producido ninguna
actualización de los datos.
• En caso de fallo del sistema con pérdida total o parcial de los datos
del Fichero existirá un procedimiento, informático o manual, que
partiendo de la última copia de respaldo y del registro de las operaciones
realizadas desde el momento de la copia, reconstruya los datos del
Fichero al estado en que se encontraban en el momento del fallo. Ese
procedimiento está descrito en el Anexo G.
• Las pruebas anteriores a la implantación o modificación de los
sistemas de información que traten ficheros con datos de carácter
personal no se realizaran con datos reales, salvo que se aplique a esos
ficheros de prueba el mismo tratamiento de seguridad que se aplica al
mismo Fichero, y se deberán relacionar esos ficheros de prueba en el
Anexo B.
Si se realizan pruebas con datos reales será necesaria realizar
previamente una copia de seguridad.
• Será necesaria la autorización por escrito del responsable del fichero
para la ejecución de los procedimientos de recuperación de los datos, y
deberá dejarse constancia en el registro de incidencias de las
manipulaciones que hayan debido realizarse para dichas recuperaciones,
incluyendo la persona que realizó el proceso, los datos restaurados y los
datos que hayan debido ser grabados manualmente en el proceso de
recuperación.
• Los administradores deberán responsabilizarse de guardar en lugar
protegido las copias de seguridad y respaldo del Fichero, de forma que
ninguna persona no autorizada tenga acceso a las mismas.
20. • Los administradores cuidarán de que los mecanismos que permiten
el registro de accesos estén bajo el control directo del responsable de
seguridad sin que se deba permitir, en ningún caso la desactivación de
los mismos.
• De cada acceso se guardarán, como mínimo, la identificación del
usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de
acceso y si ha sido autorizado o denegado. Si se trata de un acceso
autorizado, se guardara la clave del registro o bien la información que
permita identificar el registro accedido.
• El período mínimo de conservación de los datos registrados será de
dos años
• Los administradores facilitarán al responsable del Fichero para su
comprobación la lista de usuarios y sus códigos de acceso que extraerá
de la aplicación o sistemas de acceso, al menos trimestralmente, además
de estas comprobaciones periódicas, enviará estas listas actualizadas en
cuanto se produzca un cambio en los accesos.
• Comprobarán al menos con periodicidad semestral, la existencia de
copias de respaldo que permitan la recuperación de Fichero según lo
estipulado en el apartado 9 de este documento, enviando evidencias de
esta comprobación al responsable del Fichero.
• A su vez, y también con periodicidad al menos trimestral, los
administradores del fichero comunicarán al responsable del Fichero
cualquier cambio que se haya realizado en los datos técnicos de los
Anexos, como por ejemplo cambios en el software o hardware, base de
datos o aplicación de acceso al Fichero, procediendo igualmente a la
actualización de dichos Anexos.
2.- durant el tractament de les dades
2.1.- Qualitat:
- Recollir només les dades necessàries per a la finalitat que es pretén
(principi de proporcionalitat).
- No utilitzar les dades per a finalitats diferents de la que va generar la
recollida.
- Assegurar-se que les dades són exactes i actuals.
- Cancel•lar les dades que siguin inexactes o incompletes i substituir-
les d’ofici per les dades rectificades o completades.
- Cancel•lar les dades quan hagin deixat de ser necessàries per a la
finalitat per a la qual es van recollir (tret que hi hagi una previsió legal
que exigeixi conservar-les).
- Emmagatzemar les dades de manera que permetin l’exercici del dret
d’accés.
- No recollir dades per mitjans fraudulents, deslleials o il•lícits.
2.2.- Informacio i consentiment:
És el dret que tota persona té a conèixer, en qualsevol moment, què es
fa amb les seves dades personals.
21. En concret, en el moment de la recollida de les dades s'ha d'informar la
persona, d'una manera clara, sobre els aspectes següents (article 5 de la
LOPD):
- L'existència d'un fitxer o tractament de dades de caràcter personal.
- La finalitat de la recollida.
- Els destinataris de la informació.
- La identitat i la direcció de la persona responsable del tractament.
