+34 881 819 799

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de diciembre y el Real Decreto 1720/2007, de Medidas de Seguridad afectan a todas las empresas y profesionales que guardan ficheros en papel o soporte magnético de información relativa a Personas Físicas (empleados, clientes, proveedores, colaboradores...) y obligan a:

  • Registrar la estructura de estos ficheros en la Agencia de Protección de Datos.
  • Establecer la Política de Seguridad Interna de la empresa en un Documento de Seguridad.
  • Adoptar las medidas técnicas necesarias para asegurar el Nivel de Protección de los ficheros.

Si su empresa trata datos personales (de sus clientes o pacientes, de sus empleados o de sus proveedores…), si además ha recibido algún CV y lo tiene archivado en una carpeta, si envía publicidad a sus clientes, si por otra parte tiene un programa donde lleva la contabilidad de su empresa, o tiene las facturas organizadas en archivos, debe implantar sin perder más tiempo las medidas de seguridad obligatorias, si no quiere estar expuesta a duras sanciones por la Agencia Española de Protección de Datos.

FASES DE LA LOPD:

1. Fase I: Diagnóstico de la situación actual.
2. Fase II: Identificación notificación e inscripción de los ficheros en la Agencia de Protección de Datos.
3. Fase III: Elaboración y entrega de la documentación.
4. Fase IV: Mantenimiento anual.

DESCRIPCIÓN:

4.1 Fase I:  DIAGNÓSTICO DE LA SITUACIÓN ACTUAL

  • Se formula un Cuestionario de Seguridad Jurídico-Administrativo a la empresa con el fin de evaluar su situación actual con respecto a la LOPD  Y  RD.
  • En función de la tipología de los datos personales, se determinará el Nivel de Seguridad aplicable según el Reglamento  (básico, medio o alto).
  • Se analiza el sistema de Información,definiendo las medidas adecuadas al nivel de los datos, analizando los siguiente puntos: arquitectura de red, arquitectura de comunicaciones, sistemas operativos, protocolos, métodos de autenticación, estructura de usuarios y permisos, políticas de seguridad, aplicaciones instaladas, control antivirus, procedimiento de copias de seguridad, eficacia de las protecciones instaladas, seguridad física.
  • En base al nivel estipulado y al análisis de las medidas  de seguridad existentes, se señalarán las que serán necesario implementarpara ese fin.

Como responsable del Fichero, la empresa debe formar a todo el personal acerca de la Política de Seguridad Implantada en la misma, así como lograr el compromiso de todo el personal con esa política. AYS. INNOVA S.L  sensibilizará al personal, resolverá sus dudas y detectará necesidades de formación en esta área en LA EMPRESA.
Para la realización de este diagnóstico los consultores visitarán las instalaciones de LA EMPRESA, reuniéndose con los responsables de cada área de tratamiento de información.

4.2 Fase II: IDENTIFICACIÓN, NOTIFICACIÓN E INSCRIPCIÓN DE LOS FICHEROS EN LA AGENCIA ESPAÑOLA  DE PROTECCIÓN DE DATOS (AEPD).

  • En  base al Cuestionario recogido y a las Bases de Datos detectadas en la empresa, se analizará su contenido y se estipulará la necesidad o no de proceder  a su registro en la Agencia de Protección de Datos, en cuyo caso se inscribirán los ficheros pertinentes, en 2 pasos:
  • Inscripción vía telemática  de las características del fichero.
  • Aprobación  por parte del responsable del fichero de dicha inscripción, mediante correo ordinario o fax.

4.3 Fase  III:  ELABORACIÓN DE LA DOCUMENTACIÓN:

  • Elaboración del Documento de Seguridad exigido por la Ley adaptado a la empresa, en el que se estipulará la normativa de seguridad que deberá regir en la empresa auditada, que variará en función del nivel de seguridad exigido para los ficheros de datos personales.

En este punto es muy importante su colaboración ya que la redacción de este documento es compleja y minuciosa, y debido al carácter  personalizado que ostenta requiere  un gran conocimiento del funcionamiento de la empresa, metodología de trabajo, nº de trabajadores, método de recogida de los datos, estructura del sistema informático, etc.

El responsable del fichero deberá elaborar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con  acceso a los datos de carácter personal y a los sistemas de información.

Este documento de seguridad deberá contener todos los requisitos legalmente establecidos en función del nivel de seguridad que deba adoptar el responsable del fichero

  • Creación de un Registro de Incidencias  y asesoramiento posterior al responsable de los ficheros protegidos sobre su gestión.
  • Creación de diferentes procedimientos:
    • Creación de una relación actualizada de los usuarios autorizados.
    • Creación de un Registro de Soportes.
    • Supervisión de la elaboración, en su caso, de los escritos de autorización, que deberá emitir el responsable de los ficheros para su manipulación.

Redacción de las cláusulas para implementar en todos  los documentos de régimen interno y externo de la empresa, acordes con la legislación de protección de datos.

