Professional Documents
Culture Documents
(Versión en Galego) Resumo Executivo Estudo Sobre A Protección de Datos o Nas Empresas Españolas
(Versión en Galego) Resumo Executivo Estudo Sobre A Protección de Datos o Nas Empresas Españolas
Obxectivos e metodoloxa
Obxectivo do estudo
Metodoloxa do estudo
Anlise documental de estudos nacionais e internacionais.
Establecer un diagnstico da percepcin de cumprimento da normativa vixente en materia de proteccin de datos persoais por parte da pequena e mediana empresa espaola en 2012.
Enquisa: 1.109 entrevistas a responsables de seguridade de TI de empresas. Entrevistas en profundidade a 5 responsables de seguridade de TI de empresas. Grupo de expertos e profesionais pertencentes a diferentes mbitos da seguridade.
Universo: Pequenas e medianas empresas establecidas no territorio nacional (CNAE 2009). Mostra: 1.109 responsables de seguridade de empresas distribudas polo territorio nacional. Distribucin da mostra: Sobre o total de 1.109 empresas: 501 microempresas, 343 pequenas empresas e 265 medianas empresas. Captura de informacin: CATI (Computer Assisted Telephone Interviewing). Traballo de campo: xaneiro e febreiro de 2012. Erro da mostra: 2,9%, calculado para un nivel de confianza do 95,5%, e sendo p=q=0,5.
Principais resultados
Coecemento da normativa sobre proteccin de datos A prctica xeneralidade do colectivo de pequenas e medianas empresas coecece a LOPD e consciente da sa suxeicin mesma. O 86,4% afirma coecer a LOPD e o 80,4% manifesta ser consciente de estar suxeita normativa sobre proteccin de datos.
Existencia de ficheiros As empresas espaolas traballan a mido con ficheiros con datos persoais (3 de cada 4), sendo os ficheiros mis frecuentes os de clientes e provedores (94,5% e 80,2%, respectivamente). Outros ficheiros usados con menor frecuencia son os de nminas, os arquivos para a seguridade social e os currculos de candidatos.
Percepcin de adopcin das obrigacins sobre proteccin de datos A metade das pequenas e medianas empresas manifesta cumprir con todas as obrigacins que contempla a normativa espaola sobre proteccin de datos. O 57,5% das empresas afirma inscribir os rexistros na AEPD. A estimacin de INTECO que tan s os inscribiu o 31,8%.
6
Principais resultados
Percepcin de adopcin de medidas de seguridade A percepcin de adopcin das medidas de seguridade previstas no Regulamento de Desenvolvemento da LOPD irregular entre as empresas espaolas. Un 56,9% das pequenas e medianas empresas espaolas con ficheiros con datos persoais manifesta dispor de un documento de seguridade. O 48,6% das empresas afirma organizar sesins de formacin especfica sobre proteccin de datos persoais. S un 30,3% das empresas participantes na enquisa di dispor dun rexistro de incidencias. Un 61,8% das empresas espaolas afirma que realiza copias de respaldo con periodicidade semanal.
Coecemento da normativa sobre proteccin de datos Existencia de ficheiros Percepcin de adopcin das obrigacins sobre proteccin de datos Percepcin de adopcin de medidas de seguridade Perfs de empresas segundo o seu cumprimento da normativa sobre proteccin de datos.
http://observatorio.inteco.es
8
0,7% 12,9%
34,0%
66,0% 86,4%
2008
Si Non Ns/Nc
2012
9,2% 10,4%
80,4%
Si
Non
Ns/Nc
Existencia de ficheiros
Disposicin de ficheiros de datos de carcter persoal O 74,3% das empresas declara dispor de ficheiros de datos de carcter persoal. Boa parte das medianas e pequenas empresas dispoen destes ficheiros, mentres que nas microempresas se rexistra unha porcentaxe menor. Os expertos indican que practicamente a totalidade das empresas dispoen deste tipo de ficheiros.
