Gestión de LOPD en Bilbao

Gestión de LOPD en Bilbao

Nuevo Reglamento Europeo de Protección de Datos RGPD, LSSIce y LOPDGDD

Actualización Enero 2020

Las novedades más significativas respecto a la Protección de Datos en Bilbao, y por ende en todo el territorio nacional en este año son; el principio de responsabilidad proactiva y la seguridad informática, así como la garantía de derechos digitales.

¿Qué es el principio de responsabilidad proactiva en el RGPD y la LOPD GDD?

Esto quiere decir que la persona física o jurídica encargada del tratamiento debe tener una responsabilidad proactiva y demostrar que el tratamiento es conforme al Reglamento General Europeo de Protección de Datos, así como a la normativa estatal LOPDGDD.

Aplicando unas medidas técnicas y organizativas acordes a la normativa.

¿Seguridad informática en la protección de datos (año 2020)?

Queremos hacer un especial hincapié en la Seguridad Informática en los relativo a la seguridad y protección de los datos de las empresas. 

En las inspecciones relativas al cumplimiento de la RGPD nos hemos encontrado con que los inspectores de la AEPD han dado mucha importancia a la infraestructura técnica. Por lo que recomendamos encarecidamente a los responsables del tratamiento de las empresas que hablen con sus informáticos y auditen toda la red, las copias de seguridad, claves, accesos, instalaciones, etc…
Antiguamente siempre pensábamos en tener todo el papel controlado, las coletillas de advertencia de la LOPD impresas, y de tener guardadas las firmas o consentimientos expresos en documentos físicos, pero actualmente lo que más han estado revisando es la instalación informática.

En este punto es importante reseñar que estamos obligados a comunicar a la autoridad competente en protección de datos cualquier violación, acceso indebido o fuga de datos.

Si es una empresa de Bilbao y quiere recibir la visita gratuita de nuestro consultor en protección de datos rellene el formulario.

¿Qué es la Garantía de Derechos Digitales?

*El DPD es necesario en los siguientes casos:

En Informática Serinfor puedes solicitar el servicio de impartición de talleres y charlas informativos relacionados con la protección de datos.

¿Quieres que tus alumnos, trabajadores, asociados… reciban una masterclasss?

Nuevo Reglamento Europeo de Protección de Datos RGPD, LSSIce y LOPDGDD

El 5 de diciembre de 2018 entra en vigor la LOPDGDD.

¿Qué es la LOPDGDD?

Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
Deja sin efecto la antigua LOPD de 15/1999 y también el Real Decreto Ley 5/2018 de 25 de Julio.
Es la adaptación de la Normativa Nacional al Reglamento Europeo (RGPD).
 
Introduce una novedad extremadamente importante y que nos ateñe a todos:
GARANTIA DE LOS DERECHOS DIGITALES
 
Novedades más relevantes de la GDD:
  • El consentimiento de los menores pasa a los 14 años. Si el usuario es menor de 14 años sus tutores legales los que deban autorizar el tratamiento de sus datos.
  • Incluye el derecho a la desconexión digital en el ámbito laboral. (El empleado no tiene porque estar disponible fuera de horas de trabajo ni por Whatsapp, ni por email y mucho menos por teléfono. Por el derecho a la conciliación de la vida personal y laboral).
  • Derecho a la intimidad en el ámbito laboral. Videovigilancia en el trabajo, supervisión de conversaciones digitales privadas, etc…
  • Amplia los derechos al olvido en Internet y redes sociales. Toda persona puede solicitar que se supriman sus datos personales de Internet.
  • Derecho a la educación digital. Incluir competencias digitales en los centros educativos en la educación obligatoria a nuestros menores. Alertándoles no solo de las ventajas, si no también, de los peligros de Internet, redes sociales, etc…
  • Derecho al testamento digital. Los familiares del fallecido pueden dirigirse a los prestadores de servicios de la sociedad de la información para acceder a sus cuentas digitales y decidir el futuro de estas. Como dato relevante, hoy en día hay más perfilaes de personas fallecidas en Facebook que de personas vivas.
  • Derecho de rectificación y a la actualización de informaciones. Cualquier usario de Interntet tiene derecho a la libertad de expresión, pero a su vez deben garantizarse el derecho de rectificación y la actulización de información.
  • Derecho de acceso universal a Internet. La ley establece el derecho a toda persona a acceder a Internet. Independientemente de su condición personal, social, económica o geográfica.
 
