ATTEST Ley 15/99 Protección de Datos de Carácter personal Problemática de aplicación en el ámbito empresarial Ponente: D. Javier Lizarralde Socio de la empresa ATTEST jlizarralde@attest.es C/ Henao nº 18 48009 BILBAO Tel: 94 424 30 24 Fax: 94 424 37 15 bilbao@attest.es Paseo Salamanca, nº 14, 1º 20003 SAN SEBASTIAN Tel: 943 42 97 95 Fax: 943 42 67 34 sansebastian@attest.es Avda. Brasil nº 29, 1º 28020 MADRID Tel: 91 556 11 99 Fax: 91 556 96 22 madrid@attest.es Galileo, 218, entr. 1ª 08028 BARCELONA Tel: 93 390 51 20 Fax: 93 390 51 01 barcelona@attest.es ATTEST PROTECCION DE DATOS PERSONALES consideraciones generales La confidencialidad en el ámbito empresarial La información: ACTIVO para toda organización ► Deber de confidencialidad Æ inherente a la actividad empresarial y profesional ► Aspectos novedosos - Trabajo en equipo - Uso de nuevas tecnologías (TICs) fModificación de las relaciones entre empresas. - Centralización de datos f gestión más eficaz. f amenazas para seguridad de la información. ► ¿Qué hacer? 1 Garantizar los derechos de los interesados 2 Difundir y conocer Æ leyes, códigos deontológicos, normas, recomendaciones sectoriales, políticas internas de seguridad 3 Implantar en las organizaciones las salvaguardas necesarias Æ logística material y humana PROTECCION DE DATOS PERSONALES ATTEST consideraciones generales Dato de carácter personal Cualquier información concerniente a personas físicas identificadas o identificables PROTECCION DE DATOS PERSONALES ATTEST planteamientoyproblemática L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal Objeto de la Ley: Garantizar y proteger el honor e intimidad personal y familiar de las personas físicas en lo que concierne al tratamiento de los datos personales. Estos derechos vinculan a todos los poderes públicos, por lo que cualquier ciudadano podrá recabar su tutela a través los Tribunales Ambito de la Ley: La Ley afecta a los datos registrados o que vayan a ser incluidos en soporte físico susceptibles de tratamiento (automatizado o no), total o parcialmente; así como a toda modalidad de uso posterior de los mismos (incluso no automatizado). Es decir afecta a toda información organizada, con datos de carácter personal, en ficheros automatizados y en soporte papel. PROTECCION DE DATOS PERSONALES ATTEST planteamientoyproblemática L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal La normativa afecta a todo aquel que, con fines profesionales: Â Trate datos personales (clientes, proveedores, empleados, etc.) Especialmente si utiliza nuevas tecnologías en su negocio → informatización (ficheros automatizados), aunque también afecta a ficheros en soporte papel. Se establecen obligaciones que afectan a la seguridad de la información Por la tipología de los datos 9 Básicos (identificativos,económicos, profesionales) 9 Medios (información fiscal) 9 Especialmente protegidos (salud, creencias, ideología, tendencia sexual, etc.) Por el uso que se realiza de los datos 9 acceso de terceros 9 fines promocionales 9 cesión de datos 9 transferencias internacionales 9 ………….. PROTECCION DE DATOS PERSONALES ATTEST planteamientoyproblemática Situación de incumplimiento generalizado: Ö El 95% de la pymes incumple la normativa de protección de datos personales - Consejo Superior de Cámaras de Comercio / junio de 2002 Ö Un 93% de las empresas no respeta la legislación vigente sobre protección de datos personales Agencia de Protección de Datos (El Mundo / octubre de 2002) 405 actuaciones de inspección durante el año 2001, que han derivado en 218 procedimientos sancionadores. Sanciones por más de 21 Mill € (3.600 Mill ptas) en el bienio 2000 - 2001 a responsables de ficheros de titularidad privada. PROTECCION DE DATOS PERSONALES ATTEST legislaciónaplicable Constitución Española Art. 18: Se garantiza el derecho al honor, a la intimidad personal y familiar. