M2 - Bases de dades / Apunts UF3 : LOPD
Contingut
- 1 Protecció de dades
- 2 Raons per protegir les dades
- 2.1 Les dades personals són un actiu valuós per a l'empresa
- 2.2 La informació ordenada i sistematitzada ajuda a augmentar la qualitat de les operacions de l'empresa
- 2.3 Una empresa que garanteix la protecció de les dades personals amb què treballa ofereix una major confiança
- 2.4 La protecció de dades és un dret fonamental, i per tant s'ha de vetllar per la seva garantia i respecte
- 2.5 Adaptar-se a la normativa sobre protecció de dades és més senzill del que es podria pensar
- 2.6 L'adopció de la normativa sobre protecció de dades pot constituir el primer pas per orientar l'empresa cap a un en entorn de seguretat més ambiciós
- 3 Conceptes i agents clau en la protecció de dades
- 4 Procés d'implantació de la normativa sobre protecció de dades
Protecció de dades
La protecció de dades de caràcter personal és un dret fonamental reconegut en la Constitució Espanyola que atribueix al titular del dret la facultat de controlar les seves dades i a disposar i decidir sobre els mateixos.
La Llei Orgànica de Protecció de Dades (LOPD) i el seu Reglament de Desenvolupament (RDLOPD) concreten i desenvolupen aquest dret. A nivell europeu,la Directiva Europea 95/46 CE del Parlament Europeu i del Consell reconeix la protecció de les persones físiques pel que fa al tractament de dades personals.
Raons per protegir les dades
Algunes són de caràcter operatiu, i tenen a veure amb millores o beneficis que afecten directament al negoci que recull i tracta les dades; altres són de caràcter legal, i deriven de l'obligatorietat d'adoptar les mesures necessàries per garantir el dret fonamental a la protecció de dades.
Les dades personals són un actiu valuós per a l'empresa
Les dades són informació, i la informació és valuosa. El seu valor rau en el fet de ser, en molts casos, indispensable per continuar amb l'activitat de l'empresa: dades sobre clients, proveïdors o empleats constitueixen una informació clau, i poques vegades les empreses es plantegen les conseqüències negatives de la pèrdua d'aquestes dades.
Per això, cal fer un esforç per protegir-les, garantir la seva confidencialitat (tant interna com externa) i evitar possibles incidències de seguretat: pèrdua, fuga o robatori d'informació que pot fer arribar les dades a persones inadequades (empreses de la competència, mitjans de comunicació, empleats malintencionats, etc.).
La informació ordenada i sistematitzada ajuda a augmentar la qualitat de les operacions de l'empresa
L'adaptació de l'empresa per al compliment de la LOPD contribueix a millorar els processos de maneig de la informació, ja que proporciona una cultura de qualitat en el tractament de les dades i la gestió del negoci que pot traslladar-se a altres processos de l'empresa. una qüestió tan bàsica com posar en ordre la informació contribueix, en ocasions, a detectar problemes o mancances del negoci.
Una empresa que garanteix la protecció de les dades personals amb què treballa ofereix una major confiança
La imatge corporativa que clients, proveïdors i opinió pública en general puguin percebre d'una empresa és millor si mostra una política favorable a la protecció de dades.
L'adopció de la normativa sobre protecció de dades és una referència i garantia de serietat i confiança per als actors que es relacionen amb les empreses en el seu trànsit diari, principalment clients i proveïdors, però també empreses de la competència.
La protecció de dades és un dret fonamental, i per tant s'ha de vetllar per la seva garantia i respecte
Les empreses que disposen de dades de caràcter personal es poden veure involucrades en sancions realitzades sota denúncies dels diferents agents que participen en el negoci ja sigui per part dels seus clients, col · laboradors o empleats.
És a dir, en tant que l'incompliment de la normativa sobre protecció de dades pot portar implícites sancions que podrien arribar als 600.000 € en els casos més greus, és clar que les empreses han de fer l'esforç d'adaptar a la normativa, ja que és l'única forma d'estar protegides efectivament davant d'una possible denúncia o sanció.
Adaptar-se a la normativa sobre protecció de dades és més senzill del que es podria pensar
Des de l'Agència Espanyola de Protecció de Dades s'han posat en marxa nombroses accions facilitadores per simplificar els tràmits formals dels responsables dels fitxers: sessions obertes de difusió, guies amb pautes per al correcte compliment (l'AEPD ha publicat la Guia del Responsable de fitxers i la Guia de Seguretat de datos2), implementació del sistema NOTA, models de notificació precomplimentats per inscriure els fitxers, gratuïtat de la inscripció ...
L'adopció de la normativa sobre protecció de dades pot constituir el primer pas per orientar l'empresa cap a un en entorn de seguretat més ambiciós
Existeixen en l'actualitat sistemes de gestió de seguretat de la informació formació (SGSI) que persegueixen, d'una banda, incorporar la seguretat en els sistemes d'informació de les empreses com a element de la millora de la gestió i de la competitivitat i, d'altra, oferir protecció ció contra els riscos i pèrdues associats al creixent ús de tecnogies de la informació i de la comunicació en les empreses.
Conceptes i agents clau en la protecció de dades
En aquest apartat s'enumeren i defineixen una sèrie de conceptes bàsics que poden resultar d'ajuda en la fase d'adaptació a la normativa. Es tracta d'aspectes generals, i la seva correcta comprensió és clau per entendre els apartats següents que resumeixen el procés d'adopció de la normativa sobre protecció de dades que han de dur a terme les empreses.
