(+34) 925 36 68 97        info@arcodatos.com

acceso a clientes protección de datos

Adaptación Protección de Datos (LOPD)

Adaptamos todo tipo de entidades a la LOPD empresas privadas y públicas

PROTECCION DE DATOS (LOPD)

1.1 ADAPTACIÓN DE EMPRESAS Y ENTIDADES

1.2 PROCEDIMIENTOS:

1.2.1 IMPLANTACIÓN

1.2.1.1 IDENTIFICACIÓN Y ANÁLISIS DE FICHEROS

1.2.1.2 INSCRIPCIÓN DE FICHEROS

1.2.1.3 ELABORACIÓN DEL DOCUMENTO DE SEGURIDAD Y CONTRATOS

1.2.1.4 ELABORACIÓN PERSONALIZADA DE CLAUSULAS

1.2.2 ACTUALIZACIÓN Y REVISIÓN

1.2.3 AUDITORÍA

1.3 BENEFICIOS DEL CUMPLIMIENTO LOPD

  1. PROTECCION DE DATOS (LOPD)

  1. ADAPTACIÓN DE EMPRESAS Y ENTIDADES

La documentación que elaboramos en Arcodatos cumple con todos los aspectos que se indican en la Ley Orgánica de Protección de Datos Personales 15/1999 de 13 de diciembre y Real Decreto 1720/2007 de 21 de diciembre. El servicio de protección de datos se materializa en un documento de seguridad que incluye: 

  • Notificación de ficheros a la Agencia Española de Protección de Datos. 

Previo análisis de los datos e identificación de los ficheros con sus niveles de seguridad, se comunican tanto las altas, modificaciones o supresiones teniendo en cuenta la su estructura de datos, sistema de tratamiento, finalidad, origen, cesiones y transferencias internacionales en su caso. 

En el caso de ser necesario se incluirán los ficheros de terceros, en estos se almacena la información de los ficheros de los clientes de la empresa, esto se suele dar en Asesorías fiscales o laborales, en empresas de marketing, en empresas de hosting o de mantenimiento informático entre otras. 

  • Creación de perfiles de usuario. 

A cada usuario se le asignan sus funciones y se define el acceso a los ficheros según su puesto de trabajo. 

Nombramiento de las personas responsables de autorizar o aquéllas que son delegadas, de los administradores y del responsable de seguridad. 

  • Edición de los compromisos de confidencialidad. 

Estos documentos se firman con los usuarios que acceden a los datos y en ellos se indican su obligación de guardar secreto. 

También se elaboran otros documentos para aquellos trabajadores que no acceden a datos, pero que realizan funciones dentro de la empresa y podrían tener a su alcance cierta información en momentos determinados. 

  • Funciones y obligaciones del personal 

Se incluye un pequeño manual relativo a las funciones y obligaciones que tienen los usuarios en materia de protección de datos. Con la acreditación de la entrega al usuario, el empresario podrá cumplir con su deber de información. 

  • Otorgamiento de autorizaciones permanentes o temporales. 

Para la entrada y salida de soportes delimitando aquellos que se incluyen en ficheros de nivel de seguridad medio o alto, para el tratamiento de datos en ordenadores portátiles o fuera de los centros de trabajo, para acceder a los distintas instalaciones, recintos o dispositivos, y para proceder a la recuperación de las copias de seguridad. 

  • Prestadores de servicios con o sin acceso a datos. 

Encargados de tratamiento de ficheros con acceso a datos. 

Se relaciona cada una de las empresas externas que pueden tener acceso a los ficheros de la empresa indicando cuáles son y qué tipo de servicio se presta. Los encargados de tratamiento más usuales son las asesorías fiscales, asesorías laborales, sociedades de prevención de riesgos laborales, empresas de mantenimiento de equipos o aplicaciones informáticas, empresas con servicio de hosting,... 

Edición de contratos de acceso a datos por cuenta de terceros (art. 12 LOPD) exponiendo las responsabilidades que en materia de seguridad asume el encargado de tratamiento. 

Prestadores de servicios sin acceso a datos. 

Se relaciona cada una de las empresas externas que pueden tener acceso a las instalaciones de la empresa y que no acceden a datos indicando el servicio que se contrata. Las más habituales son empresas de limpieza, empresas de vigilancia, mantenimiento de fotocopiadoras… 

Edición de contratos exponiendo las responsabilidades que en materia de seguridad asume el prestador del servicio para que sus trabajadores no accedan a datos. 

  • Definición de los Sistemas de Información. 

Se indican los distintos centros de trabajo, los ficheros que se tratan en cada uno de ellos y la descripción física de los lugares de almacenamiento, tanto de ficheros automatizados como manuales. 

Relación del equipamiento automatizado, ordenadores, impresoras, smartphones, faxes, escáner, switches, routers, cámaras de videovigilancia u otros. 