- La possibilitat d'exercir els drets d'accés, rectificació, cancel•lació i
oposició (coneguts per l'abreviatura ARCO).
- Si és obligatori o no respondre a les preguntes que es demanen.
- Les conseqüències de proporcionar aquestes dades i les
conseqüències de no proporcionar-les.
Quan les dades es recullen en formularis, aquesta informació s'ha de
fer constar.
Qualsevol canvi de finalitat del tractament o qualsevol comunicació o
cessió de les dades personals a un tercer obliga a informar-ne la persona
titular de les dades, sense perjudici de demanar el seu consentiment, tret
que no sigui necessari.
Com s’ha de sol•licitar i obtenir el consentiment: En els casos en què
sigui suficient el consentiment inequívoc, cal donar trenta dies a la
persona a qui es demana perquè es pugui oposar al tractament, i se l’ha
d’advertir que, si no diu res, s’entén que hi consent. Se li ha de facilitar
un mitjà senzill i gratuït per fer-ho, com ara un enviament prefranquejat
al responsable del tractament, una trucada a un número de telèfon
gratuït o a través del servei d’atenció al públic. Aquesta informació ha de
ser clarament visible i, si hi ha constància que la comunicació s’ha
retornat, no es pot fer el tractament. No es pot sol•licitar el consentiment
seguint aquest procediment respecte dels mateixos tractaments i
finalitats en intervals inferiors a un any.
Com s’ha d’obtenir: Si són menors de 14 anys, s’ha de demanar el
consentiment als pares o tutors. Als menors només se’ls pot demanar el
nom i els cognoms, i l’adreça dels pares o tutors per demanar-los el
consentiment. Si són majors de 14 anys, poden consentir per ells
mateixos, tret que una llei disposi el contrari. S’ha d’utilitzar un
llenguatge senzill i no se’ls pot demanar informació sobre els altres
membres de la família, ni sobre la professió ni de tipus econòmic.
Aixo vol dir revisar les clausules d´informacio (contractes de treball,
formularis plana web, etc) aixi com l´avis legal de la web per tal ajustar-
ho en el primer cas a la llei 15/1999 LOPD i en el segon a la llei 34/2002
(lssice). Tambe cal comprovar que es demana i s´obte el consentiment
als afectats o si hi ha alguna excepció. Els menors.
2.3.- Dades sensibles: Es tracta de contemplar que en cap cas es
tractin dades sensibles (ideologia, afiliacio sindical, religio, creences,
salut, vida sexual, infraccions penals i administratives o violencia de
genere) i si es fà, hi ha una clara justificació legal.
2.4.- Confidencialitat i secret:
22. El responsable del fitxer i els qui intervinguin en qualsevol fase del
tractament de les dades de caràcter personal estan obligats al secret
professional pel que fa a les dades i al deure de guardar-les. Aquestes
obligacions subsisteixen fins i tot després d’haver acabat la relació amb
el titular del fitxer o, si s’escau, amb el seu responsable.
Cal identificar les clausules per garantir la confidencialitat i el secret de
les dades tractades i revisar si s´ajusten a la llei.
2.5.- Cessio de dades: Analitzar les cessions de dades que es
produeixen, tans aquelles que són obligatories com les que es deriven del
tractament de dades personals.
2.6.- Encarregat de tractament: Identificar els encarregats de
tractament que presten serveis al responsable del fitxer o tractament
(gestories, empreses informatica, videovigilancia, neteja), revisar si
existeixen els contractes i si s´ajusten al que preveu l´article 12 de la
LOPD i el RD 1720/2007.
No es considera comunicació de dades l'accés d'un tercer a les dades
quan l'accés sigui necessari per prestar un servei al responsable del
tractament.
a.- En tot cas, la realització del tractament per compte de tercers ha
d’estar regulada en un contracte que consti per escri l’encarregat del
tractament:
b.- Només ha de tractar les dades d’acord amb les instruccions del
responsable del tractament.
c.- No pot aplicar ni utilitzar les dades amb una finalitat diferent de la
que figuri en el contracte (no pot subcontractar …)
d.- No pot comunicar les dades a altres persones, ni tan sols per
conservar-les.
e.- Està obligat a implementar les mesures de seguretat que es
defineixin en el contracte.
