Junio 2014

Daemon4 - Software - ERP - lopd

20 Jun Boletín LOPD Junio 2014

LA LOPD EN EL DÍA A DÍA

¿Qué es el derecho a indemnización?

Según establece la Ley, los interesados que, como consecuencia del incumplimiento de la LOPD por el responsable o el encargado del tratamiento sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de jurisdicción ordinaria.

Es decir, tenemos que tener en cuenta que si como consecuencia del incumplimiento de la LOPD por nuestra empresa, el titular de los datos se ve perjudicado en algo, tendrá derecho a pedir una indemnización que le compense el daño sufrido.

Esta petición de indemnización la ejercerá en los tribunales ordinarios, utilizando, entre otras cosas, la resolución del procedimiento sancionador de la AEPD como prueba de la infracción ocurrida.

IMPORTANTE

Debemos tener en cuenta, en caso de infracción de la LOPD, que además de la sanción de la AEPD, el titular afectado puede exigirnos una indemnización.

SANCIONES DE LA AEPD

Sanción por no atender el requerimiento de la AEPD

En la resolución R/00927 de la AEPD podemos ver la sanción que puede sufrir una entidad por no atender un requerimiento de la Agencia Española de Protección de Datos para realizar comprobaciones de oficio sobre el cumplimiento de la LOPD.
Con fecha 26 de marzo de 2010, el Director de la AEPD envió al SANATORIO S.J.A. el requerimiento relativo al Informe de cumplimiento de la LOPD en Hospitales y se requería que lo cumplimentase antes del 31 de mayo de 2010.
El 18 de junio de 2010, se remitió un segundo requerimiento al no haberse recibido contestación al primero, para que procediera a la cumplimentación del citado informe antes del 31 de julio de 2010.
El 25 de noviembre de 2010, el Director de la AEPD acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas por presunta infracción del art. 37.1.a) de la LOPD.
La entidad alegó que el primero no fue atendido por un problema interno y el segundo no tiene constancia de su recepción y no fue atendido por desconocimiento.
Durante la instrucción del procedimiento el SANATORIO S.J.A. cumplimento el Informe de cumplimiento de la LOPD en centros hospitalarios y le fue remitido a la AEPD para su conocimiento.
Resultado: Sanción de 3.000 € por vulneración del artículo 37.1 de la LOPD.

IMPORTANTE

Ante un requerimiento de la AEPD (el que sea) lo peor que puede hacer una entidad es dejarle sin contestación.

LA AEPD ACLARA

Acceso al libro de registro de socios

El informe 0338/2012 de la AEPD resuelve la consulta planteada sobre si el posible acceso por los accionistas de una sociedad anónima al libro de registro de socios, así como el contenido de dicho acceso, planteando si debe incluir también el domicilio, a efectos de dar a conocer una nueva propuesta de gestión y administración de la sociedad; todo ello de conformidad con la LOPD.
De dicho informe jurídico se extrae lo siguiente:
a) La revelación de los datos contenidos en dicho libro, es una cesión o comunicación de datos.
b) El art. 116 del Real Decreto Legislativo 1/2010 de 2 de julio por el que se aprueba el Texto Refundido de la Ley de Sociedades de Capital prevé, por un lado, el contenido del libro registro de acciones nominativas, incluyendo nombre, apellidos, nacionalidad y domicilio de los titulares; y por otro lado permite el acceso al mismo, puesto que “cualquier accionista que lo solicite” puede examinar este libro. Por tanto, existe norma con rango de ley que ampara dicha comunicación de datos.
c) Sin embargo, la finalidad de la comunicación de los datos ha de estar estrictamente relacionada con el ejercicio de la condición de socio, no pudiéndose utilizar los datos para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

IMPORTANTE

Para que la cesión resulte conforme a la LOPD deberá ser respetuosa no solamente del principio de legitimación sino de los demás principios recogidos en dicha norma.

EL PROFESIONAL RESPONDE

Si un trabajador quiere a llevarse trabajo a casa,
¿qué requisitos hay que cumplir de cara a la LOPD?