Definición del entorno de trabajo. Sistemas operativos utilizados, tipo de red, existencia de conexiones remotas y de recursos compartidos. 

Medidas de Seguridad adoptadas para la custodia de la información en los ficheros manuales, existencia de alarma, extintores, puertas de seguridad, trituradora de papel…; así como para los ficheros automatizados, existencia de antivirus, firewall, sistemas de alimentación ininterrumpida para el servidor… 

Definición de los procedimientos de identificación y autenticación de los distintos usuarios. Cómo se crean las contraseñas, cuántos y qué tipo de caracteres deben tener y cuando se cambian. 

  • Gestión de Soportes. 

Identificación de los procedimientos llevados a cabo para etiquetar los soportes y el criterio de archivo. 

Localización de los distintos recintos y dispositivos donde se ubican los soportes indicando sus medidas de seguridad, además de indicar si se dispone de algún mecanismo de cierre y apertura. 

Inventario de soportes, creación de un índice que facilite su control tanto para el alta como para la eliminación de los mismos. 

Creación de un registro de entrada y salida de soportes. 

-     Incidencias 

Se establece un procedimiento para gestionar las incidencias, tanto para identificarlas como para comunicarlas al responsable, además se crea un registro donde se deben almacenar. 

-     Edición de Cláusulas legales. 

La recogida de la información de una forma correcta resulta fundamental, por eso se editan las cláusulas apropiadas para cada tipo de empresa según su actividad. 

Se incluyen cláusulas para la incorporación en cada caso de contratos con los clientes, matrículas de los alumnos, fichas de pacientes, solicitudes de información…; en estas cláusulas se diferencian aquellas que son meramente informativas y aquellas que necesitan del consentimiento del interesado. 

Se editan también cláusulas para la inclusión en todos los documentos que incorporen datos de carácter personal, como albaranes, partes de trabajo y facturas, para el envío de correos electrónicos e incluso para los contratos con los trabajadores. 

También se debe incorporar la cláusula oportuna en la recogida de datos a través de formularios integrados en webs, recabando el consentimiento del interesado en la “política de privacidad” o “política de protección de datos” 

  • Plantillas para ejercer los derechos ARCO. 

Se incluyen plantillas para que los afectados puedan ejercer su derecho de Acceso, Rectificación, Cancelación y Oposición. 

Además se dispone de un registro para almacenar aquellas peticiones que sean realizadas. 

  • Elaboración de carteles informativos. 

Se entrega un cartel para colocarlo en un lugar visible de la instalaciones, en él se indica que la empresa cumple con la normativa de protección de datos personales, a la vez que informa al afectado que puede ejercer sus derechos ARCO en la dirección que indique la empresa. 

En el supuesto de que existan cámaras de videovigilancia se entrega otro cartel donde se avisa su instalación, también se informa al afectado que puede ejercer sus derechos ARCO en la dirección que indique la empresa. 

  • Elaboración de informes de Revisión y Actualización. 

El documento de seguridad debe estar actualizado, esto implica que debe modificarse cuando se cambie cualquier aspecto que afecte a los sistemas de información o a sus procedimientos, a los equipamientos, recintos o dispositivos, a nuevas formas de recoger la información, a la inclusión de nuevos datos en los ficheros o la aparición de uno nuevo, se produzcan cambios en las relaciones con los encargados de tratamiento, se den de alta nuevos usuarios o se eliminen algunos de ellos, o bien se incluyan nuevos soportes… 

Todos estos cambios se deben enviar al consultor para que proceda a transformar el documento de seguridad, si bien periódicamente se emite un informe que revisión para poner de manifiesto el seguimiento de la protección de datos en la empresa. 

  • Elaboración de informes de Auditorías. 

Estos informes son obligatorios realizarlos cada dos años para aquellos ficheros que tengan un nivel de seguridad medio o alto. Las auditorías se construyen de manera exhaustiva reflejando las desviaciones existentes en la empresa a la vez que se contemplan las posibles soluciones.

1.2 PROCEDIMIENTOS:

1.2.1 IMPLANTACIÓN

1.2.1.1 IDENTIFICACIÓN Y ANÁLISIS DE FICHEROS

La base fundamental de un proyecto de implantación de los procedimientos que exige la Ley Orgánica de Protección de Datos personales comienza por la identificación correcta de ficheros, así como el análisis de los mismos y la identificación de su nivel de seguridad, básico, medio o alto según su sensibilidad. Es muy importante desglosar los ficheros según la tipología de los datos existentes, el perfil de los usuarios que acceden a los mismos y el nivel de seguridad con los que se deben tratar.