f.- Està obligat a destruir o tornar al responsable del tractament les
dades personals i qualsevol suport o document que contingui alguna
dada que hagi estat objecte del tractament, una vegada acomplerta la
prestació contractual.
g.- En el contracte s’han d’establir els mecanismes que el responsable
del fitxer utilitzarà per vetllar per tal que l’encarregat del tractament
compleixi les seves obligacions (té els fitxers declarats, ha format al seu
personal, acompleix mesures de seguretat, té document de seguretat, )
3.- Després del tractament:
Revisar si després de l´exercici del dret de cancel.lacio o oposició, o si
un cop ha finalitzar la relació contractual amb l´afectat, el responsable
del fitxer o tractament bloqueja les dades personals i despres les
cancel.la o les conserva (destructores de paper, disc durs).
4.- Drets arco:
Analitzar si hi ha un procediment establert per gestionar per part del
responsable els drets arco i donar resposta en els terminis establerts als
drets d´acces, rectificació, cancel.lació i oposició.
23. És el dret d’una persona a ser indemnitzada quan pateix una lesió o un
dany en els seus béns o drets a causa d’un incompliment de la normativa
de protecció de dades per part de la persona responsable del fitxer o
encarregada del tractament.
Com s’exerceix: Aquesta indemnització s’ha de sol•licitar a
l’Administració pública o als tribunals de justícia.
Sol•licituds davant l’Administració pública: Si qui ha infringit la llei és
una entitat pública (o privada que fa tasques per compte d’una entitat
pública), la indemnització s’ha de sol•licitar a l’Administració pública,
d’acord amb la legislació que regula el règim de responsabilitat de les
administracions públiques.
Sol•licituds davant jutges i tribunals ordinaris: Si qui ha infringit la llei
és una entitat privada, la indemnització s’ha de sol•licitar davant els
tribunals de justícia.
Què podem fer davant la vulneració dels nostres drets
Denuncia: Les agencies, a través del Servei d’Inspecció, verifiquen que
les entitats compleixin la legislació vigent en protecció de dades i
controlen les vulneracions d’aquest dret, amb l’adopció de les mesures
necessàries per garantir-lo.
Tutela de drets: També tutela l’exercici dels drets de protecció de
dades de les persones afectades (drets d’accés, rectificació, cancel•lació i
oposició), i vetlla per l’efectivitat del seu exercici, dins de l’àmbit
d’actuació de l’Agència.
I la responsabilitat ...
Civil
Demanar una indemnització contra l´ empresa.
Penal
STS 18 de febrero de 1999, en que se juzga el caso de un periodista
que había publicado la noticia de que en la cocina de una prisión (el salto
del negro) trabajaban dos presos con sida, cuyos nombres completos
revelaba: “Sida, cocina y cárcel. En la prisión Provincial del Salto del
Negro corre el rumor insistente de que hay al menos dos presos con sida
que están destinados en el servicio de cocina, con lo que la alarma entre
los internos y los funcionarios está creciendo. Este periódico ha tenido
acceso a un listado de reclusos con destino específico en la cocina del
centro penitenciario y otro con el nombre de los internos que padecen
sida. En ambas listas se repiten dos nombres, J.M.G.S. [nombre y
apellidos completos de uno de ellos], nacido en [lugar de nacimiento], el
[fecha completa], soltero y [...] de profesión, con varios ingresos y dado
de alta en la cocina el [fecha completa], y J.O.G.M. [nombre y apellidos
completos del otro preso], nacido en [lugar de nacimiento], soltero y
condenado por [delito contra la libertad sexual], dado de alta en la cocina
el [fecha]. Si estos datos se confirman (y ya se sabe lo difícil que es
hacerlo por la vía oficial ya que hay datos, como los del sida, que son
confidenciales, así como los de cocina, que se consideran de régimen
interno), la dirección debería tomar medidas urgentes para evitar
posibles contagios de tal enfermedad».” Sin embargo, el Tribunal
24. Supremo revocó la Sentencia de la Audiencia Provincial de Las Palmas y
dictó nueva Sentencia en la que condenó al acusado, como autor
responsable de un delito del art. 197.2, 3 y 5, con la eximente incompleta
de ejercicio legítimo de un derecho, a la pena de un año de prisión, multa
de doce meses e inhabilitación especial para el ejercicio de la profesión
de periodista durante un año; así como al pago de dos millones de
pesetas a J.M.G.S. y a J.O.G.M. que, en caso de insolvencia, deberían ser
abonados por la empresa Editorial Prensa Canaria S.A.