Nota aclaratoria sobre videovigilancia: Para las empresas que graban imágenes y que les habíamos indicado por activa y por pasiva que NO SE PUEDE GRABAR ESPACIOS PÚBLICOS, es interesante conocer que con la nuueva LOPDGDD nos permite un pequeño márgen, ya que nos facilita la grabación de accesos en una franja mínima de la vía pública.
Insistimos en lo de franja mínima, porque como normal general se sigue sin poder grabar los espacios públicos.
 
Nota aclaratoria sobre el DPD: Además de la anterior obligación de ciertas empresas de contar con un Delegado de Protección de Datos, como eran los que tratan datos especiales, tratan datos de infracciones penales, o los que crean perfiles con datos personales, organismos y autoridad pública.
Se extiende la obligación de contar con un DPD a estas otras empresas y entidades; Aministraciones públicas, los colegios profesionales, los centros docentes, las universidades, las entidades que presten servicios de comunicaciones electrónicas que traten datos a gran escala, los prestadores de servicio de la SI cuando elaboren perfiles a gran escala, las entidades incluidas en el artículo 1 de la Ley 10/2014 de 26 de Junio de ordenación, supervisores de solvencia de entidades de crédito, los establecimientos financieros de crédito, las entidades que desarrollan actividades de publicidad y prospección comercial que elaboren perfiles de los usuarios, los centros sanitarios (a excepción de los profesionales a título individual), las empresas que emiten informes comerciales que puedan referirse a personas físicas, los operadores de juego, empresas de seguridad privada, entidades aseguradoras y reaseguradoras, las empresas de servicio de inversión, las entidades responsables de ficheros comunes para la evaluación de solvencia profesional y crédito, los distrubuidores y comercializadores de energía eléctrica y gas natural, las federaciones deportivas que tranten datos de menores de edad.
 
Por lo que los derechos de los ciudadanos pasan a ser:
  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de oposición
  • Derecho de supresión (al olvido)
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad
  • Derecho a no ser objeto de decisiones individuales automátizadas
  • Derecho de información

Es de todos conocido que el 25 de Mayo de 2018 entra en vigor la nueva normativa europea de protección de datos, conocida como RGPD. Todas las empresas deberán adaptar sus medidas a la nueva ley orgánica de protección de datos.

¿Cómo impactará la RGPD a los ciudadanos?

  • Además de los derechos ARCO, los ciudadanos contarán con nuevos derechos, el derecho al olvido, a la limitación del uso de sus datos, y a la fácil portabilidad de sus datos.
    El derecho al olvido, es el derecho que tienen todos los ciudadanos a poder borrar la información relativa a su persona, fotografías, datos, etc… de cualquier lugar en el que se encuentre, incluidas las redes sociales, blogs y buscadores.
    La limitación de uso de datos, el ciudadano puede ceder sus datos a cualquier empresa para obtener un servicio. En muchos casos esos datos se almacena de manera perpetua, actualmente el ciudadano tiene derecho a que sus datos únicamente se usen para esa ocasión en particular, y posteriormente sean eliminados.
    La portabilidad de los datos, como ciudadanos tenemos derecho a que en el caso de desear traspasar nuestros datos de una empresa a otra (por ejemplo de una compañía de seguros médicos a otra). De esta manera la empresa deberá traspasar nuestros historial de una manera rápida, eficaz y segura a nuestro nuevo proveedor de servicios médicos. Lo mismo sucede con empresas energéticas, de telefonía, etc…
  • El ciudadano dispondrá del derecho a ser tratado en una “única ventanilla” para que así sea más sencillo realizar trámites en empresas que tengan sedes en otros países europeos (miembros de la CEE).
  • La minimización y transparencia  en los datos, un ciudadano tiene derecho según la nueva normativa europea de protección de datos a que sus datos se traten de una forma transparente, segura y a conocer con qué finalidad se recogen. Un claro ejemplo sería el exceso en dicha solicitud y la falta de claridad en la misma.
    Proporcionalidad.- No sería lógico que una empresa de venta de corbatas, te pregunte por el número de hijos o lugar de nacimiento. La solicitud de datos ha de ser proporcionada al servicio o producto adquirido.

 

¿Cómo afectará la RGPD a las empresas?

