Recomendados
Recomendados
Mais conteúdo relacionado
Semelhante a La proteccio de dades a l´empresa
Semelhante a La proteccio de dades a l´empresa (20)
Mais de La Borrassa rural lab
Mais de La Borrassa rural lab (20)
Último
Último (15)
La proteccio de dades a l´empresa
- 1. LA LLEI DE PROTECCIÓ DE DADES, COM T'AFECTA COM A EMPRESA Els ponents: Ester Bellera ester@sagaris.cat i Ramon Arno ramon@sagaris.cat Consultora legal sagaris, s.l. La Borrassa - Rural Lab. Carrer Nou, 2 25400, Les Borges Blanques, Les Garrigues.
- 2. INDEX UNS VIDEOS FORMATIUS................................................................................................................3 LA NOSTRA ÉS UN VISIO JURIDICA ............................................................................................3 PERÒ SEMPRE N´HI HA D´ALTRES ..............................................................................................3 ELS CONFLICTES MES HABITUALS EN DADES DE CARACTER PERSONAL...................3 UNA PETITA INTRODUCCIO...........................................................................................................4 LA PROTECCIO DE DADES PERSONALS.....................................................................................7 I LA RESPONSABILITAT ................................................................................................................23 DECÀLEG PER A LA PROTECCIO DE DADES PERSONALS................................................. 24 LA PROPIETAT INTEL.LECTUAL................................................................................................26 EL KNOW HOW.................................................................................................................................28 EL DRET A LA IMATGE.................................................................................................................. 28 LA LLEI DE SERVEIS DE LA S. I I DE C.E...................................................................................29 FILLS DIGITALS I PARES ANALÒGICS......................................................................................30 CURRICULUM....................................................................................................................................32 ELS MILLOR LINKS ........................................................................................................................32
- 3. Uns videos formatius https://www.apda.ad/ca/node/146 http://www.youtube.com/watch?v=aKPIpuTmnSY&feature=related http://www.youtube.com/watch?v=3dffPpXbsRU http://www.youtube.com/watch?v=qkbA_6kwuis http://www.youtube.com/watch?v=TT-t6HNwbts http://www.youtube.com/watch?v=iiTXEFKLbmE&feature=related La nostra és un visio juridica ... “ ... Si la natureleza tuviera tantas leyes como el Estado, incluso Dios se veria en dificultades para gobernarla ...” –L. BORNE “ ... Los abogados son como las tormentas, impredecibles en cuanto a resultados pero necesarios para nuestra naturaleza ... ” -ANONIM Però sempre n´hi ha d´altres ... Els conflictes mes habituals en dades de caracter personal La AGPD multa con 601,01 euros por felicitar las fiestas por e-mail sin CCO. La AGPD multa a la Mutua de Pamplona por perder documentos en la calle.
- 4. Multa de 600 euros de la AGPD por dos vídeos en Youtube La AGPD ha multado con 120.202,41€ a France Telecom, por meter en el ASNEF a una persona La Agencia Española de Protección de Datos (AEPD) ha sancionado con una multa de 150.000 euros a una clínica ginecológica de Bilbao por considerar que no “ha custodiado con el debido sigilo” los datos de sus pacientes. La información acabó circulando por Internet. La Agencia de Protección de Datos multa a la SGAE por grabar una boda sin consentimiento Multa de 180 millones a la productora de 'Gran Hermano' por la fuga de datos de aspirantes en Internet La Agencia Española de Protección de Datos ha sancionado al Banco Cetelem con 60.000 euros de multa por dejar visible, en una comunicación post”al con un cliente, las palabras "ha devuelto impagado, el recibo" desde el exterior del sobre. Además del nombre, apellidos y dirección se podía leer esa frase desde la ventanilla del sobre. La Agencia de Protección de Datos amonesta a la Guardia Civil por olvidar datos de operaciones en el ordenador de un "narco”. Sanción de 60.000 euros a una hotelera por manejo indebido de un currículo de un aspirante a recepcionista. Una petita introduccio És un dret poc conegut i poc aplicat: molts tenen fitxers inscrits, alguns informen, pocs tenen cultura de protecció. Parlem de dades personals, no de dades intimes …. Les dades personals son dels afectats, no de les empreses, vales molts diners, el mercat de la informació, la informatica permet enmagatzemar moltes dades que es poden transferir i creuar. Internet, videovigilancia, cal buscar equilibri. Hi ha moltes obligacions formals: documentar per escrit, formar al personal, implantar mesures de seguretat .. Els afectats depositen confiança en el responsable. Dos figures importants: el responsable i l´afectat: persona fisica, si professional, no juridica, comerciant individual -depèn-. Hi ha normes importants: la LOPD -15/1999-, el RLOPD –RD 1720/2007-, la LSSICE –34/2002 els correus electrònics- i la LGT -32/2003- les faxs i les trucades-. Hi ha unes agencies encarregades de tutelar el dret S´aplica: al tractament (demanar, recollir, tractar, cedir, destruir …) de dades personals referides a persones identificables (noms, cognoms, dni, correu electronic, videovigilancia, fotografies) tant als fitxers manuals o automatitzats.
- 5. Ni ha dades molt protegides: ideología, religió, creençes, afiliació sindical, origen racial, salud, vida sexual, infraccions penals i administratives, violencia de gènere. Mol de compte menors d´edat. Cal conservar la documentació i si cal destruir-la. Navegacio per Internet, us del correu electrónic, etc (protocol us) Ara tots està als nuvols .... he sentit parlar del cloud computing? Això planteja problemes juridics (sla, seguretat, proteccio dades, etc) I la gestió de la teva reputació a la xarxa? ... com que hi ha un nou actor a la xarxa ... cal per tant una nova actitut per a sobreviure a Internet que es diu “la gestio de la reputació online” (ORM, OnLine Reputation Management) es a dir el coneixement i control de l´informació de tota l´informació de l´empresa que pugui afectar-la, ara ja no es fa amb els retalls dels diaris sino amb serveis com wikisearch, que permet ordenar els resultats segons el teu propi criteri Un exemple http://www.google.com/support/websearch/bin/answer.py? hl=es&answer=115764
- 6. Que cal fer ... 1.- Glogear cada dia –nom empresa o dels directors, treballadors, productes- o directament monitoritzar –contractar un software especific-. 2.- Crear alertes de noticies a Google y Yahoo amb el nom de de la empresa i dels competidors Google Alerts< http://www.google.com/alerts?hl=es Yahoo! Alerts< http://alerts.yahoo.com/ Ah ... i compte pero amb l´efecte “Barbra Streisand”: La reaccio excesiva davant d´una critica: http://es.wikipedia.org/wiki/Efecto_Streisand “ ... El término debe su nombre a un incidente ocurrido en 2003 con la cantante estadounidense Barbra Streisand, que denunció al fotógrafo Kenneth Adelman y la página de fotografías pictopia.com por 50 000 000 $, exigiendo que se retirase una foto aérea de su casa de una publicidad que contenía imágenes de la costa de California, alegando su derecho a la privacidad. Adelman argumentó que se dedicaba a fotografiar las propiedades en primera línea de playa para documentar la erosión de la costa de California. El periódico San Jose Mercury News advirtió poco después que aquella imagen se había hecho popular en Internet. Con su intento de censura, Barbra Streisand consiguió que una información en un primer momento intrascendente acabase obteniendo una gran repercusión mediática ... ”. Una xarxa interna vol dir per tant compartir l´informacio, hi ha models corporatius en que les empreses gestionen el seu coneixement pero: a.- el treballador no vol compartir el seus coneixements –aixo pensa que vol dir pèrdua de competitivat professional-. b.- legalment cal fer-ho be: sino, ens coneixeran a totes les xarxes rapidament com li va passar per cert a Deutsche Bank: http://www.internautas.org/html/122.html Ja tenim una resposta juridica del Tribunal Suprem (STS 26-09-2007, D. Aurelio Desdentado) sobre l´us del treballador déines com el correu, internet, etc: - Possibilitat de control ús ordinador per part empresari i dels arxius temporals dels llocs visitats a traves d'internet. - L'empara legal es l'art. 20.3 de l'ET i no a l'art. 18 de l'ET. Article 20.3. Direcció i control de l'activitat laboral. L'empresari podrà adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana i tenint en compte la capacitat real dels treballadors disminuïts, en el seu cas. Article 18. Inviolabilitat de la persona del treballador. Només podran realitzar-se registres sobre la persona del treballador, a les seves taquilles i efectes particulars, quan siguin necessaris per a la protecció del patrimoni empresarial i del dels altres treballadors de l'empresa, dins del centre de treball i en hores de treball. En la seva realització es respectarà al màxim la dignitat i intimitat del treballador i s'explicarà amb l'assistència d'un representant legal dels treballadors o, en la seva absència del centre de treball, d'un altre treballador de l'empresa, sempre que això fos possible.