Adaptación de los contratos (tanto con prestadores de servicios, encargados de tratamiento de datos u otros ) a la legislación de protección de datos en materia de protección de datos, conteniendo las cláusulas adecuadas.

  • Se Implantará  el procedimiento de ejercicio de derechos,  que deberá darse a conocer a todos los usuarios con acceso a Datos Personales. Este ejercicio conllevará el conocimiento de las actuaciones que se han de llevar a cabo en el caso de que cualquier persona desee ejercitar el derecho de acceso, rectificación o cancelación de datos, tanto internamente como de cara al exterior, así como en el caso de que en la empresa se reciba una actuación por parte de  alguna persona en el ejercicio de sus derechos.
  • Se  entregará a la empresa  en una carpeta personalizada el Manual de Protección  de Datos, (tantas copias como departamentos lo soliciten) integrado por toda la documentación elaborada en cada caso, en el proceso de adaptación a la legislación:
    • Documento de Seguridad y Formularios, cláusulas y contratos necesarios para el cumplimiento de los requisitos  exigidos por la LOPD.
    • Manual de medidas técnicas a implantar en caso de disponer de servicio técnico propio, en caso contrario AYS INNOVA S.L, realizaría una propuesta de instalación de medidas técnicas.
    • Texto completo de la LOPD 15/1999.
    • Texto completo del 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos.

La documentación será explicada por el consultor al responsable/s, además de incluirse una explicación impresa en la documentación.

4.4 Fase IV:  MANTENIMIENTO PERIÓDICO ANUAL

El objetivo del servicio de mantenimiento es asumir  la labor de que la empresa cumpla en todo momento la  normativa de protección de datos,asumiendo la labor preventiva, de revisión y de sensibilización.

El servicio de mantenimiento periódico anual incluye:

  • Tres controles anuales  con actualización  de toda la documentación (documento de seguridad, cláusulas en contratos, circulares y formularios) y los registros en la AEPD.
  • Asistencia en Inspecciones abiertas por parte de la AEPD hasta la finalización de la vía administrativa.
  • Supervisión de las obligaciones derivadas  de la figura del Responsable de Seguridad y Responsable de Fichero.
  • Intermediación e instrucciones a los proveedores implicados en la LOPD. Debido a la necesidad de que todas las partes que intervengan en el tratamiento  de ficheros con datos de carácter personal cumplan las disposiciones de la ley,
  • AYS INNOVA S.L informará, a aquellos proveedores que traten parcial o totalmente información del cliente, acerca de las normas que deben seguir para garantizar  el nivel de seguridad del fichero, sin coste añadido para el cliente, ni para su proveedor.
  • Auditoría de seguridad  en el caso de datos personales de nivel medio y alto, en los cuales es obligatoria, como mínimo, cada dos años.
  • Gestiones y consultas a  realizar con la Agencia de Protección de Datos.
  • Asesoramiento Organizativo, Jurídico y Técnico continuado.
  • Boletín  Informativo periódico con actualizaciones legislativas, noticias, etc.
  • Elaboración y presentación de subvenciones relacionadas.
  • Invitaciones a jornadas, conferencias y sesiones formativas.
  • Precios especiales en nuestro software.

 

CUADRO CON EL TIPO DE SANCIONES E INFRACCIONES

El 5 de marzo se publicó en el BOE la reforma del régimen de sanciones de la ley 15/1999 de 13 de diciembre de Protección de datos.

Podemos señalar dos tipos de novedades, la primera referente a la variación del tipo de infracción y la segunda referente a las sanciones previstas.

Me voy a centrar en la cuantía de las sanciones y así las leves serán sancionadas con multas de 900 a 40.000 €, las graves con multas de 40.001 a 300.000 € y las muy graves con multas que van desde 300.001 a 600.000 €

Con respecto a la cuantías de las sanciones, se establece en el apartado 4 del articulo 45 que estas se graduaran tomando en consideración criterios relevantes como por ejemplo grado de intencionalidad, , reincidencia por comisión de infracciones similares, volumen de negocio o actividad…..

En el apartado 5 se establecen criterios objetivos para que el órgano sancionador pueda preveer circunstancias atenuantes, por ejemplo: cuando el infractor haya regularizado de forma diligente la situación constitutiva de la infracción, o cuando la conducta del afectado haya contribuido a la comisión de la infracción, o cuando se haya producido un proceso de fusión por absorción y la infracción resulte anterior a dicho proceso, no siendo imputable a la entidad absorbente.

SANCIÓN TIPO DE INFRACCIÓN
MUY GRAVE
(de 300.001 a 600.000 €)
Recoger datos especialmente protegidos sin recabar el consentimiento expreso
GRAVE
(de 40.001 a 300.000 €)
Tratar los datos de carácter personal o usarlos infringiendo principios y garantías establecidos por la Ley
LEVE
(de 900 a 40.000 €)
Recoger datos de los interesados sin proporcionarles la información adecuada