Dato de carácter personal

Anuncio
ATTEST
Ley 15/99
Protección de Datos de
Carácter personal
Problemática de aplicación
en el ámbito empresarial
Ponente: D. Javier Lizarralde
Socio de la empresa ATTEST
jlizarralde@attest.es
C/ Henao nº 18
48009 BILBAO
Tel: 94 424 30 24
Fax: 94 424 37 15
bilbao@attest.es
Paseo Salamanca, nº 14, 1º
20003 SAN SEBASTIAN
Tel: 943 42 97 95
Fax: 943 42 67 34
sansebastian@attest.es
Avda. Brasil nº 29, 1º
28020 MADRID
Tel: 91 556 11 99
Fax: 91 556 96 22
madrid@attest.es
Galileo, 218, entr. 1ª
08028 BARCELONA
Tel: 93 390 51 20
Fax: 93 390 51 01
barcelona@attest.es
ATTEST
PROTECCION DE DATOS
PERSONALES
consideraciones generales
La confidencialidad en el ámbito empresarial
La información: ACTIVO para toda organización
► Deber de confidencialidad Æ inherente a la actividad
empresarial y profesional
► Aspectos novedosos
- Trabajo en equipo
- Uso de nuevas tecnologías (TICs)
fModificación de las relaciones entre empresas.
- Centralización de datos
f gestión más eficaz.
f amenazas para seguridad de la información.
► ¿Qué hacer?
1 Garantizar los derechos de los interesados
2 Difundir y conocer Æ leyes, códigos deontológicos, normas,
recomendaciones sectoriales, políticas internas de seguridad
3 Implantar en las organizaciones las salvaguardas necesarias
Æ logística material y humana
PROTECCION DE DATOS
PERSONALES
ATTEST
consideraciones generales
Dato de carácter personal
Cualquier información concerniente a personas físicas
identificadas o identificables
PROTECCION DE DATOS PERSONALES
ATTEST
planteamientoyproblemática
L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal
Objeto de la Ley: Garantizar y proteger el honor e intimidad personal y familiar de las
personas físicas en lo que concierne al tratamiento de los datos personales.
Estos derechos vinculan a todos los poderes públicos, por lo que cualquier ciudadano
podrá recabar su tutela a través los Tribunales
Ambito de la Ley: La Ley afecta a los datos registrados o que vayan a ser incluidos en
soporte físico susceptibles de tratamiento (automatizado o no), total o parcialmente; así
como a toda modalidad de uso posterior de los mismos (incluso no automatizado).
Es decir afecta a toda información organizada, con datos de carácter personal, en
ficheros automatizados y en soporte papel.
PROTECCION DE DATOS PERSONALES
ATTEST
planteamientoyproblemática
L.O.P.D. Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal
La normativa afecta a todo aquel que, con fines profesionales:
 Trate datos personales (clientes, proveedores, empleados, etc.)
Especialmente si utiliza nuevas tecnologías en su negocio → informatización
(ficheros automatizados), aunque también afecta a ficheros en soporte papel.
Se establecen obligaciones que afectan a la seguridad de la información
Por la tipología de los datos
9 Básicos
(identificativos,económicos, profesionales)
9 Medios (información fiscal)
9 Especialmente protegidos
(salud, creencias, ideología, tendencia sexual,
etc.)
Por el uso que se realiza de los datos
9 acceso de terceros
9 fines promocionales
9 cesión de datos
9 transferencias internacionales
9 …………..
PROTECCION DE DATOS PERSONALES
ATTEST
planteamientoyproblemática
Situación de incumplimiento generalizado:
Ö El 95% de la pymes incumple la normativa de protección de datos
personales - Consejo Superior de Cámaras de Comercio / junio de 2002
Ö Un 93% de las empresas no respeta la legislación vigente sobre protección
de datos personales Agencia de Protección de Datos (El Mundo / octubre de 2002)
405 actuaciones de inspección durante el año 2001, que
han derivado en 218 procedimientos sancionadores.
Sanciones por más de 21 Mill € (3.600 Mill ptas) en el
bienio 2000 - 2001 a responsables de ficheros de titularidad
privada.
PROTECCION DE DATOS PERSONALES
ATTEST
legislaciónaplicable
Constitución Española
Art. 18: Se garantiza el derecho al honor, a la intimidad personal y familiar.
La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos.
Directiva Europea 95/46/CE
Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de esos datos.
L.O.P.D. 15/1999
Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las personas físicas.