- 7. - El control empresarial d'un mitjà de treball (l'ordinador) no necessita una justificació específica cas per cas. Al contrari, la seva legitimitat deriva directament de l'article 20.3 de l'Estatut dels Treballadors. - Però hi ha un hàbit social generalitzat de tolerància en l'ús dels mitjans informatics i s´ha creat expectativa de confidencialitat. - Per tant s´han establir-se per l'empresari, de conformitat amb les regles de la bona fe, prèviament les normes d'ús (prohibicion absoluta o parcial), d'informant amb caracter previ als treballadors de l'existència del control, els mitjans, les mesures a adoptar, la possibilitat excloure determinades connexions i les mesures aplicables en cas d'incompliment. - Si el treballador utilitza aquestes eines en contra de les prohibicions, el poder de control empresarial és legitim ja que és un instrument de produccio i es pot actuar per la protecció del sistema informàtic de l'empresa, que pot ser afectat negativament per determinats usos, i per la prevenció de responsabilitats que per a l'empresa poguessin derivar també algunes formes il•lícites d'ús davant tercers. Temes sensibles: menors, indexacio de perfils. Les multes. La suplantació d´identitat, es a dir que la identitat d´una persona que ha estat registrada per una altra persona (amb els dominis d´internet aixo es diu cybersquatting) La proteccio de dades personals Acomplir la llei de proteccio de dades es el primer objectiu, ja que segurament es la part mes sensible. Aqui un gran bloc ... http://www.samuelparra.com/ Temes sensibles: menors, indexacio de perfils. Les multes. La suplantació d´identitat, es a dir que la identitat d´una persona que ha estat registrada per una altra persona (amb els dominis d´internet aixo es diu cybersquatting) I que cal fer doncs .... en el tractament de dades personals per part del responsable del fitxer o tractament hi ha 3 etapes: 1.- abans del tractament de les dades:
- 8. 1.1.- Declaració dels fitxers existents a l´AGPD. Estudiar els fitxers que hi ha declarats a l´AGPD i revisar amb el responsable quins tractaments efectua, per si cal declarar-ne algun de nou, modificar els existents o donar-los de baixa. Quin son Quins són els fitxers habituals: - Personal/recursos humans. - Curriculums. - Clients/Facturacio. - Proveeidors. - Comptabilitat. - Contactes. - Newsletteragpd - Internet. - Videovigilancia. 1.2- Mesures de seguretat: capitol VIII rd 1720/2007. Quin és l’objectiu bàsic de les mesures de seguretat? Garantir la seguretat de les dades personals i evitar l’alteració, la pèrdua, el tractament no autoritzat i l’accés no autoritzat a les dades personals. Qui té el deure d’implantar les mesures de seguretat? El responsable del tractament és qui té el deure d’adoptar les mesures de seguretat i preveure tot allò que sigui necessari per garantir que les dades personals estan efectivament protegides. En determinades circumstàncies, aquest deure també afecta els anomenats encarregats del tractament. On s’han d’aplicar les mesures de seguretat? Als centres de tractament, als locals, als equips, als sistemes i als programes. En definitiva, a tot allò relacionat amb el tractament de dades personals. Quins tipus de fitxers o tractaments afecta? Amb caràcter general, les mesures de seguretat han de protegir les dades de caràcter personal, independentment de la seva ubicació o sistema de tractament. Per tant, les mesures s’apliquen a tots els fitxers que continguin dades personals, tant si són automatitzats com si són en suport paper (no automatitzats). Com s’estructuren les mesures de seguretat? El Reial decret 1720/2007, que aprova el Reglament de desenvolupament de la LOPD (RLOPD), dedica el títol VIII a les mesures de seguretat en el tractament de dades de caràcter personal. En primer lloc, es regula una part general, que afecta tot tipus de tractaments i tots els nivells de seguretat (capítols I i II, articles 79 a 88). Després es tracta la regulació de les mesures de seguretat per als tractaments automatitzats, en què s’utilitza l’assignació de nivell de seguretat bàsic, mitjà o alt (capítol III, articles 89 a 104). Finalment, es regulen les mesures de seguretat per als tractaments no automatitzats, seguint el mateix esquema de nivells de seguretat (capítol IV, articles 105 a 114). Tots els fitxers i tractaments necessiten les mateixes mesures de seguretat? No. Hi ha tres nivells de seguretat, segons la naturalesa de la
- 9. informació: nivell bàsic, nivell mitjà i nivell alt. Però cal tenir en compte que els nivells de seguretat són acumulatius, de manera que en un fitxer de nivell alt s’han d’aplicar també les mesures previstes en els nivells bàsic i mitjà. Com sabem les mesures de seguretat que cal aplicar en cada cas? Els tres nivells en què s’organitzen les mesures de seguretat, bàsic, mitjà i alt, s’apliquen en funció del tipus de dades objecte del tractament. Per a cada nivell es descriuen una sèrie de requeriments de protecció de les dades adreçats a determinar què és el que ha de procurar la mesura de seguretat. No s’estableix com s’ha de fer, excepte en aspectes molt puntuals. A quins fitxers i tractaments s’apliquen les mesures de nivell bàsic?. A tots els que continguin dades personals. També, en casos particulars: a.Fitxers o tractaments de dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual quan: i. Les dades s’utilitzin amb l’única finalitat de fer una transferència de diners a les entitats de què els afectats siguin associats o membres. ii. Es tracti de fitxers o tractaments no automatitzats en què, de forma incidental o accessòria, s’inclouen les dades sense tenir relació amb la seva finalitat. iii. Fitxers o tractaments que continguin dades relatives a la salut quan es refereixin exclusivament al grau de discapacitat o a la simple declaració de la condició de discapacitat o invalidesa de la persona afectada, amb motiu del compliment dels deures públics. A quins fitxers i tractaments s’apliquen les mesures de nivell mitjà? i. Als relatius a la comissió d’infraccions administratives o penals. ii. Als relatius a solvència patrimonial i crèdit. iii. A aquells els responsables dels quals siguin les administracions tributàries i es relacionin amb l’exercici de les seves potestats tributàries. iv. A aquells els responsables dels quals siguin les entitats financeres amb finalitats relacionades amb la prestació de serveis financers. v. A aquells els responsables dels quals siguin les entitats gestores i serveis comuns de la seguretat social i es relacionin amb l’exercici de les seves competències. vi. A aquells els responsables dels quals siguin les mútues d’accidents de treball i malalties professionals de la Seguretat Social. vii. A aquells que continguin un conjunt de dades personals que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la personalitat o del comportament d’aquests. viii. Amb particularitats: 1. A aquells els responsables dels quals siguin els operadors que prestin serveis de comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques respecte de les dades de tràfic i les dades de localització. A aquests fitxers se’ls ha d’aplicar, a més, una mesura de nivell alt, la relativa al registre dels accessos a la informació que contenen. A quins fitxers s’apliquen les mesures de seguretat de nivell alt?:
- 10. 1. Als que es refereixen a dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual. 2. Als que continguin o es refereixin a dades recollides amb finalitats policials sense el consentiment de les persones afectades. 3. Als que continguin dades derivades d’actes de violència de gènere. Quines són les mesures de seguretat que s’han d’implementar? S’han d’implementar les mesures de seguretat previstes al títol VIII del RLOPD, en funció del tipus de dades tractades. Aquestes mesures de seguretat s’han de descriure en el document de seguretat que recollirà les mesures tècniques i organitzatives aplicables al tractament o fitxer. Com es clasifiquen les mesures de seguretat: 1.- Organitzatives. 2.- Relacionades amb els usuaris 3.- Relacionades amb l’ús de la informació (cicle de vida de la informació): 1. Recollida o captació de dades 2. Enregistrament 3. Emmagatzemament 4. Processament o tractament 5. Cesio 6. Conservació 7. Destrucció 8. Relacionades amb les situacions fora del tractament habitual iv. Relacionades amb situacions excepcionals 7.- OBLIGACIONS DEL PERSONAL (document de seguretat) Anexo H. Funciones y obligaciones del personal <<En este anexo se describen las funciones y responsabilidades de cada persona con acceso a los datos del fichero, que ya han sido citadas en el cuerpo del documento, pero agrupadas por tipo o perfil de usuario. Deberá copiarse tal como está en el documento de seguridad que se reparta al personal que trabaje con el fichero. El responsable del fichero, o el responsable de seguridad si lo hubiese, o el encargado del tratamiento, podrán añadir obligaciones particulares aplicables al fichero, pero respetando todas las que aquí figuran. Según se dice en el párrafo 2 del documento, una copia del mismo con las funciones específicas de cada colectivo, deberá ser repartida a todos los usuarios del fichero para su conocimiento. En el caso de los usuarios sólo se deberá entregar un documento divulgativo que incluya el presente Anexo junto con el procedimiento de Notificación de incidencias y el Procedimiento para la Destrucción de desechos informáticos. Asimismo se facilitara a cada usuario los
- 11. procedimientos que sean necesarios para el desarrollo de sus funciones, que deberán estar recogidos en el Anexo G. >> H.1 Obligaciones que afectan a todo el Personal •Guardar secreto profesional y confidencialidad de la información tratada. Quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. •La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos personales será considerado como una falta leve, grave o muy grave de conformidad con lo previsto en el artículo 44 de la LOPD, lo cual dará lugar a iniciación de actuaciones disciplinarias, si procediesen. •Utilizar los sistemas de información, recursos técnicos así como la información personal a la que se accede, únicamente para el desarrollo y desempeño profesional que el usuario tiene asignado. •Facilitar el derecho de acceso, rectificación y cancelación a los titulares de los datos. Para ello se informará inmediatamente al Responsable del Fichero Responsable de Seguridad o Encargado del tratamiento y se recogerá siempre en solicitud escrita. H.2 Funciones y obligaciones del Responsable del Fichero El responsable es la persona física o jurídica que tenga atribuida la competencia a la que sirva instrumentalmente los datos contenidos en el fichero. Decide sobre la finalidad, uso y contenido de los mismos. •Elaborará el documento de seguridad. En caso de que exista un encargado de tratamiento, y se realice el tratamiento del fichero fuera de los locales del responsable del fichero, la elaboración del mismo podría corresponder al encargado de tratamiento •Implantará y hará cumplir las medidas de seguridad establecidas en este documento. •Deberá garantizar la difusión del cuerpo y de los Anexos de este Documento que les afecten, entre todo el personal que vaya a utilizar el fichero. •Deberá mantener actualizado este documento siempre que se produzcan cambios relevantes en la organización o entorno del fichero, y deberá adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de protección de datos personales. •Autorizar expresamente la ejecución de los procedimientos de recuperación de los datos. •Designará uno o varios responsables de seguridad que deberán figurar en el Anexo F. •Ordenar al menos cada dos años la realización de una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoría serán analizados por el
- 12. responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes. •Nombrará uno o varios responsables delegados, cuyo nombramiento deberá adjuntar al Anexo F, que, sin menoscabo de la propia responsabilidad y obligaciones del responsable del fichero, podrán asumir por él las obligaciones sobre el cumplimiento de las normas que designe especificadas en el presente documento. H.3 Funciones y obligaciones que el Responsable del fichero podrá delegar en otras personas Los responsables delegados que el responsable del fichero pueda nombrar opcionalmente, o en su defecto el propio responsable del fichero, deberán asumir además las siguientes funciones y responsabilidades. Autorización del personal que puede acceder al fichero •Encargarse de que exista una relación actualizada de usuarios con acceso autorizado para acceder a los datos del fichero. •Conceder, alterar o anular el acceso autorizado sobre datos o los recursos. •Velar porque se cumpla el procedimiento para dar de alta, modificar o anular una autorización de acceso que está especificado en le Anexo G. Procedimientos de Identificación y Autenticación de usuarios • Velar por que se cumpla el procedimiento de asignación distribución y almacenamiento de contraseñas que se encuentra descrito en el Anexo G. • Velar por que las contraseñas se asignen y se cambien mediante el mecanismo y periodicidad que se determina en el Anexo G. • Si es posible, habilitará controles de acceso basados en certificados digitales electrónicos o datos biometricos. Entorno de Sistema Operativo y de Comunicaciones • Aprobar y designar al administrador que se responsabilizará del sistema operativo y de comunicaciones que deberá estar relacionado en el Anexo F. Sistema Informático o aplicaciones de acceso al Fichero • Velar porque los sistemas informáticos de acceso al Fichero tengan su acceso restringido mediante un código de usuario y una contraseña. • Asimismo cuidará que todos los usuarios autorizados para acceder al Fichero, relacionados en el Anexo F, tengan un código de usuario que sea único, y que esté asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario. Trabajo fuera de los locales de ubicación del Fichero •Habilitar los controles necesarios para que no se copie ni transporte información del fichero en ordenadores portátiles o estaciones de trabajo que se encuentren fuera de las oficinas sin la correspondiente autorización.
- 13. • Autorizar el trabajo con datos personales fuera de los locales En el Anexo G se referencia un procedimiento para el tratamiento de ficheros fuera de su ubicación, como es el caso de los ordenadores portátiles. Gestión de soportes • Autorizar la salida de soportes informáticos que contengan datos del fichero fuera de los locales indicados en el Anexo E. • En cualquier caso deberá especificarse en el Anexo G, el procedimiento para la destrucción o almacenaje de esos soportes. • Mantener un registro de entradas y/ o salidas donde se guardarán los formularios de entradas y de salidas de soportes descritos en el Anexo G, con indicación de tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas. Entrada y salida de datos por red • Autorizar al usuario que podrá realizar desde una única cuenta o dirección de correo las salidas de datos por correo electrónico ó trasferencias. • Igualmente si existen entradas de datos mediante sistemas de transferencia de ficheros por red, o correo electrónico autorizar al usuario o administrador que podrá realizar esas operaciones. . • Mantener un registro de las salidas y/o entradas de datos por red. Procedimientos de respaldo y recuperación • Se encargará de verificar la definición y correcta aplicación de las normas y periodicidad de la realización de copias de respaldo, al menos semestralmente. • Autorizar cuando sea necesario la ejecución de los procedimientos de recuperación de los datos, tras una pérdida del fichero, y se asegurará del registro de las incidencias y de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación. Controles periódicos de verificación del cumplimiento • Junto con el responsable de seguridad, analizaran con periodicidad al menos trimestral las incidencias registradas, para independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, poner las medidas correctoras que limiten esas incidencias en el futuro. H.4 Funciones y obligaciones del Encargado de tratamiento El encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta del responsable del fichero, como consecuencia de una relación jurídica que le vincula con el mismo y delimita su actuación, y deberá acreditarse mediante la documentación que se adjuntará en el Anexo A. • En el caso de existir encargado del tratamiento le corresponderá elaborar el documento de seguridad de los ficheros y tratamientos prestados en sus propios locales que figuran en el Anexo E.