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos. Directiva Europea 95/46/CE Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos. L.O.P.D. 15/1999 Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas. Real Decreto 994/1999 Medidas de seguridad de ficheros automatizados que contengan datos de carácter personal. Instrucciones de la Agencia de Protección de Datos (A.P.D.) Control de acceso a edificios, salas de juegos, movimientos internacionales de datos, etc. (actualmente 6 instrucciones) PROTECCION DE DATOS PERSONALES ATTEST conceptosfundamentales Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables Interesado: Persona física titular de los datos que sean objeto de tratamiento. Tratamiento de datos: Operaciones que permitan recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. La ley distingue entre ficheros de titularidad pública y de titularidad privada. PROTECCION DE DATOS PERSONALES ATTEST derechosdelinteresado Al realizarse la recogida de datos, el interesado (persona física) debe ser informado de forma expresa, precisa e inequívoca de: Â La existencia del fichero, su finalidad y los destinatarios de la información. Â La Identidad y dirección del responsable del fichero. Â El carácter obligatorio o facultativo de la respuesta a las preguntas. Â La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (Art. 15, 16 y 6.4. LOPD). Principio de calidad de los datos (Art.4 LOPD) Â Deben ser adecuados, pertinentes y no excesivos en relación al ámbito y a la finalidad. Â Recabados de forma lícita. Â Datos exactos y actualizados. Â Cancelados cuando no sean necesarios. PROTECCION DE DATOS PERSONALES ATTEST ficherosnoautomatizados LOPD e Interpretaciones de la APD . Archivo estructurado s/criterios específicos relativos a personas . No es de aplicación el Reglamento de medidas de seguridad . Son aplicables las sanciones legales por incumplimiento (LOPD) D.A.1ª LOPD Æ plazo transitorio para adaptar los ficheros no automatizados a la Ley 14 de enero de 2005 Obligaciones existentes: 1 Garantizar al interesado: 9 Derechos de acceso, rectificación, oposición y cancelación de los datos. 9 Derecho de información. 9 Principio de calidad de los datos (adecuados, pertinentes y no excesivos). 2 Adoptar medidas de seguridad: Aquéllas que la lógica y la prudencia exijan para “evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos” (art.9 LOPD). 9 Medidas aconsejables: guardar los datos personales bajo llave, limitación del personal con acceso a los datos, disponer de copia de los mismos en un lugar seguro, entre otras. PROTECCION DE DATOS PERSONALES ATTEST nivelesdeseguridad Nivel de Seguridad Ficheros de datos de carácter personal Medidas de seguridad Fecha de Implantación BASICO - Identificativos - Características personales, profesionales, académicas, empleo, formación, etc. - Circunstancias sociales - Datos económico-financieros - Transacciones Documento de seguridad Definición de funciones del personal Registro de incidencias Identificación/autentificación Control de acceso Gestión de soportes Copias de respaldo y recuperación MEDIO - Infracciones administrativas - Infracciones penales - Hacienda Pública - Servicios financieros - Solvencia patrimonial y de crédito - Suficientes para evaluar la personalidad del individuo Medidas del nivel anterior Responsable de seguridad Auditoria (mínimo bienal) Control de acceso físico 26 junio 2000 - Ideología - Religión - Creencias - Origen racial - Salud - Vida sexual - Fines policiales Medidas del nivel anterior Distribución de soportes Registro de accesos Cifrado de telecomunicaciones 26 junio 2002 ALTO 26 marzo 2000 PROTECCION DE DATOS PERSONALES ATTEST infraccionessanciones Nivel de la infracción Descripción de la infracción 1. LEVE 2. 3. 4. 5. GRAVE MUY GRAVE No atender la solicitud de rectificación o cancelación por motivos formales. No proporcionar información a APD. No solicitar inscripción de fichero en el RGPD (puede ser infracción grave). Recoger datos personales sin proporcionar información a los afectados. Incumplir el deber de secreto (puede ser infracción grave). Algunas infracciones son: 1. Recoger datos personales sin consentimiento de los afectados. 