ETE espainiarretan datuen babesaren inguruko Azterketaren laburpen exekutiboa

INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACION

Azterketaren helburuak eta metodologia

2

Helburuak eta metodologia

Azterketaren helburua

Azterketaren metodologia
• Azterketa nazional zein nazioartekoen analisi dokumentala.

Izaera pertsonaleko datuen babesaren inguruan ETE espainiarretan 2012an dagoen egungo araudiaren betetzearen inguruko pertzepzioaren diagnostiko bat ezartzea.

• Inkesta: 1.109 elkarrizketa ETEetako IT-etako segurtasun arduradunei. • ETE-etako 5 IT arduradunei elkarrizketa sakonak. • Segurtasunaren esparru ezberdinetako aditu eta profesionalen taldea.

3

Inkestaren fitxa teknikoa
ETE espainiarretan datuen babesaren inguruko inkesta

Unibertsoa: eremu nazionalean finkatutako ETE-ak (CNAE 2009). Lagina: eremu nazionalean barreiatutako ETE-etako 1.109 segurtasun arduradun. Laginaren banaketa: 1.109 ETE-en totalarekiko: 501 mikroETE, 343 enpresa txiki eta 265 enpresa ertain. Informazioaren harrapaketa: CATI (Computer Assisted Telephone Interviewing). Landa-lana: 2012ko urtarrila eta otsaila. Laginaren errorea: %2,9, %95,5eko mailarako kalkulatua, eta p=q=0,5 delarik. konfidantza

4

Azterketaren emaitza nagusiak

5

Emaitza nagusiak
Datuen babesaren araudiaren inguruko ezagutza • • ETE-en kolektiboaren gehiengoak ezagutzen du LOPD eta hari loturik dagoenaz jakitun da. %86,4ak LOPD ezagutzen duela dio eta %80,4ak datuen babesaren inguruko araudiari loturik dagoenaz jakitun dela adierazten du.

Fitxategien existentzia • ETE espainiarren ohiko jarduna da datu pertsonalak jasotzen dituzten fitxategiekin lan egitea (4tik 3k), bezero eta hornitzaileenak direlarik ohikoenak (%94,5 eta %80,2, hurrenez hurren). Maiztasun gutxiagoz erabilitako bestelako fitxategiak soldaten, gizarte segurantzaren eta hautagaien curriculumen ingurukoak dira.

Datuen babesaren inguruan betebeharrak hartzearen inguruko hautematea • • ETE-en erdiak adierazten du datuen babesaren inguruko aradu espainiarrak zehazten dituen eginbehar guztiak betetzen dituztela. ETE-en %57,5ak dio erregistroak AEPD-n inskribatu dituela. INTECO-ren estimazioaren arabera, soilik %31,8ak egin du halakorik.

6

Emaitza nagusiak
Segurtasun neurriak hartu izanaren hautematea • • LOPD-aren Garapen Araudian aurrikusitako segurtasun neurrien hartzea irregularra da ETE espainiarren artean. Datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarren %56,9ak dio Segurtasun Agiri bat daukala. Enpresen %48,6ak dio datu pertsonalen babesaren inguruko berariazko formakuntza saioak antolatu dituela. Inkestan hartu duten enpresen soilik %30,3ak dio gorabeheren erregistro bat daukala. ETE espainiarren %61,8ak dio babes-kopiak asteroko maiztasunez egiten dituela.

• •

7

    

Datuen babesaren inguruko araudiaren ezagutza Fitxategien existentzia Datuen babesaren inguruko betebeharren hartzearen inguruko hautematea Segurtasun neurrien hartzearen hautematea ETE-en profilak datuen babesaren inguruko araudiaren ezagutza oinarri harturik.

http://observatorio.inteco.es
8

Datuen babesaren inguruko araudiaren ezagutza
LOPD-aren aitortutako ezagutza  2008tik 2012ra, ETE-ek LOPD-az duten ezagutza mailaren eboluzioa nabarmen hazi da, 50 puntu baino gehiago hazi delarik.
LOPD ezagutzen dutela dioten ETE-ak. 2008-2012 eboluzioa

0,7% 12,9% 34,0%

66,0%

86,4%

2008
Bai Ez

2012
Ez daki/Ez du erantzuten

Oinarria: ETE espainiarrak (z=1.109 2012an)
9

Datuen babesaren inguruko araudiaren ezagutza
LOPD-ri loturik egotearen hautematea  Galdegindako ETE-en gehiengoa (%80,4a) jakitun da LOPD-ri loturik dagoenaz.