  • Creación de la figura del delegado de protección de datosDPD.- El DPD no será requerido en todas las empresas, únicamente en las que dispongan de más de 250 trabajadores, o bien que dispongan de un alto volumen de datos, datos sensibles o grupos de empresas. También será requerido en empresas que utilizan perfiles para fines publicitarios. Un ejemplo de esto serían las empresas que usan la tecnología Big Data.
  • Obligación de realizar análisis de riesgo y evaluaciones de impacto.- Con la antigua normativa LOPD nos exigían realizar un auditoria cada dos años en niveles medio y alto, con la nueva normativa, los niveles desaparecen, y únicamente se dividen en “datos” y “datos sensibles”. El análisis de riesgo no discrimina entre “niveles”, se debe hacer una revisión/auditoria continua y actualizada en tiempo real. En definitiva, pro-activa y constante.
  • Evaluación de impacto.- Si en el análisis de riesgo vemos una amenaza elevada en lo que al tratamiento de los datos se refiere, aplicaremos la “evaluación de impacto”
  • Registro de Obligaciones de Tratamiento.– Obligación de registrar documentalmente las operaciones de tratamiento.
  • Nuevas notificaciones a la autoridad de control.- En caso de diagnosticar una brecha de seguridad tenemos la obligación de notificárselo a la Agencia Española de Protección de Datos antes de 72 horas.
  • Más información al afectado.- Debemos explicar de forma breve y concisa el motivo por el que recogemos esos datos, y cuál va a ser su tratamiento y la finalidad del mismo.
  • Anulación del consentimiento tácito.- Queda anulado el consentimiento tácito, por lo que para poder enviar información comercial se necesita un consentimiento expreso.
  • Apercibimiento.- Desaparece la advertencia si la agencia detecta un fallo en la custodia y gestión de los datos. Sancionando de manera directa.
  • Sanciones.- Al desaparecer el apercibimiento la sanción mínima sería de 900 €. Sanciones graves hasta 10 millones de euros, o el 10% de la facturación del año anterior. Sanciones muy graves, hasta 20 millones de euros, o el 4% de la facturación del año precedente.

 

 

Expertos en implantación de la LOPD en Bilbao

ADAPTAMOS CUALQUIER EMPRESA A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS o LOPD en Bilbao.

Todas las empresas necesitan tener implantada la Ley de Protección de Datos. Nuestro comercial del departamento de seguridad será el encargado de realizarte una visita en tu empresa para estudiar tus necesidades y realizarte un asesoramiento y un presupuesto de manera gratuita y sin compromiso.

En el caso de aceptar nuestro presupuesto, realizaremos la implantación de la Ley Orgánica de Protección de datos (LOPD) en la empresa:

  • En primer lugar, nos encargamos de la Inscripción de la empresa y de sus archivos en la Agencia Española de la Protección de Datos (AEPD).
  • A continuación implantamos todas las medidas de seguridad necesaria en la empresa: de carácter informático, organizativas, de control de documentos, etc.
  • Por último, redactamos el documento de seguridad que las empresas necesitan disponer.

La Protección de Datos de Carácter Personal es una materia que ha tomado importancia en los últimos años, fundamentalmente a raíz de la aprobación de la L.O. 15/1999 de Protección de Datos de Carácter Personal, convirtiéndose en una obligación a cumplir por las empresas, si no quieren estar expuestas a duras sanciones por la Agencia Española de Protección de Datos.

Además de otras vulneraciones de la Ley de carácter civil, penal o laboral, el incumplimiento de la Ley Orgánica de Protección de Datos puede ocasionar la imposición por la Agencia Española de Protección de Datos en el ejercicio de sus funciones, ya sea por inspección de oficio o abierta a instancia de parte. Las sanciones son de carácter económico y su cuantía oscila entre 601,01 y 601.012,10 Euros.

Impartimos charlas sobre la Protección de Datos

Sabemos lo importante que es cumplir con la Ley de Protección de datos, LSSIce y RGPD. Pero además, también queremos que entiendas en qué consiste cada una. Por eso impartimos charlas o master class sobre protección de datos.

Un ejemplo de ello es la que hemos realizado ya en la Business Deusto School de la Universidad de Deusto en su campus de Donostia.

En esta oportunidad, los alumnos aprendieron que antes de diseñar cualquier campaña de marketing se ha de tener en cuenta primero el Reglamento General de Protección de Datos.

Con este nuevo reglamento del RGPD, entre otras novedades, desaparece el consentimiento tácito y aparece una nueva figura, el Delegado de Protección de Datos (DPD).

