Trabajo Unidad 7. Archivo, protección de datos y firma electrónica

aRCHIVO, PROTECCIÓN DE DATOS Y FIRMA ELECTRÓNICA

ÍNDICE

1. Archivo

2. La protección de la información

3. La Agencia Española de Protección de Datos

4. Adaptación de la empresa a la LOPD-GDD

5. Firma y certificado electrónico

1. ARCHIVO

1. EL ARCHIVO

Es el conjunto ordenado de documentos que cualquier persona u organismo produce al ejercer sus funciones o actividades.

También referencia al lugar físico de los documentos.

LA UTILIDAD DEL ARCHIVO

FUNCIONES Y FINALIDADES DEL ARHIVO

1.3. CLASES Y SISTEMAS DE ORDENACIÓN DE ARCHIVOS

Clases de archivos

Según la frecuencia de uso

Según su ubicación

Sistemas de ordenación de archivos

|Los archivos informatizados usan estos criterios: según aplicaciones, tamaño del archivo, categoría o autores. |Los sistemas para ordenar la documentación son: - Alfabético (según el orden del alfabeto)- Numérico (asignando un número correlativo a cada documento) - Alfanumérico (combinando letras y números); - Geográfico (por países, comunidades autónomas, provincias...) - Cronológico(de acuerdo con la fecha, primero los más recientes)

1.4. procedimiento y equipamiento

Procedimiento de archivo

Equipamiento de archivo

1º PASO

+ INFO

+ INFO

2º PASO

+ INFO

3º PASO

4º PASO

+ INFO

+ INFO

1.5. FUNCIONAMIENTO DEL ARCHIVO: CONSERVACIÓN, ACTUALIZACIÓN Y SEGURIDAD

Mostrar

Seguridad del archivo

Conservación del archivo

Protección ambiental

Actualización del archivo

2. LA PROTECCIÓN DE LA INFORMACIÓN

2. protección de la información

2.1. la LOP-GDD Y SU RAZÓN DE SER

|Objetivos: - Adaptar el ordenamiento jurídico español al reglamento europeo de la protección de los datos personales - Garantizar los derechos digitales de la ciudadanía conforme al mandamiento de la Constitución española. |Ámbito de aplicación: tratamiento de datos manual, automatizado o mixto que exista, salvo las excepciones que la ley contempla.

2.3. OTROS RESPALDOS DE PROTECCIÓN DE DATOS

Medidas de seguridad en el tratamiento de los datos personales

Garantía de los derechos digitales

Derechos de los interesados

3. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

3.1. FUNCIONES Y PODERES

En relación con los interesados

En relación con la sociedad

En relación con las normas y su correcta aplicación

3.2. Derechos y deberes de la ciudadaní y las empresas

DE B E R E S

DE R E C H O S

3.3. HERRAMIENTAS Y RECURSOS DISPONIBLES EN LA AEPD

Si la ciudadanía o las organizaciones sufren el incumplimiento de la ley, deberán denunciar. Además, disponemos de un canal de comunicación con la AEPD, en el que podremos ejercer los derechos sobre nuestros datos y el derecho de denuncia.

3.4. PAPEL SANCIONADOR DE LA AEPD

Las sanciones impuestas por la LOPD-GDD se ordenan atendiendo a la naturaleza de los derechos personales a los que afecta, la reincidencia y a otra cualquier otra circunstancia que se considere relevante.

4. Adaptación de la empresa a la lopd-gdd

4.1. ELABORACIÓN DE UN PLAN DE ADAPTACIÓN DE LA LOPD-GDD

B. Redacción de los textos legales

C. Documentación del plan de adaptación

A. Estudio de la empresa

Este documento siempre es recomendable y puede realizarse de forma similar al plan de adaptación anterior, pero deberá contener determinados aspectos en función del papel de la entidad (responsable del tratamiento o encargado del tratamiento o encargado del tratamiento). Una vez identificados los datos personales, el siguiente paso que se debe hacer en el apartado del registro interno, y previo al tratamiento de los datos, será agrupar los datos por categorías, y asignarles una finalidad concreta y confeccionar un tratamiento específico con respecto a cada una de sus finalidades.