El Artículo 86 del Reglamento, relativo al régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento establece:
1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.
2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.
Por tanto, debemos realizar lo siguiente antes de permitir que un trabajador se lleve trabajo a casa:
1. Estar seguro que se va a garantizar el nivel de seguridad que corresponde al fichero que se va a tratar fuera.
2. Crear una autorización para ese trabajador, en la que se indiquen los datos que se autorizan a tratar fuera de las instalaciones del responsable y el nivel de seguridad que tiene que aplicar el trabajador.
3. Dicha autorización tiene que constar en el Documento de Seguridad, así como un periodo de validez.

IMPORTANTE

En el Documento de Seguridad debe existir una relación de los usuarios que tienen autorización para tratar datos fuera de las instalaciones del responsable.

 

Read More

12 Jun En Daemon4 te adaptamos tu ERP a la Normativa SEPA y Régimen de Iva de Caja

Todavía quedáis muchos Clientes que no habéis actualizado vuestras aplicaciones a las nuevas normativas bancarias y legales.

Desde Daemon4 os recordamos que disponemos de las actualizaciones necesarias para usar:

“Régimen Especial de Criterio de Caja”:   tenía como fecha tope para acogerse el 01/01/2014 pero ha obtenido una prórroga de unos meses adicionales. Los programas de gestión y contabilidad necesitan una adaptación para ajustarse a los nuevos listados y modelos legales exigidos (por ejemplo los modelos 303 y 340).

“SEPA (Single Euro Payments Area)” :Iba a ser totalmente obligatorio a partir del 1 de febrero de 2014 para 27 estados de la UE, una directiva europea ha demorado su entrada en vigor hasta el próximo mes de agosto, pero muchas entidades financieras están introduciendo ya los cambios. Son unos nuevos formatos de ficheros de cobros y pagos (principalmente Norma 19 y Norma 34) que incluyen una firma o mandato del cliente autorizando al cargo de los mismos y va a dar más seguridad en las transacciones económicas en la zona euro. El programa de contabilidad necesita una adaptación para generar los nuevos ficheros de forma correcta. El 1 de Agosto es la fecha límite. Algunas entidades ya no permiten utilizar ficheros antiguos. Es muy importante poder  gestionar los cobros y pagos YA con arreglo a las nuevas normas.

Ponte en contacto con nosotros para tener la gestión de tu empresa totalmente al día.

Read More
Daemon4 Servicio Asesoría LOPD

02 Jun Boletín LOPD Mayo 2014

LA LOPD EN EL DÍA A DÍA

¿Quién puede solicitar un derecho ARCO?

Los derechos de acceso, rectificación, cancelación y oposición son personalísimos, y deben ser ejecutados por el propio afectado.
Tales derechos se ejercitarán:
a) Por el propio afectado, acreditando su identidad (fotocopia del DNI ó similar).
b) Por su representante legal (siempre acreditado), cuando el afectado se encuentre en situación de discapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos.
c) Por un representante voluntario, expresamente designado para el ejercicio del derecho. En este caso, deberá constar claramente acreditada la identidad del representado, mediante DNI o documento equivalente y la representación conferida por aquél.

Los derechos serán denegados cuando la solicitud sea formulada por una persona distinta del afectado y no se acredita que actúa en representación de aquél.

IMPORTANTE

Se deben atender los derechos en tiempo y forma, en especial de derecho de cancelación, ya que muchas sanciones de la AEPD se derivan de su omisión.