- 14. • En el caso de prestar los servicios en los locales del responsable del fichero, él mismo y su personal deberán cumplir normas del documento de seguridad elaborado por el responsable. • Cuando el acceso sea remoto y se hubiese prohibido utilizar al encargado incorporar datos a sistemas o soportes distintos a los del responsable, se hará constar esta circunstancia en el documento del responsable. • Cuando los ficheros se procesen en locales de uno y otro, el encargado facilitara al responsable la documentación necesaria para completar el documento de seguridad del responsable. • El encargado de tratamiento deberá asumir todas las obligaciones del responsable del fichero excepto en las autorizaciones de acceso de usuarios o nombramientos de los responsable de legados. • Especialmente deberá cumplir todas las normas relacionadas con el entorno físico, sistema operativo y comunicaciones, sistemas informáticos o aplicaciones de acceso al Fichero, trabajo fuera de los locales de ubicación del fichero, gestión de soportes, entrada y salida de datos por red, procedimientos de respaldo y recuperación, y en general todas aquellas referenciadas en el cuerpo de este documento que estén relacionadas con el entorno que es de su responsabilidad donde se va a tratar el fichero. H.5 Funciones y obligaciones del Responsable de seguridad • Es el encargado de coordinar y controlar las medidas definidas en el presente documento • El responsable de seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el responsable del fichero en la difusión del Documento de seguridad y cooperará con el responsable del fichero controlando el cumplimiento de las mismas. • Analizara las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable del Fichero. • El responsable de seguridad del Fichero comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados del Anexo F se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al Fichero y perfiles, para lo que recabará la lista de usuarios y sus códigos de acceso al administrador o administradores del Fichero. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero. • Comprobará también al menos con periodicidad semestral la existencia de copias de respaldo que permitan la recuperación de Fichero según lo estipulado en el apartado 9 de este documento. El encargado del tratamiento enviará al Responsable de seguridad del Fichero, con periodicidad trimestral evidencias de esta comprobación. • A su vez, y también con periodicidad al menos semestral, los administradores del Fichero comunicaran al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los Anexos, como por ejemplo cambios en el software o hardware, base de
- 15. datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de dichos Anexos. • El responsable de seguridad, verificará, con periodicidad al menos trimestral, el cumplimiento de lo previsto en los apartados 7 y 8 de este documento en relación con las entradas y salidas de datos, sean por red o en soporte magnético. • Al menos cada dos años, se realizará una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoria serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes. • Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad sin que se deba permitir en ningún caso la desactivación de los mismos. • El responsable de seguridad se encargará de revisar, con periodicidad al menos mensual, la información de control registrada en el registro de accesos, y elaborará un informe que entregará al responsable de fichero y que será adjuntado en el Anexo J. • Los resultados de todos estos controles periódicos, serán adjuntadas a este documento de seguridad en el Anexo J. H.6 Funciones y obligaciones de los Usuarios El personal autorizado a acceder a la información de carácter personal del Fichero, realizará las funciones propias de su puesto de trabajo, que se encuentran previstas en las relaciones de puestos de trabajo del Centro o Unidad Administrativa a la que pertenezca, a la correspondiente definición de funciones que se aplique a dicho personal. Además de dichas funciones relativas al desempeño profesional asociado a su puesto laboral, todo el personal colaborará con el Responsable del Fichero y Responsable/s de Seguridad en pro de velar por el cumplimiento de la legislación y reglamentación vigente sobre Protección de Datos de Carácter Personal. • Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su cambio. • Cada usuario deberá cambiar la contraseña inicial que se le asigne, en el primer acceso que realice al sistema o tras el desbloqueo de su contraseña cuando haya sido necesaria la intervención de una tercera persona en dicho proceso. Las contraseñas deberán ser suficientemente complejas y difícilmente adivinables por terceros, evitando el uso del propio identificador como contraseña o palabras sencillas, el nombre propio, fecha de nacimiento etc. • Para ello se seguirán las siguientes pautas en la elección de las contraseñas: - deberán tener una longitud mínima de 8 caracteres alfanuméricos. - no deberán coincidir con el código de usuario.
- 16. - no deberán estar basadas en cadenas de caracteres que sean fácilmente asociadas al usuario (Nombre, apellidos, ciudad y fecha de nacimiento, nombres de familiares, matrícula del coche, etc.). - el usuario deberá aplicar reglas nemotécnicas para poder construir una contraseña lo suficientemente difícil de adivinar por terceros y que a la vez sea muy fácil de recordar por él. • Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. • Tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. • Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos, como por ejemplo un protector de pantalla con contraseña. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente. • En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. • Queda expresamente prohibido cualquier cambio de la configuración de la conexión de los puestos de trabajo a redes o sistemas exteriores, que no esté autorizado expresamente por el Responsable del Fichero o el Director del Centro o departamento al que pertenezca cada usuario. La revocación de esta prohibición deberá ser autorizada expresamente • Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable de seguridad o por administradores autorizados del Anexo F. • Queda expresamente prohibido el tratamiento datos extraídos del Fichero, con programas ofimáticos, como procesadores de texto u hojas de cálculo, sin comunicarlo para su aprobación al Responsable del Seguridad para que se proceda a implantar las medidas de seguridad adecuadas. La utilización de dichos programas para el tratamiento de datos personales sin comunicarlo al responsable de Seguridad será considerado como una falta contra la seguridad del fichero por parte de ese usuario. • Se deberá evitar el guardar copias de los datos personales del Fichero en archivos intermedios o temporales. En el caso de que sea imprescindible realizar esas copias temporales por exigencias del tratamiento, se deberán adoptar las siguientes precauciones: - Realizar siempre esas copias sobre un mismo directorio de nombre TEMP o similar, de forma que no queden dispersas por todo el disco del ordenador y siempre se pueda conocer donde están los datos temporales. - Tras realizar el tratamiento para los que han sido necesarios esos datos temporales, proceder al borrado o destrucción de los mismos.
- 17. - Los ficheros temporales creados exclusivamente para la realización de trabajos temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de Medidas de Seguridad. • Trabajo fuera de los locales de ubicación del fichero. No se deberá copiar ni transportar información de los sistemas centrales en portátiles o estaciones de trabajo que se encuentren fuera de las oficinas sin la correspondiente autorización del Responsable del Fichero. En el Anexo G se referencia un procedimiento para el tratamiento de ficheros fuera de su ubicación, como es el caso de los ordenadores portátiles. • Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al Responsable de Seguridad o al Responsable del Fichero o a la persona encargada de registrarla. En el caso de que el procedimiento de Incidencias estuviese automatizado, deberá proceder a su registro en el sistema habilitado para ello. El modelo de notificación de incidencias figura en el Anexo I. • El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario. • Cuando un usuario gestione o produzca soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, estos deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación. • Cuando se reciclen medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables. Aquellos que no vayan a ser reutilizados deberán ser destruidos mediante un procedimiento especificado en el Anexo G. • Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero. • La salida de soportes informáticos que contengan datos del Fichero fuera de los locales donde está ubicado el Fichero deberá ser expresamente autorizada por el responsable del Fichero. Mediante el procedimiento descrito en el Anexo G. • Solo se podrán realizar envíos del Fichero, por correo electrónico o transferencias electrónicas, desde una única cuenta o dirección de correo controlado por un usuario especialmente autorizado por el Responsable o persona autorizada tal como se describe en el Anexo G. • Existirá una cuenta o dirección de correo electrónica controlada por un usuario especialmente autorizado, para recibir datos del fichero. • Se dejará constancia de todas las salidas y entradas de datos del fichero a través de correo electrónico, en directorios históricos de esa dirección de correo o en algún otro sistema de registro de salidas y/o entradas que permita conocer en cualquier momento los envíos realizados o recibidos, a quien iban dirigidos, o los remitentes y la