Empresas que declaran dispor de ficheiros con datos persoais
2,9%
22,8%
74,3%
Si
Non
Ns/Nc
Existencia de ficheiros
Tipoloxa de ficheiros de datos persoais Entre as empresas que dispoen de ficheiros con datos persoais, a gran maiora di utilizar ficheiros de clientes e provedores. Outro tipo de ficheiros utilizados con menor frecuencia son os de nminas, seguridade social e currculos.
Tipoloxa de ficheiros de datos persoais
Clientes Provedores Nminas Seguridade social RRHH (currculos) Menores de idade Informacin sanitaria Videovixilancia Outros 0% 1,7% 0,4% 0,2% 1,0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 32,6% 32,1% 42,4% 80,2%
94,5%
100%
Existencia de ficheiros
Tipoloxa de datos de carcter persoal manexados dentro dos ficheiros Os datos de contacto, como enderezo, telfono, correo electrnico, xunto ao nome e apelidos e o DNI estn presentes en practicamente a totalidade de ficheiros de datos.
Tipoloxa de datos de carcter persoal manexados dentro dos ficheiros
Contacto Nome e apelidos DNI N de conta bancaria Bancarios/servizos financieiros Fiscais Seguridade social/accidentes de traballo Solvencia econmica Infraccins administrativas ou penais Rexistro de actividade telefnica/accesos en lia Sade Ideoloxa/afiliacin sindical Violencia de xnero Vida sexual Orixe tnica Relixin
0%
97,2% 96,1% 91,1% 54,6% 47,2% 36,3% 34,4% 12,4% 11,6% 6,2% 2,7% 1,2% 0,3% 0,3% 0,3% 0,3%
20% 40% 60% 80% 100%
5,1% 2,1%
7,6%
48,5%
36,7%
Estou ao corrente de todas as obrigacins Estou ao corrente das obrigacins mis importantes Non estou ao corrente Non estou afectada pola normativa sobre proteccin de datos Ns/Nc
Base: empresas espaolas con ficheiros con datos persoais (n=919 en 2012)
15
5,5%
21,8%
72,7%
Si
Non
Ns/Nc
Empresas que declaran cumprir co deber de solicitude de consentimento s persoas fsicas titulares dos datos
5,3%
Si, quedando constancia escrita ou documentada Si, pero non queda constancia escrita ou documentada Non Ns/Nc
14,7%
51,0% 34,3%
Si
Non
Ns/Nc
Transferencia de datos internacionais A realizacin de transferencia internacional de datos de carcter internacional pouco frecuente entre as empresas
Empresas que declaran realizar transferencias internacionais de datos de carcter persoal
1,0%
1,5%
18,6%
71,3%
5,0%
97,5%
Si, e regulouse especificamente o tratamento que se debe facer deses datos Si, pero non se regulou especificamente o tratamento deses datos Non, non se externalizaron tarefas relacionadas Ns/Nc
Si
Non
Ns/Nc
11,9%
31,2%
56,9%
Si
Non
Ns/Nc
Empresas que declaran difundir entre os seus empregados as normas de proteccin de datos e as consecuencias do seu incumprimento
4,1%
48,6%
13,4% 33,9%
Si, recibiron formacin especfica sobre proteccin de datos persoais Si, informuselles doutro xeito Non Ns/Nc
13,0% 30,3%
56,7%
Si
Non
Ns/Nc
3,1%
19,2%
77,7%
Si
Non
Ns/Nc
O 77,2% das empresas espaolas afirma ter establecido un sistema de contrasinais para o acceso aos equipos e aplicacins.