Real Decreto 994/1999
Medidas de seguridad de ficheros automatizados que contengan datos de carácter personal.
Instrucciones de la Agencia de Protección de Datos (A.P.D.)
Control de acceso a edificios, salas de juegos, movimientos internacionales de datos, etc.
(actualmente 6 instrucciones)
PROTECCION DE DATOS PERSONALES
ATTEST
conceptosfundamentales
Dato de carácter personal: Cualquier información
concerniente a personas físicas identificadas o identificables
Interesado: Persona física titular de los datos que sean objeto
de tratamiento.
Tratamiento de datos: Operaciones que permitan recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como cesiones de datos que resulten
de comunicaciones, consultas, interconexiones y transferencias.
Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.
La ley distingue entre ficheros de titularidad pública y de titularidad privada.
PROTECCION DE DATOS PERSONALES
ATTEST
derechosdelinteresado
Al realizarse la recogida de datos, el interesado (persona física) debe ser informado
de forma expresa, precisa e inequívoca de:
 La existencia del fichero, su finalidad y los destinatarios de la información.
 La Identidad y dirección del responsable del fichero.
 El carácter obligatorio o facultativo de la respuesta a las preguntas.
 La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (Art. 15, 16 y
6.4. LOPD).
Principio de calidad de los datos (Art.4 LOPD)
 Deben ser adecuados, pertinentes y no excesivos en relación al ámbito
y a la finalidad.
 Recabados de forma lícita.
 Datos exactos y actualizados.
 Cancelados cuando no sean necesarios.
PROTECCION DE DATOS PERSONALES
ATTEST
ficherosnoautomatizados
LOPD e Interpretaciones de la APD
. Archivo estructurado s/criterios específicos relativos a personas
. No es de aplicación el Reglamento de medidas de seguridad
. Son aplicables las sanciones legales por incumplimiento (LOPD)
D.A.1ª LOPD Æ plazo transitorio para adaptar los ficheros no automatizados a la Ley
14 de enero de 2005
Obligaciones existentes:
1 Garantizar al interesado:
9 Derechos de acceso, rectificación, oposición y cancelación de los datos.
9 Derecho de información.
9 Principio de calidad de los datos (adecuados, pertinentes y no excesivos).
2 Adoptar medidas de seguridad:
Aquéllas que la lógica y la prudencia exijan para “evitar la alteración, pérdida,
tratamiento o acceso no autorizado a los datos” (art.9 LOPD).
9 Medidas aconsejables: guardar los datos personales bajo llave, limitación del personal
con acceso a los datos, disponer de copia de los mismos en un lugar seguro, entre otras.
PROTECCION DE DATOS PERSONALES
ATTEST
nivelesdeseguridad
Nivel de
Seguridad
Ficheros de datos de
carácter personal
Medidas de seguridad
Fecha de
Implantación
BASICO
- Identificativos
- Características personales,
profesionales, académicas, empleo,
formación, etc.
- Circunstancias sociales
- Datos económico-financieros
- Transacciones
Documento de seguridad
Definición de funciones del personal
Registro de incidencias
Identificación/autentificación
Control de acceso
Gestión de soportes
Copias de respaldo y recuperación
MEDIO
- Infracciones administrativas
- Infracciones penales
- Hacienda Pública
- Servicios financieros
- Solvencia patrimonial y de crédito
- Suficientes para evaluar la
personalidad del individuo
Medidas del nivel anterior
Responsable de seguridad
Auditoria (mínimo bienal)
Control de acceso físico
26 junio 2000
- Ideología
- Religión
- Creencias
- Origen racial
- Salud
- Vida sexual
- Fines policiales
Medidas del nivel anterior
Distribución de soportes
Registro de accesos
Cifrado de telecomunicaciones
26 junio 2002
ALTO
26 marzo 2000
PROTECCION DE DATOS PERSONALES
ATTEST
infraccionessanciones
Nivel de la
infracción
Descripción de la infracción
1.
LEVE
2.
3.
4.
5.
GRAVE
MUY GRAVE
No atender la solicitud de rectificación o cancelación por motivos
formales.
No proporcionar información a APD.
No solicitar inscripción de fichero en el RGPD (puede ser infracción
grave).
Recoger datos personales sin proporcionar información a los
afectados.
Incumplir el deber de secreto (puede ser infracción grave).
Algunas infracciones son:
1.
Recoger datos personales sin consentimiento de los afectados.
2.
Tratar o usar datos de carácter personal incumpliendo la legislación
(puede se infracción muy grave).
3.
