miércoles, 24 de octubre de 2012

Ayuda LOPD (VI): Ejemplo de declaración de fichero a la APD (Sistema NOTA) - Paso 4

Último post para el ejemplo de declaración de fichero a la AEPD, en el que veremos como enviar la declaración elaborada.

Recordar que en el primer post, en el que se plantea el ejemplo en cuestión ("Ayuda LOPD (III): Ejemplo de declaración de fichero a la AEPD (Sistema NOTA) - Paso 1"), seleccionamos "Internet" como sistema a emplear para presentar la documentación (el contenido de la notificación se enviará por Internet, y la Hoja de solicitud de inscripción se deberá imprimir, firmar por la persona que realiza la declaración y enviar por correo ordinario), y que en el último, "Ayuda LOPD (V): Ejemplo de declaración de fichero a la AEPD (Sistema Nota) - Paso 3", cumplimentamos y guardamos la Hoja de solicitud de inscripción.

Pues bien, para enviar el contenido de la notificación abrimos en el navegador (en este ejemplo utilizaré Internet Explorer) el archivo que guardamos en el post anterior (recomendé guardarlo con el nombre "Solicitud inscripción Nóminas y Recurso Humanos").

Para ello, se actuará de la siguiente manera:


Mediante el botón "Examinar" de la ventana que se muestra tras pulsar la opción "Abrir...", buscamos el archivo que contiene la  solicitud de inscripción, lo seleccionamos y pulsamos sobre el botón "Abrir".


Tras pulsar sobre el botón "Aceptar", se mostrará en el navegador la solicitud de inscripción elaborada en el post anterior.

Pulsando sobre el botón del formulario:


el contenido de la notificación se enviará a la AEPD a través de Internet. En la ventana que se nos muestra después de pulsar este botón se indica la dirección a la que deberemos enviar por correo ordinario la Hoja de solicitud debidamente firmada por el declarante (esta Hoja de solicitud se mostrará en el navegador como respuesta al envío del contenido de la notificación del fichero a dar de alta inmediatamente después de que se complete éste). Es decir, nos aparecerá algo parecido a lo siguiente:


Nota: la imagen permite hacer zoom, arrastrar, etc., posicionándose sobre ella y utilizando los botones correspondientes.

Y ya lo único que queda por hacer es guardar esta Hoja de solicitud de inscripción (recomiendo dar al archivo el nombre "registroxdp_Nombre del fichero a declarar", es decir, en nuestro caso "registroxdp_Nóminas y Recursos Humanos"), imprimirla, firmarla por el declarante y enviarla por correo ordinario a la dirección que nos han indicado. Es importante recalcar que el envío por Internet del contenido de la notificación que hemos efectuado no tendrá ningún efecto de no producirse el envío por correo ordinario de esta Hoja de solicitud debidamente firmada por el declarante.

Una vez hecho todo esto y transcurrido un cierto tiempo, la AEPD nos comunicará la inscripción del fichero en el RGPD (Registro General de Protección de Datos) a la dirección a efectos de notificación que hemos indicado en la Hoja de solictud de inscripción. Además, dicha inscripción se puede consultar en su sitio web, tanto en "Ficheros inscritos >Titularidad privada",  como en "Canal del Responsable>Consulta del contenido de la inscripción>Titularidad Privada" si queremos ver el contenido completo de la inscripción.

martes, 23 de octubre de 2012

Ayuda LOPD (V): Ejemplo de declaración de fichero a la AEPD (Sistema NOTA) - Paso 3

Post muy breve, como continuación a los dos anteriores sobre este tema ("Ayuda LOPD (III): Ejemplo de declaración de fichero a la AEPD (Sistema NOTA) - Paso 1" y "Ayuda LOPD (IV): Ejemplo de declaración de fichero a la AEPD (Sistema NOTA) - Paso 2"), en el que explico la cumplimentación de la Hoja de solicitud de inscripción del fichero que hemos puesto como ejemplo.