4.2. REGISTRO INTERNO DEL TRATAMIENTO DE LOS DATOS

4.3. ESTABLECER LAS MEDIDAS DE SEGURIDAD OPORTUNAS

Las medidas de seguridad deberán adaptarse a los riesgos que se puedan correr, y la necesidad o no de nombrar a un delegado. En general, deben seguirse unos pasos:

2. Nombramiento del delegado

4. Motivar, implicar, formar y concienciar al personal

1. Analizar los riesgos

3.Establecer medidas

En último lugar, las empresas deberán establecer mecanismos de revisión y de auditoría periódica de los datos personales, lo que permitirá:

• Comprobar el tiempo de permanencia de datos en la empresa.

• Garantizar la confidencialidad

• Actualizar los sellos y las certificaciones de que disponga en materia de protección de datos.

• Tomar medidas para asegurar un acceso seguro a los datos personales.

• Realizar auditorías preventivas de empresas o sectores de actividad concretos, y dictar directrices generales o específicas de obligado cumplimiento por parte de las empresas.

4.4. AUDITAR Y REVISAR

5. Firma y certificaco electrónico

5.1. Firma digitAL Y FIRMA ELECTRÓNICA

Firma electrónica

Firma digital

5.2. Certificado electrónico

Permite la firma electrónica

Herramienta básica de gestión digital

Conservación del certificado

5.3 Autoridad de certificación(AC)

VALIDe

CERES

¡GRACIAS POR SU ATENCIÓN!

|Centralizados: La documentación se concentra en un lugar. Es para economizar espacio, equipamiento, etc.(Ubicar archivos en la oficina de administración). |Descentralizados: La documentación se reparte por los departamentos. Es para ahorrar tiempo(Archivador de nóminas en el departamento de contabilidad).

REVISAR LOS DOCUMENTOS

Hay que observar que cumplan los requisitos para ver clasificados y archivados(llevan nombres, dirección y un asunto).

ORDENAR LOS DOCUMENTOS ÚTILES

Ordenarlos siguiendo algunos de los sistemas vistos (alfabético, numérico, alfanumérico, geográfico o cronológico).

Activos

Tienen la documentación más usada y tendrá que estar al alcance del empleado (Plantilla de documentos y cajón archivador).

Semiactivos

Tienen información no activa que se utiliza y estará próxima al activo (Carpeta de Documentos finalizados)

Pasivos

Es información que no se usa casi nunca que se guarda por legalidad o historia (Facturas y recibos de ejercicios anteriores).

Para el funcionamiento de un archivo, habrá una persona que se encargue de esto. Con la entrada en vigor de Ley Orgánica de Protección de Datos y garantía de los derechos digitales(LOPD-GDD), tendrá estas funciones: |Saber localizar los documentos y como funciona el sistema de archivo.|Decidir y aplicar las normas de uso y clasificación|Responsabilizarse de la custodia y conservación de los documentos|Determinar el protocolo para la salida de documentos por cesión o eliminación

ARCHIVAR LOS DOCUMENTOS PREVIAMENTE ORDENADOS

Se coloca los documentos en su lugar correcto, carpeta o archivador.

- Organizativas: procedimientos y formas de actuar para controlar los datos de terceras personas, reduciendo los riesgos de un mal uso (sensibilizar, formar y concienciar al personal de la organización). - Técnicas: procedimientos y formas de actuar para evitar la modificación, la pérdida o el robo de los datos existentes y aporten soluciones de control, prevención y reacción efectivas) dirigidas a las herramientas e instrumentos.

A. Análisis de los riesgos

Un buen registro interno nos permitirá conocer los tratamientos que pretende llevar a cabo la empresa y, en consecuencia, los riesgos más comunes en los que debemos fijar la atención. Un buen análisis de riesgos empieza por contextualizar el entorno del riesgo, conocer la evolución de los datos y su tratamiento, desde que son capturados hasta que los destruimos. Y para ello, es muy útil haber trabajado aspectos como la recopilación de datos.

Motivar, implicar, formar y concienciar al personal

Es fundamental que la plantilla de cualquier organización sea conocedora de la importancia que para la empresa tienen los datos y su correcto tratamiento. La implicación debe partir de los responsables de la organización, y ha de ser correctamente transmitida al resto de la entidad por medio del delegado de protección de datos.

Deben actualizarse los datos empresariales (contactos, empresas proveedoras, clientela...); la información administrativa pública (organismos públicos, instituciones, responsables...) y la legislación aplicable a cada entorno empresarial (leyes, reglamentos, directivas...). Para mantenerse en la legalidad es necesario:

|Establecer fuentes y bases de datos fiables (BOE, diarios oficiales de las autonomías y portales jurídicos reconocidos). |Aplicar un protocolo de actualización y verificación, poniendo fechas de revisión y actualización. |Inscribirse y darse de alta en los servicios de alerta creados por las administraciones públicas. |Transmitir y promocionar en los empleados una activa y de consulta.