Mantener datos inexactos, sin rectificar o cancelar
4.
Mantener ficheros, locales, programas o equipos con datos
personales sin las debidas condiciones de seguridad
5.
Vulnerar el deber de secreto en ficheros de nivel medio.
Entre otras:
1.
Recoger datos de forma engañosa o fraudulenta.
2.
Comunicar o ceder los datos de carácter personal, fuera de los casos
en que esté permitido.
3.
Transferencia de datos a países sin nivel equiparable de protección y
sin autorización de la APD.
4.
No atender sistemáticamente los derechos de acceso, rectificación,
cancelación u oposición.
5.
No atender sistemáticamente el deber notificación de la inclusión de
datos personales.
Sanción prevista
601,01 - 60.101,21€
(100.000 - 10 millones
Ptas.)
60.101,21 - 300.506,05€
(10 - 50 millones Ptas.)
300.506,05 - 601.012,10€
(50 - 100 millones Ptas.)
PROTECCION DE DATOS
PERSONALES
ATTEST
medidas necesarias
Informar a los interesados sobre la existencia y finalidad del fichero, identidad del
responsable del mismo y destinatarios de la información y garantizar los derechos que
reconoce la Ley
Crear y aplicar el documento de seguridad correspondiente a cada fichero
Implantar las medidas de seguridad en función del tipo de datos y la utilización que
se hace de los mismos
Inscribir la creación, modificación o supresión de ficheros en el Registro de la
Agencia de Protección de Datos
Realizar auditorias especializadas de verificación del cumplimiento al menos cada
dos años (ficheros que exijan medidas de seguridad de nivel medio o alto)
PROTECCION DE DATOS PERSONALES
ATTEST
ámbitoempresarial
SECTORES ESPECIALMENTE AFECTADOS
Todas (Industria y Servicios)
Datos de clientes, proveedores y RRHH (empleados, bolsa de trabajo)
Servicios Marketing
Investigación, marketing directo
Servicios RRHH
ETT, selección de personal
Servicios de Formación
Colegios, Academias
Servicios de Asesoría
Fiscal, contable, laboral, jurídica
Otros
Inmobiliarias, centros de salud, automoción, asociaciones, comercios, etc.
Atención:
Datos empleados (salud, sindicación, c.vitae)
e-commerce
Controles de acceso y vigilancia (cámaras)
ATTEST
PROTECCION DE DATOS PERSONALES
situacióntípica
FICHEROS
CLIENTES
PROVEEDORES
RECURSOS HUMANOS
Identificativos
Evaluación del individuo
DATOS
PERSONALES
Especialmente protegidos
SITUACIONES
q CONTROL DE ACCESO
Acceso de terceros a datos de
carácter personal
Ficheros físicos
Transferencias Internacionales de
datos personales
Cesión de datos entre empresas
Múltiples centros de trabajo
ATTEST
PROTECCION DE DATOS PERSONALES
ficherosderrhh
Datos
personales
Situaciones
EMPLEADOS
BOLSA DE TRABAJO
Identificativos
Salud
Identificativos
Evaluación del individuo
bajas, reconocimientos, minusvalías
Formación, aficiones, pertenencia a
asociaciones (c.vitae)
Creencias
afiliación sindical
Acceso de terceros
Acceso de terceros
Asesoría laboral externa: nóminas
Selección de personal externa
Transferencias
Internacionales
Transferencias
Internacionales
Formación, gestión de personal
Selección de personal
Cesión de datos
Recogida de datos por
Internet
Comité de empresa
PROTECCION DE DATOS PERSONALES
ATTEST
accesodeterceros
Externalización de servicios:
Recursos Humanos
nóminas, selección de personal
Marketing
estudios de mercado, satisfacción
del cliente, mailings
Comercial
agentes comerciales
Otros
servicios bancarios, etc.
Acceso de terceros a datos
de carácter personal
1 Necesario para la prestación de un servicio.
2 Tratamiento por 3º regulado por contrato o
(Art. 12 LOPD)
cláusula de confidencialidad de los datos.
3 Encargado del tratamiento debe adoptar las
medidas de seguridad necesarias para
garantizar su confidencialidad.
PROTECCION DE DATOS PERSONALES
ATTEST
proyectodeseguridad
Proyecto tipo de adaptación a la normativa de protección de datos personales
PROTECCION DE DATOS PERSONALES
ATTEST
cumplirhoy
Aporta valor añadido al negocio:
 Al cliente, proveedor, empleado, etc.: le garantiza que sus
datos personales son tratados de forma adecuada y con
todas las garantías de confidencialidad.
