300 likes | 485 Views
Manual de Formación. Principios de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). May-2009. Contenido. Concepto, Objeto y Ámbito de aplicación Normativa aplicable Control del cumplimiento Sujetos obligados y obligaciones Derechos de los interesados
E N D
Manual de Formación Principios de la Ley Orgánica 15/1999de Protección de Datos de Carácter Personal (LOPD) May-2009
Contenido Concepto, Objeto y Ámbito de aplicación Normativa aplicable Control del cumplimiento Sujetos obligados y obligaciones Derechos de los interesados La protección de datos en COELCA Ficheros existentes Responsables de Seguridad
1. Concepto, Objeto y Ámbito de Aplicación Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
1. Concepto, Objeto y Ámbito de Aplicación (I) Qué es la protección de datos de carácter personal Es un derecho fundamental recogido en la Constitución Española Lo tienen todas las personas físicas (particulares) Consiste en un poder de disposición sobre los propios datos, que permite al interesado (al particular) conocer en todo momento quién trata sus datos, para qué finalidad, de dónde los ha obtenido y a quién se los ha cedido. Este derecho a conocer lo tiene el interesado frente a cualquier entidad pública o privada, o administración.
1. Concepto, Objeto y Ámbito de Aplicación (II) Qué protege este derecho Protege los datos de carácter personal Qué es un dato personal Es cualquier información relativa a una persona física identificada o identificable Por tanto es un dato personal el nombre, los apellidos, el DNI, la dirección (postal, electrónica), la fecha y lugar de nacimiento, la imagen, la voz, los datos de filiación (nombre de los padres), datos bancarios, matrículas, alergias, minusvalías, profesión, etc De quién son los datos personales De las personas físicas (la ley los llama “interesados o afectados”) Las personas jurídicas (las empresas) no gozan de este derecho
1. Concepto, Objeto y Ámbito de Aplicación (III) ¿En COELCA hay datos personales? Sí, todas las empresas, públicas y privadas, así como las administraciones, necesitan tratar los datos personales de las personas que con ellos se relacionan (trabajadores, clientes, proveedores, administrados, visitantes, etc) para cumplir distintas finalidades (laborales, económicas, de servicio público, de vigilancia y control de accesos, seguridad, etc). Los datos normalmente se agrupan y organizan en “ficheros” para facilitar su tratamiento. Cuando una entidad decide crear un fichero se convierte en responsable del fichero. COELCA es la responsable de los ficheros.
1. Concepto, Objeto y Ámbito de Aplicación (IV) COELCA es responsable de 5 ficheros de datos personales • El nivel de seguridad indica qué tipos de datos contiene el fichero y su grado de confidencialidad, así como las medidas que hay que adoptar para su protección
2. Normativa Aplicable Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
2. Normativa aplicable (I) Qué normas regulan este derecho a la protección de los datos personales Constitución Española, art. 18 Directiva Europea 95/46/CE Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Cuál es el objeto de esta normativa garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar
2. Normativa aplicable (II) Cuál es el ámbito de aplicación de la normativa Se aplica a todos los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Por tanto, se aplica al tratamiento de los datos tanto en soporte manual (en papel) como en soporte automatizado (informático) se aplica tanto a las entidades públicas como privadas, y a las administraciones
3. Control del cumplimiento Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
3. Control del cumplimiento Quién se encarga de controlar que esta normativa se cumple La Agencia Española de Protección de Datos (AEPD): que es un ente de derecho público, adscrito al Ministerio de Justicia pero que actúa con plena independencia de las Administraciones Públicas, encargado de velar por el cumplimiento y aplicación de la normativa de protección de datos. Se encarga de realizar inspecciones y, en su caso, imponer sanciones (tanto a las entidades privadas como a las públicas, y administraciones) Atiende las denuncias de los interesados que creen que su derecho a la protección de datos ha sido vulnerado Dispone de un Registro General en el que se inscriben todos los ficheros tanto de titularidad pública como privada.