- 18. información enviada, tal como se indica en procedimiento que deberá adjuntarse en el Anexo G. • Cuando los datos del Fichero deban ser enviados fuera del recinto físicamente protegido donde se encuentra ubicado el Fichero, bien sea mediante un soporte físico de grabación de datos o bien a través de c orreo electrónico, deberán ser cifrados o bien se utilizará cualquier otro mecanismo que asegure que dicha información no sea accesible o manipulada durante su transporte. En el Anexo G se especificará el procedimiento. • Se cifraran los datos que contengan los ordenadores portátiles cuando estos se encuentren fuera de las instalaciones que están bajo el control del responsable, si esto no es posible se hará constar el procedimiento que deberá figurar en el Anexo G. • La transmisión de datos de carácter personal de nivel alto a través de redes de públicas telecomunicaciones o inalámbricas ó la salida ó distribución de soportes con datos de nivel alto fuera, se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. En el Anexo G, se especificará el procedimiento. H.7 Funciones y obligaciones de los Administradores o Personal Informático Es el personal que administra los sistemas informáticos del fichero. Se puede clasificar en varias categorías, que no necesariamente deberán estar presentes en todos los casos, siendo en algunas ocasiones asumidas por una misma persona o personas. - Administradores (Red, Sistemas operativos y Bases de Datos). Serán los responsables de los máximos privilegios y por tanto de máximo riesgo de que una actuación errónea pueda afectar al sistema. Tendrán acceso al software (programas y datos) del sistema, a las herramientas necesarias para su trabajo y a los ficheros o bases de datos necesarios para resolver los problemas que surjan. - Operadores (Red, Sistemas operativos, Bases de Datos y Aplicación). Sus actuaciones están limitadas a la operación de los equipos y redes utilizando las herramientas de gestión disponibles. No deben, en principio, tener acceso directo a los datos del Fichero, ya que su actuación no precisa de dicho acceso. - Mantenimiento de los sistemas y aplicaciones. Personal responsable de la resolución de incidencias que puedan surgir en el entono hardware/software de los sistemas informáticos o de la propia aplicación de acceso al Fichero. - Cualquier otro que la organización establezca. • Los administradores deberán garantizar que el sistema operativo donde se ejecuta el sistema de acceso al fichero tenga su acceso restringido mediante un código de usuario y una contraseña. Ninguna herramienta o programa de utilidad que permita el acceso al Fichero deberá ser accesible a ningún usuario o administrador no autorizado en el Anexo F. • En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del Fichero, como los
- 19. llamados "queries", editores universales, analizadores de ficheros, etc., que deberán estar bajo el control de los administradores autorizados relacionados en el Anexo F. • Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, los administradores deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado. • Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible el acceso al Fichero, los administradores deberán asegurarse de que este acceso no se permite a personas no autorizadas. • Deberán controlar los intentos de acceso fraudulento al fichero, limitando el número máximo de intentos fallidos, y es recomendable cuando sea técnicamente posible, guardar en un fichero auxiliar la fecha, hora, código y claves erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos. • Deberá garantizar la obtención periódica de una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo. • Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos. • En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento del fallo. Ese procedimiento está descrito en el Anexo G. • Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizaran con datos reales, salvo que se aplique a esos ficheros de prueba el mismo tratamiento de seguridad que se aplica al mismo Fichero, y se deberán relacionar esos ficheros de prueba en el Anexo B. Si se realizan pruebas con datos reales será necesaria realizar previamente una copia de seguridad. • Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación. • Los administradores deberán responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.
- 20. • Los administradores cuidarán de que los mecanismos que permiten el registro de accesos estén bajo el control directo del responsable de seguridad sin que se deba permitir, en ningún caso la desactivación de los mismos. • De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si se trata de un acceso autorizado, se guardara la clave del registro o bien la información que permita identificar el registro accedido. • El período mínimo de conservación de los datos registrados será de dos años • Los administradores facilitarán al responsable del Fichero para su comprobación la lista de usuarios y sus códigos de acceso que extraerá de la aplicación o sistemas de acceso, al menos trimestralmente, además de estas comprobaciones periódicas, enviará estas listas actualizadas en cuanto se produzca un cambio en los accesos. • Comprobarán al menos con periodicidad semestral, la existencia de copias de respaldo que permitan la recuperación de Fichero según lo estipulado en el apartado 9 de este documento, enviando evidencias de esta comprobación al responsable del Fichero. • A su vez, y también con periodicidad al menos trimestral, los administradores del fichero comunicarán al responsable del Fichero cualquier cambio que se haya realizado en los datos técnicos de los Anexos, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de dichos Anexos. 2.- durant el tractament de les dades 2.1.- Qualitat: - Recollir només les dades necessàries per a la finalitat que es pretén (principi de proporcionalitat). - No utilitzar les dades per a finalitats diferents de la que va generar la recollida. - Assegurar-se que les dades són exactes i actuals. - Cancel•lar les dades que siguin inexactes o incompletes i substituir- les d’ofici per les dades rectificades o completades. - Cancel•lar les dades quan hagin deixat de ser necessàries per a la finalitat per a la qual es van recollir (tret que hi hagi una previsió legal que exigeixi conservar-les). - Emmagatzemar les dades de manera que permetin l’exercici del dret d’accés. - No recollir dades per mitjans fraudulents, deslleials o il•lícits. 2.2.- Informacio i consentiment: És el dret que tota persona té a conèixer, en qualsevol moment, què es fa amb les seves dades personals.
- 21. En concret, en el moment de la recollida de les dades s'ha d'informar la persona, d'una manera clara, sobre els aspectes següents (article 5 de la LOPD): - L'existència d'un fitxer o tractament de dades de caràcter personal. - La finalitat de la recollida. - Els destinataris de la informació. - La identitat i la direcció de la persona responsable del tractament. - La possibilitat d'exercir els drets d'accés, rectificació, cancel•lació i oposició (coneguts per l'abreviatura ARCO). - Si és obligatori o no respondre a les preguntes que es demanen. - Les conseqüències de proporcionar aquestes dades i les conseqüències de no proporcionar-les. Quan les dades es recullen en formularis, aquesta informació s'ha de fer constar. Qualsevol canvi de finalitat del tractament o qualsevol comunicació o cessió de les dades personals a un tercer obliga a informar-ne la persona titular de les dades, sense perjudici de demanar el seu consentiment, tret que no sigui necessari. Com s’ha de sol•licitar i obtenir el consentiment: En els casos en què sigui suficient el consentiment inequívoc, cal donar trenta dies a la persona a qui es demana perquè es pugui oposar al tractament, i se l’ha d’advertir que, si no diu res, s’entén que hi consent. Se li ha de facilitar un mitjà senzill i gratuït per fer-ho, com ara un enviament prefranquejat al responsable del tractament, una trucada a un número de telèfon gratuït o a través del servei d’atenció al públic. Aquesta informació ha de ser clarament visible i, si hi ha constància que la comunicació s’ha retornat, no es pot fer el tractament. No es pot sol•licitar el consentiment seguint aquest procediment respecte dels mateixos tractaments i finalitats en intervals inferiors a un any. Com s’ha d’obtenir: Si són menors de 14 anys, s’ha de demanar el consentiment als pares o tutors. Als menors només se’ls pot demanar el nom i els cognoms, i l’adreça dels pares o tutors per demanar-los el consentiment. Si són majors de 14 anys, poden consentir per ells mateixos, tret que una llei disposi el contrari. S’ha d’utilitzar un llenguatge senzill i no se’ls pot demanar informació sobre els altres membres de la família, ni sobre la professió ni de tipus econòmic. Aixo vol dir revisar les clausules d´informacio (contractes de treball, formularis plana web, etc) aixi com l´avis legal de la web per tal ajustar- ho en el primer cas a la llei 15/1999 LOPD i en el segon a la llei 34/2002 (lssice). Tambe cal comprovar que es demana i s´obte el consentiment als afectats o si hi ha alguna excepció. Els menors. 2.3.- Dades sensibles: Es tracta de contemplar que en cap cas es tractin dades sensibles (ideologia, afiliacio sindical, religio, creences, salut, vida sexual, infraccions penals i administratives o violencia de genere) i si es fà, hi ha una clara justificació legal. 2.4.- Confidencialitat i secret:
- 22. El responsable del fitxer i els qui intervinguin en qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de guardar-les. Aquestes obligacions subsisteixen fins i tot després d’haver acabat la relació amb el titular del fitxer o, si s’escau, amb el seu responsable. Cal identificar les clausules per garantir la confidencialitat i el secret de les dades tractades i revisar si s´ajusten a la llei. 2.5.- Cessio de dades: Analitzar les cessions de dades que es produeixen, tans aquelles que són obligatories com les que es deriven del tractament de dades personals. 2.6.- Encarregat de tractament: Identificar els encarregats de tractament que presten serveis al responsable del fitxer o tractament (gestories, empreses informatica, videovigilancia, neteja), revisar si existeixen els contractes i si s´ajusten al que preveu l´article 12 de la LOPD i el RD 1720/2007. No es considera comunicació de dades l'accés d'un tercer a les dades quan l'accés sigui necessari per prestar un servei al responsable del tractament. a.- En tot cas, la realització del tractament per compte de tercers ha d’estar regulada en un contracte que consti per escri l’encarregat del tractament: b.- Només ha de tractar les dades d’acord amb les instruccions del responsable del tractament. c.- No pot aplicar ni utilitzar les dades amb una finalitat diferent de la que figuri en el contracte (no pot subcontractar …) d.- No pot comunicar les dades a altres persones, ni tan sols per conservar-les. e.- Està obligat a implementar les mesures de seguretat que es defineixin en el contracte. f.- Està obligat a destruir o tornar al responsable del tractament les dades personals i qualsevol suport o document que contingui alguna dada que hagi estat objecte del tractament, una vegada acomplerta la prestació contractual. g.- En el contracte s’han d’establir els mecanismes que el responsable del fitxer utilitzarà per vetllar per tal que l’encarregat del tractament compleixi les seves obligacions (té els fitxers declarats, ha format al seu personal, acompleix mesures de seguretat, té document de seguretat, ) 3.- Després del tractament: Revisar si després de l´exercici del dret de cancel.lacio o oposició, o si un cop ha finalitzar la relació contractual amb l´afectat, el responsable del fitxer o tractament bloqueja les dades personals i despres les cancel.la o les conserva (destructores de paper, disc durs). 4.- Drets arco: Analitzar si hi ha un procediment establert per gestionar per part del responsable els drets arco i donar resposta en els terminis establerts als drets d´acces, rectificació, cancel.lació i oposició.