Supone la aplicación de medidas de seguridad de la
información:
 Técnicas: copias de seguridad, registro de accesos,
contraseñas, gestión de soportes, etc.
 Organizativas: políticas y procedimientos dirigidos a
salvaguardar el sistema informático y la información
contenida en él.
 Se incorpora la seguridad de la información como elemento de gestión empresarial.
Además:
 Se evitan las sanciones por incumplimiento.
 Se inicia la concienciación de los usuarios respecto a la importancia de la seguridad
informática y de la información en el uso de las nuevas tecnologías.
PROTECCION DE DATOS PERSONALES
ATTEST
Situación a fin de proyecto LOPD
Para cada sociedad:
1 Se habrán diseñado cláusulas legales para Informar a los
interesados sobre la existencia y finalidad de los ficheros, identidad
del responsable, destinatarios y derechos.
2 Se habrá redactado el documento de seguridad.
3 Se habrán diseñado las medidas de seguridad necesarias, a
nivel técnico, organizativo y legal
4 Se habrá registrado la creación, modificación o supresión de
ficheros en la APD
5 Plan de auditorias especializadas como mínimo cada dos
años.
Documentación generada resultado del trabajo:
 Doc. de Seguridad, ClausuladoAnexos, Registros, Notas Técnicas
ATTEST
PRESENTACION
DE SERVICIOS
www.attest.es
PRESENTACIÓN
ATTEST nació en 1990 como un proyecto independiente
de Firma de Auditoría y Consultoría, orientada a dar
servicios profesionales a empresas, instituciones y
organismos públicos bajo valores como el rigor, la
calidad, la entrega y el compromiso.
La confianza que nuestros clientes han venido
depositando en los servicios que prestamos, ha
contribuido a la constante ampliación de nuestras áreas
de actividad. Nuestro crecimiento se fundamenta en el
esfuerzo, profesionalidad e identificación del personal de
nuestra Firma.
Asumimos un compromiso de futuro con nuestros
profesionales y con el entorno empresarial, lo cual nos
implica en la mejora continua en nuestras prácticas y nos
compromete en la calidad de nuestros servicios.
ATTEST
•
BILBAO
•
Henao, 18 - 48009 BILBAO - Tel.: 94 424 30 24 - Fax: 94 424 37 15
Breve Historia
1990:
Creación de ATTEST como empresa de Consultoría
Financiera y Auditoría
1991:
Apertura de la oficina de Madrid
1992:
Inicio de la actividad de Administración y Gestión a
empresas.
1993:
Desarrollo de la actividad Legal y Fiscal
1996:
Nacimiento de la actividad de Consultoría de
Gestión y Calidad
1999:
Apertura de oficina en Argentina.
1999:
Inicio de la actividad del Área de Tecnologías de la
Información
2000:
Desarrollo de la actividad de Consultoría
Medioambiental
2000:
Apertura de la oficina de San Sebastián
2002:
Apertura de las oficinas de Barcelona y Soria
2004:
Lanzamiento de la actividad de Consultoría en
sistemas de Información estratégica
Bilbao
San Sebastián
Barcelona
Soria
Madrid
En ATTEST nos sentimos especialmente
orgullosos de nuestro equipo humano
Fundada en Bilbao en 1990
200 profesionales
5 oficinas
Capital Independiente
8,4 millones de euros de facturación
Datos de Actividad
ATTEST
Auditoria
Auditoría y revisión de información financiera
•
•
•
•
•
•
Auditoría Oficial de Cuentas
Auditorías y “due diligences” de compras
Examen de estados financieros
Examen de liquidaciones presupuestarias
de entes públicos
Revisiones limitadas
Consolidación financiera de grupos de
sociedades
•
•
Procedimientos concursales
•
•
Otros servicios
•
•
•
•
•
Adaptación de información financiera a la
normativa contable general, específica
(sectorial) o internacional (IAS)
Revisiones de control interno de información
analítica y cumplimiento de
objetivos y obligaciones
Revisión del cumplimiento presupuestario,
de legalidad y de objetivos para entes públicos
Trabajos de experto independiente y periciales
Informes sobre cumplimiento
de programas subvencionados
Presentación ATTEST
Fiabilidad, contraste y claridad de la
información financiera para
accionistas, inversores y empresarios