3. Control del cumplimiento (II) Qué sanciones pueden imponerse Las sanciones que pueden imponerse son las siguientes: Infracciones (art. 44) Sanciones* (art. 45) Leves De 601 a 60.101 € Graves De 60.101 a 300.506 € Muy graves De 300.506 a 601.012 € * Céntimos eliminados
4. Obligaciones y Sujetos Obligados Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
4. Obligaciones y Sujetos obligados (I) Qué obligaciones impone la normativa de protección de datos Crear los ficheros de datos personales necesarios para la realización de las actividades legítimas de la entidad e inscribirlos en el Registro General de Protección de datos de la AEPD. Recabar y tratar los datos únicamente para cumplir finalidades determinadas, explícitas y legítimas(principio de finalidad y calidad). Recabar y tratar los datos estrictamente necesarios para el cumplimiento de las finalidades indicadas, es decir, no recabar más datos de los necesarios (principio de calidad de los datos) Cancelar los datos cuando dejen de ser necesarios para la finalidad que motivó su recogida. Si existe alguna disposición legal que obligue a la conservación de los datos para atender responsabilidades legales nacidas del tratamiento se conservarán bloqueados a disposición únicamente de las administraciones públicas, jueces y tribunales durante el tiempo de prescripción de tales obligaciones. Transcurrido este tiempo se eliminarán de forma segura. (principio de calidad de los datos)
4. Obligaciones y Sujetos obligados (II) Qué obligaciones impone la normativa de protección de datos (cont) Informar a los interesados antes de recoger sus datos en los términos exigidos por la LOPD. Se informará de la existencia del fichero, de la identidad y dirección del responsable del mismo, de la finalidad a que se destinarán los datos, de los destinatarios de los datos, de si es obligatorio o no facilitar los datos que se están solicitando y qué ocurrirá si no se facilitan, y de la posibilidad del interesado de ejercitar los derechos de acceso, rectificación, cancelación y oposición que le reconoce la LOPD (principio de información). Obtener el consentimiento de los interesados para el tratamiento de sus datos. La regla general es que siempre es necesario el consentimiento del interesado, si bien existen excepciones: por ejemplo, cuando una disposición con rango de ley así lo establezca; cuando los datos se recojan para el cumplimiento de las finalidades propias de las administraciones públicas en el ámbito de sus competencias; cuando se refiera a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando tenga por finalidad proteger un interés vital del interesado; etc (principio de consentimiento).
4. Obligaciones y Sujetos obligados (III) Qué obligaciones impone la normativa de protección de datos (cont) No tratar datos que están especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual) sin consentimiento expreso y, en algunos casos, por escrito del interesado. No comunicar o ceder los datos a terceros sin consentimiento previo del interesado. Por excepción se podrán ceder los datos sin este consentimiento cuando una disposición con rango de ley así lo establezca; cuando la comunicación sea necesaria para el desarrollo, cumplimiento o control de una relación jurídica con el interesado; cuando la comunicación tenga por destinatarios al Defensor del Pueblo, al Ministerio Fiscal, Jueces o Tribunales o al Tribunal de Cuentas (en el ejercicio de sus respectivas funciones); etc (principio de cesión). Suscribir contratos de encargos de tratamiento con el contenido señalado expresamente en la LOPD con los terceros (proveedores) que accedan a los datos para prestar un servicio al responsable del fichero (COELCA) -p.e. servicios de gestoría laboral, fiscal, auditorías, mantenimiento de equipos informáticos, abogados, etc-(principio de acceso a datos). A estos terceros la ley los llama “encargados de tratamiento”.
4. Obligaciones y Sujetos obligados (IV) Qué obligaciones impone la normativa de protección de datos (cont) Adoptar las medidas de seguridad técnicas y organizativas necesarias para la protección de los datos. Estas medidas se adoptarán tanto sobre los sistemas de información automatizados (informáticos) como sobre los archivos y documentos en papel (principio de seguridad). Formar e informar al personal que trata datos personales en el desarrollo de sus funciones sobre las obligaciones existentes, las medidas de seguridad que deben adoptar para la protección de los datos y las consecuencias del incumplimiento. Guardar los datos que se conozcan y cumplir la obligación de secreto profesional incluso después de terminadas las relaciones con el titular o con el responsable del fichero. Esta obligación de secreto y custodia es exigible al responsable del fichero y a todos los que trabajen para él (deber de secreto).
