Resumo executivo Estudo sobre a proteccin de datos o nas empresas espaolas

INSTITUTO NACIONAL DE TECNOLOGAS DE LA COMUNICACION

Obxectivos e metodoloxa do Estudo

Obxectivos e metodoloxa

Obxectivo do estudo

Metodoloxa do estudo
Anlise documental de estudos nacionais e internacionais.

Establecer un diagnstico da percepcin de cumprimento da normativa vixente en materia de proteccin de datos persoais por parte da pequena e mediana empresa espaola en 2012.

Enquisa: 1.109 entrevistas a responsables de seguridade de TI de empresas. Entrevistas en profundidade a 5 responsables de seguridade de TI de empresas. Grupo de expertos e profesionais pertencentes a diferentes mbitos da seguridade.

Ficha tcnica da enquisa

Enquisa sobre proteccin de datos nas empresas espaolas

Universo: Pequenas e medianas empresas establecidas no territorio nacional (CNAE 2009). Mostra: 1.109 responsables de seguridade de empresas distribudas polo territorio nacional. Distribucin da mostra: Sobre o total de 1.109 empresas: 501 microempresas, 343 pequenas empresas e 265 medianas empresas. Captura de informacin: CATI (Computer Assisted Telephone Interviewing). Traballo de campo: xaneiro e febreiro de 2012. Erro da mostra: 2,9%, calculado para un nivel de confianza do 95,5%, e sendo p=q=0,5.

Principais resultados do Estudo

Principais resultados
Coecemento da normativa sobre proteccin de datos A prctica xeneralidade do colectivo de pequenas e medianas empresas coecece a LOPD e consciente da sa suxeicin mesma. O 86,4% afirma coecer a LOPD e o 80,4% manifesta ser consciente de estar suxeita normativa sobre proteccin de datos.

Existencia de ficheiros As empresas espaolas traballan a mido con ficheiros con datos persoais (3 de cada 4), sendo os ficheiros mis frecuentes os de clientes e provedores (94,5% e 80,2%, respectivamente). Outros ficheiros usados con menor frecuencia son os de nminas, os arquivos para a seguridade social e os currculos de candidatos.

Percepcin de adopcin das obrigacins sobre proteccin de datos A metade das pequenas e medianas empresas manifesta cumprir con todas as obrigacins que contempla a normativa espaola sobre proteccin de datos. O 57,5% das empresas afirma inscribir os rexistros na AEPD. A estimacin de INTECO que tan s os inscribiu o 31,8%.
6

Principais resultados
Percepcin de adopcin de medidas de seguridade A percepcin de adopcin das medidas de seguridade previstas no Regulamento de Desenvolvemento da LOPD irregular entre as empresas espaolas. Un 56,9% das pequenas e medianas empresas espaolas con ficheiros con datos persoais manifesta dispor de un documento de seguridade. O 48,6% das empresas afirma organizar sesins de formacin especfica sobre proteccin de datos persoais. S un 30,3% das empresas participantes na enquisa di dispor dun rexistro de incidencias. Un 61,8% das empresas espaolas afirma que realiza copias de respaldo con periodicidade semanal.

Coecemento da normativa sobre proteccin de datos Existencia de ficheiros Percepcin de adopcin das obrigacins sobre proteccin de datos Percepcin de adopcin de medidas de seguridade Perfs de empresas segundo o seu cumprimento da normativa sobre proteccin de datos.

http://observatorio.inteco.es
8

Coecemento da normativa sobre proteccin de datos

Coecemento declarado da LOPD Dende 2008 a 2012, a evolucin do grao de coecemento das empresas en materia de LOPD medrou substancialmente, aumentando en mis de 50 puntos.
Empresas que declaran coecer a LOPD. Evolucin 2008-2012

0,7% 12,9%

34,0%

66,0% 86,4%

2008
Si Non Ns/Nc

2012

Base: empresas espaolas (n=1.109 en 2012)

9

Coecemento da normativa sobre proteccin de datos

Percepcin de estar suxeito normativa LOPD A maior parte das empresas consultadas (o 80,4%) consciente de estar suxeita normativa LOPD.
Empresas que declaran ser conscientes de estar suxeitas normativa sobre proteccin de datos

9,2% 10,4%

80,4%

Si

Non

Ns/Nc

Base: empresas espaolas (n=1.109 )