Una vez cumplimentado el formulario de notificación del fichero a dar de alta, en nuestro ejemplo el fichero de "Nóminas - Recursos Humanos", tras pulsar el botón:


se nos pedirá que cumplimentemos la Hoja de solicitud  de inscripción correspondiente, en nuestro ejemplo algo parecido a lo siguiente:


Nota: la imagen permite hacer zoom, arrastrar, etc., posicionándose sobre ella y utilizando los botones correspondientes.

Para cumplimentar esta Hoja de solicitud de inscripción, únicamente habrá que: aportar los datos del declarante (persona que firma la solicitud, que deberá tener representación suficiente para efectuar la declaración) y la dirección a efectos de notificación, que de forma habitual coincidirá con la del responsable del fichero o tratamiento y es en la que nos comunicarán la inscripción del fichero en el RGPD (Registro General de Protección de Datos) de la AEPD, y marcar la casilla "Conocimiento de los deberes del declarante".

El resto de información que figura en el archivo pdf se corresponde con la del formulario del contenido de la declaración del fichero (introducido en el post "Ayuda LOPD (IV): Ejemplo de declaración de fichero a la AEPD (Sistema NOTA - Paso 2)").

Tras este paso, recomiendo guardar la Hoja de solicitud de inscripción dándole el siguiente nombre al Archivo "Solicitud inscripción + Nombre del fichero a declarar" (en nuestro ejemplo: "Solicitud inscripción Nóminas y Recursos Humanos").

En el último post de este ejemplo, explicaré como realizar el envío de la notificación.

Ayuda LOPD (IV): Ejemplo de declaración de fichero a la AEPD (Sistema NOTA) - Paso 2

Continuando con el ejemplo puesto en el post anterior ("Ayuda LOPD (III): Ejemplo de declaración de fichero a la AEPD - Paso 1"), en este post veremos la forma de cumplimentar los apartados de la notificación  de alta.

El modelo de declaración "Tipo" para la notificación de alta de un fichero, que es aquel que hemos seleccionado para nuestro ejemplo, consta de ocho apartados (el modelo "Normal" dispone de un apartado más  para el caso de que se realicen transferencias internacionales de los datos del fichero a declarar, pero esta circunstancia no será habitual en el caso de pymes y micropymes).

Todos los apartados disponen de los siguientes botones, ubicados en la parte derecha de su encabezado.


Figura 1.- Botones para validar el contenido del apartado, borrarlo y de ayuda.

El botón "Validar" se utiliza para comprobar que se han introducido todos los datos que es obligatorio cumplimentar en cada apartado y para verificar otros aspectos en función de los campos incluidos.

El botón "Borrar" se emplea para limpiar los campos introducidos hasta el momento en un apartado.

El botón "?" proporciona ayuda sobre cómo cumplimentar cada apartado y sobre qué datos son obligatorios en cada uno de ellos.

Veamos ahora cada uno de los apartados:


Se trata, sin más, de incluir los datos identificativos del responsable del fichero. En nuestro caso la pyme, micropyme o autónomo.

Los campos "Teléfono", "Fax" y "Correo electrónico" son de cumplimentación voluntaria.


Este apartado sólo debe cumplimentarse en el caso de que la dirección a la que deben acudir los interesados que deseen ejercitar los derechos que la Ley les reconoce (acceso, rectificación, cancelación y oposición) sea diferente a la dirección que se ha indicado para el responsable del fichero en el apartado 1.

Por tanto, lo habitual es que no se tenga que cumplimentar, ya que ambas direcciones suelen coincidir.


Este apartado sólo debe cumplimentarse en el caso de que una o más personas, físicas o jurídicas, traten datos de carácter personal del fichero que se va a declarar para prestarnos un servicio. En el caso de que haya más de una, sólo deben indicarse los datos identificativos de una de ellas.

En nuestro caso (fichero de "Nóminas - Recursos Humanos") un ejemplo típico de posible encargado de tratamiento podría ser, si se da la circunstancia, la asesoría que elabore los contratos y/o nóminas de nuestros empleados.