Supuestos de actuación de auditoría
previstos en la legislación mercantil
Labores de Comisario, Depositario o
Síndico en procesos de quiebra
Labores de Interventor Judicial en
procesos de suspensión de pagos y
liquidación de empresas
Consultoría financiera
•
•
•
•
•
Proyecciones financieras
Asesoría en el diseño y ejecución de
fusiones y adquisiciones de empresas
Estudios de viabilidad
Análisis de inversiones
Asesoría en planificación y estructura
de finanzas empresariales y corporativas
Pag. 1 de 1
ATTEST
Jurídico y Fiscal
Jurídico
Fiscal
•
Asesoramiento mercantil y laboral
•
Planificación fiscal
•
Reclamación y defensa en el orden jurisdiccional,
laboral o contencioso administrativo
•
Apoyo técnico en inspecciones Tributarias
•
Servicio de Secretaría de Consejo de
Administración y/o Junta y de Letrado Asesor
•
Elaboración y revisión de declaraciones fiscales
•
•
Asistencia en Tribunales en impugnaciones
societarias y acciones de responsabilidad
Revisiones - Diagnosis de la situación fiscal de
personas físicas y jurídicas
•
•
Asistencia letrada en procesos concursales
Reestructuración de grupo empresariales y
patrimonios personales
•
Negociación y tramitación de Expedientes de
Regulación de Empleo
•
Tramitación y seguimiento de expedientes
administrativos en infracciones laborales
•
Negociaciones con la Seguridad Social
Presentación ATTEST
Pag. 1 de 1
ATTEST
Consultoría
Calidad y mejora continua
Medioambiente
•
•
•
Asesoría en Sistemas de Calidad (ISO 9000,
Automoción: ISO/TS 16.949, QS 9000, EAQF, VDA)
•
Asesoría en Calidad Total (Modelo Europeo EFQM)
•
Auditorías internas de calidad
•
Auditorías a proveedores
•
Formación en técnicas de calidad (auditorías de
calidad, normativa de calidad, grupos de mejora,
técnicas de resolución de problemas, etc.)
•
Gestión de Procesos (análisis y mejora de procesos)
•
Evaluación de la satisfacción de clientes
•
•
•
•
•
•
Recursos humanos
•
•
Prevención de Riesgos
•
Evaluación de Riesgos
•
Asesoría en Sistemas de Gestión
•
Planes y estudios de seguridad
Diseño de estructuras organizativas
Configuración de puestos de Manuales
funcionales
Estrategia
•
•
•
Presentación ATTEST
Evaluaciones medioambientales
Asesoría en Sistemas de Gestión
Medioambiental (ISO 14000)
EMAS/EMAS 2/e+5
Formación ambiental
Memoria de sostenibilidad
Due Dilligence Ambiental
Agenda 21
Legislación ambiental: Econet
Elaboración de planes estratégicos y
planes de gestión
Cooperación interempresarial
Proyectos de expansión y reestructuración
Pag. 1 de 1
Tecnologías de la Información
Auditoría y diagnóstico de sistemas
Consultoría en ERP
•
Auditoría Informática
•
•
Realización de Planes de Sistemas
•
Consultoría estratégica de TI
•
Planificación y Control de la Seguridad
•
Protección de datos personales: LOPD
ATTEST
Consultoría en valoración e implantación
de ERP/CRM
•
Elaboración de Estudio de Valoración de
Aplicaciones ERP/CRM existentes en el mercado
•
Necesidades de realización de desarrollos
específicos sobre el ERP/CRM
Diseño y desarrollo de sistemas de información
•
Formación a los usuarios sobre parametrización y
uso de la aplicación
•
Planificación, control y gestión de proyectos de TI
•
Especificación de requisitos y estudios previos
•
Análisis funcional y diseño técnico
•
Desarrollo de aplicaciones
•
Formación e implantación de TI
•
Servicios de Outsourcing
•
Mantenimiento correctivo y evolutivo de
aplicaciones ERP/CRM
Internet /Intranet / Extranet
Integración de sistemas
•
Diseño de redes de comunicaciones: LAN, WAN
•
Instalación de cableado estructurado
•
Servicios de Técnica de Sistemas
•
Diseño de páginas WEB estáticas y dinámicas
•
e-comerce / e-business
•
Business to business
•
Integración con ERPs
SIE. Sistemas de Información Estratégica
•
Diagnóstico y diseño de un SIE
•
Implantación de metodologías y herramientas
informáticas
•
Presentación ATTEST
Evaluación, seguimiento, monitorización y análisis
Pag. 1 de 1
PROTECCION DE DATOS PERSONALES
ATTEST
Muchas Gracias
Descargar