1. Introducción a la LOPD · En el año 1992 se promulga la Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD) · Se crea la Agencia de Protección de Datos, y es a partir del año 1994 cuando se impone la obligación de inscribir los ficheros con datos personales en dicha agencia. · El 11 de junio de 1999 entra en vigor el Reglamento 994/1999 que define las medidas de seguridad adecuadas para ficheros automatizados que contengan datos de carácter personal. Estas medidas son de índole jurídica, técnica y organizativa, siendo necesarias para garantizar la seguridad de los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y personas que intervengan en el tratamiento de los mismos. · El 14 de enero de 2000 entró en vigor la nueva Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre que derogando la Ley Orgánica 5/1992 (conocida como LORTAD) adaptándola a la directiva comunitaria. · Para profundizar en el tema recomendamos la lectura de la Ley y el Reglamento. 2. Argumentario 2.1 Preguntas y respuestas · ¿ A quién obliga la LOPD? - La LOPD obliga a cualquier empresa pues como mínimo tiene datos personales referentes a clientes, proveedores y empleados - Cualquier despacho tiene datos personales relativos a la afiliación sindical de trabajadores, retenciones de IRPF correspondientes a minusválidos, datos médicos de seguros, siniestros, etc. Todos estos datos están tipificados por la ley como especialmente protegidos y suponen un riesgo importante para la empresa. - Si el despacho efectúa tratamiento de datos que le ceden sus clientes y no tiene regulada tal cesión mediante contrato, suponiendo tal práctica un riesgo importante. - Cualquier operación de marketing con los clientes del despacho puede representar un riesgo importante para su empresa - Cualquier sindicado beligerante o empleado (suyo o de sus clientes) puede utilizar la LOPD como medida de presión. · ¿De qué sanciones podemos estar hablando? - Las sanciones pueden llegar hasta 600.000 € (100 millones de pesetas) y en los medios de comunicación han aparecido numerosos casos de sanciones graves de 300.000 € (50 millones) de pesetas por simplemente no atender a los requerimientos de la APD. - 1939 millones de pesetas en sanciones durante el año 2000 - La propia APD se financia con las sanciones que impone. · ¿Qué obligaciones tiene una empresa respecto a la LOPD? Cualquier empresa y muy especialmente un asesor debe tomar una serie de medidas obligatorias: § Informáticas: Adecuación los controles de acceso de los programas informáticos, copias de seguridad, gestión de soportes, cifrado de datos, … § Organizativas: Creación e implantación del Documento de Seguridad que es un documento que exige la ley y contiene la política de seguridad de la empresa respecto a los datos personales. § Jurídicas: Alta de ficheros en la Agencia de protección de datos, adecuación en la entrada y salida de datos, cláusulas de confidencialidad para empleados, contratos con proveedores, informar y obtener el consentimiento de sus clientes y realizar un contrato entre el despacho y sus clientes (sólo en el caso de despachos) · Tenemos nuestra empresa conforme a lo dispuesto por la LOPD. Debemos averiguar hasta que punto se ha adecuado la compañía a la LOPD. ¿Tienen el Documento de Seguridad que exige la Ley? El Documento de Seguridad es un documento escrito que contiene la política de seguridad de la empresa respecto a la protección de datos. El Documento contiene los procedimientos de seguridad que exige la ley, las funciones y obligaciones del personal, así como el detalle de los ficheros con datos personales y los programas informáticos que los tratan. ¿Han declarado los ficheros a la Agencia de Protección de Datos? Por ley es obligatorio declarar los ficheros de la empresa que contengan datos personales en el Registro General de la Agencia de Protección de Datos. Este trámite administrativo es un paso imprescindible para legalizar la situación de los ficheros de cualquier empresa. ¿Han adecuado los contratos de los proveedores que realizan algún tratamiento de datos a la problemática de la LOPD? Por ley debe existir un contrato firmado con cualquier proveedor que realice algún tratamiento de los datos personales (p.e. mailings, marketing, selección, otros despachos, etc.) con tal de regularizar legalmente tal situación. ¿Tiene firmado un contrato entre su despacho y sus clientes que regule el tratamiento de datos que usted realiza? Es imprescindible la firma de un contrato de acuerdo con la LOPD entre un despacho y sus clientes para regularizar legalmente el tratamiento de los datos de nómina, laborales, etc. La inexistencia de este contrato puede suponer un riesgo muy importante para un despacho. ¿Existe una política de seguridad en su empresa respecto a la protección de datos? Cualquier empresa debe tener implantada un política de seguridad respecto a los datos personales, principalmente en el ámbito informático y para los empleados que trata dichos datos. ¿Tiene establecido un servicio para que las personas afectadas puedan acceder, cancelar y rectificar sus datos? Cualquier ciudadano tiene el derecho de acceder, cancelar o modificar sus datos personales. Cualquier empresa (especialmente un despacho) debe habilitar un circuito para que el ciudadano pueda ejercer dicho derecho. La inexistencia de este circuito puede acabar en denuncia ante la Agencia. · ¿ Qué documentación y soluciones van a proporcionarme ? · Informe de Situación Actual. Informe que recogerá la situación actual de la empresa frente a la LOPD. El informe contendrá los siguientes apartados: - Valoración de la situación actual de la organización - Valoración de los riesgos organizativos y jurídicos de la compañía - Valoración de la estructura informática de la compañía - Sugerencias o recomendaciones organizativas y jurídicas para las diferentes áreas - Elaboración de recomendaciones técnicas necesarias para adaptar la compañía a los niveles de seguridad establecidos por el Reglamento. Si la empresa posee ficheros con datos personales de "nivel alto", el informe es totalmente válido como prueba de realización de la auditoría bianual exigida por el Reglamento. · Documento de Seguridad Documento de seguridad completo según las exigencias del Reglamento, generado a partir de la información recogida en la fase de diagnóstico. El Documento de Seguridad es un documento escrito que contiene la política de seguridad de la empresa respecto a la protección de datos. El Documento contiene los procedimientos de seguridad que exige la ley, las funciones y obligaciones del personal, así como el detalle de los ficheros con datos personales y los programas informáticos que los tratan. · Alta de ficheros en la Agencia de Protección de Datos Alta de los ficheros en la Agencia de Protección de Datos detectados en la fase de diagnóstico.