M2 - Bases de dades / Apunts UF3 : Esquema LOPD
De wikiserver
Contingut
- 1 Protecció de dades
- 2 Raons per protegir les dades
- 2.1 Les dades personals són un actiu valuós per a l'empresa
- 2.2 La informació ordenada i sistematitzada ajuda a augmentar la qualitat de les operacions de l'empresa
- 2.3 Una empresa que garanteix la protecció de les dades personals amb què treballa ofereix una major confiança
- 2.4 La protecció de dades és un dret fonamental, i per tant s'ha de vetllar per la seva garantia i respecte
- 2.5 Adaptar-se a la normativa sobre protecció de dades és més senzill del que es podria pensar
- 2.6 L'adopció de la normativa sobre protecció de dades pot constituir el primer pas per orientar l'empresa cap a un en entorn de seguretat més ambiciós
- 3 Conceptes i agents clau en la protecció de dades
- 4 Procés d'implantació de la normativa sobre protecció de dades
Protecció de dades
Protecció de dades de caràcter personal --> Dret fonamental reconegut en la Constitució Espanyola --> El titular té dret de control i decisió sobre les seves dades Desenvolupat a la LOPD i els seu reglament de desenvolupament RDOLPD
Raons per protegir les dades
- De caràcter operatiu --> beneficis pel negoci.
- De caràcter legal --> LOPD
Les dades personals són un actiu valuós per a l'empresa
- Les dades son informació i la informació és valuosa.
- Indispensable per l'activitat de l'empresa: dades sobre clients, proveïdors o empleats constitueixen una informació clau.
- La pèrdua, fuga o robatori d'informació que pot fer arribar les dades a persones inadequades (empreses de la competència, mitjans de comunicació, empleats malintencionats, etc.).
La informació ordenada i sistematitzada ajuda a augmentar la qualitat de les operacions de l'empresa
- Contribueix a millorar els processos de maneig de la informació -->
- Proporciona una cultura de qualitat en el tractament de les dades i la gestió del negoci.
- Ajuda a detectar problemes o mancances del negoci.
Una empresa que garanteix la protecció de les dades personals amb què treballa ofereix una major confiança
- Millora La imatge corporativa que clients, proveïdors i opinió pública en general.
La protecció de dades és un dret fonamental, i per tant s'ha de vetllar per la seva garantia i respecte
- Denuncies --> sancions fins els 600.000 € en els casos més greus.
Adaptar-se a la normativa sobre protecció de dades és més senzill del que es podria pensar
Agència Espanyola de Protecció de Dades:
- Simplificació del tràmits del responsables defitxers -->
- sessions obertes de difusió
- guies amb pautes per al correcte compliment: Guia del Responsable de fitxers i la Guia de Seguretat de datos
- implementació del sistema NOTA
- models de notificació precomplimentats per inscriure els fitxers
- gratuïtat de la inscripció ...
L'adopció de la normativa sobre protecció de dades pot constituir el primer pas per orientar l'empresa cap a un en entorn de seguretat més ambiciós
- Sistemes de gestió de seguretat de la informació formació -->
- Millora de la gestió i de la competitivitat
- Protecció contra els riscos i pèrdues associats al creixent ús de tecnologies de la informació i de la comunicació en les empreses.
Conceptes i agents clau en la protecció de dades
Conceptes bàsics per entendre el procés d'adopció de la normativa sobre protecció de dades que han de dur a terme les empreses.
- Dades de caràcter personal: qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol tipus que concerneix persones físiques identificades o identificables. Segons aquesta definició el nom, l'adreça, les dades de contacte, el currículum vitae, el salari ... constitueixen dades de caràcter personal.
- Fitxer: suport físic, ja sigui automatitzat, no automatitzat o mixt, en el qual es recull i s'emmagatzema, de manera organitzada, el conjunt de dades de caràcter personal que integren la informació.