Redacción de los textos legales

Realizada la primera fase, es elel momento de lanzarse con los textos legales que debemos elaborar para:

• Informar a los interesados del uso y tratamiento que se hace de sus datos personales.
• Recabar los consentimientos expresos.

Distinguiremos entre textos públicos o generales (carteles informativos, formularios, etc...) y privados o específicos (modelos de documentos para los consensos expresos, etc...)

Son los dispositivos físicos(ordenadores, armarios, etc.) que permiten almacenar y ordenar la información.

Su elección es importante y responderá:- Al espacio del que se dispone- La frecuencia de uso de los documentos- El volumen de material archivado- La forma de uso

Los dos sistemas para mantener la información archivada son el archivo convencional o manual (archivadores, carpetas, armarios, etc.) y el archivo informático.

Firma digital

Sistema criptográfico que asocia la identidad de una persona (u organización) al mensaje o documento al que acompaña. La firma digital se usa frecuentemente en transacciones financieras y en otras áreas en que es crucial prevenir la falsificación y la manipulación.

Si queremos disfrutar de la naturaleza y el medioambiente, deberemos ser responsables en nuestros actos personales y profesionales.

Con esta intención se publicó la Ley 26/2007, de 23 octubre, de Responsabilidad Medioambiental, que hace referencia a:

|La responsabilidad de las empresas en sus acciones respecto al medio ambiente. |La obligación de tomar medidas de prevención y evitación de daños ambientales.|La garantía de cumplir con la reparación de daños ocasionados por las empresas.

Ahora se esta estandarizando poner en los planes de responsabilidad corporativa (RSC) sus políticas medioambientales y de cuidado de la naturaleza.

Firma electrónica

Conjunto de datos relativos a una persona (u organización) consignados en forma electrónica, y que pueden ser utilizados como medio de identificación del firmante.. La firma electrónica, a diferencia de la firma digital, posee una validez legal. Además, mientras que la firma digital garantiza la veracidad de una información, la firma electrónica puede vincularse a un documento y de esta forma identificar al autor.

• La seudonimización y el cifrado de datos personales.
• La capacidad de garantizar la confidencialidad o la integridad de los sistemas y los servicios
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
• Un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Establecer medidas

En todas las entidades que actúen como operadores en el tratamiento de los datos personales ha de primar una actitud proactiva, de modo que puedan adelantarse a las amenazas. Y, aunque la LOPD-GDD no establece medidas concretas, el Reglamento sí ofrece algo parecido a un listado:

Con la Ley Orgánica de Protección de Datos y garantía de los derechos digitales se aseguran los siguientes:

- Derecho de acceso universal a internet. - Derecho a la seguridad digital. - Derecho a la educación digital.- Derecho a la rectificación en internet. - Derecho al olvido en Internet, redes sociales y servicios equivalentes. - Derecho a la actualización de informaciones en medios de comunicación digitales. -Derecho al testamento digital.

Están recogidos en ARSO+ y son los siguientes: |Acceso: es poder acceder a los datos personales y conocer los fines de su tratamiento, destinatarios y plazo de conservación. |Rectificación: Los interesados pueden corregir y rectificar los datos personales. |Supresión: Es que el interesado pueda eliminar los datos para que no se le identifique. |Oposición: Es permitir que el interesado no desee que sus datos se usen para unas actividades sin usar la supresión. |Limitación del tratamiento: Este se puede marcar por su finalidad o tiempo de conservación. |Portabilidad: Los interesados pueden exigir la entrega de sus datos personales estructuradamente.

Es necesario un seguimiento continuo sobre estos documentos y, para conseguirlo, se han desarrollado diversas normas, recogidas en la Ley Orgánica de Protección de Datos y garantía de los derechos digitales LOPD-GDD.

Autoridad de certificación

Las autoridades de cerificación son organizaciones o empresas de confianza que se aseguran de que los certificados sean auténticos y seguros.

