seguridad de la información - fundaciondedalo.org · enviarles publicidad cumpliendo la LOPD? ¿Cómo hacer acciones de marketing; sorteos promociones, ... ¿Cómo hacer que mi web

s e g u r i d a d d e l a i n f o r m a c i ó n

(Tudela, 14 de abril de 2015)

¿Cómo vender sin incumplir la ley?

¿Cómo recoger datos de mis potenciales y clientes para

enviarles publicidad cumpliendo la LOPD?

¿Cómo hacer acciones de marketing; sorteos promociones,

difusión de fotos de eventos…?

¿Cómo hacer que mi web cumpla con la LSSICE?

¿Cómo recoger datos de mis potenciales y clientes

para enviarles publicidad cumpliendo la LOPD?

LOPD

Normativa en materia de Protección de Datos.

Directiva 95/46/CE.

LORTAD 5/ 1992 y RD 994/1999

Ley 15/1999 sobre Protección de Datos de CarácterPersonal (LOPD). Obligatorio 1999.

Ley 34/2002 de 11 de julio de Servicios de la Sociedad de laInformación y Comercio Electrónico (LSSICE).

Ley 32/2003 de 30 de Noviembre Gnal de Telecomunicaciones.

RD 1720/2007 de Desarrollo de la LOPD .

¿Qué es la LOPD?

La protección de datos es un derecho fundamental de laspersonas como máxima expresión de su derecho a laintimidad.

Ley Orgánica de obligado cumplimiento desde 1999.

Son responsables las empresas y profesionales que tratendatos de carácter personal.

Reconoce a cada persona la propiedad de sus datos.

¿Qué es la AGPD?

AGPD: Agencia Española de Protección de Datos

Ente de derecho público.

Potestad sancionadora.

Independiente en sus actuaciones.

www.agpd.es

Sede en Madrid.

¿Qué es un dato?

Datos de carácter personal: Cualquier informaciónconcerniente a personas físicas identificadas o identificables.

Clientes

¿Qué datos tengo en mi comercio?

Gestiones Comerciales / Contactos

Tarjeta de cliente /sorteo …

Video vigilancia

Formulario Web

¿Qué es un fichero?

Fichero: Todo conjunto organizado de datos decarácter personal, cualquiera que fuese la forma omodalidad de su creación, almacenamiento,organización y acceso.

Tipo de fichero:

Soporte papel (Cuaderno, listado, cupones…)

Fichero informático (CRM, Outlook, Excel, Access, etc.)

NIVELES DE SEGURIDAD

Nivel medioDatos personalidad, infracciones penales y admtvas.

Nivel altoSalud, origen racial, etc.

Nivel básicoDatos de contacto, Nombre, apellidos, DNI, teléfono

DEPENDE

Vendo zapatillas …

Básico.- nombre, apellidos, teléfono

Vendo zapatillas ortopédicas a medida

Alto.- Datos de salud

¿Qué tipo de datos son los de mis potenciales y clientes?

Nivel Básico

Cualquier Dato Personal

Nombre, Apellidos

Tipo de datos:

Dirección Postal ó Electrónica

D.N.I. o N.I.F.

Teléfono Fijo ó Móvil,

Foto

Nivel Básico

Documento de Seguridad

Funciones y obligaciones del personal

Medidas de seguridad :

Informar con cláusulas a los interesados

Inscripción del ficheros

Nivel Básico

Procedimientos de gestión de soportes y documentos.

Realización, al menos semanal, de Copias de respaldo.

Identificación y autenticación de accesos.

Almacenar contraseñas de forma ininteligible.

Medidas de seguridad :

Registro de incidencias

Infracciones Penales y Administrativas

Información de Hacienda Pública

Información sobre Personalidad

Información sobre Solvencia Patrimonial y Crédito

Tipo de datos:

Nivel Medio

Medidas adicionales de identificación y autenticación de usuarios.Contraseñas y usuarios personales.Bloqueo de usuarios por intentos de acceso reiterados de forma errónea.

Gestión de soportes; Registro de E/S de llaves USB, CD, DVD etc.

Responsable de Seguridad

Medidas de seguridad:

Nivel Medio

Creencias

Vida Sexual

Origen Racial

Afiliación sindical

Religión

Tipo de datos:

Salud

Nivel Alto

Nivel Alto

Consentimiento por escrito del interesado

Cifrado de telecomunicaciones: Envío de documentos e-mail.

Distribución de soportes cifrados: Llaves USB, cd/dvd, PC Portátiles, etc.

Todas las medidas anteriores + …..

Medidas de seguridad:

emailing

Índice

Previo al envío

Índice

Provengan de fuentes accesibles al público:

Según la AGPD son fuentes accesibles al publico:

- El censo promocional- Las guías de servicios de comunicaciones electrónicas- Listado de colegios profesionales- Diarios y boletines oficiales- Medios de comunicación social- Internet NO es una fuente accesible al público.

Origen de los datos

Sean clientes nuestros y les mandemos informacióncomercial sobre productos y/o servicios similares

Hayan prestado su consentimiento para el envío denuestra publicidad o prospección comercial.