- 23. És el dret d’una persona a ser indemnitzada quan pateix una lesió o un dany en els seus béns o drets a causa d’un incompliment de la normativa de protecció de dades per part de la persona responsable del fitxer o encarregada del tractament. Com s’exerceix: Aquesta indemnització s’ha de sol•licitar a l’Administració pública o als tribunals de justícia. Sol•licituds davant l’Administració pública: Si qui ha infringit la llei és una entitat pública (o privada que fa tasques per compte d’una entitat pública), la indemnització s’ha de sol•licitar a l’Administració pública, d’acord amb la legislació que regula el règim de responsabilitat de les administracions públiques. Sol•licituds davant jutges i tribunals ordinaris: Si qui ha infringit la llei és una entitat privada, la indemnització s’ha de sol•licitar davant els tribunals de justícia. Què podem fer davant la vulneració dels nostres drets Denuncia: Les agencies, a través del Servei d’Inspecció, verifiquen que les entitats compleixin la legislació vigent en protecció de dades i controlen les vulneracions d’aquest dret, amb l’adopció de les mesures necessàries per garantir-lo. Tutela de drets: També tutela l’exercici dels drets de protecció de dades de les persones afectades (drets d’accés, rectificació, cancel•lació i oposició), i vetlla per l’efectivitat del seu exercici, dins de l’àmbit d’actuació de l’Agència. I la responsabilitat ... Civil Demanar una indemnització contra l´ empresa. Penal STS 18 de febrero de 1999, en que se juzga el caso de un periodista que había publicado la noticia de que en la cocina de una prisión (el salto del negro) trabajaban dos presos con sida, cuyos nombres completos revelaba: “Sida, cocina y cárcel. En la prisión Provincial del Salto del Negro corre el rumor insistente de que hay al menos dos presos con sida que están destinados en el servicio de cocina, con lo que la alarma entre los internos y los funcionarios está creciendo. Este periódico ha tenido acceso a un listado de reclusos con destino específico en la cocina del centro penitenciario y otro con el nombre de los internos que padecen sida. En ambas listas se repiten dos nombres, J.M.G.S. [nombre y apellidos completos de uno de ellos], nacido en [lugar de nacimiento], el [fecha completa], soltero y [...] de profesión, con varios ingresos y dado de alta en la cocina el [fecha completa], y J.O.G.M. [nombre y apellidos completos del otro preso], nacido en [lugar de nacimiento], soltero y condenado por [delito contra la libertad sexual], dado de alta en la cocina el [fecha]. Si estos datos se confirman (y ya se sabe lo difícil que es hacerlo por la vía oficial ya que hay datos, como los del sida, que son confidenciales, así como los de cocina, que se consideran de régimen interno), la dirección debería tomar medidas urgentes para evitar posibles contagios de tal enfermedad».” Sin embargo, el Tribunal
- 24. Supremo revocó la Sentencia de la Audiencia Provincial de Las Palmas y dictó nueva Sentencia en la que condenó al acusado, como autor responsable de un delito del art. 197.2, 3 y 5, con la eximente incompleta de ejercicio legítimo de un derecho, a la pena de un año de prisión, multa de doce meses e inhabilitación especial para el ejercicio de la profesión de periodista durante un año; así como al pago de dos millones de pesetas a J.M.G.S. y a J.O.G.M. que, en caso de insolvencia, deberían ser abonados por la empresa Editorial Prensa Canaria S.A. Administrativa Sancions econòmiques des de 600 euros a 600.000 euros Laboral STSJ Andalucía/Granada de 22-05-2001 que declara procedente el despido acordado por la empresa (un banco) respecto de uno de sus empleados que accedió a datos bancarios informatizados de un cliente con el que no se guarda relación profesional alguna por razón del cargo que ocupa y, por consiguiente, sin otra posible razón que la de conocer a título personal los movimientos de su cuenta. Decàleg per a la proteccio de dades personals http://www.avpd.euskadi.net/ RECUERDA QUE LOS DATOS SON DE LAS PERSONAS Los datos personales (información numérica, alfabética, gráfica, fotográfica o acústica sobre personas) pertenecen a las personas a las que se refieren y sólo ellas pueden decidir sobre los mismos. Por tanto, ni tú, ni tu servicio, ni tu departamento sois dueños de ellos. PARA EMPEZAR, COMPRUEBA QUE EL FICHERO ESTÁ CREADO Es necesario que compruebes que el fichero está creado, esto es, que está inscrito en el Registro de Protección de Datos y que existe una persona Responsable del Fichero y una Responsable de Seguridad, que deben resolver las dudas que se te presenten. INFORMA Y PIDE EL CONSENTIMIENTO Cuando solicites datos personales, debes informarles de la existencia del fichero, su finalidad, etc. Para ello tienes que utilizar los formularios que se han preparado. En algunos casos será necesario, además, que solicites el consentimiento expreso del ciudadano para tratar sus datos. SOLICITA Y TRATA SÓLO DATOS ADECUADOS, PERTINENTES Y NO EXCESIVOS Los datos personales han de ser adecuados, pertinentes y no excesivos con relación a la finalidad para la que se recogen. No puedes utilizar datos personales recogidos para finalidades incompatibles con aquéllas para las que se recogieron. CUMPLE LAS MEDIDAS DE SEGURIDAD Es tu obligación cumplir la normativa de seguridad en materia de datos personales. Si no te la han entregado, debes reclamarla al Responsable de Seguridad.