Los campos "Teléfono", "Fax" y "Correo electrónico" son de cumplimentación voluntaria.

Si el domicilio del encargado de tratamiento estuviera fuera de la Unión Europea habría que cumplimentar, además, el apartado de "Transferencias internacionales" de datos, pero como ya he indicado ésta no es una circunstancia habitual en pymes y micropymes.


En este apartado se trata de incluir el nombre del fichero o tratamiento, la descripción detallada de su finalidad y usos, y la tipificación correspondiente a dicha finalidad y usos.

Observamos que, como hemos seleccionado el modelo de declaración "Tipo", se han autocompletado los campos a cumplimentar en este apartado.

  
  Figura 2.- Nombre y descripción de la finalidad y usos del fichero o tratamiento a dar de alta.


Figura 3.- Tipificación de la finalidad y usos del fichero o tratamiento a dar de alta.

En nuestro ejemplo y en el caso de la tipificación recomiendo incluir, además, las correspondientes a "Gestión de Nóminas" y "Prevención de riesgos laborales", para lo que bastará con seleccionar ambas finalidades de la lista que se muestra a la izquierda y pulsar el botón ">".


De igual forma se habrán autocompletado, con los valores adecuados para el fichero a dar de alta en nuestro ejemplo, los campos correspondientes al origen y procedencia de los datos.


Figura 4.- Origen de los datos del fichero o tratamiento a dar de alta.


Figura 5.- Procedencia de los datos del fichero o tratamiento a dar de alta; colectivos de los que se recabarán los datos.


En este apartado se nos proponen los siguientes valores para los campos correspondientes a los tipos de datos, estructura y organización del fichero de "Nóminas - Recursos Humanos" a dar de alta en nuestro ejemplo.

- Datos de carácter identificativo:


Figura 6.- Datos de carácter identificativo que contendrá el fichero a dar de alta.

En el caso de datos de carácter identifcativo del fichero de nuestro ejemplo, además de los que se nos proponen (los ya marcados), recomiendo marcar también la casilla "Firma / Huella" (por la firma que aparecerá en el contrato del empleado y en otra posible documentación) e incluir en "Otros datos de carácter identificativo" aquellos otros de los que se pudiera disponer (por ejemplo: e-mail, caso de disponerse del correo electrónico personal de alguno/s empleado/s, etc.).

- Otros datos tipificados:


Figura 7.- Otros datos tipificados que contendrá el fichero a dar de alta.

En este caso entiendo que son los correctos para el fichero a dar de alta en nuestro ejemplo, ya que dichas tipificaciones incluyen los datos típicos de los que se dispone en un fichero de "Nóminas - Recursos Humanos":

- Características personales: datos de estado civil y familia, fecha y lugar de nacimiento, etc.

- Académicos y profesionales: formación, titulaciones, experiencia profesional, etc.

- Detalles del empleo: profesión, puestos de trabajo, datos no económicos de nómina e historial del trabajador.

- Económicos, financieros y de seguros: datos bancarios, datos económicos de nómina, etc.

- Transacciones de bienes y servicios: compensaciones / indemnizaciones, etc.

No obstante, siempre se podrán incluir otros tipos de datos de los que se disponga marcando la casilla que se muestra en la parte inferior de la lista (tras lo cual se mostrará un campo para poder incluirlos).

- Sistema de tratamiento:


Figura 8.- Sistema de tratamiento del fichero a dar de alta. 

En este caso y para el fichero de nuestro ejemplo, discrepo del sistema de tratamiento que se nos propone :-), ya que entiendo que siempre se dispondrá de datos en soporte papel (contrato laboral, y puede que de: partes de actividad y/o vacaciones y/o gastos, currículum vitae, etc.), por lo que mi recomendación consiste en marcar la casilla "Mixto" (que incluye ambos tipos de tratamiento, automatizado y manual).