- Fitxer automatitzat: les dades es troben emmagatzemats en dispositius informàtics (discs durs, ordinadors, DVD ...) que requereixen d'eines capaces de desxifrar la informació que contenen per al seu tractament.
- Fitxer no automatitzat: les dades es troben emmagatzemades en suports que no requereixen d'eines pel seu tractament, com el paper. S'inclouen en aquesta definició arxius on es recullin -de forma estructurada- documents en paper del tipus, per exemple, currículums vitae de candidats a un lloc de treball, factures de proveïdors, albarans de clients, targeters amb contactes ...
- Fitxer mixt: s'anomenen fitxers mixtes a aquells les dades estan distribuïts entre suports automatitzats i no automatitzats.
- Tractament de dades: qualsevol operació o procediment tècnic, sigui o no automatitzat, que permeti la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.
- Cessió o comunicació de dades: modalitat de tractament de dades que suposa la seva revelació a una persona diferent de l'interessat.La revelació recull tant el lliurament, comunicació, consulta, interconnexió, transferència, difusió o qualsevol altra forma que faciliti l'accés a les dades d'un fitxer a un tercer, diferent de l'interessat.
- Nivells de seguretat: la llei identifica tres nivells de mesures de seguretat aplicables als fitxers que continguin dades de caràcter personal: bàsic, mitjà i alt . L'establiment d'un o altre nivell de seguretat s'adopta en funció de la diferent sensibilitat de les dades personals incloses en els arxius, considerant-se de nivell bàsic els fitxers amb informació menys sensible i de nivell alt aquells que recullen informació de naturalesa especialment sensible.
Els principals actors que la normativa sobre protecció de dades contempla són els següents:
- Afectat o interessat: persona física titular de les dades.
- Responsable del fitxer o responsable de tractament: persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que decideixi sobre la finalitat, contingut i ús del tractament. Es a dir, la mateixa empresa serà la responsable dels fitxers que contenen dades relatives als seus empleats, proveïdors, clients, etc.
- Encarregat de tractament: persona física o jurídica, de naturalesa pública o privada, o organisme administratiu, que tracti dades personals per compte del responsable del fitxer o responsable de tractament.
- Cessionari de dades: és la persona física o jurídica, pública o privada o òrgan administratiu, al qual se li revelen les dades.
- Responsable de seguretat: persona o persones a les que el responsable del fitxer ha assignat formalment la funció de coordinar i controlar les mesures de seguretat. La seva funció és protegir i salvaguardar la informació sensible dins de l'empresa.
- Usuari: és la persona que realitza el tractament de les dades recopilades en un fitxer en diferents moments d'un tractament de dades, ja sigui mitjançant eines específiques (per exemple, aplicacions informàtiques), o accedint als mateixos en fitxers de paper.
Procés d'implantació de la normativa sobre protecció de dades
La següent il·lustració mostra un esquema del procés d'implementació de la normativa sobre protecció de dades.
- Fase I. Adaptació de fitxers: una de les principals implicacions que la normativa sobre protecció de dades té per a les empreses és la necessitat de notificar els seus fitxers davant el Registre de l'AEPD.
- Per a això, com a pas previ, cal que l'empresa identifiqui les dades de caràcter personal que s'estan manejant en el seu àmbit i com es troben aquests organitzats ( fitxers automatitzats, no automatitzats, mixtes).
- Fase II. Legitimació de dades: totes les dades de caràcter personal recollides per l'empresa, han de comptar amb el consentiment l'afectat , així com complir una sèrie de principis i obligacions bàsiques previstes a la normativa.
- Fase III . Polítiques de seguretat de dades: la LOPD i el RDLOPD estableixen una sèrie de mesures de caràcter tècnic i organitzatiu que garanteixin la seguretat de les dades de caràcter personal, que hauran de adoptar per l'empresa o professional que emmagatzemi aquestes dades. entre aquestes mesures s'inclou l'elaboració d'un document de seguretat en el qual es detallaran les dades emmagatzemades, les mesures de seguretat adoptades, així com les persones que tenen accés a aquestes dades .