GUIÓN DE LAS ACCIONES BÁSICAS PARA EL CUMPLIMIENTO DE LA LOPD ADECUACIÓN DE LA EMPRESA A LA LOPD IDENTIFICACIÓN DE FICHEROS Y LOS DISTINTOS NIVELES DE SEGURIDAD APLICABLES • Cualquier información numérica, alfabética, gráfica, ortográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables. • fichero, a efectos de la LOPD:, cualquier conjunto organizado de datos de carácter personal, • Conocer tanto el número, como el tipo de ficheros que utilizamos dentro de la empresa, para conocer los datos que son registrados, niveles y medidas de seguridad • Identificados los ficheros se establecerá uno de los 3 niveles de seguridad que dispone la LOPD; Alto, Medio y Bajo. • A la hora de definir las medidas de seguridad aplicables a su empresa, es importante identificar tanto los locales de los que dispone la misma, como los distintos departamentos en los que se divide. • Una correcta identificación de todos estos elementos nos permitirá definir las medidas de seguridad que son de obligado cumplimiento por su empresa, según lo establecido en la LOPD. IDENTIFICACIÓN DE EQUIPOS INFORMÁTICOS, REDES, APLICACIONES Y ARCHIVOS • Identificar los equipos informáticos, las redes y las aplicaciones de que dispone su organización, es parte imprescindible a la hora de adecuar la misma a lo que dicta la LOPD. • Conexiones a Internet, intranet, redes locales, puestos informáticos, programas de gestión de cualquier tipo, etc., tienen que ser identificados para poder establecer las distintas medidas de seguridad dispuestas en la LOPD. • Así mismo, identificar los archivos en soporte papel que contengan datos de carácter personal es igual de importante, como obligatorio. IDENTIFICACIÓN DE USUARIOS • La identificación de los usuarios que tienen acceso a los ficheros, y el nivel de acceso de que disponen es sin duda la labor más importante a realizar, • Es deber de su organización definir qué nivel y métodos de acceso tiene cada usuario a los distintos ficheros de que disponga la misma, y poner los medios para que no se cometan irregularidades en dichos accesos. Gran Vía Ramón y Cajal, 38-11ª 46007 Valencia Tel.: 902170183 correo@numerosimaginarios.es www.numerosimaginarios.es ¿QUÉ ES LA AGENCIA DE PROTECCIÓN DE DATOS Y CUAL ES SU FUNCIÓN? • Es un ente de derecho público, un organismo independiente que se financia a través de presupuestos del Estado principalmente, además de autofinanciarse con las sanciones por incumplimiento de la LOPD. • Su función es garantizar el cumplimiento y aplicación de las previsiones establecidas en la normativa de protección de datos de carácter personal. • Tiene una Web que puede guiarnos para poder cumplir la ley: www.agpd.es NOTIFICACIONES A LA AEPD • La LOPD obliga a su empresa a notificar a la Agencia Española de Protección de Datos (AEDP) la creación, modificación o supresión de cualquier fichero que contenga datos de carácter personal. • La AEDP, es un ente de derecho público independiente de las Administraciones Públicas, con personalidad jurídica propia, inscribirá sus ficheros en el Registro General de Protección de Datos (RGPD), con objeto de velar por el cumplimiento de la LOPD y controlar la aplicación de ésta, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos por parte de los afectados. Gran Vía Ramón y Cajal, 38-11ª 46007 Valencia Tel.: 902170183 correo@numerosimaginarios.es www.numerosimaginarios.es • La no notificación de creación, modificación o supresión de un fichero a la AEDP supone una infracción grave (sanciones entre 60.101,21 y 300.506,05 €), e incluso muy grave (sanciones entre 300.506,05 y 601.012,12 €) www.agpd.es DOCUMENTO DE SEGURIDAD • El Documento de Seguridad es el informe, de obligado cumplimiento para toda empresa que realice tratamiento de ficheros en los que se dispongan datos de carácter personal, que contendrá toda la información relativa al tratamiento de los mismos. • En el Documento de Seguridad se detallarán la estructura de los ficheros, su nivel de seguridad, la descripción de los locales y los puestos de trabajo, las aplicaciones utilizadas, los usuarios; sus funciones y niveles de acceso, los procedimientos de seguridad y un formulario de incidencias. . La AGPD tiene guías de cómo realizar el documento. Gran Vía Ramón y Cajal, 38-11ª 46007 Valencia Tel.: 902170183 correo@numerosimaginarios.es www.numerosimaginarios.es AUDITORÍAS • La LOPD obliga a todas aquellas empresas y autónomos que dispongan de ficheros con datos de carácter personal, identificados como nivel medio o alto, a realizar una auditoría cada dos años. • También es obligatorio realizar una auditoría en caso de realizarse modificaciones sustanciales. • Según la normativa vigente, la auditoría puede realizarse de manera interna (por el propio personal) o externa. Es aconsejable que, con objeto de mantener la imparcialidad y dependencia de la misma, ésta se realice por un ente externo. • Es obligación del Responsable analizar el resultado de la misma, y tomar las medidas correctoras oportunas, así como transmitir los informes de laauditoría al responsable del fichero. Gran Vía Ramón y Cajal, 38-11ª 46007 Valencia Tel.: 902170183 correo@numerosimaginarios.es www.numerosimaginarios.es DERECHOS DE RECTIFICACIÓN, INFORMACIÓN, CANCELACIÓN Y OPOSICIÓN • • • • • La LOPD establece como derechos fundamentales de todos los afectados, los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO). No atender a estos derechos, puede significar infracción leve, grave o muy grave, con la consiguiente sanción que establecería la AEDP (desde 601,01 a 601.012,12 €, e incluso la inmovilización de los ficheros). (Diapositiva de sanciones) Cabe resaltar Importancia de informar a los afectados a la hora de recabar sus datos. Aclarar qué derechos les asisten y ante quién los pueden ejercer es vital para evitar sanciones. Luis Castillo Director comercial Teléfono móvil: 675600057 Mail: luiscastillo@numerosimaginarios.es Gran Vía Ramón y Cajal, 38-11ª 46007 Valencia Tel.: 902170183 correo@numerosimaginarios.es www.numerosimaginarios.es