Para finalidad determinada y explicita

Determinar los sectores de actividad de los quepuedan recibir publicidad.

Guardar la prueba: la firma del cupón, o formulario.

Origen de los datos

Los datos que utilicemos para el envío comercial deberán ser:

a) Adecuadosb) Pertinentesc) No excesivosd) Actualizados (No guías, páginas amarillas, de ediciones

anteriores)e) No excluidos (Comprobar LISTA ROBINSON).

https://www.listarobinson.es/default.asp Multa 60.000 €f) Comprobar si ya ha habido previamente un envío, comprobar

la lista de revocados .

Características de los datos

Notificar a la AGPD el fichero creado

Inscripción fichero

- Finalidad

- Colectivo

- Datos

- Cesiones

Cuidado si subcontratamos..

… el encarte, la acción comercial..

Si un tercero tiene acceso a mi bbdd hay que firmar un contrato de encargado de tratamiento:

•Que debe hacer con la BBDD•Que va a pasar cuando el encargo termine: destrucción, devolución,•Obligación del tercero de cumplir con la LOPD

Obligaciones LOPD

Durante el envío

En todas nuestras comunicaciones comerciales:

1. Cláusula de Información .

- De la existencia de un fichero o tratamiento de datos de carácterpersonal, de la finalidad de la recogida de los datos y de losdestinatarios de la información.- Del carácter obligatorio o facultativo de su respuesta a laspreguntas que les sean planteadas.- De las consecuencias de la obtención de los datos o de la negativaa suministrarlos.- De la posibilidad de ejercitar los derechos de acceso, rectificación,cancelación y oposición.- De la identidad y dirección del responsable del tratamiento, o en sucaso, de su representante.

Obligaciones

2. Uso del CCO (Con Copia Oculta) (multa 600€)

3. Carga de la prueba: conservación del soporte.

4. Identificación de la Persona Física ó Jurídica en nombrede la cual se haga la comunicación comercial.

5. Acceso claro a condiciones de premios, promociones,concursos, etc.

6. Se debe ofrecer un mecanismo de revocación “sencillo ygratuito”, en cada una de las comunicacionescomerciales que enviemos.

Obligaciones

• Solicitaremos el consentimiento de los destinatariospara el envío de nuestra información comercial, endeterminadas ocasiones :

a) Origen de los datos:

- Si no son clientes

b) Forma de envío utilizado:

- Email- Cualquier medio electrónico

Consentimiento

Después del envío

•Medio gratuito: Habilitaremos un medio sencillo y gratuitopara el ejercicio de los derechos de acceso, rectificación,cancelación y oposición.

•No podremos exigir al interesado, el envío de cartascertificadas o llamadas, a números de tarificación adicional.

•Respuesta: Una vez recibida la solicitud deberemosatenderlo.

•Revocación: Registrar las peticiones de “revocación” enuna “lista negra” y establecer el procedimiento.

Atender los Derechos

Contestación obligada.

Plazo de 30 días para resolver la petición.

Si tenemos datos:

Derecho de Acceso

Datos de carácter personal

Origen de los mismos

Cesiones o comunicaciones previstas

Derecho de rectificación

Interesado solicita rectificación y/o cancelación.

Contestación obligada.

Plazo de 10 días para rectificar y/o cancelar.

Para los datos cedidos, comunicación al 3º de rectificación y/o cancelación.

Cuando los datos de carácter personal ya no seannecesarios o pertinentes para la finalidad recabada:

Deberemos cancelarlos, no obstante, se podránconservar durante el tiempo en que puedan exigirnosalgún tipo de responsabilidad.

Caso No cancelación

Derecho de cancelación

¿Cómo hacer que mi web cumpla con la LSSICE?

Política de Privacidad.- Aviso Legal

– Su denominación social, NIF, domicilio y dirección decorreo electrónico, teléfono o fax

– Los datos de la inscripción registral– Códigos de conducta a que estén adheridas– Los datos relativos a la autorización administrativa

necesaria para el ejercicio de la actividad o datos decolegiación y titulo académico de profesionales queejerzan una actividad regulada

Obligaciones Informar

• Política de Privacidad.-– Información LOPD:

• Existencia de fichero y finalidad de recogida de datos.– Tratamiento de Datos:

• Envíos comerciales• Bolsa de Empleo

– Cesiones de datos• Entidades bancarias• Empresas de transportes

– Propiedad Intelectual

– Nomas de foros

Obligaciones Informar

• Diseño formulario de recogida de datos:

□ He leído y acepto la Política de Privacidad (enlace obligatorio)

Recabar el Consentimiento

Condiciones Generales de Venta

• Gastos de envío (Península, Canarias, Baleares,….)