Administrativa
Sancions econòmiques des de 600 euros a 600.000 euros
Laboral
STSJ Andalucía/Granada de 22-05-2001 que declara procedente el
despido acordado por la empresa (un banco) respecto de uno de sus
empleados que accedió a datos bancarios informatizados de un cliente
con el que no se guarda relación profesional alguna por razón del cargo
que ocupa y, por consiguiente, sin otra posible razón que la de conocer a
título personal los movimientos de su cuenta.
Decàleg per a la proteccio de dades personals
http://www.avpd.euskadi.net/
RECUERDA QUE LOS DATOS SON DE LAS PERSONAS
Los datos personales (información numérica, alfabética, gráfica,
fotográfica o acústica sobre personas) pertenecen a las personas a las
que se refieren y sólo ellas pueden decidir sobre los mismos. Por tanto, ni
tú, ni tu servicio, ni tu departamento sois dueños de ellos.
PARA EMPEZAR, COMPRUEBA QUE EL FICHERO ESTÁ CREADO
Es necesario que compruebes que el fichero está creado, esto es, que
está inscrito en el Registro de Protección de Datos y que existe una
persona Responsable del Fichero y una Responsable de Seguridad, que
deben resolver las dudas que se te presenten.
INFORMA Y PIDE EL CONSENTIMIENTO
Cuando solicites datos personales, debes informarles de la existencia
del fichero, su finalidad, etc. Para ello tienes que utilizar los formularios
que se han preparado. En algunos casos será necesario, además, que
solicites el consentimiento expreso del ciudadano para tratar sus datos.
SOLICITA Y TRATA SÓLO DATOS ADECUADOS, PERTINENTES Y NO
EXCESIVOS
Los datos personales han de ser adecuados, pertinentes y no excesivos
con relación a la finalidad para la que se recogen. No puedes utilizar
datos personales recogidos para finalidades incompatibles con aquéllas
para las que se recogieron.
CUMPLE LAS MEDIDAS DE SEGURIDAD
Es tu obligación cumplir la normativa de seguridad en materia de datos
personales. Si no te la han entregado, debes reclamarla al Responsable
de Seguridad.
25. No te olvides de:
- Utilizar las contraseñas y no compartirlas.
- Guardar los expedientes o listados con datos personales en armarios,
que cerrarás cuando no estés.
- Mantener los datos personales fuera de la vista de personas no
autorizadas (atención a los documentos que dejas en fotocopiadoras,
impresoras, faxes o, incluso, encima de la mesa).
- Cumplir las medidas de seguridad si te llevas datos en memorias USB
u otros soportes.
FACILITA EL EJERCICIO DE DERECHOS “ARCO” A LAS PERSONAS A LAS
QUE SE REFIEREN LOS DATOS
Tienes que facilitar a la persona titular de los datos personales el
derecho a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus
datos. Tendrás que saber informarle sobre cómo ejercerlos y facilitarle
impresos para que pueda hacerlo.
CUMPLE CON TU DEBER DE SECRETO
Mantén, indefinidamente, absoluta reserva y sigilo sobre cualquier
información personal a la que accedas en el ejercicio de tus funciones. Te
obligan a ello la normativa de protección de datos y una ética de
conducta básica. En ocasiones, su incumplimiento, puede ser perseguido
penalmente.
NO CEDAS DATOS SIN AUTORIZACIÓN
No cedas nunca datos personales a otras administraciones, entidades o
particulares sin autorización de la persona Responsable del Fichero o del
Responsable de Seguridad.