- 25. No te olvides de: - Utilizar las contraseñas y no compartirlas. - Guardar los expedientes o listados con datos personales en armarios, que cerrarás cuando no estés. - Mantener los datos personales fuera de la vista de personas no autorizadas (atención a los documentos que dejas en fotocopiadoras, impresoras, faxes o, incluso, encima de la mesa). - Cumplir las medidas de seguridad si te llevas datos en memorias USB u otros soportes. FACILITA EL EJERCICIO DE DERECHOS “ARCO” A LAS PERSONAS A LAS QUE SE REFIEREN LOS DATOS Tienes que facilitar a la persona titular de los datos personales el derecho a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus datos. Tendrás que saber informarle sobre cómo ejercerlos y facilitarle impresos para que pueda hacerlo. CUMPLE CON TU DEBER DE SECRETO Mantén, indefinidamente, absoluta reserva y sigilo sobre cualquier información personal a la que accedas en el ejercicio de tus funciones. Te obligan a ello la normativa de protección de datos y una ética de conducta básica. En ocasiones, su incumplimiento, puede ser perseguido penalmente. NO CEDAS DATOS SIN AUTORIZACIÓN No cedas nunca datos personales a otras administraciones, entidades o particulares sin autorización de la persona Responsable del Fichero o del Responsable de Seguridad. COMPRUEBA QUE EXISTE UN CONTRATO CON EMPRESAS QUE TRABAJAN PARA TU ADMINISTRACIÓN O EMPRESA Antes de facilitar datos personales a empresas o entidades que, en virtud de contratos, realizan trabajos para tu organización (desarrollos informáticos, seguridad, limpieza, distribución de correspondencia,…) asegúrate que existe un contrato firmado donde se les imponen obligaciones de confidencialidad y de seguridad de la información respecto a los datos de carácter personal. CUANDO NO SEAN NECESARIOS CANCELA LOS DATOS DE FORMA ADECUADA Cancela los datos cuando dejen de ser necesarios o pertinentes para la finalidad para la cual fueron recogidos. Algunas veces, antes de destruirlos habrá que bloquearlos, esto es, imposibilitar el tratamiento y permitir el acceso sólo cuando se den algunas situaciones concretas. Para destruir ficheros con datos personales en soporte papel utiliza las destructoras de papel o el sistema seguro que hay establecido tu organización.
- 26. La propietat intel.lectual La propietat intel.lectual: continguts creats pels usuaris, modalitats d ´explotacio no previstes. Clausules autoria i indemnitat. Drets imatge. Cal protegir el codi font Els usuaris es poden enfadar molt rapid, per exemple facebook i canvi de politica d´us: http://eleconomista.com.mx/notas- online/tecnociencia/2009/02/17/nuevas-politicas-facebook-causan- polemica Oet pots quedar sense cap dret encara que siguis l´autor: Artic monkeys i myspace: de qui es la meva musica? http://www.consumer.es/web/es/tecnologia/internet/2006/04/10/15088 4.php Per tant quan una empresa crea una web o un bloc, ha de decidir per quina via opta: si la propietat intel.lectual (reserva de drets) o - una llicencia tipus creative commonds. Creative Commons: http://es.creativecommons.org/ Un exemple de música: http://www.jamendo.com/es/ Una noticia: http://www.publico.es/ciencias/296897/canciones/gratis/internet/peligro El diari 20 minutos: http://www.20minutos.es/licencia_20_minutos/ Un altre exemple: buscador de fotos a flickr amb creative commonds http://www.flickr.com/creativecommons/ La propietat intel.lectual (llei) Idees bàsiques de la Propietat Intel•lectual (font: registre propietat intel.lectual)
- 27. - Què s'hi pot registrar?: En els Registres de la Propietat Intel•lectual es registren drets, que recauen sobre les obres susceptibles de protecció. Aquestes obres són segons la legislació: Obres científiques i literàries Composicions musicals Obres teatrals, coreografies i pantomimes Obres cinematogràfiques i àudiovisuals Escultures, pintures, dibuixos, gravats, litografies, historietes gràfiques, fotografies i obres plàstiques, siguin o no aplicades Projectes, plànols, maquetes d'obres arquitectòniques o d'enginyeria, gràfics, mapes i dissenys relatius a la topografia, la geografia o la ciència Programes d'ordinador Bases de dades Pàgines web i obres multimedia Actuacions d'artistes, interprets i executants Produccions fonogràfiques, audiovisuals i editorials - Què vol dir propietat intel•lectual? La propietat intel•lectual és un tipus de propietat que pertany a l'autor pel sol fet de la creació original d'una obra literària, artística o científica (art. 1 LPI), i que li confereix drets de caràcter personal i patrimonial, consistents en la plena disposició i el dret exclusiu a l'explotació de l'obra, sense més limitacions que les establertes a la llei. Això implica que l'obra no pot ser utilitzada o usada sense la prèvia autorització, onerosa o gratuïta, de l'autor. L'autor no té necessitat de fer cap tràmit administratiu per fruir de la propietat intel•lectual de la seva obra. Per tant, la inscripció en el Registre de la Propietat Intel•lectual és sempre un tràmit voluntari. Tanmateix la inscripció serveix com a mitjà de prova que acredita qui és l'autor i a qui corresponen els drets d'explotació. Es considera que el dret existeix tal com es declara en el Registre llevat que es provi el contrari. - La propietat intel•lectual té la seva manifestació en dos tipus de drets: els morals i els d'explotació Drets morals: autoria, integritat de l´obra, etc. Drets d'explotació: A l'autor corresponen també en exclusiva els drets d'explotació de la seva obra en qualsevol forma. Els principals drets d'explotació previstos a la llei són: a.- Reproducció: fixació de l'obra en un mitjà que permeti la seva comunicació i l'obtenció de còpies. b.- Distribució: posada a disposició del públic de l'original o còpies. c.- Comunicació pública: tot acte pel qual una pluralitat de persones poden tenir accés a l'obra sense prèvia distribució d'exemplars. d.- Transformació: traducció, adaptació i qualsevol altra modificació en la forma de la qual es derivi una obra diferent.
- 28. - Durada dels drets: Els drets d'explotació duren en l'actual legislació, tota la vida de l'autor i 70 anys després de la seva mort o declaració de mort, moment en el qual l'obra passa al domini públic, podent ser utilitzada per qualsevol sempre que es respecti la seva autoria i integritat. Els drets morals, pel seu caràcter personalíssim van vinculats a la vida de l'autor. Tanmateix els drets d'autoria i integritat de l'obra poden ser exercits, sense límit de temps, pels hereus o persona designada per l'autor. El dret a decidir la divulgació de l'obra inèdita de l'autor el poden exercir les mateixes persones, durant 70 anys des de la mort de l'autor. Com protegim les creacions? 1. redactant un protocol d´us del software a l´empresa (per exemple no podem baixar un programa d´internet) i a través de contractes de confidencialitat. 3.- amb mitjans tecnics com per exemple els drm (digital rights management) amb l´inclusió d´osques per a la proteccio del codi font Coses divertides: Com identificar als pirates? http://www.fap.org.es/cine_identificar.asp El know how La llei de competencia deslleial, artícle 13 llei 3/1991 (violació de secrets) diu: “ ... Se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítimamente, pero con deber de reserva, o ilegítimamente, a consecuencia de alguna de las conductas previstas en el apartado siguiente o en el artículo 14. Tendrán asimismo la consideración de desleal la adquisición de secretos por medio de espionaje o procedimiento análogo ...”. El cas tipic: la formula de la coca-cola http://www.farodevigo.es/economia/2682/espias-sede-coca- colabr/74235.html El dret a la imatge Dret a la imatge (llei 1/1982, 5-5-1982): imatge persones fisiques, dret al control. El cas de flick i Alison Chang: http://www.lavozdeasturias.es/noticias/noticia.asp?pkid=369036 Les fotografies dels treballadors: el tallador de pernil. STC 99/1994, de 11-04-1994 “ ... Con motivo de la muestra de un producto (jamón ibérico) a los medios de comunicación y autoridades autonómicas de la Consejería de Agricultura para la presentación de la denominación de origen del jamón de bellota, fabricado por la empresa en la que prestaba sus servicios el
- 29. solicitante de amparo, éste fue reiteradamente requerido por aquélla para que realizara el corte de jamón dada su destreza en dicho cometido. Requerimiento al que se negó el aquí recurrente, alegando que bajo ningún concepto deseaba que su imagen fuese captada fotográficamente, por lo que la empresa procedió a despedirle ...” El Fiscal pide 3.000 euros para 9 menores amigos de Marta del Castilllo, por emitir su perfil de Tuenti http://www.google.com/hostednews/epa/article/ALeqM5hPDlR5uUmWO QBBINwgWmeOO0vNnQ La llei de serveis de la S. I i de C.E Mes i mes obligacions: - obligació d´identificació del prestador (dades empresa, cif, inscripcio RM, etc). - el consentiment usuari per a rebre comunicacions comercials –recollir dades personals i adreçes de correus electronics a la xarxa no es legal-. L´spam Sabeu l´origen: http://www.youtube.com/watch?v=owxT2fy8LF0 - Responsabilitat per continguts (arts. 14 al 17 LSSI), per exemple hosting, housing i links –deep link-. Controlar les cookies. - Condicions generals de la contractacio: establertes de forma expresa (el consumidor les ha de coneixer, cal establir mecanismes de notificació, es una bona opcio per a limita la responsabilitat del prestador, per exemple acord de nivell de servei –lsa-) - Formulari de registre: quines dades demanen ... comprensible i que l ´usuari ha d´acceptar expressament, la casella no pot estar marcada per defecte. En el cas de planes de comerç electronic s´han de dissenyar pas per pas.