En EMPRESAS DE PEQUEÑO TAMAÑO dedicadas a actividades usuales de comercialización de productos, se pueden encontrar datos muy comunes como los datos de los clientes, su nombre y apellidos, NIF, dirección, correo electrónico, número de cuenta; los datos de los proveedores con información similar; y los datos de los trabajadores, reflejados en su nómina y contratos donde aparecen los datos identificativos y económicos. En este tipo de empresas, al incorporar estos datos a sus sistemas de información se generan los ficheros de clientes, proveedores y personal.

Ahora bien, es posible que en estas empresas se recojan currículos, en cuyo caso se debe identificar al fichero correspondiente, e incluso también resulta habitual la instalación de cámaras de videovigilancia en las instalaciones, que graban imágenes de las personas que las puedan transitar, debiéndose en tal caso identificar el fichero.

Cada vez es más usual que las empresas dispongan de una web para ofertar sus productos o servicios y dónde se dé la posibilidad al usuario de enviar solicitudes de información mediante un formulario de contacto. Cuando éste se rellena, automáticamente llegan los datos del usuario junto con la consulta al buzón del correo electrónico de la empresa, lo cual puede significar la creación de un fichero referido a esos contactos o potenciales clientes.

En EMPRESAS DE MAYOR TAMAÑO, además de los ficheros anteriormente indicados suelen identificarse otros, como el de partes de accidentes que recoge los datos de salud de los trabajadores y que además goza del nivel de seguridad más elevado. En muchas de estas empresas también es frecuente establecer controles de acceso para cualquier persona que entre a sus instalaciones o incluso controles de presencia de los trabajadores mediante tarjetas u otros dispositivos. Esta información al ser tratada por usuarios de datos con un perfil de acceso determinado dará lugar a la creación de otros ficheros diferenciados del de personal.

En realidad los supuestos que pueden otorgar la creación de un fichero son muy numerosos, si bien, todo puede complicarse aún más dependiendo del SECTOR DE ACTIVIDAD donde se encuadre la empresa. Por ejemplo en un hotel o un restaurante, en los cuales se recogen datos de las reservas de viaje o de mesa puede ser motivo de que se organicen en un fichero distinto al de clientes; en una clínica, residencia de mayores, farmacia u otros establecimientos sanitarios que tratan datos de salud de los pacientes deben recogerse en el consiguiente fichero especialmente protegido; en una academia o un colegio se recabarán datos de los alumnos donde aparecen sus datos académicos y por ende también un fichero; en una constructora se almacenarán en otro fichero expedientes de obras con datos de los profesionales que trabajan o de los propietarios; en una inmobiliaria otro donde los potenciales inquilinos entreguen sus datos para comprobar su solvencia económica,…

Puede darse cuenta como cada empresa requiere de un análisis diferenciado y personalizado de la información, resulta pues de vital importancia que el trabajo lo realice un consultor experimentado con la suficiente capacidad de indagar profundamente en los procedimientos del tratamiento de datos, y como no, identificar los ficheros correctamente.

1.2.1.2 INSCRIPCIÓN DE FICHEROS

Los ficheros deben inscribirse en el Registro de la Agencia Española de Protección de Datos (AEPD) para que a cada uno de ellos se le otorgue un número de inscripción.

La relación de los ficheros inscritos, así como la titularidad de las entidades que los ostentan es de carácter público pudiéndolos visualizar en la web de la AEPD, puede hacer la prueba introduciendo la razón social o número de identificación fiscal de alguna entidad privada o pública dentro de este enlace: http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

1.2.1.3 ELABORACIÓN DEL DOCUMENTO DE SEGURIDAD Y CONTRATOS

Conforme se indica en el artículo 88 del RD1720/2007

Otra de las obligaciones de esta ley es la redacción de un documento de seguridad en la empresa donde se indique cómo trata la información de carácter personal, qué ficheros tiene, sus niveles de seguridad, dónde se custodian, quiénes pueden acceder, cómo son los sistemas de información, qué procedimientos se tienen para realizar las copias de seguridad, cómo se restauran, a quién se ceden los datos, cómo se detectan las incidencias, cómo se solucionan, cómo se recogen los datos,…

Arcodatos elabora un documento de seguridad con todas las garantías

1.2.1.4 ELABORACIÓN PERSONALIZADA DE CLAUSULAS

Conforme se indica en el artículo 5.1 de la LOPD

1.2.2 ACTUALIZACIÓN Y REVISIÓN

El documento de seguridad debe estar permanente actualizado según se indica en el artículo 88.7 DEL RD1720/2007.