Empresas que declaran establecer un sistema de contrasinais dos usuarios para o acceso aos equipos e aplicacins
0,9%
21,9%
31,8%
65,4%
77,2%
Si
Non
Ns/Nc
Si
Non
Ns/Nc
24
4,8%
8,7%
37,0%
41,3%
53,9%
54,3%
Si
Non
Ns/Nc
Si
Non
Ns/Nc
3,9% 7,8%
13,6%
61,8% 12,9%
Semanalmente
Mensualmente
Ns/Nc
Perfs de empresas segundo o seu cumprimento da normativa sobre proteccin dePerfs empresas datos
O grfico seguinte resume os perfs de empresas obtidos no estudo: 1) Empresas despreocupadas-indiferentes, 2) Empresas previsoras-estratxicas, 3) Empresas indocumentadas e 4) Empresas cumpridoras
Cluster de empresas
21,3%
27,5%
32,3%
18,9%
Perfs de empresas segundo o seu cumprimento da normativa sobre proteccin de datos ***?
Perfil 1: Empresas despreocupadasindiferentes Sector Tamao Comercio minorista e hostelara Perfil 2: Empresas Indocumentadas Industria Perfil 3: Empresas previsorasestratxicas Servizo, comercio e hostelara Medianas empresas. Perfil 4: Empresas cumpridoras Servizos empresariais Pequenas empresas tamao. e de medianas calquera
Non coecen a LOPD e non Coecemento da En xeral, descoecen as consideran estar suxeitas a Coecen a LOPD. normativa obrigacins esixidas na LOPD. ela. Pouco mis dun terzo Coecen a LOPD. Estn ao considera estar ao corrente do tanto das obrigacins e cumprimento das obrigacins observan o seu cumprimento. da LOPD e o seu regulamento.
Coecen a LOPD.
Moitas non estn ao corrente das obrigacins. Percepcin de cumprimento da Non inscribiu os ficheiros de normativa datos de carcter persoal no rexistro da AEPD. Non informan aos interesados sobre a existencia dun ficheiro. Realizan tratamento de datos Tratamento de de carcter persoal en menor datos de medida que a media. carcter persoal
A metade indica ter inscrito os ficheiros no rexistro AEPD. Destaca a elevada porcentaxe que non coece se se cumpriu con este trmite. Realizan tratamento de datos de carcter persoal.
Unha porcentaxe elevada de empresas conta cun protocolo de accin para la xestin de incidencias.
A maiora ten procedementos para facilitar e garantir o exercicio dos dereitos ARCO. Informan aos interesados sobre a existencia dun ficheiro. Realizan tratamento de datos persoais.
A prctica totalidade das empresas deste perfil realiza tratamentos de datos de carcter persoal.
28
Recomendacins
29
Recomendacins
Recomendacins en materia de concienciacin e formacin Concienciacin e formacin Diagnstico e informacin
Incrementar a intensidade das accins de sensibilizacin e adaptalas s necesidades do colectivo de pequenas e medianas empresas. Abordar a concienciacin dende un enfoque didctico, non impositivo. Elaborar as disposicins normativas cunha linguaxe adaptada s pequenas e medianas empresas. Poer en valor o papel da AEPD e resto de axencias.
30
Recomendacins
Propostas en materia de proceso de adecuacin e xestin do tratamento Adecuacin e xestin do tratamento
Normalizacin e certificacin Facilitar o proceso de adaptacin, ofrecendo pautas e ferramentas ademais de asesorar s empresas con maiores dificultades. Establecer requisitos e esixencias acordes ao tamao da empresa e sa actividade. Impulsar un maior control e seguimento do cumprimento normativo. Poer maior nfase nos aspectos mis relevantes, rebaixando as esixencias de carcter formal. Contar co apoio dun terceiro no proceso de adecuacin e tratamento. Fomentar a autorregulacin das empresas prescritoras e facilitadoras. Apoiar o desenvolvemento econmico das empresas.
31
Web
http://observatorio.inteco.es Perfil de Facebook http://www.facebook.com/ObservaINTECO Perfil de Twitter http://www.twitter.com/ObservaINTECO Perfil de Scribd http://www.scribd.com/ObservaINTECO Perfil de Youtube http://www.youtube.com/ObservaINTECO Blogue do Observatorio da Seguridade da Informacin http://www.inteco.es/BlogSeguridad
http://www.inteco.es http://observatorio.inteco.es