2. Tratar o usar datos de carácter personal incumpliendo la legislación (puede se infracción muy grave). 3. Mantener datos inexactos, sin rectificar o cancelar 4. Mantener ficheros, locales, programas o equipos con datos personales sin las debidas condiciones de seguridad 5. Vulnerar el deber de secreto en ficheros de nivel medio. Entre otras: 1. Recoger datos de forma engañosa o fraudulenta. 2. Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido. 3. Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD. 4. No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición. 5. No atender sistemáticamente el deber notificación de la inclusión de datos personales. Sanción prevista 601,01 - 60.101,21€ (100.000 - 10 millones Ptas.) 60.101,21 - 300.506,05€ (10 - 50 millones Ptas.) 300.506,05 - 601.012,10€ (50 - 100 millones Ptas.) PROTECCION DE DATOS PERSONALES ATTEST medidas necesarias Informar a los interesados sobre la existencia y finalidad del fichero, identidad del responsable del mismo y destinatarios de la información y garantizar los derechos que reconoce la Ley Crear y aplicar el documento de seguridad correspondiente a cada fichero Implantar las medidas de seguridad en función del tipo de datos y la utilización que se hace de los mismos Inscribir la creación, modificación o supresión de ficheros en el Registro de la Agencia de Protección de Datos Realizar auditorias especializadas de verificación del cumplimiento al menos cada dos años (ficheros que exijan medidas de seguridad de nivel medio o alto) PROTECCION DE DATOS PERSONALES ATTEST ámbitoempresarial SECTORES ESPECIALMENTE AFECTADOS Todas (Industria y Servicios) Datos de clientes, proveedores y RRHH (empleados, bolsa de trabajo) Servicios Marketing Investigación, marketing directo Servicios RRHH ETT, selección de personal Servicios de Formación Colegios, Academias Servicios de Asesoría Fiscal, contable, laboral, jurídica Otros Inmobiliarias, centros de salud, automoción, asociaciones, comercios, etc. Atención: Datos empleados (salud, sindicación, c.vitae) e-commerce Controles de acceso y vigilancia (cámaras) ATTEST PROTECCION DE DATOS PERSONALES situacióntípica FICHEROS CLIENTES PROVEEDORES RECURSOS HUMANOS Identificativos Evaluación del individuo DATOS PERSONALES Especialmente protegidos SITUACIONES q CONTROL DE ACCESO Acceso de terceros a datos de carácter personal Ficheros físicos Transferencias Internacionales de datos personales Cesión de datos entre empresas Múltiples centros de trabajo ATTEST PROTECCION DE DATOS PERSONALES ficherosderrhh Datos personales Situaciones EMPLEADOS BOLSA DE TRABAJO Identificativos Salud Identificativos Evaluación del individuo bajas, reconocimientos, minusvalías Formación, aficiones, pertenencia a asociaciones (c.vitae) Creencias afiliación sindical Acceso de terceros Acceso de terceros Asesoría laboral externa: nóminas Selección de personal externa Transferencias Internacionales Transferencias Internacionales Formación, gestión de personal Selección de personal Cesión de datos Recogida de datos por Internet Comité de empresa PROTECCION DE DATOS PERSONALES ATTEST accesodeterceros Externalización de servicios: Recursos Humanos nóminas, selección de personal Marketing estudios de mercado, satisfacción del cliente, mailings Comercial agentes comerciales Otros servicios bancarios, etc. Acceso de terceros a datos de carácter personal 1 Necesario para la prestación de un servicio. 2 Tratamiento por 3º regulado por contrato o (Art. 12 LOPD) cláusula de confidencialidad de los datos. 