COMPRUEBA QUE EXISTE UN CONTRATO CON EMPRESAS QUE
TRABAJAN PARA TU ADMINISTRACIÓN O EMPRESA
Antes de facilitar datos personales a empresas o entidades que, en
virtud de contratos, realizan trabajos para tu organización (desarrollos
informáticos, seguridad, limpieza, distribución de correspondencia,…)
asegúrate que existe un contrato firmado donde se les imponen
obligaciones de confidencialidad y de seguridad de la información
respecto a los datos de carácter personal.
CUANDO NO SEAN NECESARIOS CANCELA LOS DATOS DE FORMA
ADECUADA
Cancela los datos cuando dejen de ser necesarios o pertinentes para la
finalidad para la cual fueron recogidos. Algunas veces, antes de
destruirlos habrá que bloquearlos, esto es, imposibilitar el tratamiento y
permitir el acceso sólo cuando se den algunas situaciones concretas.
Para destruir ficheros con datos personales en soporte papel utiliza las
destructoras de papel o el sistema seguro que hay establecido tu
organización.
26. La propietat intel.lectual
La propietat intel.lectual: continguts creats pels usuaris, modalitats d
´explotacio no previstes. Clausules autoria i indemnitat. Drets imatge. Cal
protegir el codi font
Els usuaris es poden enfadar molt rapid, per exemple facebook i canvi
de politica d´us:
http://eleconomista.com.mx/notas-
online/tecnociencia/2009/02/17/nuevas-politicas-facebook-causan-
polemica
Oet pots quedar sense cap dret encara que siguis l´autor: Artic
monkeys i myspace: de qui es la meva musica?
http://www.consumer.es/web/es/tecnologia/internet/2006/04/10/15088
4.php
Per tant quan una empresa crea una web o un bloc, ha de decidir per
quina via opta: si la propietat intel.lectual (reserva de drets) o - una
llicencia tipus creative commonds.
Creative Commons: http://es.creativecommons.org/
Un exemple de música: http://www.jamendo.com/es/
Una noticia:
http://www.publico.es/ciencias/296897/canciones/gratis/internet/peligro
El diari 20 minutos: http://www.20minutos.es/licencia_20_minutos/
Un altre exemple: buscador de fotos a flickr amb creative commonds
http://www.flickr.com/creativecommons/
La propietat intel.lectual (llei)
Idees bàsiques de la Propietat Intel•lectual (font: registre propietat
intel.lectual)
27. - Què s'hi pot registrar?: En els Registres de la Propietat Intel•lectual
es registren drets, que recauen sobre les obres susceptibles de protecció.
Aquestes obres són segons la legislació:
Obres científiques i literàries
Composicions musicals
Obres teatrals, coreografies i pantomimes
Obres cinematogràfiques i àudiovisuals
Escultures, pintures, dibuixos, gravats, litografies, historietes gràfiques,
fotografies i obres plàstiques, siguin o no aplicades
Projectes, plànols, maquetes d'obres arquitectòniques o d'enginyeria,
gràfics, mapes i dissenys relatius a la topografia, la geografia o la ciència
Programes d'ordinador
Bases de dades
Pàgines web i obres multimedia
Actuacions d'artistes, interprets i executants
Produccions fonogràfiques, audiovisuals i editorials
- Què vol dir propietat intel•lectual?
La propietat intel•lectual és un tipus de propietat que pertany a l'autor
pel sol fet de la creació original d'una obra literària, artística o científica
(art. 1 LPI), i que li confereix drets de caràcter personal i patrimonial,
consistents en la plena disposició i el dret exclusiu a l'explotació de
l'obra, sense més limitacions que les establertes a la llei.
Això implica que l'obra no pot ser utilitzada o usada sense la prèvia
autorització, onerosa o gratuïta, de l'autor. L'autor no té necessitat de fer
cap tràmit administratiu per fruir de la propietat intel•lectual de la seva
obra.
Per tant, la inscripció en el Registre de la Propietat Intel•lectual és
sempre un tràmit voluntari. Tanmateix la inscripció serveix com a mitjà
de prova que acredita qui és l'autor i a qui corresponen els drets
d'explotació. Es considera que el dret existeix tal com es declara en el
Registre llevat que es provi el contrari.
- La propietat intel•lectual té la seva manifestació en dos tipus de
drets: els morals i els d'explotació
Drets morals: autoria, integritat de l´obra, etc.