Los cambios que pueden producirse en cada entidad son muy diversos, se puede modificar cualquier aspecto que afecte a los sistemas de información o a sus procedimientos, a los equipamientos, recintos o dispositivos, a nuevas formas de recoger la información, a la inclusión de nuevos datos en los ficheros o la aparición de uno nuevo, a los cambios que se produzcan en las relaciones con los encargados de tratamiento, cuando se den de alta nuevos usuarios o se eliminen algunos de ellos, o bien se incluyan nuevos soportes…

Será el responsable de seguridad de la empresa el encargado de vigilar cuando se producen estas alteraciones, de forma que se comuniquen al consultor y éste proceda a realzar las acciones que sean necesarias y la correspondiente modificación del documento de seguridad, como por ejemplo la creación de un contrato con un encargado de tratamiento nuevo o la edición de un compromiso de confidencialidad ante el alta de un nuevo trabajador.

Periódicamente Arcodatos emite un informe que acredita la revisión y actualización del documento de seguridad que se archiva en el propio documento de seguridad, de esta manera queda reflejado un seguimiento de las acciones de protección de datos en la empresa.

1.2.3 AUDITORÍA

Es obligatorio realizar una AUDITORÍA BIENAL en aquellos sistemas de información e instalaciones de tratamiento y almacenamiento que traten ficheros con un nivel de seguridad medio según se indica en el artículo 96 DEL RLOPD. Aunque las auditorías no se necesitan comunicar a la Agencia Española de Protección de datos, sí que es necesario que queden a su disposición, y en su caso a las de los organismos de control de las comunidades autónomas.

No obstante, deberá realizarse antes de los dos años si se han producido modificaciones sustanciales en los sistemas de información que puedan repercutir en las medidas de seguridad establecidas, de esta manera se podrá comprobar su funcionamiento con la garantía suficiente.

En la auditoría se identificarán las irregularidades y se propondrán las medidas correctoras o complementarias que sean necesarias. Además deberá mencionarse cuáles han sido los hechos en los que se han basado los diagnósticos o qué estrategia de verificación se ha seguido.

Los informes de auditoría que elabora Arcodatos son exhaustivas, están muy documentadas y son de gran calidad, pormenorizando todos los aspectos posibles incluyendo referencias legales y propuestas de distintas soluciones.

1.3 BENEFICIOS DEL CUMPLIMIENTO LOPD

¿Por qué debo adaptar mi organización a la Ley Orgánica de Protección de datos?

Porque esta ley es de Obligado cumplimiento para todas las empresas, asociaciones, autónomos, comunidades de propietarios…, susceptibles de manejar datos de carácter personal.

Porque existen sanciones por su incumplimiento con multas que oscilan entre los 900 € y los 600 €.

Porque queremos vender más y para ello es necesario ofrecer una mayor confianza a los clientes garantizándoles la protección de datos con los que trabajamos.

Porque es una distinción más de calidad, nuestra imagen profesional queda mejorada con el compromiso de proteger los datos de los clientes. 

Porque cada vez más administraciones públicas requieren a las empresas que tengan sus ficheros debidamente inscritos antes de admitir a trámite sus solicitudes, como por ejemplo en determinadas subvenciones.

Porque se establecen normas de trabajo, mejorando la eficiencia de la organización, se evitan errores, pérdidas y fugas de información.

Porque delimita claramente la organización de la empresa en cuanto a las funciones y obligaciones del personal, se verifica a qué información puede acceder cada usuario y se restringe el acceso a aquella información que no es necesaria para su puesto de trabajo.

Porque mejora la organización de la información en la empresa, evita que se pierdan documentos, posibilita un acceso más rápido a los mismos y asegura que el empresario pueda conocer qué información tiene en cada momento.

Porque cada vez más los ciudadanos conocen más esta ley, tienen más conciencia cuando dejan sus datos personales, se preocupan por ellos, los de su familia y por el uso que le pueden dar las empresas.

Consideraciones normativas (lopd/lssi) paginas web

Para adaptar una página web a la normativa actual se deben tener en cuenta distintas leyes que además se van modificando con relativa frecuencia.

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Personales (LOPD), en el supuesto de que se recojan datos de carácter personal.

La Ley 34/2002, de servicios de la sociedad de la información y del comercio electrónico (LSSI-CE), que es la norma reguladora del comercio electrónico y de otros servicios de internet cuando sean parte de una actividad económica

Ley de cookies, vinculada a la LSSI-CE, siendo de aplicación la normativa europea recogida en la Directiva 2009/136/CE.

Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de materia de comunicaciones electrónicas

Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual. Se han de respetar los derechos de propiedad intelectual e industrial de terceras partes, para ello se debe contar con la autorización previa del propietario de logotipos, fotografías, escritos, vídeos,…

Además, hay otras normas que regulan la actividad comercial en internet. Son las siguientes:

Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista.

Ley 7/1998, de 13 de abril, de Condiciones Generales de la Contratación.

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

Solicitar información

CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.
CAPTCHA de imagen
Introduzca los caracteres mostrados en la imagen.