Datuen babesaren inguruko araudiari loturik daudenaz jakitun diren ETE-ak

9,2% 10,4%

80,4%

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: ETE espainiarrak (z=1.109 )
10

Fitxategien existentzia
Izaera pertsonaleko datuak jasotzen dituzten fitxategiak edukitzea  ETE-en %74,3ak izaera pertsonaleko datuak jasotzen dituzten fitxategiak dauzkatela adierazten dute.  Enpresa ertain eta txikien artean halako fitxategiak izatea nahikoa arrunta da, mikroETE-etan portzentaia txikiagoa ematen den bitartean.  Adituek diotenez, enpresen ia gehiengoak dauzka halako fitxategiak.
Datu pertsonalak jasotzen dituzten fitxategiak dauzkatela adierazten duten ETE-ak
2,9%

22,8%

74,3%

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: ETE espainiarrak (z=1.109 )
11

Fitxategien existentzia
Datu pertsonalak jasotzen dituzten fitxategien tipologia  Datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE-en artean, gehiengoak bezero eta hornitzaileen fitxategiak erabiltzen dituela dio. Neurri txikiagoan erabilitako bestelako fitxategiak soldatenak, gizarte segurantzarenak eta curriculumenak dira.
Datu pertsonalak jasotzen dituzten fitxategien tipologia

Bezeroak Hornitzaileak Soldatak Gizarte Segurantza Giza Baliabideak (curriculumak) Adin txikikoak Osasun informazioa Bideo-zainketa Bestelakoak 0% 1,7% 0,4% 0,2% 1,0% 20% 40% 60% 80% 32,6% 32,1% 42,4% 80,2%

94,5%

100%

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
12

Fitxategien existentzia
Fitxategietan erabilitako izaera pertsonaleko datuen tipologia  Helbidea, telefonoa, e-posta, izen-abizenak eta NAN zenbakia bezalako kontaktu datuak ia datu fitxategi guztieten agertzen dira.
Fitxategietan erabilitako izaera pertsonaleko datuen tipologia

Kontaktua Izen-Abizenak NAN Bankuko kontu Zbk. Bankukoak/finantza zerbitzuak Zergak Gizarte Segurantza/lan-istripuak Kaudimen ekonomikoa Arau-hauste administratibo edota penalak Telefono bidezko jardueren … Osasuna Ideologia/afiliazio sindikala Genero indarkeria Bizitza sexuala Jatorri etnikoa Erlijioa 2,7% 1,2% 0,3% 0,3% 0,3% 0,3% 0% 20% 40% 60% 80% 12,4% 11,6% 6,2% 36,3% 34,4% 54,6% 47,2%

97,2% 96,1% 91,1%

100%

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
13

Datuen babesaren inguruko betebeharrak hartu beharraren inguruko hautematea
Datuen babesaren inguruko araudiari ETE-en egokitzapena  Enpresen ia erdiak dio datuen babesaren inguruko araudiak ezartzen dituen betebeharrez jakitun dela.
Datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE-etan datuen babesaren inguruko araudiari egokitu beharraz dagoen hautematea

5,1% 2,1%

7,6%

48,5%

36,7%

Betebehar guztiez oharturik nago Ez nago oharturik Ez daki/Ez du erantzuten

Betebehar garrantzitsuenez nago oharturik Datuen babesaren araudiak ez nau eragiten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
14

Datuen babesaren inguruko betebeharrak hartu beharraren inguruko hautematea
Datuen babesaren inguruko araudiari ETE-en egokitzepena  Araudiaren betetzearen inguruan, enpresen joera gain-adierazpena da. Azken urteetan, dena dela, AEPD-n inskribatutako fitxategien kopuruan gorakada bat eman da.