• Impuestos

• Pago: modalidades pago

• Plazos de entrega

• Política de devolución

• Dº de Desistimiento: 14 días naturales

Comercio Electrónico

• Si realizan contratación electrónica de forma previa debeninformar– Trámites que deben seguirse para contratar on-line– Si el documento electrónico del contrato se va a archivar o no y

si éste será accesible– Medios técnicos para identificar y corregir errores en la

introducción de datos– Lengua o lenguas en que podrá formalizarse el contrato– Condiciones generales a que se sujete el contrato

• Y confirmar la celebración del contrato por vía electrónica,mediante el envío de un acuse de recibo del pedido realizado

Comercio Electrónico

LSSICE infracciones:

22. 2. Los prestadores de servicios podrán utilizar dispositivos de almacenamientoy recuperación de datos en equipos terminales de los destinatarios, a condición deque los mismos hayan dado su consentimiento después de que se les hayafacilitado información clara y completa sobre su utilización, en particular, sobre losfines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario paraaceptar el tratamiento de los datos podrá facilitarse mediante el uso de losparámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica alsolo fin de efectuar la transmisión de una comunicación por una red decomunicaciones electrónicas o, en la medida que resulte estrictamente necesario,para la prestación de un servicio de la sociedad de la información expresamentesolicitado por el destinatario.

Cookies

Sanciones

Infracción leve:38. 4 g) Utilizar dispositivos de almacenamiento y recuperación dedatos cuando no se hubiera facilitado la información u obtenido elconsentimiento del destinatario del servicio en los términosexigidos por el artículo 22.2. (multa de hasta 30.000€).

Infracción grave:38. 3 i) La reincidencia en la comisión de la infracción leve prevista en el apartado 4 g) cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador. (multa de 30.001 a 150.000€).

Cookies

• La Agpd multa a una empresa con 210.000 € por mandar unaVisa Oro a un menor.

Menores

• Recomendaciones sobre menores:

– Fotografías

• Con consentimiento de los padres, tutores.

• Recoger consentimiento del colegio.

– Menores: formulario

Menores

-Información sencilla, lenguaje comprensible para elmenor

- Obligación de la empresa de implantar procedimientosque garanticen:

– La comprobación de la edad – La comprobación del consentimiento prestado

No Recabar información de los padres: profesión del padre/madre, ingresos…

Menores

Sanciones

Tipo de infracción y sanción correspondiente

Infracción Sanción

Muy Grave Multa de 150.001 a 600.000 euros

Grave Multa de 30.001 a 150.000 euros

Leve Multa hasta 30.000 euros

Sanciones

• Sanciones envío e-mails o sms

– Grave El envío masivo de comunicaciones comerciales porcorreo electrónico u otro medio de comunicación electrónicaequivalente o el envío, en el plazo de un año, de más de trescomunicaciones comerciales por los medios aludidos a unmismo destinatario, cuando en dichos envíos no se cumplan losrequisitos establecidos multa de hasta 150.000 euros .

– Leve El envío de comunicaciones comerciales por correoelectrónico u otro medio de comunicación electrónicaequivalente cuando en dichos envíos no se cumplan losrequisitos establecidos y no constituya infracción grave multade hasta 30.000 euros

Sanciones envío comerciales

Sanción: hasta 300.000€

3.- CESION IRREGULAR DE DATOS:

Ejemplo: SANYRES. LOGROÑO

Sanción: hasta 40.000 €

1.- NO INSCRIPCION DE LOS FICHEROS EN LA AGPD:

Sanción de 900 € a 40.000€

2.- NO INFORMACIÓN A LOS CLIENTES/POTENCIALES:

Tratamiento de la información.

Ficha de recogida de datos, consentimiento informado

Sanciones más frecuentes comercios

4.- NO SE FIRMA UN ACUERDO DE CONFIDENCIALIDAD:

TrabajadoresAsesores, InformáticosEvitar Fugas de información

5.- USO NO CONSENTIDO DE LAINFORMACION:

Subir fotos a nuestra web, redes sociales, etc.Mala imagen de nuestro negocio

Sanción de 60.000€

Sanción de hasta 40.000€

Sanciones más frecuentes comercios

Las infracciones más frecuentes

6.- NO ATENDER LOS DERECHOS DE LOS INTERESADOS

Sanción de hasta 90.000€

7.- NO UTILIZAR EL CCO Y DIFUNDIR LOS EMAILS DE NUESTRA BBDD:

Derecho de cancelación, oposición, acceso y rectificación.

Sanción de hasta 300.000€

Guías útiles sobre privacidad y legalidad en las redes sociales

GUIAS

• INCIBE: INSTITUTO NACIONAL DE CIBERSEGURIDAD

https://www.incibe.es/

• OSI: OFICINA DE SEGURIDAD DEL INTERNAUTA

https://www.osi.es/es/

• FACEBOOKhttps://www.osi.es/es/actualidad/blog/2014/04/14/seguridad-y-privacidad-en-redes-sociales-i-facebook-

todo-lo-que-debes-sab

• TWITTERhttps://www.osi.es/es/actualidad/blog/2014/04/21/seguridad-y-privacidad-en-redes-

sociales-ii-twitter-todo-lo-que-debes-sab

INCIBE: Instituto Nacional de Ciberseguridad

OSI: Oficina de Seguridad del internauta

OSI: Facebook, seguridad y privacidad

OSI: Twitter, seguridad y privacidad

s e g u r i d a d d e l a i n f o r m a c i ó n