En este caso se nos propone el valor "Nivel básico" y mi recomendación es dejarlo así (ver post "Guía Implantación LOPD en Pymes (III)", ya que al final del mismo comento algunos aspectos sobre el nivel de seguridad de los ficheros que entiendo importantes para asignar a cada uno de ellos el nivel adecuado).


Figura 9.- Medidas de seguridad aplicables al fichero a dar de alta.


Se trata de indicar aquí  las categorías de los destinatarios de las cesiones previstas de los datos del fichero a dar de alta, es decir, el tipo de cesionarios a los que podemos comunicar todos o partes de los datos incluidos en el fichero.

Hay que recordar que un encargado de tratamiento no es un cesionario, es decir, al acceso a datos de un encargado de tratamiento para prestarnos un servicio (por ejemplo: una asesoría) no se considera una cesión o comunicación de datos. La diferencia fundamental entre un encargado de tratamiento y un cesionario es que, mientras el primero no tiene capacidad de decisión sobre la finalidad y usos del fichero o tratamiento, el segundo sí, es decir, utilizará los datos que le comuniquemos para finalidades y usos propios (se recomienda ver post "Guía Implantación LOPD en Pymes (II)", en el que se aclaran las definiciones de cesión, cesionario, etc.).

Pues bien , en este caso y para el fichero de "Nóminas - Recursos Humanos" a dar de alta en nuestro ejemplo, se nos proponen las siguientes categorías de cesionarios.


Figura 10.- Categorías de los cesionarios de datos del fichero a dar de alta.

Valores que entiendo adecuados en el caso de pymes y micropymes, pero se recomienda pensar en cada caso concreto y añadir / eliminar hasta que la lista refleje la realidad de las comunicaciones de los datos del fichero que se prevean realizar (existe, además, la posibilidad de incluir otras categorías de cesionarios, no previstas en la lista que se muestra, marcando la casilla "Otros destinatarios de cesiones").

Una vez cumplimentados todos los apartados se recomienda validar el formulario de notificación (se puede ir también validando cada apartado de forma individual), mediante el botón "Validar" y, una vez de que esté correcto, "Guardar" el formulario (se recomienda darle al archivo el mismo nombre que el del fichero o tratamiento a declarar, en nuestro caso "Nóminas y Recursos Humanos").

Tras realizar esto, ya sólo falta cumplimentar la hoja de solicitud de inscripción y proceder al envío del formulario de notificación por Internet (ya que ese es el sistema de envío que hemos elegido para nuestro ejemplo), asuntos que trataré en los dos siguientes posts.


Figura 11.- Botón para cumplimentar la hoja de solicitud de inscripción del fichero.

lunes, 22 de octubre de 2012

Ayuda LOPD (III): Ejemplo de declaración de fichero a la AEPD (Sistema NOTA) - Paso 1

En este post, como parte de la contestación a una consulta que se me planteó, pongo un ejemplo de la declaración de un fichero a la AEPD (Agencia Española de Protección de Datos), para facilitar la labor de notificación de ficheros a aquellas pymes y micropymes menos familiarizadas con la protección de datos de carácter y las exigencias que la normativa actualmente vigente en esta materia establece para el tratamiento de dicho tipo de datos.

Tal y como comentaba en el post anterior de esta serie ("Ayuda LOPD II: Declaración de ficheros", cuya lectura recomiendo con carácter previo a éste), la notificación a la AEPD de los ficheros con datos de carácter personal de los que un responsable de fichero sea titular (en nuestro caso, conforme al objetivo de estos posts, lo será la pyme / micropyme o un autónomo) es una de las obligaciones básicas que impone la normativa vigente en materia de protección de datos de carácter personal.

Asimismo, recomiendo también la lectura de los posts: "Guía implantación LOPD en Pymes (II)", en el que explico las principales definiciones de la norma que hay que conocer para cumplimentar correctamente la declaración, y  "Guía implantación LOPD en Pymes (III)", en el que doy una serie de pautas básicas para la identificación de los ficheros manejados y para su notificación a la AEPD.  