3 Encargado del tratamiento debe adoptar las medidas de seguridad necesarias para garantizar su confidencialidad. PROTECCION DE DATOS PERSONALES ATTEST proyectodeseguridad Proyecto tipo de adaptación a la normativa de protección de datos personales PROTECCION DE DATOS PERSONALES ATTEST cumplirhoy Aporta valor añadido al negocio: Â Al cliente, proveedor, empleado, etc.: le garantiza que sus datos personales son tratados de forma adecuada y con todas las garantías de confidencialidad. Supone la aplicación de medidas de seguridad de la información: Â Técnicas: copias de seguridad, registro de accesos, contraseñas, gestión de soportes, etc. Â Organizativas: políticas y procedimientos dirigidos a salvaguardar el sistema informático y la información contenida en él. Â Se incorpora la seguridad de la información como elemento de gestión empresarial. Además: Â Se evitan las sanciones por incumplimiento. Â Se inicia la concienciación de los usuarios respecto a la importancia de la seguridad informática y de la información en el uso de las nuevas tecnologías. PROTECCION DE DATOS PERSONALES ATTEST Situación a fin de proyecto LOPD Para cada sociedad: 1 Se habrán diseñado cláusulas legales para Informar a los interesados sobre la existencia y finalidad de los ficheros, identidad del responsable, destinatarios y derechos. 2 Se habrá redactado el documento de seguridad. 3 Se habrán diseñado las medidas de seguridad necesarias, a nivel técnico, organizativo y legal 4 Se habrá registrado la creación, modificación o supresión de ficheros en la APD 5 Plan de auditorias especializadas como mínimo cada dos años. Documentación generada resultado del trabajo: Â Doc. de Seguridad, ClausuladoAnexos, Registros, Notas Técnicas ATTEST PRESENTACION DE SERVICIOS www.attest.es PRESENTACIÓN ATTEST nació en 1990 como un proyecto independiente de Firma de Auditoría y Consultoría, orientada a dar servicios profesionales a empresas, instituciones y organismos públicos bajo valores como el rigor, la calidad, la entrega y el compromiso. La confianza que nuestros clientes han venido depositando en los servicios que prestamos, ha contribuido a la constante ampliación de nuestras áreas de actividad. Nuestro crecimiento se fundamenta en el esfuerzo, profesionalidad e identificación del personal de nuestra Firma. Asumimos un compromiso de futuro con nuestros profesionales y con el entorno empresarial, lo cual nos implica en la mejora continua en nuestras prácticas y nos compromete en la calidad de nuestros servicios. ATTEST • BILBAO • Henao, 18 - 48009 BILBAO - Tel.: 94 424 30 24 - Fax: 94 424 37 15 Breve Historia 1990: Creación de ATTEST como empresa de Consultoría Financiera y Auditoría 1991: Apertura de la oficina de Madrid 1992: Inicio de la actividad de Administración y Gestión a empresas. 1993: Desarrollo de la actividad Legal y Fiscal 1996: Nacimiento de la actividad de Consultoría de Gestión y Calidad 1999: Apertura de oficina en Argentina. 1999: Inicio de la actividad del Área de Tecnologías de la Información 2000: Desarrollo de la actividad de Consultoría Medioambiental 2000: Apertura de la oficina de San Sebastián 2002: Apertura de las oficinas de Barcelona y Soria 2004: Lanzamiento de la actividad de Consultoría en sistemas de Información estratégica Bilbao San Sebastián Barcelona Soria Madrid En ATTEST nos sentimos especialmente orgullosos de nuestro equipo humano Fundada en Bilbao en 1990 200 profesionales 5 oficinas Capital Independiente 8,4 millones de euros de facturación Datos de Actividad ATTEST Auditoria Auditoría y revisión de información financiera • • • • • • Auditoría Oficial de Cuentas Auditorías y “due diligences” de compras Examen de estados financieros Examen de liquidaciones presupuestarias de entes públicos Revisiones limitadas Consolidación financiera de grupos de sociedades • • Procedimientos concursales • • Otros servicios • • • • • Adaptación de información financiera a la normativa contable general, específica (sectorial) o internacional (IAS) Revisiones de control interno de información analítica y cumplimiento de objetivos y obligaciones Revisión del cumplimiento presupuestario, de legalidad y de objetivos para entes públicos Trabajos de experto independiente y periciales Informes sobre cumplimiento de programas subvencionados Presentación ATTEST Fiabilidad, contraste y claridad de la información financiera para