Drets d'explotació: A l'autor corresponen també en exclusiva els drets
d'explotació de la seva obra en qualsevol forma. Els principals drets
d'explotació previstos a la llei són:
a.- Reproducció: fixació de l'obra en un mitjà que permeti la seva
comunicació i l'obtenció de còpies.
b.- Distribució: posada a disposició del públic de l'original o còpies.
c.- Comunicació pública: tot acte pel qual una pluralitat de persones
poden tenir accés a l'obra sense prèvia distribució d'exemplars.
d.- Transformació: traducció, adaptació i qualsevol altra modificació en
la forma de la qual es derivi una obra diferent.
28. - Durada dels drets: Els drets d'explotació duren en l'actual legislació,
tota la vida de l'autor i 70 anys després de la seva mort o declaració de
mort, moment en el qual l'obra passa al domini públic, podent ser
utilitzada per qualsevol sempre que es respecti la seva autoria i
integritat. Els drets morals, pel seu caràcter personalíssim van vinculats a
la vida de l'autor. Tanmateix els drets d'autoria i integritat de l'obra
poden ser exercits, sense límit de temps, pels hereus o persona
designada per l'autor. El dret a decidir la divulgació de l'obra inèdita de
l'autor el poden exercir les mateixes persones, durant 70 anys des de la
mort de l'autor.
Com protegim les creacions?
1. redactant un protocol d´us del software a l´empresa (per exemple
no podem baixar un programa d´internet) i a través de contractes de
confidencialitat.
3.- amb mitjans tecnics com per exemple els drm (digital rights
management) amb l´inclusió d´osques per a la proteccio del codi font
Coses divertides: Com identificar als pirates?
http://www.fap.org.es/cine_identificar.asp
El know how
La llei de competencia deslleial, artícle 13 llei 3/1991 (violació de
secrets) diu:
“ ... Se considera desleal la divulgación o explotación, sin autorización
de su titular, de secretos industriales o de cualquier otra especie de
secretos empresariales a los que se haya tenido acceso legítimamente,
pero con deber de reserva, o ilegítimamente, a consecuencia de alguna
de las conductas previstas en el apartado siguiente o en el artículo 14.
Tendrán asimismo la consideración de desleal la adquisición de secretos
por medio de espionaje o procedimiento análogo ...”.
El cas tipic: la formula de la coca-cola
http://www.farodevigo.es/economia/2682/espias-sede-coca-
colabr/74235.html
El dret a la imatge
Dret a la imatge (llei 1/1982, 5-5-1982): imatge persones fisiques, dret
al control.
El cas de flick i Alison Chang:
http://www.lavozdeasturias.es/noticias/noticia.asp?pkid=369036
Les fotografies dels treballadors: el tallador de pernil. STC 99/1994, de
11-04-1994
“ ... Con motivo de la muestra de un producto (jamón ibérico) a los
medios de comunicación y autoridades autonómicas de la Consejería de
Agricultura para la presentación de la denominación de origen del jamón
de bellota, fabricado por la empresa en la que prestaba sus servicios el
29. solicitante de amparo, éste fue reiteradamente requerido por aquélla
para que realizara el corte de jamón dada su destreza en dicho cometido.
Requerimiento al que se negó el aquí recurrente, alegando que bajo
ningún concepto deseaba que su imagen fuese captada
fotográficamente, por lo que la empresa procedió a despedirle ...”
El Fiscal pide 3.000 euros para 9 menores amigos de Marta del
Castilllo, por emitir su perfil de Tuenti
http://www.google.com/hostednews/epa/article/ALeqM5hPDlR5uUmWO
QBBINwgWmeOO0vNnQ
La llei de serveis de la S. I i de C.E
Mes i mes obligacions:
- obligació d´identificació del prestador (dades empresa, cif, inscripcio
RM, etc).
- el consentiment usuari per a rebre comunicacions comercials –recollir
dades personals i adreçes de correus electronics a la xarxa no es legal-.
L´spam
Sabeu l´origen: http://www.youtube.com/watch?v=owxT2fy8LF0
- Responsabilitat per continguts (arts. 14 al 17 LSSI), per exemple
hosting, housing i links –deep link-. Controlar les cookies.