10

Existencia de ficheiros
Disposicin de ficheiros de datos de carcter persoal O 74,3% das empresas declara dispor de ficheiros de datos de carcter persoal. Boa parte das medianas e pequenas empresas dispoen destes ficheiros, mentres que nas microempresas se rexistra unha porcentaxe menor. Os expertos indican que practicamente a totalidade das empresas dispoen deste tipo de ficheiros.
Empresas que declaran dispor de ficheiros con datos persoais

2,9%

22,8%

74,3%

Si

Non

Ns/Nc

Base: empresas espaolas (n=1.109 )

11

Existencia de ficheiros
Tipoloxa de ficheiros de datos persoais Entre as empresas que dispoen de ficheiros con datos persoais, a gran maiora di utilizar ficheiros de clientes e provedores. Outro tipo de ficheiros utilizados con menor frecuencia son os de nminas, seguridade social e currculos.
Tipoloxa de ficheiros de datos persoais

Clientes Provedores Nminas Seguridade social RRHH (currculos) Menores de idade Informacin sanitaria Videovixilancia Outros 0% 1,7% 0,4% 0,2% 1,0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 32,6% 32,1% 42,4% 80,2%

94,5%

100%

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

12

Existencia de ficheiros
Tipoloxa de datos de carcter persoal manexados dentro dos ficheiros Os datos de contacto, como enderezo, telfono, correo electrnico, xunto ao nome e apelidos e o DNI estn presentes en practicamente a totalidade de ficheiros de datos.
Tipoloxa de datos de carcter persoal manexados dentro dos ficheiros

Contacto Nome e apelidos DNI N de conta bancaria Bancarios/servizos financieiros Fiscais Seguridade social/accidentes de traballo Solvencia econmica Infraccins administrativas ou penais Rexistro de actividade telefnica/accesos en lia Sade Ideoloxa/afiliacin sindical Violencia de xnero Vida sexual Orixe tnica Relixin
0%

97,2% 96,1% 91,1% 54,6% 47,2% 36,3% 34,4% 12,4% 11,6% 6,2% 2,7% 1,2% 0,3% 0,3% 0,3% 0,3%
20% 40% 60% 80% 100%

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

13

Percepcin de adopcin das obrigacins sobre proteccin de datos

Adecuacin das empresas normativa sobre proteccin de datos Cerca da metade das empresas indica estar ao corrente de todas as obrigacins que contempla a normativa de proteccin de datos.
Percepcin das empresas con ficheiros con datos persoais sobre a sa adecuacin normativa sobre proteccin de datos

5,1% 2,1%

7,6%

48,5%

36,7%

Estou ao corrente de todas as obrigacins Estou ao corrente das obrigacins mis importantes Non estou ao corrente Non estou afectada pola normativa sobre proteccin de datos Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

14

Percepcin de adopcin das obrigacins sobre proteccin de datos

Adecuacin das empresas normativa sobre proteccin de datos As empresas acostuman sobre-declarar o seu nivel de cumprimento normativo. No entanto nos ltimos anos, produciuse un aumento do nmero de ficheiros inscritos na AEPD.
Empresas que declaran ter inscribir ficheiros na Axencia de Proteccin de Datos e contraste coa porcentaxe real/estimada. Evolucin 2008-2012
70% 60% 50% 40% 30% 20% 10% 0% 2008 Declarado Real/estimada 2012 16,0% 37,0% 31,8% 57,5%

Base: empresas espaolas con ficheiros con datos persoais (n=919 en 2012)
15

Percepcin de adopcin das obrigacins sobre proteccin de datos

Deber de informacin Tres de cada catro empresas declara cumprir co deber de informar aos titulares dos datos. O dato real, segundo os expertos, inferior ao declarado. O descoecemento pode facer que xulguen erroneamente o seu grao de cumprimento.
Empresas que declaran cumprir co deber de informacin s persoas fsicas titulares dos datos

5,5%

21,8%

72,7%

Si

Non

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

16

Percepcin de adopcin das obrigacins sobre proteccin de datos

Solicitude de consentimento O 70,6% das empresas afirma solicitar o consentimento, xeralmente quedando constancia escrita ou documentada do mesmo.