accionistas, inversores y empresarios Supuestos de actuación de auditoría previstos en la legislación mercantil Labores de Comisario, Depositario o Síndico en procesos de quiebra Labores de Interventor Judicial en procesos de suspensión de pagos y liquidación de empresas Consultoría financiera • • • • • Proyecciones financieras Asesoría en el diseño y ejecución de fusiones y adquisiciones de empresas Estudios de viabilidad Análisis de inversiones Asesoría en planificación y estructura de finanzas empresariales y corporativas Pag. 1 de 1 ATTEST Jurídico y Fiscal Jurídico Fiscal • Asesoramiento mercantil y laboral • Planificación fiscal • Reclamación y defensa en el orden jurisdiccional, laboral o contencioso administrativo • Apoyo técnico en inspecciones Tributarias • Servicio de Secretaría de Consejo de Administración y/o Junta y de Letrado Asesor • Elaboración y revisión de declaraciones fiscales • • Asistencia en Tribunales en impugnaciones societarias y acciones de responsabilidad Revisiones - Diagnosis de la situación fiscal de personas físicas y jurídicas • • Asistencia letrada en procesos concursales Reestructuración de grupo empresariales y patrimonios personales • Negociación y tramitación de Expedientes de Regulación de Empleo • Tramitación y seguimiento de expedientes administrativos en infracciones laborales • Negociaciones con la Seguridad Social Presentación ATTEST Pag. 1 de 1 ATTEST Consultoría Calidad y mejora continua Medioambiente • • • Asesoría en Sistemas de Calidad (ISO 9000, Automoción: ISO/TS 16.949, QS 9000, EAQF, VDA) • Asesoría en Calidad Total (Modelo Europeo EFQM) • Auditorías internas de calidad • Auditorías a proveedores • Formación en técnicas de calidad (auditorías de calidad, normativa de calidad, grupos de mejora, técnicas de resolución de problemas, etc.) • Gestión de Procesos (análisis y mejora de procesos) • Evaluación de la satisfacción de clientes • • • • • • Recursos humanos • • Prevención de Riesgos • Evaluación de Riesgos • Asesoría en Sistemas de Gestión • Planes y estudios de seguridad Diseño de estructuras organizativas Configuración de puestos de Manuales funcionales Estrategia • • • Presentación ATTEST Evaluaciones medioambientales Asesoría en Sistemas de Gestión Medioambiental (ISO 14000) EMAS/EMAS 2/e+5 Formación ambiental Memoria de sostenibilidad Due Dilligence Ambiental Agenda 21 Legislación ambiental: Econet Elaboración de planes estratégicos y planes de gestión Cooperación interempresarial Proyectos de expansión y reestructuración Pag. 1 de 1 Tecnologías de la Información Auditoría y diagnóstico de sistemas Consultoría en ERP • Auditoría Informática • • Realización de Planes de Sistemas • Consultoría estratégica de TI • Planificación y Control de la Seguridad • Protección de datos personales: LOPD ATTEST Consultoría en valoración e implantación de ERP/CRM • Elaboración de Estudio de Valoración de Aplicaciones ERP/CRM existentes en el mercado • Necesidades de realización de desarrollos específicos sobre el ERP/CRM Diseño y desarrollo de sistemas de información • Formación a los usuarios sobre parametrización y uso de la aplicación • Planificación, control y gestión de proyectos de TI • Especificación de requisitos y estudios previos • Análisis funcional y diseño técnico • Desarrollo de aplicaciones • Formación e implantación de TI • Servicios de Outsourcing • Mantenimiento correctivo y evolutivo de aplicaciones ERP/CRM Internet /Intranet / Extranet Integración de sistemas • Diseño de redes de comunicaciones: LAN, WAN • Instalación de cableado estructurado • Servicios de Técnica de Sistemas • Diseño de páginas WEB estáticas y dinámicas • e-comerce / e-business • Business to business • Integración con ERPs SIE. Sistemas de Información Estratégica • Diagnóstico y diseño de un SIE • Implantación de metodologías y herramientas informáticas • Presentación ATTEST Evaluación, seguimiento, monitorización y análisis Pag. 1 de 1 PROTECCION DE DATOS PERSONALES ATTEST Muchas Gracias