Datuen Babes Agentzian (AEPD) fitxategiak inskribatu dituztela adierazten duten ETE-ak eta erreala/estimaturikoa den portzentaiarekin alderaketa. 2008-2012 eboluzioa
70% 60% 50% 40% 30% 20% 10% 0% 2008 Deklaratua Erreala / Estimatua 2012 16,0% 37,0% 31,8% 57,5%

Oinarria: Datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 2012an)
15

Datuen babesaren inguruko betebeharrak hartu beharraren inguruko hautematea
Informazioaren betebeharra  Enpresen lautik hiruk adierazten dute datuen jabe direnei eman beharreko informazioaren betebeharra betetzen dutela.  Datu erreala, adituek diotenez, adierazitakoa baino baxuagoa da. Ezjakintasunaren ondorioz, gerta liteke betetze maila oker balioestea.
Datuen jabe diren pertsona fisikoekiko informazio betebeharra betetzen dutela adierazten duten ETE-ak

5,5%

21,8%

72,7%

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
16

Datuen babesaren inguruko betebeharrak hartu beharraren inguruko hautematea
Baimen eskaera  ETE-en %70,6ak adierazten du baimena eskatzen duela, idatzizko edota agiri bidezko ziurtasuna gelditzen delarik orokorrean.

Datuen jabeak diren pertsona fisikoei baimen eskaera eskatzearen betebeharra betetzen dutela adierazten duten ETE-ak

5,3%

54,5% 70,6% 24,1% 16,1%

Bai, idatzirik edo dokumentaturik gelditzen da Bai, baina ez da idatzirik edo dokumentaturik gelditzen Ez Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
17

Datuen babesaren inguruko betebeharrak hartu beharraren inguruko hautematea
ARCO eskubideen kudeaketa  ETE-en %51,0k adierazten du ARCO-k jasotzen dituen eskubideen jarduna errazten eta bermatzen duela.
ARCO-k jasotzen dituen eskubideen jarduna errazteko eta bermatzeko prozedurak hartzen dituztela adierazten duten ETE-ak

14,7%

51,0%

34,3%

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
18

Datuen babesaren inguruko betebeharrak hartu beharraren inguruko hautematea
Hirugarren baten/batzuen datuen trataera  Hirugarren baten datuen trataera eskatzen duten zerbitzuak kanpokotu dituela dio ETE-en %23,6ak. Datuen nazioarteko transferentzia  Izaera pertsonaleko datuen nazioarteko transferentzia ez da ohikoa enpresa hauen artean.

Hirugarren baten datuen trataera eskatzen duten zerbitzuak kanpokotu dituztela adierazten duten ETE-ak
5,1%

Izaera pertsonaleko datuen nazioarteko transferentzia egiten dutela adierazten duten ETE-ak
1,0% 1,5%

18,6%

71,3%

5,0%

97,5%

Bai, eta espezifikoki arautu da datu horiei eman beharreko trataera Bai, baina ez da espezifikoki arautu datu horiei eman beharreko trataera Ez, ez da gai honekin lotutako zerbitzurik kanpokotu Ez daki/Ez du erantzuten

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
19

Segurtasun neurrien hartzearen inguruko hautematea
Segurtasun Agiria  ETE-en %56,9ak adierazten du Segurtasun Agiria daukala.

Segurtasun Agiria daukatela adierazten duten ETE-ak

11,9%

56,9% 31,2%

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
20

Segurtasun neurrien hartzearen inguruko hautematea
Enpresako langileei izaera pertsonaleko datuen inguruko araudiaren zabalkundea  ETE espainiarretako langileek datuen trataeraren betebeharrak eta arau-hausteen ondorioak ezagutzen dituzte.

Beren langileei datuen babesaren eta hauen inguruko arau-hausteen ondorioen berri eman dietela adierazten duten ETE-ak

4,1%

48,6%

13,4% 33,9%

Bai, izaera pertsonaleko datuen babesaren inguruko berariazko formakuntza jaso dute Bai, bestelako modu batean eman zaie informazioa Ez Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
21

Segurtasun neurrien hartzearen inguruko hautematea
Gorabeheren erregistroa  ETE-en artean gorabeheren erregistroa ez dago orokorturik. Soilik %30,3ak erabiltzen du sistema hau.