- Condicions generals de la contractacio: establertes de forma expresa
(el consumidor les ha de coneixer, cal establir mecanismes de notificació,
es una bona opcio per a limita la responsabilitat del prestador, per
exemple acord de nivell de servei –lsa-)
- Formulari de registre: quines dades demanen ... comprensible i que l
´usuari ha d´acceptar expressament, la casella no pot estar marcada per
defecte. En el cas de planes de comerç electronic s´han de dissenyar pas
per pas.
30. Fills digitals i pares analògics
http://www.segre.com/index.php?id=407&no_cache=1&tx_ttnews
%5Btt_news%5D=44199&tx_ttnews%5BbackPid%5D=407
VOLDRIA COMENÇAR amb unes preguntes bàsiques, adreçades a
mares i pares: a casa, qui en sap més, d'utilitzar l'Internet? No em
refereixo a la simple tasca de navegar per la xarxa per localitzar un
restaurant, sinó a portar a terme activitats més intel•lectuals, com crear
una adreça de correu electrònic, comprar un antivirus, consultar el
compte bancari o entrar al Facebook. Si la resposta és els meus fills, no
us espanteu. És lògic, ja que a Catalunya hi ha el percentatge més alt de
connexió a la xarxa entre els 14 i 18 anys, tot i que cal saber que abans
dels 14 anys hi ha coses que no podem fer, com donar-se d'alta a la
xarxa social Tuenti.
Una altra pregunta: quan amb els fills miren publicitat, quantes
vegades ells ens pregunten "escolta, això que diu aquest senyor de la
tele no és veritat oi?". És bo començar a transmetre el sentit crític amb
coses petites, perquè així estaran preparats quan algun dia els ho
preguntin (sense que nosaltres estem al seu costat posant l'orella):
"Escolta, noia, on viuen, els teus pares? Quin cotxe tenen? O de quin
color tens els ulls?
La tercera qüestió seria inter-rogar-nos sobre si la pàtria potestat es
pot exercir també a Internet, tot i que abans caldrà conèixer quina és la
definició legal d'aquest concepte. El Codi de Família diu que la potestat
constitueix una funció inexcusable i, en el marc de l'interès general de la
família, s'exerceix personalment sempre un benefici dels fills per facilitar
el ple desenvolupament de la seva personalitat.
Ara ja podem entrar en matèria: tots pensem que la pàtria potestat
també s'ha d'exercir quan els fills fan anar Internet, però si volem
concretar com, possiblement diríem que hi ha dos respostes extremes.
Una, tallar l'accés a la xarxa o l'altra, donar accés lliure sense control,
conclusions que no ens convencin del tot però... veritablement, què cal
fer? I aquí vindria la primera reflexió: no és hora ja que pares i mares
parem atenció al fenomen d'Internet i que tornem a l'autoescola digital,
uns per reciclar-nos i els altres per aprende les normes de circulació?
Perquè em pregunto: si les mares i els pares desconeixem el mitjà que
trepitjem (és com qui entra de cop a la selva africana, acostumat de tota
la vida a xafar només rostolls) i els fills no saben algunes de les normes
bàsiques de circulació i de seguretat, sí que anem bé tots plegats per les
autopistes de la informació!
Parlo d'autoescola digital perquè és fàcil fer un símil amb la conducció
per carretera quan parlem d'Internet; molta gent volta conduint amunt i
avall, activitat que no es pot fer de qualsevol manera; alguns n'han après
amb els pares al costat o tot sols; altres, amb l'ajuda de les autoescoles;
els menys, sense obtenir-ne l'autorització o pitjor, amb la prohibició de
conduir; en definitiva, qui més qui menys, sap una mica d'anar pel món
amb un volant a les mans. Si traslladem l'exemple de la conducció i
analitzem les pautes que tenen o que haurien de tenir els nostres fills, ara
que comencen a circular per Internet, segurament la nostra primera
conclusió serà que cada casa és un món i que, com passa en altres
31. àmbits, la solució serà traslladar les pautes que tenim de la vida real a la
vida virtual.