Toda empresa debe garantizar:

  • La confidencialidad, la integridad y la disponibilidad.
  • La resistencia de los sitemas de forma continua.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos tras un incidente técnico o físico.

Nuevos derechos de los ciudadanos:

  • Derecho al olvido.
  • Derecho a la limitación de uso de datos.
  • Derecho a la portabilidad.

Si deseas conocer más de cerca en qué consiste la Protección de Datos o que impartamos alguna charla en tu empresa o centro de formación, no dudes en ponerte en contacto con nosotros.

¿Qué es la LOPD?

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar. Somos expertos en LOPD en Bilbao.

La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión personal, proveedores, clientes, campañas de marketing, etc.

Obligaciones básicas de las empresas

En definitiva, todas las empresas deberán:

Declarar  los  ficheros  automatizados  (informáticos)  y  no  automatizados  (en papel) con datos de carácter personal a la Agencia de Protección de Datos.

Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD:

  •  Principio del consentimiento del afectado.
  •  Principio de información al afectado.
  •  Principio de calidad de los datos.

 

Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.

Como aspectos básicos se requiere:

  • Disponer de un Documento de Seguridad.
  • Definir e implantar los Procedimientos requeridos.
  • Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
  • Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.

 

Cumplir con las Medidas de Seguridad según el tipo o nivel de datos disponga.

Determinadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal.

TIPOS Y NIVELES DE DATOS

 Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:

Nivel básico

Todos los datos de carácter personal estarán, como mínimo, en este nivel.

A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.

Nivel medio

En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.

A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.

 Nivel alto:

En general, los datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto.

MEDIDAS DE SEGURIDAD OBLIGATORIAS

Medidas de seguridad Nivel Básico (Bajo):

  • Documento de seguridad.
  • Definición de funciones del personal.
  •  Registro de incidencias.
  • Identificación y autentificación de usuarios.
  • Control de acceso.
  • Gestión de soportes y documentos.
  •  Mantenimiento de copias de seguridad y soportes informáticos. Obligatoria copia de seguridad y privar acceso.

Medidas de seguridad Nivel Medio:

  • Incluye las medidas del nivel anterior.
  • Responsable de seguridad.
  • Auditoria bienal.
  • Control de acceso físico. (Servidores en armario rack, habitación, etc.)

    Medidas de seguridad Nivel Alto:

  • Incluye las medidas de los dos niveles anteriores.
  • Distribución de soportes. (Copias externalizadas)
  • Registro de accesos. (Guardar los logs durante 24 meses mínimo)
  • Cifrado de copias. (Copias de seguridad encriptados)
  •  Cifrado de telecomunicaciones. (Envió de Emails encriptados)

 

RÉGIMEN SANCIONADOR: (las infracciones se clasifican según la gravedad)

LEVES:

  •  No atender la solicitud de rectificación o cancelación por motivos formales.
  •  No proporcionar información a la APD.
  •  No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
  •  Recoger datos sin proporcionar información a los afectados.
  •  Incumplir el deber de secreto (puede ser infracción grave).

Se sancionan con multas de 900€ a 40.000€

GRAVES:

  • Recoger datos personales sin consentimiento expreso de los afectados.
  • Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
  • Mantener datos inexactos, sin rectificar o cancelar.
  • Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
  • Vulnerar el deber de secreto de ficheros de nivel medio.

Se sancionan con multas de 40.001€ a 300.000€

MUY GRAVES:

  • Recoger datos personales de forma engañosa o fraudulenta.
  • Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido.
  • Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD.
  • No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición.
  • No atender sistemáticamente el deber de notificación de la inclusión de datos personales.

Se sancionan con multas de 300.001€ a 600.000€

Implantación Protección de Datos

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), obliga a todos los profesionales, autónomos, empresas y organismos, tanto privados como públicos, que traten con datos de carácter personal, a cumplir unas normas estrictas para poder utilizar dichos datos. En Serinfor somos expertos en la implantación de LOPD en Bilbao, ya que contamos con expertos asesores y formadores en el ámbito.

Según el Real Decreto 1720/2007 de 21 de diciembre de 2007, por el cual se aprueba el nuevo Reglamento de desarrollo de la Ley Orgánica 15/1999 a 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que entro en vigor en Abril del 2008. Están obligados a cumplir unas nuevas y más estrictas normas para poder utilizar dichos datos, además de obligar a aplicar MEDIDAS DE SEGURIDAD para almacenarlos y garantizar al titular de los mismos, aquellos derechos básicos que respetan su intimidad personal y familiar.