Gorabeheren erregistroa daukatela adierazten duten ETE-ak

13,0% 30,3%

56,7%

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
22

Segurtasun neurrien hartzearen inguruko hautematea
Sarbide kontrola  Erakundeen %77,7ak izaera pertsonaleko datuetarako sarbidea eta haiekin egin daitezkeen jarduerak definiturik dituztela baieztatzen dute.
Sarbide kontrola ezarri dutela adierazten duten ETE-ak

3,1%

19,2%

77,7%

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
23

Segurtasun neurrien hartzearen inguruko hautematea
Identifikazio eta egiaztatze mekanismoak  ETE espainiarren %65,4ak izaera pertsonaleko datuetarako sarbidea duten erabiltzaileen identifikazio sistema bat duela adierazten du.
Izaera pertsonaleko datuetarako sarbidea duten erabiltzaileentzat identifikazio sistema bat ezarri dutela adierazten duten ETE-ak
2,8%

 ETE espainiarren %77,2ak bere ekipo eta aplikazioen sarbiderako pasahitz sistema bat ezarri izana baieztatzen du.
Beren ekipo eta aplikazioen sarbiderako, erabiltzaileentzat pasahitz sistema bat ezarri dutela adierazten duten ETE-ak
0,9%

21,9%
31,8%

65,4%

77,2%

Bai

Ez

Ez daki/Ez du erantzuten

Bai

Ez

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
24

Segurtasun neurrien hartzearen inguruko hautematea
Euskarrien eta agirien kudeaketa  ETE espainiarren erdiak baino gehixeagok (%53,9) izaera pertsonaleko datuak jasotzen dituzten euskarrien inbentario bat dutela adierazten dute.  %37,0ak fitxategien deuseztaketarako jarraibide protokolo bat ezarri duela adierazten du.
Izaera pertsonaleko datuak jasotzen dituzten euskarrien inbentario bat daukatela adierazten duten ETE-ak Fitxategien deuseztaketarako jarraibide protokolo bat zehaztu dutela adierazten duten ETE-ak

4,8%

8,7%

37,0% 41,3% 53,9%

54,3%

Bai

Ez

Ez daki/Ez du erantzuten

Bai

Ez

Ez daki/Ez du erantzuten
25

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )

Segurtasun neurrien hartzearen inguruko hautematea
Babes-kopiak  ETE espainiarren %61,8ak beteko lukete RDLOPD-ek aurrikusitakoa, babes-kopiak asteroko maiztasunez egiten dituztela adierazten baitute.
Babes-kopien maiztasunaz ETE-ek adierazitakoa

3,9%

7,8%

13,6%

61,8% 12,9%

Astero

Hilabetero

Maiztasun handiz

Ez da babes-kopiarik egiten

Ez daki/Ez du erantzuten

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
26

Datuen babesaren araudiaren betetze mailarekiko ETE-en profilak
ETE-en profilak  Honako grafikak azterketan lortutako ETE-en profilak laburbiltzen ditu: 1) Enpresa axolagabeak, 2) Enpresa zuhurrak-estrategikoak, 3) Enpresak desinformatuak eta 4) Enpresa adeitsuak
Enpresen cluster-a

21,3%

27,5%

32,3%

18,9%

Enpresa arduragabe-axolagabeak Enpresa Zuhurrak-estrategi koak

Enpresa Informaziorik gabekoak Enpresa Adeitsuak

Oinarria: datu pertsonalak jasotzen dituzten fitxategiak dauzkaten ETE espainiarrak (z=919 )
27

Datuen babesaren araudiaren betetze mailarekiko ETE-en profilak
¿***?

1. profila: Enpresa “axolagabeak” Sektorea Tamaina Araudiaren ezaguera Saltoki minoristak eta ostalaritzakoak. Fakturazio maila baxuko mikroenpresak. Ez dute LOPD ezagutzen eta dute uste hari loturik daudenik.

2. profila: Enpresa “Desinformatuak” Industria. Enpresa txikiak.

3. profila: Enpresa “zuhurrakestrategikoak” Zerbitzuak, saltokiak eta ostalaritza. Tamaina handiagoko ETE-ak. LOPD ezagutzen dute.

4. profila: Enpresa “adeitsuak” Enpresa zerbitzuak. Edozein tamainako ETE-ak. LOPD ezagutzen dute.