- 30. Fills digitals i pares analògics http://www.segre.com/index.php?id=407&no_cache=1&tx_ttnews %5Btt_news%5D=44199&tx_ttnews%5BbackPid%5D=407 VOLDRIA COMENÇAR amb unes preguntes bàsiques, adreçades a mares i pares: a casa, qui en sap més, d'utilitzar l'Internet? No em refereixo a la simple tasca de navegar per la xarxa per localitzar un restaurant, sinó a portar a terme activitats més intel•lectuals, com crear una adreça de correu electrònic, comprar un antivirus, consultar el compte bancari o entrar al Facebook. Si la resposta és els meus fills, no us espanteu. És lògic, ja que a Catalunya hi ha el percentatge més alt de connexió a la xarxa entre els 14 i 18 anys, tot i que cal saber que abans dels 14 anys hi ha coses que no podem fer, com donar-se d'alta a la xarxa social Tuenti. Una altra pregunta: quan amb els fills miren publicitat, quantes vegades ells ens pregunten "escolta, això que diu aquest senyor de la tele no és veritat oi?". És bo començar a transmetre el sentit crític amb coses petites, perquè així estaran preparats quan algun dia els ho preguntin (sense que nosaltres estem al seu costat posant l'orella): "Escolta, noia, on viuen, els teus pares? Quin cotxe tenen? O de quin color tens els ulls? La tercera qüestió seria inter-rogar-nos sobre si la pàtria potestat es pot exercir també a Internet, tot i que abans caldrà conèixer quina és la definició legal d'aquest concepte. El Codi de Família diu que la potestat constitueix una funció inexcusable i, en el marc de l'interès general de la família, s'exerceix personalment sempre un benefici dels fills per facilitar el ple desenvolupament de la seva personalitat. Ara ja podem entrar en matèria: tots pensem que la pàtria potestat també s'ha d'exercir quan els fills fan anar Internet, però si volem concretar com, possiblement diríem que hi ha dos respostes extremes. Una, tallar l'accés a la xarxa o l'altra, donar accés lliure sense control, conclusions que no ens convencin del tot però... veritablement, què cal fer? I aquí vindria la primera reflexió: no és hora ja que pares i mares parem atenció al fenomen d'Internet i que tornem a l'autoescola digital, uns per reciclar-nos i els altres per aprende les normes de circulació? Perquè em pregunto: si les mares i els pares desconeixem el mitjà que trepitjem (és com qui entra de cop a la selva africana, acostumat de tota la vida a xafar només rostolls) i els fills no saben algunes de les normes bàsiques de circulació i de seguretat, sí que anem bé tots plegats per les autopistes de la informació! Parlo d'autoescola digital perquè és fàcil fer un símil amb la conducció per carretera quan parlem d'Internet; molta gent volta conduint amunt i avall, activitat que no es pot fer de qualsevol manera; alguns n'han après amb els pares al costat o tot sols; altres, amb l'ajuda de les autoescoles; els menys, sense obtenir-ne l'autorització o pitjor, amb la prohibició de conduir; en definitiva, qui més qui menys, sap una mica d'anar pel món amb un volant a les mans. Si traslladem l'exemple de la conducció i analitzem les pautes que tenen o que haurien de tenir els nostres fills, ara que comencen a circular per Internet, segurament la nostra primera conclusió serà que cada casa és un món i que, com passa en altres
- 31. àmbits, la solució serà traslladar les pautes que tenim de la vida real a la vida virtual. I aquí apareix una altra reflexió: en el món d'Internet, els nostres fills són els mestres i nosaltres, els alumnes. Podríem dir que mentre alguns pares graven pel•lícules en cintes VHS i son encara pares analògics, ells compren tons musicals pel mòbil: ja són els fills digitals. Ara us demano que responeu un test: heu parlat amb els vostres fills d'Internet en general (les oportunitats i els riscs)? Heu navegat conjuntament amb ells? Sabeu quines són les planes web que visita? Heu establert alguna norma d'ús? Heu configurat les preferències de privacitat de l'ordinador? Heu explicat que hi ha informació que ell no pot donar mai per Internet ni per telèfon? Mentre aneu apuntant els sís i els nos, podem reflexionar sobre el fet que Internet serveix per jugar i per comunicar-se i també és una eina molt potent per treballar. Per tant, cal donar pautes als fills perquè entenguin la importància d'utilitzar la xarxa per crear-se un futur professional. Els nostres fills, els que ara creuen que la música que escolten és sempre gratuïta ("la baixo amb l'Emule", ens diran) seran els que demà gestionaran empreses on el principal capital serà la propietat intel•lectual; els nostres petits artistes que ara dibuixen manga, que estan il•lusionats a guanyar-se la vida fent allò que els agrada (dibuixar), qui sap si deixaran aviat les seves activitats creatives convençuts que allò que tantes vegades han escoltat és veritat: les creacions intel•lectuals no tenen cap valor al mercat, s'han de compartir gratuïtament i la llei no protegeix ni els autors ni les seves obres. Sort que molts d'ells han llegit Harry Potter i saben de primera mà que tota aquesta creativitat de la J. K. Rowling és el resultat d'una simple idea, aquella que l'autora va tenir durant un viatge en tren des de Manchester fins a Londres i que, gràcies a la seva imaginació (i a la llei), la seva idea ha generat molts diners, tant per ella com per ajudar gent que ho necessita. Mentre discutim si aquell que primer ha ensenyat a navegar als fills ha de ser qui ha de donar les eines, anem pensant en els plànols per crear l'autoescola digital, abans que hi hagi més analfabets i massa accidents... i quan es posi en marxa, ja m'imagino els comentaris divertits entre fills i pares: "Mira, jo he tret un 9 en ús d'Internet i tu un 3. No et fa vergonya? T'acompanyo a tutoria i després anirem a la llibreria a triar un quadern d'estiu per al pare!" I ara podem tornar a l'inici: creieu que ha nascut una nova figura gràcies a Internet que caldria incloure a la llei, on els fills són els que exerceixen una certa potestat cap als pares en l'àmbit d'Internet, això sí?
- 32. Curriculum Llicenciat en dret i advocat en exercici. Màster en propietat intel.lectual i societat de la informació (Esade). Auditor Cisa. (Isaca). Màster en dret del treball i de la seguretat social (UPF). Postgrau sobre la contratació dels drets de la Propietat Intel.lectual (UPF). Col.laborador academic a Esade (al màster en propietat intel.lectual i societat de la informació) ha donat classes al màster en auditoria i protecció de dades (Universitat Autonoma de Barcelona i Escola d ´Administració Empreses, la Universitat de Murcia (2004 aq 2010 i a l ´escola de pràctica juridica del Col.legi d'Advocats de Lleida (1997-2010) Es advocat en exercici des de 1992. Soci de Sagaris, empresa dedicada a la consultoria en aspectes jurídics de la societat de la informació. Col.labora a diversos mitjans. Anys 2007 a 2010: Col.laborador del programa de televisió "Cafeïna" de Lleida TV, comentant qüestions sobre aspectos juridics de la societat de la informació. http://cafeinatvlleida.blogspot.com/ i a l´any 2008 al programa l’Hora L de la Cadena SER Lleida, comentant qüestions sobre noves tecnologies i dret. ramon@sagaris.cat Els millor links www.sagaris.cat www.caragol.cat http://cafeinatvlleida.blogspot.com/ http://www.laborrassa.cat/