Evita sanciones, cumple con la LOPD

El desconocimiento de la ley no exime de su cumplimiento.

Te ofrecemos nuestros servicios profesionales de adaptación a la LEGISLACIÓN vigente de una forma fácil, sencilla y asequible con:

Informática Serinfor Bilbao, departamento de RGPD ofrece un servicio personalizado, con programa informático diseñado para garantizar al 100% la adaptación de las empresas a LOPD.

Con nuestro sistema de cumplimiento de la LOPD/LSSIce/RGPD dispondrá de un programa informático que bajo entorno Windows, permite registrar el acceso a aquellos programas de los usuarios que se determine, limitar el uso u acceso a las herramientas del sistema que el administrador decida y encriptar (cifrar) archivos.

¿POR QUÉ ADAPTARSE A LA LEY?

  • Porque es obligatorio.
  • Para evitar inspecciones y sanciones.
  • No   tratar   los   datos   adecuadamente (Listados y documentos en la  basura).
  • La   denuncia   de   un   cliente   o   de   un competidor.
  • Presión de colectivos y trabajadores.
  •  Para evitar errores en el trato de datos de carácter  personal con graves cconsecuencias.
  •  Para proteger el fondo de comercio que es  lo más importante de la empresa.
  •  Porque  los clientes son conscientes de sus derechos y los ejercen contra las empresas.
  •  Para evitar multas de hasta 600.000€.

Beneficios de adaptarse a la Ley

  • Permite a su empresa cumplir con la legalidad.
  •  Evita el riesgo de ser sancionada por incumplir con sus obligaciones como responsable de aquellos datos de carácter personal que le hayan delegado para la prestación de un servicio en concreto.
  •  Transmite una imagen de calidad que diferencia a su empresa ante los clientes de sus competidores.
  •  Fomenta la adopción de medidas de seguridad, tanto técnicas como organizativas, que protegerán las pérdidas de activos críticos de su negocio.

 

SERVICIOS PARA ADAPTARSE A LA LOPD

ADAPTACIÓN JURÍDICA

Aseguramos que su empresa cumpla la LOPD. El Documento de Seguridad se entrega en formato digital con nuestro software y también dispone de la versión web, diseñado para poder actualizarlo periódicamente según exige la ley.

ADAPTACIÓN TÉCNICA

Implantación de las Medidas de Seguridad obligatorias. Control de usuarios, registro de accesos, logs, encriptación, copias de seguridad, backup online remoto, carpetas seguras, USB seguros, etc.

AUDITORÍAS DE SEGURIDAD

Analizamos  el  nivel  de  seguridad  de  su empresa. Realizamos una revisión anual mínima a todos nuestros clientes, y certificamos  una  auditoría  periódica  en los que la Ley exige el cumplimiento de la normativa vigente.

FORMACIÓN  DE  RESPONSABLES  Y USUARIOS DE LOPDEN BILBAO.

Formamos al Responsable de los ficheros y al personal encargado de los mismos para el adecuado cumplimiento de la Ley, evitando así problemas derivados del tratamiento indebido de datos.

CÓMO REALIZAMOS LA ADAPTACIÓN, CONSULTORIA PARA EL CUMPLIMIENTO DE LA LOPD Y MEDIDAS DE SEGURIDAD.

  • Auditoría Técnica / Toma de datos / información.
  • Elaboración del Documento de Seguridad / Inscripción de Ficheros / Contratos con los Responsables de tratamiento de los Ficheros.
  •  Instalación de  y formación.
  •  Implantación de las Medidas de Seguridad Obligatorias.
  •  Contrato de mantenimiento, asesoría permanente,   revisión anual y auditoría obligatoria.

 

Informática Serinfor, departamento de Protección de Datos

  •  CONSULTORÍA.
  •  AUDITORÍA TÉCNICA.
  •  PROGRAMA DE CIFRADO DE DATOS
  •  IMPLANTAMOS LAS MEDIDAS DE SEGURIDAD OBLIGATORIAS DE LA RGPD
  •  ACTUALIZACIONES, SOPORTE Y MANTENIMIENTO.

 

GARANTIZAMOS EL CUMPLIMIENTO 100% DE LAS NORMATIVAS.