Araudiaren betetzearen hautematea

Izaera pertsonaleko datuen trataera

Orokorrean, LOPD-n eskatutako betebeharrak ez dituzte ezagutzen. Heren bat baino pixka bat gehiagok LOPD-k eta bere Asko ez dira betebeharrei araudiak ezarritako loturik daudenaz jakitun. betebeharren inguruan jakitun direla uste dute. Izaera pertsonaleko datuen Erdiak fitxategiak AEPD-ren fitxategiak ez dituzte AEPDerregistroan inskribatu izana ren erregistroan inskribatu. adierazten dute. Tramite hau Interesatuei ez diete bete ote dutenaz jakitun ez jakinarazten halako fitxategirik direnen portzentaia dagoenik. nabarmentzekoa da. Izaera pertsonaleko datuen Izaera pertsonaleko datuen trataera batazbestekoak baino trataera egiten dute. maila baxuagoan egiten dute.

LOPD ezagutzen dute. LOPD-ko arauak Betebeharrez jakitun dira eta gainontzekoek baino neurri hauen betetzea behatzen dute. handiagoan batetzen dituzte. Gehienek ARCO eskubideen erabilera errazteko eta bermatzeko prozedurak dauzkate. Fitxateak horiek daudenaz jakinarazten diete interesatuei. Datu pertsonalen trataera egiten dute.

Enpresen portzentai handi batek gorabeheren kudeaketako akzio protokolo bat dauka. Profil honetako ETE-en ia gehienek egiten dute izaera pertsonaleko datuen trataera.

28

Gomendioak

29

Gomendioak
Kontzientziazio eta formakuntza arloko gomendioak
Kontzientziazioa eta formakuntza

 Sentsibilizazio ekintzen intentsitatea areagotzea eta ETE-en kolektiboaren beharretara egokitzea.  Kontzientziazioari ikupegi didaktiko batetik ekitea eta ez ikuspegi inpositzaile batetik.  Araudiaren xedapenak ETE-ei egokitutako hizkuntza batean lantzea.  AEPD-ren eta gainontzeko agentzien papera balioztatzea.

Diagnostiko eta informazio arloko proposamenak Diagnostikoa eta informazioa
 Enpresetan izaera pertsonaleko datuen trataera eta segurtasunaren aldizkako diagnostikoa egitea.  ETE-an datuen segurtasunaren egoerari buruzko adierazleen neurketa eta jarraipen sistema bat egitea.

30

Gomendioak
Egokitzapen prozesuko eta trataeraren kudeaketako arloetan proposamenak
 Egokitzapen prozesua erraztea, jarraibideak eta baliabideak eskainiz eta zailtasun handienak dituzten enpresei aholkua emanez.  Enpresaren tamainari eta bere jarduerei egokiak izanen zaizkien baldintzak eta betebeharrak ezartzea.  Araudiaren betetzearen kontrol eta jarraipen handiagoa bultzatzea.  Alderdi garrantzitsuenetan enfasi handiagoa jartzea, izaera formalagoko betebeharrak txikiagotuz.  Egokitzapen eta trataera prozesuan hirugarren alde baten laguntza izatea.  Enpresa preskribitzaile eta erraztaileen autoerregulazioa bultzatzea.  Enpresei ekonomikoki laguntzea.

Propuestas en materia de normalización y certificación
Normalizazioa eta egiaztapena  LOPD betetzen duten enpresentzat zigilu bat ad hoc ezartzea.  Informazioaren segurtasunaren eta konfidantza digitalaren zertifikazio bat eratzea.

Egokitzapena eta trataeraren kudeaketa

31

Jarrai gaitzazu honakoen bidez:

Web

http://observatorio.inteco.es Facebook profila http://www.facebook.com/ObservaINTECO Twitte profilar http://www.twitter.com/ObservaINTECO Scribd profila http://www.scribd.com/ObservaINTECO Youtube profila http://www.youtube.com/ObservaINTECO Informazioaren Segurtasunaren Behatokiaren Blog-a http://www.inteco.es/BlogSeguridad

Bidal itzazu zure galderak eta iradokizunak hona:
observatorio@inteco.es

http://www.inteco.es http://observatorio.inteco.es

Sign up to vote on this title
UsefulNot useful