Una vez identificados los ficheros que utilizamos ("Nóminas - Recursos Humanos", "Clientes y/o proveedores", etc.) para su notificación utilizaremos el sistema NOTA (NOtificaciones Telemáticas a la AEPD) que la Agencia pone a nuestra disposición en su sitio web (www.agpd.es).

Lo primero que debemos hacer es obtener el formulario para la notificación de ficheros de titularidad privada (se trata de un archivo pdf que se puede descargar desde el siguiente enlace: Formulario Nota de titularidad privada y que se encuentra situado en la parte inferior de la página):

Figura 1.- Obtención del Formulario Nota de titularidad privada desde el sitio web de la AEPD.

Al pulsar sobre el enlace indicado en la figura anterior, se abrirá el formulario y lo guardaremos en nuestro ordenador (Archivo > Guardar como...).

Una vez hecho esto comenzamos a dar la información básica para cumplimentarlo. En nuestro ejemplo se trata de dar de alta un fichero, es decir, de notificar el fichero para su inscripción en el Registro General de Protección de Datos (RGPD) de la AEPD, por lo que deberemos marcar la casilla "Alta".

Figura 2.- Tipo de solicitud de inscripción: Alta.

Tras marcar la casilla "Alta", debemos seleccionar el modelo de declaración de alta a efectuar. Si marcamos la casilla "Normal" partiremos de un formulario totalmente vacío, es decir, deberemos cumplimentar todos los apartados partiendo de cero, mientras que si marcamos la casilla "Tipo" se nos mostrará un formulario en el que se autocompletarán determinados apartados con los valores más apropiados para determinados ficheros o tratamientos. Para pymes y micropymes y cuando se trate dar de alta ficheros o tratamientos frecuentemente utilizados por éstas, recomiendo utilizar la segunda de las opciones.

En nuestro ejemplo vamos a cumplimentar la notificación de alta de un fichero de "Nóminas - Recursos Humanos" (empleados), por lo que, conforme a la recomendación anterior marcamos la casilla "Tipo" y después la casilla "Nóminas - Recursos Humanos".


Figura 3.- Selección de modelo de declaración de alta y tipo de fichero a declarar.

Seguidamente, debemos seleccionar el sistema a emplear para presentar la documentación. De los tres sistemas que se presentan: "Formulario en papel" (para presentarla hay que imprimir al finalizar toda la documentación: contenido más hoja de solicitud de inscripción); "Internet" (el contenido se envía por Internet y sólo hay que imprimir la hoja de solicitud de inscripción) e "Internet firmado con certificado digital" (todo el trámite se realiza por Internet), para pymes y micropymes recomiendo marcar la casilla "Internet".


Figura 4.- Selección del sistema para presentar la documentación.

Tras lo que se podrá ya empezar a cumplimentar la declaración del fichero pulsando sobre el botón "Cumplimentar".


Figura 5.- Botón para comenzar a cumplimentar la declaración de alta del fichero.

En el siguientes post iré explicando los siguientes pasos a dar.

jueves, 4 de octubre de 2012

euskal securiTIConference (XVII)

Comienzo con éste una serie de posts para, al igual que en la edición anterior, ir informando de las novedades que se vayan produciendo en todo lo relativo a la segunda edición del evento "euskal securiTIConference" (Congreso Vasco sobre Seguridad de la Información / Informazioaren Segurtasunaren Euskadiko Kongresua), y que en la presente edición tiene como objetivo ir consolidándose como un evento de referencia en Euskadi en el ámbito de la privacidad, protección de datos y seguridad de la información.


Hasta la fecha, en esta segunda edición está ya confirmada la participación de las siguientes organizaciones y personas:

             - AVPD (Agencia Vasca de protección de Datos
                / Datuak Babesteko Euskal Bulegoa):

                  D. Iñaki Pariente de Prada (Director).
                  D. Pedro Alberto González (Responsable
                  Registro y NNTT).