- Dades de caràcter personal: qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol tipus que concerneix persones físiques identificades o identificables. Segons aquesta definició el nom, l'adreça, les dades de contacte, el currículum vitae, el salari ... constitueixen dades de caràcter personal.
- Fitxer: conjunt organitzat de dades de caràcter personal, sigui quina sigui la forma o modalitat de creació, emmagatzematge, organització i accés. És, per tant, el suport físic, ja sigui automatitzat, no automatitzat o mixt, en el qual es recull i s'emmagatzema, de manera organitzada, el conjunt de dades de caràcter personal que integren la informació.
- Fitxer automatitzat: quan les dades es troben emmagatzemats en dispositius informàtics (discs durs, ordinadors, DVD ...) que requereixen d'eines capaces de desxifrar la informació que contenen per al seu tractament, es parla de fitxers automatitzats.
- Fitxer no automatitzat: en el cas en què el conjunt de dades estiguin emmagatzemades en suports que no requereixen d'eines pel seu tractament, com el paper, es parla de fitxer no automatitzat o manual (sempre que el fitxer estigui estructurat conforme a criteris específics relatius a persones físiques, que permetin accedir sense esforços desproporcionats a les seves dades personals). s'inclouen en aquesta definició arxius on es recullin -de forma estructurada- documents en paper del tipus, per exemple, currículums vitae de candidats a un lloc de treball, factures de proveïdors, albarans de clients, targeters amb contactes ...
- Fitxer mixt: s'anomenen fitxers mixtes a aquells les dades estan distribuïts entre suports automatitzats i no utomatitzats.
- Tractament de dades: qualsevol operació o procediment tècnic, sigui o no automatitzat, que permeti la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.
- Cessió o comunicació de dades: modalitat de tractament de dades que suposa la seva revelació a una persona diferent de l'interessat. És a dir, pot haver ocasions en què sigui necessari que la empresa que compta amb les dades personals dels cedeixi a una tercera persona o empresa, diferent del titular del dret. aquest concepte és molt ampli, ja que revelació recull tant el lliurament, comunicació, consulta, interconnexió, transferència, difusió o qualsevol altra forma que faciliti l'accés a les dades d'un fitxer a un tercer, diferent de l'interessat.
- Nivells de seguretat: la llei identifica tres nivells de mesures de seguretat aplicables als fitxers que continguin dades de caràcter personal: bàsic, mitjà i alt . L'establiment d'un o altre nivell de seguretat s'adopta en funció de la diferent sensibilitat de les dades personals incloses en els arxius, considerant-se de nivell bàsic els fitxers amb informació menys sensible i de nivell alt aquells que recullen informació de naturalesa especialment sensible.
Els principals actors que la normativa sobre protecció de dades contempla són els següents:
- Afectat o interessat: persona física titular de les dades que siguin objecte de tractament. És a dir, el client, empleat, proveïdor, candidat a formar part de l'empresa, pacient, etc., Les dades estiguin sent tractats per l'empresa.
- Responsable del fitxer o responsable de tractament: persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que decideixi sobre la finalitat, contingut i ús del tractament. Es a dir, la mateixa empresa serà la responsable dels fitxers que contenen dades relatives als seus empleats, proveïdors, clients, etc.
- Encarregat de tractament: persona física o jurídica, de naturalesa pública o privada, o organisme administratiu, que tracti dades personals per compte del responsable del fitxer o responsable de tractament.
- Cessionari de dades: és la persona física o jurídica, pública o privada o òrgan administratiu, al qual se li revelen les dades.
- Responsable de seguretat: persona o persones a les que la resta responsable del fitxer ha assignat formalment la funció de coordinar i controlar les mesures de seguretat. La seva funció és protegir i salvaguardar la informació sensible dins de l'empresa.
- Usuari: és la persona que realitza el tractament de les dades recopilades en un fitxer en diferents moments d'un tractament de dades, ja sigui mitjançant eines específiques (per exemple, aplicacions informàtiques), o accedint als mateixos en fitxers de paper.
Procés d'implantació de la normativa sobre protecció de dades
La següent il·lustració mostra un esquema del procés d'implementació de la normativa sobre protecció de dades.
- Fase I. Adaptació de fitxers: una de les principals implicacions que la normativa sobre protecció de dades té per a les empreses és la necessitat de notificar els seus fitxers davant el Registre de l'AEPD.
- Per a això, com a pas previ, cal que l'empresa identifiqui les dades de caràcter personal que s'estan manejant en el seu àmbit i com es troben aquests organitzats ( fitxers automatitzats, no automatitzats, mixtes).
- Fase II. Legitimació de dades: totes les dades de caràcter personal recollides per l'empresa, han de comptar amb el consentiment l'afectat , així com complir una sèrie de principis i obligacions bàsiques previstes a la normativa.
- Fase III . Polítiques de seguretat de dades: la LOPD i el RDLOPD estableixen una sèrie de mesures de caràcter tècnic i organitzatiu que garanteixin la seguretat de les dades de caràcter personal, que hauran de adoptar per l'empresa o professional que emmagatzemi aquestes dades. entre aquestes mesures s'inclou l'elaboració d'un document de seguretat en el qual es detallaran les dades emmagatzemades, les mesures de seguretat adoptades, així com les persones que tenen accés a aquestes dades .