Empresas que declaran cumprir co deber de solicitude de consentimento s persoas fsicas titulares dos datos

5,3%

54,5% 70,6% 24,1% 16,1%

Si, quedando constancia escrita ou documentada Si, pero non queda constancia escrita ou documentada Non Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

17

Percepcin de adopcin das obrigacins sobre proteccin de datos

Xestin de dereitos ARCO O 51,0% das empresas afirma facilitar e garantir o exercicio dos dereitos ARCO.
Empresas que declaran adoptar procedementos para facilitar e garantir o exercicio dos dereitos ARCO

14,7%

51,0% 34,3%

Si

Non

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

18

Percepcin de adopcin das obrigacins sobre proteccin de datos

Tratamento de datos por parte de terceiros O 23,6% das empresas declaran ter externalizado servizos que requiren un tratamento de datos persoais por parte de un terceiro
Empresas que declaran ter externalizado servizos que requiren un tratamento de datos persoais por parte de un terceiro
5,1%

Transferencia de datos internacionais A realizacin de transferencia internacional de datos de carcter internacional pouco frecuente entre as empresas
Empresas que declaran realizar transferencias internacionais de datos de carcter persoal

1,0%

1,5%

18,6%

71,3%

5,0%

97,5%
Si, e regulouse especificamente o tratamento que se debe facer deses datos Si, pero non se regulou especificamente o tratamento deses datos Non, non se externalizaron tarefas relacionadas Ns/Nc

Si

Non

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

19

Percepcin de adopcin de medidas de seguridade

Documento de seguridade O 56,9% das empresas declara dispor de documento de seguridade

Empresas que declaran dispor de documento de seguridade

11,9%

31,2%

56,9%

Si

Non

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

20

Percepcin de adopcin de medidas de seguridade

Divulgacin da normativa de proteccin de datos ao persoal da empresa O persoal das empresas espaolas coece as obrigacins respecto ao tratamento de datos e s consecuencias do seu incumprimento.

Empresas que declaran difundir entre os seus empregados as normas de proteccin de datos e as consecuencias do seu incumprimento

4,1%

48,6%

13,4% 33,9%

Si, recibiron formacin especfica sobre proteccin de datos persoais Si, informuselles doutro xeito Non Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

21

Percepcin de adopcin de medidas de seguridade

Rexistro de incidencias A disponibilidade de rexistro de incidencias entre as empresas non est xeralizada. S o 30,3% dispn deste sistema.

Empresas que declaran ter rexistro de incidencias

13,0% 30,3%

56,7%

Si

Non

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

22

Percepcin de adopcin de medidas de seguridade

Control de acceso O 77,7% das entidades afirma que se definiu quen pode acceder aos datos de carcter persoal e as tarefas que poden realizar ao respecto.
Empresas que declaran establecer control de acceso

3,1%

19,2%

77,7%

Si

Non

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

23

Percepcin de adopcin de medidas de seguridade

Mecanismos de identificacin e autenticacin O 65,4% das empresas espaolas manifesta dispor dun sistema de identificacin dos usuarios con acceso aos datos de carcter persoal
Empresas que declaran establecer un sistema de identificacin dos usuarios con acceso aos datos de carcter persoal
2,8%

O 77,2% das empresas espaolas afirma ter establecido un sistema de contrasinais para o acceso aos equipos e aplicacins.
Empresas que declaran establecer un sistema de contrasinais dos usuarios para o acceso aos equipos e aplicacins
0,9%

21,9%
31,8%

65,4%

77,2%

Si

Non

Ns/Nc

Si

Non

Ns/Nc
24

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

Percepcin de adopcin de medidas de seguridade

Xestin de soportes e documentos Algo mis da metade das empresas espaolas (o 53,9%) declara dispor dun inventario dos soportes que conteen datos de carcter persoal. O 37,0% declara ter establecido un protocolo de actuacin para a destrucin de ficheiros.
Empresas que declaran dispor dun inventario dos soportes que conteen datos de carcter persoal Empresas que declaran establecer un protocolo de actuacin para a destrucin de ficheiros

4,8%

8,7%

37,0%

41,3%

53,9%

54,3%

Si

Non

Ns/Nc

Si

Non

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

25

Percepcin de adopcin de medidas de seguridade

Copias de respaldo Un 61,8% das empresas espaolas cumprira co previsto no RDLOPD, ao realizar copias de respaldo semanalmente
Frecuencia con que as empresas declaran realizar copias de respaldo

3,9% 7,8%

13,6%

61,8% 12,9%

Semanalmente

Mensualmente

Con menor frecuencia

Non realiza copias de seguridade

Ns/Nc

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

26

Perfs de empresas segundo o seu cumprimento da normativa sobre proteccin dePerfs empresas datos
O grfico seguinte resume os perfs de empresas obtidos no estudo: 1) Empresas despreocupadas-indiferentes, 2) Empresas previsoras-estratxicas, 3) Empresas indocumentadas e 4) Empresas cumpridoras
Cluster de empresas