         - INTECO (Instituto Nacional de Tecnologías de
            la Comunicación)

               D. Pablo Pérez San-José (Gerente).



                       - EJIE (Sociedad Informática del Gobierno
                          Vasco / Eusko Jaurlaritzaren Informatika
                          Elkartea):

                             D. Juan José Carrasco (Resp. Seguridad).


   - LANTIK (Sociedad Informática de la Diputación
      Foral de Bizkaia / Bizkaiko Foru Aldundia).

         D. Balbino Zubiaga Urbieta (Jefe de
                                                        Seguridad).


     - IZFE (Sociedad Foral de Servicios Informáticos
        S.A. / Informatika Zerbitzuen Foru Elkartea).

          D. Enrique Gómez Zayas (Téc. Seguridad).


      - CCASA (Centro de Cálculo de Álava, S.A. /
         Arabako Kalkulu Gunea, A.B.).

           D. Roberto Pérez de Arrilucea Aguirre
           (Resp. de Gestión del Servicio). 

                     - Cimubisa (Centro Informático Municipal
                        Ayto. Bilbao).

                          D. Manu Roibal Prieto (Director Desarrollo,
                           Sistemas y Explotación).


    - Tuenti

         D. Oscar Casado Oliva (Director Legal y
          de Privacidad).



     - Omega peripherals.


               - IDE (Grupo Informática de Euskadi):

                    D. Gorka Ochandiano (Consultant).
                    Dª. Izaskun Onandia (Gerente neg. seg. IT)


              - Global Factory

                  D. Jesús Soler Lorent (Responsable
                  Área Jurídica).
                  D. Gontzal Gallo Ruiz (Consultor Jurídico).


 - Nextel.

     D. Joseba Enjuto Gozalo (Resp. Control
     Corporativo y Cumplimiento Legal).

  - Marketing Positivo:

     D. Jesús Pérez Serna (Administrador).
- ICASV (Ilustre Colegio de Abogados del Señorío de Vizcaya / Bizkaia Jaurerriko Abokatuen Bazkun Ohoretzua).

    D. Jesús Soler Lorent (Responsable
    Grupo NN.TT.).

                    - APEP (Asociación Profesional Española de
                     privacidad).

                        D. Ricard Martínez Martínez (Presidente).


              - Iurismatica Abogados:

                   D. Jorge Campanillas Ciaurriz (Abogado
                   especializado en TICs  y Vicepresidente
                   cuarto ENATIC - asoc. nacional abog. TIC).


  - Informa Consulting:

       D. Maximo Tamayo Ruiz (Gerente).


   - S21sec:

              D. Álvaro del Hoyo Manene (Service
              Marketing Manager).


       - Deloitte:

          D. Fernando Picatoste Mateu (Socio
          Responsable Servicios de Seguridad). 

                    - Mondragon Unibertsitatea:

                       D. Urko Zurutuza Ortega (Docente
                       Investigador).


        - Euskaltel:

            D. Ángel Barrio Martínez (Responsable de
            Seguridad de TI).
            D. Alfonso Encina Ibeas (Especialista
            soluciones  seguridad Empresa). 


                 - Symantec:
        
                    D. David Sanz (Especialista de soluciones de
                    Protección en entornos Móviles).



           - Google:

              Dª  Bárbaro Navarro
              (Directora de Políticas Públicas y Asuntos
              Institucionales para el Sur de Europa).

- D. José Antonio Mañas (Profesor en la Universidad Politécnica de Madrid colaborador del CCN y del MINHAP en la elaboración del ENS y guías de soporte).

D. Francisco Javier Sempere (Asesor de Apoyo Técnico-Jurídico en protección de datos).

- D. Jon Turrillas (Abogado TIC y Vicepresidente de PRIBATUA).

- D. David Maeztu Lacalle (Abogado especializado en Nuevas Tecnologías y
Propiedad Intelectual, Asesor en derecho tecnológico de la Federación de Empresarios de La Rioja - FER -).


En los siguientes posts iré informando sobre nuevas participaciones, contenidos y, en general, de todos los detalles del evento.