I aquí apareix una altra reflexió: en el món d'Internet, els nostres fills
són els mestres i nosaltres, els alumnes. Podríem dir que mentre alguns
pares graven pel•lícules en cintes VHS i son encara pares analògics, ells
compren tons musicals pel mòbil: ja són els fills digitals. Ara us demano
que responeu un test: heu parlat amb els vostres fills d'Internet en
general (les oportunitats i els riscs)? Heu navegat conjuntament amb ells?
Sabeu quines són les planes web que visita? Heu establert alguna norma
d'ús? Heu configurat les preferències de privacitat de l'ordinador? Heu
explicat que hi ha informació que ell no pot donar mai per Internet ni per
telèfon?
Mentre aneu apuntant els sís i els nos, podem reflexionar sobre el fet
que Internet serveix per jugar i per comunicar-se i també és una eina
molt potent per treballar. Per tant, cal donar pautes als fills perquè
entenguin la importància d'utilitzar la xarxa per crear-se un futur
professional.
Els nostres fills, els que ara creuen que la música que escolten és
sempre gratuïta ("la baixo amb l'Emule", ens diran) seran els que demà
gestionaran empreses on el principal capital serà la propietat
intel•lectual; els nostres petits artistes que ara dibuixen manga, que
estan il•lusionats a guanyar-se la vida fent allò que els agrada (dibuixar),
qui sap si deixaran aviat les seves activitats creatives convençuts que
allò que tantes vegades han escoltat és veritat: les creacions
intel•lectuals no tenen cap valor al mercat, s'han de compartir
gratuïtament i la llei no protegeix ni els autors ni les seves obres. Sort
que molts d'ells han llegit Harry Potter i saben de primera mà que tota
aquesta creativitat de la J. K. Rowling és el resultat d'una simple idea,
aquella que l'autora va tenir durant un viatge en tren des de Manchester
fins a Londres i que, gràcies a la seva imaginació (i a la llei), la seva idea
ha generat molts diners, tant per ella com per ajudar gent que ho
necessita.
Mentre discutim si aquell que primer ha ensenyat a navegar als fills ha
de ser qui ha de donar les eines, anem pensant en els plànols per crear
l'autoescola digital, abans que hi hagi més analfabets i massa accidents...
i quan es posi en marxa, ja m'imagino els comentaris divertits entre fills i
pares: "Mira, jo he tret un 9 en ús d'Internet i tu un 3. No et fa vergonya?
T'acompanyo a tutoria i després anirem a la llibreria a triar un quadern
d'estiu per al pare!"
I ara podem tornar a l'inici: creieu que ha nascut una nova figura
gràcies a Internet que caldria incloure a la llei, on els fills són els que
exerceixen una certa potestat cap als pares en l'àmbit d'Internet, això sí?
32. Curriculum
Llicenciat en dret i advocat en exercici. Màster en propietat
intel.lectual i societat de la informació (Esade). Auditor Cisa. (Isaca).
Màster en dret del treball i de la seguretat social (UPF). Postgrau sobre la
contratació dels drets de la Propietat Intel.lectual (UPF).
Col.laborador academic a Esade (al màster en propietat intel.lectual i
societat de la informació) ha donat classes al màster en auditoria i
protecció de dades (Universitat Autonoma de Barcelona i Escola d
´Administració Empreses, la Universitat de Murcia (2004 aq 2010 i a l
´escola de pràctica juridica del Col.legi d'Advocats de Lleida (1997-2010)
Es advocat en exercici des de 1992. Soci de Sagaris, empresa dedicada
a la consultoria en aspectes jurídics de la societat de la informació.
Col.labora a diversos mitjans. Anys 2007 a 2010: Col.laborador del
programa de televisió "Cafeïna" de Lleida TV, comentant qüestions sobre
aspectos juridics de la societat de la informació.
http://cafeinatvlleida.blogspot.com/ i a l´any 2008 al programa l’Hora L de
la Cadena SER Lleida, comentant qüestions sobre noves tecnologies i
dret.
ramon@sagaris.cat
Els millor links
www.sagaris.cat
www.caragol.cat
http://cafeinatvlleida.blogspot.com/
http://www.laborrassa.cat/