• Principal prestador de servicios de certificación electrónida: CERES
• Comprobación de si un certificado emitido por uno de es

Cerfificado electrónico

Un certificado electrónico, es un fichero digital emitido por una Autoridad de Certificación que garantiza la vinculación entre la identidad de una persona y su clave pública, lo que permite identificar al titular sin equivocación. Además un certificado digital:

• Permite la firma electrónica
• Es una herramienta básica para realizar gestiones de forma digital
• Debe estar conservado

Estudio de la empresa

Se deben detallar todos los datos de los que se hace uso. Además, se diferenciará, de entre toda la información disponible, aquella que afecta a los datos personales de las personas.

El buen archivar genera rapidez y productividad, cosas que necesita la empresa.El archivo deberá ser sencillo de manejar para que cualquier persona que necesite información de él la encuentre rápido y sencillo. Es importante establecer carpetas y subcarpetas adecuadas y adaptadas a las necesidades y usos de la empresa.No toda la información de una información será almacenada o guardada. Para clasificar los documentos, se debe seguir unas pautas:

El archivo funcionará como la memoria colectiva de una empresa. Es vital para el buen funcionamiento de esta. Sus funciones son: almacenar, conservar y permitir recuperar rápidamente la información correspondiente.

Los documentos se conservarán durante el tiempo necesario para sus finalidades. |Plazo de conservación de la documentación: - Materia laboral (no pagar a tiempo o retrasarse en el pago de obligaciones laborales) → 3 años - Seguridad Social (infracciones) → 4 años - Materia fiscal (deudas tributarias) → 4 años- Temas contables y mercantiles → 6 años. - Materia fiscal de comprobaciones de cuotas y deducciones → 10 años - Hacienda pública y Seguridad Social → 10 años

CLASIFICAR LOS DOCUMENTOS

Distinguir los útiles(para guardar o actuar) del resto (no so importantes para la empresa y se tiran).

Documentación del plan de adaptación

Se elaborará un documento, en formato formulario o tabla, que permitirá hacer el seguimiento del proceso de adaptación a la LOPD-GDD. Se trata de un archivo informativo que ha de servir como guión de la correcta adaptación de la empresa a la nueva realidad en materia de protección de datos. Sin embargo, por sí solo no será suficiente, ya que este documento deberá estar respaldado por la correcta realización de las acciones que aparezcan reflejadas en él y, además, deberán ir acompañadas de informes que las confirmen.

Nombramiento del delegado

La figura del delegado de protección de datos, ha ganado importancia con la evolución de las normativas, e incluso ha llegado al punto de ser obligatorio en algunos casos, como:

• Colegios profesionales
• Centros docentes, universidades (públicas y privadas)
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala.

En relación con las normas y su correcta aplicación

• Controlar la aplicación del Reglamento General de Protección de Datos y el resto de la normativa de protección de datos, así como proceder a que se aplique.

• Llevar a cabo investigaciones sobre la aplicación de la normativa vigente.

• Elaborar y publicar los criterios para la acreditación de organismoa de supervisión de los códigos de conducta.

• Llevar registros internos de las infracciones del presente reglamento y de las medidas adoptadas.

En relación con la sociedad

• Promover la sensibilización del público y su comprensión de los riesgos, las normas, las garantías y los derechos en relación con el tratamiento. Especialmente las relacionadas con menores.

• Hacer un seguimiento de cambios que sean de interés, en la medida que tengan incidencia en la protección de datos personales; en particular, el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.

• Ofrecer asesoramiento sobre las operaciones de tratamiento.

En relación con los interesados

• Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos y, en su caso, cooperar a tal fin con las autoridades de control.

• Tratar las reclamaciones presentadas por un interesado o por un organismo, una organización o una asociación, e investigar, en la medida de lo posible, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable.

Deberes

Funciones de la AEPD. El deber consiste en ofrecer asesoramiento:

• Si vamos a tratar datos personales en el desarrollo de una actividad profesional o empresarial, y el riesgo del tratamiento de estos datos es bajo, la AEPD nos ofrece la posibilidad de utilizar la herramienta FACILITA_RGPD, que nos ayudará a adecuar la legislación vigente.

• La AEPD puede guiar en la elaboración y la implantación de unos codigos necesarios de conducta en el ámbito de la protección de datos.

Derechos

Recomendaciones de la AEPD para proteger los derechos de los ciudadanos.Protege tus datos:

• Antes de interponer una reclamación sobre derechos, debemos dirigirnos primero a su responsable. Sin no nos responden en el plazo establecido o si se considera que la respuesta no ha sido adecuada, se puede interponer una reclamación en la AEPD.

• Cuando la AEPD no sea competente para investigar una denuncia, intentará orientar sobre el órgano al que dirigirse.