4. Obligaciones y Sujetos obligados (V) Quién debe cumplir estas obligaciones El responsable del fichero El encargado de tratamiento Todo el personal que trata datos en el desarrollo de sus funciones (todos nosotros!) Las obligaciones señaladas debe cumplirlas en primer lugar el responsable del fichero (COELCA). Es a él a quien, en su caso, se dirigirá la AEPD a exigirle el cumplimiento y las responsabilidades que procedan. En algunos casos, estas obligaciones incumben también al encargado de tratamiento (aquel proveedor que trata los datos por cuenta del responsable del fichero para prestarle un servicio): por ejemplo, es su responsabilidad aplicar las medidas de seguridad necesarias para la protección de los datos, y cuantas otras acuerde con el responsable del fichero. Todos los trabajadores que por sus funciones intervienen en el tratamiento de los datos están obligados al deber de secreto profesional, a guardar los datos, a custodiarlos y a aplicar las medidas de seguridad que el responsable del fichero establezca.
4. Obligaciones y Sujetos obligados (VI) Algunos ejemplos de aplicación práctica En todos los impresos, formularios, contratos, etc, que se utilicen para recoger datos de los interesados se insertará una cláusula o texto en el que se informe a los interesados del tratamiento de sus datos y, en su caso, se obtenga su consentimiento. Estas cláusulas las facilitará el área jurídica a cada departamento. En los contratos de trabajo figurará un anexo en el que se informará a los trabajadores también del tratamiento que COELCA hace de sus datos. En este caso no es necesario el consentimiento de los trabajadores por estar en una de las excepciones (relación laboral) pero si la información. Cuando se precise recabar datos personales adicionales a los que figuran en los ficheros creados habrá que valorar la necesidad de crear un nuevo fichero. Cuando se precise contratar a un tercero –proveedor- para la prestación de un servicio habrá que considerar si el mismo implicará o no acceso a los datos o sistemas de COELCA, para en tal caso suscribir el contrato específico correspondiente. Cuando un tercero ajeno a COELCA solicite datos, habrá que verificar si está o no legitimado para ello, si el interesado ha consentido o si es aplicable alguna excepción. Habrá que adoptar medidas de seguridad para la protección de los datos que figuren en los soportes informáticos y en los documentos y archivos en papel. No se podrán conservar los datos de manera indefinida en los sistemas o archivos,si dejan de ser necesarios han de ser cancelados. Cuando un trabajador, cliente o proveedor termina su relación con nuestra empresa, sus datos dejan de ser necesarios por lo que habrá que cancelarlos. Ahora bien, antes de cancelarlos se comprobará si existe alguna obligación legal de conservación de esos datos: Si no existe obligación legal de conservación, los datos se eliminarán definitiva y totalmente. Sólo podrían mantenerse disociados o con consentimiento expreso del interesado. Si existe obligación legal de conservarlos, se conservarán bloqueados durante el plazo legalmente establecido y a disposición únicamente de las administraciones, jueces y tribunales. P.e. normativa fiscal, laboral, social, mercantil, etc.
5. Derechos de los Interesados Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
5. Derechos de los interesados (I) Qué derechos reconoce la ley a los interesados La LOPD reconoce a los interesados (particulares titulares de los datos), entre otros, los siguientes derechos: Derecho de acceso, derecho a solicitar y obtener información del responsable del fichero sobre: Si sus propios datos están siendo objeto de tratamiento La finalidad del tratamiento que se esté realizando El origen de sus datos, y Las comunicaciones realizadas o que se prevea realizar Derecho de rectificación, derecho a instar al responsable del fichero a rectificar, corregir o modificar sus datos cuando sean inexactos o incompletos. Derecho de cancelación, derecho a solicitar que se supriman sus datos cuando sean inadecuados o excesivos. Derecho de oposición, derecho a oponerse al tratamiento de sus datos, a que dejen de usarse Derecho de consulta a la AEPD sobre los ficheros y tratamientos de datos existentes. Se ejercita a través de la web www.agpd.es
5. Derechos de los interesados (II) Qué derechos reconoce la ley a los interesados (cont) Los derechos se ejercitan siempre de manera gratuita. Los derechos deben ejercitarlos siempre los propios interesados y respecto a sus propios datos, por lo que deberán acreditar su identidad. Puede actuarse a través de representante cuando se acredite la representación. La solicitud de ejercicio de estos derechos por los interesados debe reunir una serie de requisitos. La respuesta por parte del responsable del fichero también está sujeta a términos y plazos estrictos. Por ello, en COELCA se ha establecido un procedimiento para atender a los interesados y sus solicitudes que está controlado por el Dpto. de Recursos Humanos. Por tanto, cuando alguien solicite información sobre estos derechos o pretenda ejercitarlos debe indicársele que se dirija a estas áreas.
