El Grupo SEYDE-ABOGADOS (Consultores y Juristas Especializados) es un grupo que cuenta con un Departamento Especializado en Derecho de las Nuevas Tecnologías, entre los que se encuentran los temas de Protección de Datos, Firma y Comercio Electrónico, así como de Delitos Informáticos. En ese sentido, ha elaborado la presente documentación sobre las leyes de “Protección de Datos de Carácter Personal” y de “Servicios de la Sociedad de la Información y de Comercio Electrónico” Aproximación a la LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Introducción. Varios ejemplos prácticos sobre la tenencia de datos de carácter personal. - Primera lectura del objeto de la Ley y sus consecuencias. Situación actual de las empresas en relación a las exigencias previstas en la LOPD. - Marco jurídico. - Definiciones y conceptos básicos. - La ley. Actuaciones que se deben de hacer en las empresas. - Sanciones. - El Reglamento. Medidas de seguridad. Actuaciones. Breve comentario sobre la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico. LSSICE. Fases de adecuación de la empresa: Legitimación. Protección. Legalización. Gestión. - Protección de Datos de Carácter Personal Introducción La ley que regula la protección de datos es la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, que fue aprobada con el fin de proteger y garantizar el tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas; especialmente los que atañen a la intimidad personal y familiar de los ciudadanos. Esta ley supone nuevas obligaciones para las empresas que deben actuar correctamente frente a los afectados, personas titulares de los datos. Un ejemplo... Dentista Dispone de una base de datos informática donde tiene registrado los datos de sus pacientes: Datos administrativos como son: la dirección, forma de pago y similares. Datos de carácter médico: máximo nivel de protección. Nuestro dentista debería: Cifrar los datos almacenados en el ordenador. La enfermera que nos atiende en recepción no podría dejar el ordenador 'accesible' cuando nos acompaña a la sala de espera. y el servidor debería estar guardado bajo llave. El propietario de los datos no es el dentista sino que cada paciente es propietario de sus datos. El paciente da el permiso al dentista para que almacene los datos en el soporte informático. Esta condición de depositario establece una serie de obligaciones: La obligación de velar por que nadie pueda acceder a esos datos. Si nuestro dentista no realiza copias de seguridad y pierde los datos, los pacientes pueden exigirle responsabilidades por su falta de celo en la conservación de nuestros datos. Una primera lectura El objeto de la Ley es: El PARTICULAR Garantizar y proteger el tratamiento y almacenamiento de datos informatizados por parte de terceros. Las libertades y derechos fundamentales de las PERSONAS FÍSICAS, especialmente su honor e intimidad. TODAS las EMPRESAS están en el ámbito de esta normativa. Tanto ficheros privados como públicos. Marco Jurídico LORTAD, 1992, ya derogada. DE 1995/46/CE relativa a la protección de las personas físicas en el tratamiento de datos y la libre circulación de éstos. Ley orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, LOPD. Real Decreto 994/1999 de 11 de junio, del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. Situación actual Incumplimiento generalizado de la LOPD: Poca importancia que la sociedad en general da a la intimidad. La dificultad para identificar este derecho como uno de los derechos fundamentales de las personas. Gran desconocimiento que existe acerca de esta legislación. Se calcula que más del 90% de las Pymes incumple la Ley. Definiciones básicas Dato personal Fichero Sistema de Información Recurso Origen y Consentimiento Derechos del afectado LOPD Actuaciones: Legalizar los ficheros ante la Agencia de Protección de Datos. Posibilitar el ejercicio de los derechos de los afectados. Deber de información y obtención del consentimiento. Regular la comunicación de los datos. Mantenimiento del secreto y la confidencialidad. Tomar las medidas organizativas, jurídicas y técnicas Reglamento de medidas de seguridad. Sanciones Leves, de 601 a 60.101 € Poseer datos obsoletos Graves de 60.101 a 300.506 € Crear un fichero con el fin distinto al objeto de la entidad y/o el consentimiento Muy Graves, De 300.506 € a 601.012 € Comunicación o cesión no permitida Reglamento. Actuaciones 3 niveles de seguridad. A cada nivel se aplican una serie de medidas. Documento de seguridad. Resumen de medidas Nivel Básico Nivel Medio Nivel Alto La LSSICE Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico Prestadores de servicio en la Sociedad de la Información. ISP: registro de acceso y tráfico. Actividades comerciales a través del e-mail. Sitios web de prestadores: información de la empresa, CIF, registro mercantil, etc. Fases de la adecuación a la normativa de protección de datos personales: Análisis y auditoría. Datos de carácter personal y relación laboral. Protección. Legalización. Gestión. El 1º paso: la Legitimación Legitimar: “Solucionar” la entrada, transmisión y cesión de la información. Textos (folletos, cartas, web, etc). Datos de carácter personal y relación laboral. Contratos de arrendamiento de servicios. Personas jurídicas. Colaboradores. Proveedores informáticos. Empresas que comparten sistemas de información y datos. El 2º paso: la Protección Implantación de Medidas de seguridad. Descripción de procedimientos . Documento de seguridad. El 3º paso: la Legalización Registro del fichero ante la Agencia de Protección de datos. El 4º paso: la Gestión Medidas de seguridad. Día a día. Procedimientos de inventario y registro. Entrada de datos y legitimación. Sistemas de información y recursos. Usuarios y accesos. Incidencias. Inventario y Registro de entrada/salida de soportes. Copias de seguridad. Registro de Accesos (sólo nivel alto). Auditoría bianual (a partir de nivel medio). La Solución: la consultoría Protección de Datos Personales SEYDE de El Grupo SEYDE-ABOGADOS (Consultores y Juristas Especializados) es un grupo que cuenta con un Departamento Especializado en Derecho de las Nuevas Tecnologías, entre los que se encuentran los temas de Protección de Datos, Firma y Comercio Electrónico, así como de Delitos Informáticos. En ese sentido, ha elaborado la presente documentación sobre las leyes de “Protección de Datos de Carácter Personal” y de “Servicios de la Sociedad de la Información y de Comercio Electrónico”