 

SANCIONES DE LA AEPD

Cartel de videovigilancia no válido

En el procedimiento sancionador PS/00328 de la AEPD podemos ver la sanción que puede sufrir una empresa si el cartel informativo de zona videovigilada no cumple con los requisitos formales establecidos.
Según los hechos, la Policía Municipal de Madrid denuncia la instalación de cámaras de videovigilancia en el establecimiento ATOLÓN, titularidad de INVERSIONES ALABARDERO SL, sin cumplir los requisitos exigidos en la LOPD.
Los responsables del local presentaron documentación en la que se hace constar que la instalación de las cámaras de seguridad ha sido efectuada por la entidad “Securitas Direct”, así como un CD con fotografías de los carteles instalados en el establecimiento, y en las mismas se puede apreciar que el cartel instalado recoge: “Securitas Direct. Instalación Protegida. Camaras de videovigilancia 24 horas” y un número de teléfono.
Sin embargo, según la AEPD, dicho cartel no es conforme a la normativa en materia de protección de datos, porque omite un dato fundamental en la medida en que no recoge la identidad del responsable del fichero ante el que ejercitar los derechos de acceso, rectificación, cancelación, y oposición reconocidos en los arts. 15 y siguientes de la LOPD, así como la referencia a la “Ley Orgánica 15/1999, de Protección de Datos”.
Resultado: Sanción de 2.000€ por vulneración del artículo 5.1 de la LOPD, relativo al derecho de información.

IMPORTANTE

El cartel informativo debe incluir la identidad del responsable del fichero y el domicilio ante el cual pueden ejercerse los derechos de acceso y cancelación de las imágenes.

LA AEPD ACLARA

Instalación de Call Center en otro país

El informe 0427/2010 de la AEPD resuelve la consulta planteada sobre si resulta exigible lo establecido en la LOPD, en el supuesto planteado en la misma en que la consultante tiene la intención de instalar en Colombia un servicio de atención de llamadas (call center) para la atención de los pedidos y reclamaciones de sus clientes, teniendo en cuenta que la empresa únicamente trata, por regla general, los datos referentes al número de teléfono, fijo o móvil, y domicilio de los citados clientes, con ocasión de la realización de los pedidos que efectúan. En la consulta se afirma que dichas normas no serían de aplicación al caso, dado que no se estaría procediendo al tratamiento de datos de carácter personal de los clientes.
De dicho informe jurídico se extrae lo siguiente:
a) El tratamiento de los datos referidos al número telefónico desde el que se realiza un pedido y al domicilio completo en que el mismo ha de entregarse son datos de carácter personal, sujeto su tratamiento en consecuencia a lo establecido en la Ley Orgánica 15/1999.
b) La contratación de un servicio de “call center” en Colombia implicará una transferencia internacional de datos con destino a un Estado que no ofrece un nivel adecuado de protección, y para la que será necesario recabar la autorización del Director de la Agencia Española de Protección de Datos”

IMPORTANTE

Cuando se subcontratan servicios que impliquen el acceso a datos personales con otros países, hemos de tener presente el correcto cumplimiento de la LOPD.

 

EL PROFESIONAL RESPONDE

¿Cómo gestiono las altas y bajas de los usuarios en los equipos informáticos para tenerlo todo controlado?

Los procedimientos de control de acceso deben tener en cuenta el ciclo de vida del usuario, desde su alta en el sistema, hasta la baja en el mismo.
Para ello, se debe redactar un procedimiento o política de registro de altas y bajas de usuarios, cobrando mayor importancia su estricto cumplimiento, cuantos más usuarios accedan al sistema.
La política debe cumplir, entre otros los siguientes extremos:
Asignar un identificador único por usuario, no compartiendo dicho identificador diferentes usuarios.
En caso de baja definitiva de un usuario, eliminar inmediatamente sus derechos de acceso.
En caso de baja temporal, bloquear su identificador.
Revisar periódicamente la lista de usuarios con la de personal, eliminando usuarios redundantes y los que no están en la lista, así como revisar los recursos a los que tienen acceso.
Cotejar la lista de usuarios anterior con la lista de usuarios y accesos permitidos del Documento de Seguridad.

IMPORTANTE

La lista de usuarios con acceso a recursos debe coincidir con la lista de usuarios y accesos permitidos del Documento de Seguridad.

Read More

Utilizamos cookies propias y de terceros para recoger información analítica sobre el uso de la web, si continúa navegando, acepta nuestra política de cookies, su instalación y uso. Puede cambiar la configuración u obtener más información sobre las cookies aquí.

ACEPTAR
Aviso de cookies