5. Derechos de los interesados (III) Qué es lo que todos debemos saber sobre los derechos de los interesados y su atención en COELCA Instrucciones generales para todo el personal Todas las empresas o entidades usan datos personales de sus proveedores, de clientes, de las personas interesadas en trabajar en ellas, de sus propios trabajadores, etc, para desarrollar su actividad, tales como nombre, dirección, teléfono, profesión,.….. Para proteger estos datos personales existe una ley, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (conocida como LOPD). Una de las formas que tiene esta ley de proteger los datos es reconociendo ciertos derechos a esas personas titulares de los datos: el derecho de acceso, que consiste en conocer qué datos tiene COELCA de esa persona el derecho de rectificación, que permite corregir o modificar los datos que no son exactos o completos el derecho de cancelación, que permite solicitar que se eliminen los datos el derecho de oposición, que permite solicitar que se dejen de tratar los datos Para ejercitar estos derechos existen unos requisitos, formas y plazos muy estrictos establecidos por la propia Ley, por lo que COELCA ha decidido que sea un solo departamento el que se encargue de atender este tipo de solicitudes. Por ello, cuando alguien (proveedores, clientes, personas interesadas en trabajar aquí, etc) solicite cualquier información sobre estos derechos se le indicará que debe dirigirse por escrito a la siguiente dirección: COMERCIAL ELECTRICA CANARIAS S.A. (COELCA). UNION AZUFRERA Local 2 Apartado 57 38108 - La Laguna, Tenerife Ante cualquier duda o problema contacta inmediatamente con el Dpto. de Recursos Humanos en el teléfono 922.62.63.62Asimismo contacta telefónicamente con el Dpto. de Recursos Humanos si la persona te plantea alguna dificultad para dirigirse a la dirección indicada.
6. La protección de datos en COELCA (I) Qué ficheros existen en COELCA Los ficheros existentes en COELCA son los siguientes:
6. La protección de datos en COELCA (II) Qué medidas se han adoptado para la seguridad de los datos COELCA ha elaborado las cláusulas informativas y contratos necesarios para informar a los trabajadores, clientes, proveedores, etc. Asimismo, ha elaborado un Documento de Seguridad –exigido por la ley- en el que se recoge la política de protección de los datos adoptada y las medidas de seguridad necesarias para la protección de los datos. Este documento es de obligado cumplimiento para todo el personal que trata datos personales en el desarrollo de las funciones asignadas. La mayoría de las medidas de seguridad recogidas en el Documento de Seguridad ya se están implantando, las restantes se irán adoptando paulatinamente con la colaboración de todos. El Documento de Seguridad, la parte de general conocimiento, se publicará en la intranet para que todo el personal pueda conocer las medidas de seguridad aplicables.
6. La protección de datos en COELCA (III) Quién se encargará de que se cumplan las medidas de seguridad en COELCA Los Responsables de Seguridad, que son las personas a las que COELCA ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Estas personas son: Ángeles Acosta (Responsable de Seguridad Departamental) Alberto San Miguel (Responsable de Seguridad Técnico) No confundir Responsable de Seguridad (las personas señaladas anteriormente) con Responsable del fichero que será siempre COELCA. A quién debo dirigirme si tengo una duda sobre esta materia de protección de datos A los responsables de seguridad
AVANTIC Dpto. RR HH