21,3%

27,5%

32,3%

18,9%

Empresas despreocupadas-indiferentes Empresas Previsoras-estratxicas

Empresas Indocumentadas Empresas Cumpridoras

Base: empresas espaolas con ficheiros con datos persoais (n=919 )

27

Perfs de empresas segundo o seu cumprimento da normativa sobre proteccin de datos ***?
Perfil 1: Empresas despreocupadasindiferentes Sector Tamao Comercio minorista e hostelara Perfil 2: Empresas Indocumentadas Industria Perfil 3: Empresas previsorasestratxicas Servizo, comercio e hostelara Medianas empresas. Perfil 4: Empresas cumpridoras Servizos empresariais Pequenas empresas tamao. e de medianas calquera

Microempresas con nivel de Pequenas empresas. facturacin baixo.

Non coecen a LOPD e non Coecemento da En xeral, descoecen as consideran estar suxeitas a Coecen a LOPD. normativa obrigacins esixidas na LOPD. ela. Pouco mis dun terzo Coecen a LOPD. Estn ao considera estar ao corrente do tanto das obrigacins e cumprimento das obrigacins observan o seu cumprimento. da LOPD e o seu regulamento.

Coecen a LOPD.

Moitas non estn ao corrente das obrigacins. Percepcin de cumprimento da Non inscribiu os ficheiros de normativa datos de carcter persoal no rexistro da AEPD. Non informan aos interesados sobre a existencia dun ficheiro. Realizan tratamento de datos Tratamento de de carcter persoal en menor datos de medida que a media. carcter persoal

Cumpren en maior medida que o resto coas normas da LOPD

A metade indica ter inscrito os ficheiros no rexistro AEPD. Destaca a elevada porcentaxe que non coece se se cumpriu con este trmite. Realizan tratamento de datos de carcter persoal.

Unha porcentaxe elevada de empresas conta cun protocolo de accin para la xestin de incidencias.

A maiora ten procedementos para facilitar e garantir o exercicio dos dereitos ARCO. Informan aos interesados sobre a existencia dun ficheiro. Realizan tratamento de datos persoais.

A prctica totalidade das empresas deste perfil realiza tratamentos de datos de carcter persoal.

28

Recomendacins

29

Recomendacins
Recomendacins en materia de concienciacin e formacin Concienciacin e formacin Diagnstico e informacin

Incrementar a intensidade das accins de sensibilizacin e adaptalas s necesidades do colectivo de pequenas e medianas empresas. Abordar a concienciacin dende un enfoque didctico, non impositivo. Elaborar as disposicins normativas cunha linguaxe adaptada s pequenas e medianas empresas. Poer en valor o papel da AEPD e resto de axencias.

Propostas en materia de diagnstico e informacin

Realizar un diagnstico peridico do tratamento e a seguridade dos datos de carcter persoal nas empresas. Elaborar un sistema de medicin e seguimento de indicadores sobre o estado da proteccin de datos na empresa.

30

Recomendacins
Propostas en materia de proceso de adecuacin e xestin do tratamento Adecuacin e xestin do tratamento
Normalizacin e certificacin Facilitar o proceso de adaptacin, ofrecendo pautas e ferramentas ademais de asesorar s empresas con maiores dificultades. Establecer requisitos e esixencias acordes ao tamao da empresa e sa actividade. Impulsar un maior control e seguimento do cumprimento normativo. Poer maior nfase nos aspectos mis relevantes, rebaixando as esixencias de carcter formal. Contar co apoio dun terceiro no proceso de adecuacin e tratamento. Fomentar a autorregulacin das empresas prescritoras e facilitadoras. Apoiar o desenvolvemento econmico das empresas.

Propostas en materia de normalizacin e certificacin

Establecer un selo ad hoc para as empresas cumpridoras coa LOPD. Crear unha certificacin da seguridade da informacin e confianza dixital.

31

Sguenos a travs de:

Web

http://observatorio.inteco.es Perfil de Facebook http://www.facebook.com/ObservaINTECO Perfil de Twitter http://www.twitter.com/ObservaINTECO Perfil de Scribd http://www.scribd.com/ObservaINTECO Perfil de Youtube http://www.youtube.com/ObservaINTECO Blogue do Observatorio da Seguridade da Informacin http://www.inteco.es/BlogSeguridad

Envanos as tas preguntas e comentarios a:

observatorio@inteco.es

http://www.inteco.es http://observatorio.inteco.es