el reglamento de protección de datos: responsabilidades ramón de la iglesia vidal alejandro...

El Reglamento de Protección de datos: Responsabilidades

Ramón de la Iglesia Vidal

Alejandro Piqueras Sánchez

www.auditoriabalear.comwww.auditoriabalear.com


1.1. IntroducciónIntroducción

2.2. Niveles de SeguridadNiveles de Seguridad

3.3. Documento de SeguridadDocumento de Seguridad

4.4. El Responsable de SeguridadEl Responsable de Seguridad

5.5. Sanciones AplicablesSanciones Aplicables



•Objetivo: Establecer las medidas de índole técnica y Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que organizativas necesarias para garantizar la seguridad que deben reunir: (art. 1 RMS)deben reunir: (art. 1 RMS)

•Los ficheros automatizadosLos ficheros automatizados

•Los centros de tratamiento localesLos centros de tratamiento locales

•EquiposEquipos

•SistemasSistemas

•ProgramasProgramas

•Personas que intervengan en el procesoPersonas que intervengan en el proceso



•Antecedentes legales. Internacionales.Antecedentes legales. Internacionales.

•La Organización de Naciones Unidas recoge hace tiempo una La Organización de Naciones Unidas recoge hace tiempo una serie de principios rectores aplicables a los ficheros serie de principios rectores aplicables a los ficheros automatizados de datos personales que han sido la base de la automatizados de datos personales que han sido la base de la actual legislación. actual legislación.

<<Debemos de conocer la legislación vigente no sólo para su <<Debemos de conocer la legislación vigente no sólo para su obligado cumplimiento sino para participar tanto en su desarrollo obligado cumplimiento sino para participar tanto en su desarrollo como en la elaboración de nuestro propio deontológico>>. como en la elaboración de nuestro propio deontológico>>.


1.1. IntroducciónIntroducción•Antecedentes legales: Internacionales.Antecedentes legales: Internacionales.

La Declaración Universal de los Derechos Humanos adoptada y La Declaración Universal de los Derechos Humanos adoptada y proclamada por la ONU el 10 de diciembre de 1948.proclamada por la ONU el 10 de diciembre de 1948.

Convenio Europeo para la Protección de los Derechos Humanos y Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de 1950. Libertades Fundamentales de 4 de noviembre de 1950.

Convenio nº 108 de 28 de Enero de 1.981, del Consejo de Europa Convenio nº 108 de 28 de Enero de 1.981, del Consejo de Europa para la protección de las personas con respecto al tratamiento para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. Donde al igual que en automatizado de los datos de carácter personal. Donde al igual que en la ONU se establecen una serie de principios fundamentales referentes la ONU se establecen una serie de principios fundamentales referentes a la calidad de datos, la sensibilidad de los mismos, las medidas de a la calidad de datos, la sensibilidad de los mismos, las medidas de seguridad, las sanciones y recursos y los flujos internacionales de seguridad, las sanciones y recursos y los flujos internacionales de datos. datos.


1.1. IntroducciónIntroducción•Antecedentes legales: Europeos.Antecedentes legales: Europeos.

•Resolución 721/80. Informática y protección de los derechos del Resolución 721/80. Informática y protección de los derechos del hombre. hombre.

•Recomendación 890/80. Protección de datos de carácter personal. Recomendación 890/80. Protección de datos de carácter personal.

•Recomendación 1037/86. Protección de datos y libertad de Recomendación 1037/86. Protección de datos y libertad de información. información.



En España la primera norma que regula la protección de datos es la En España la primera norma que regula la protección de datos es la Constitución EspañolaConstitución Española::

Artículo 18.Artículo 18. Derecho al honor, a la intimidad y a la propia imagenDerecho al honor, a la intimidad y a la propia imagen..

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.propia imagen.

4. La ley limitará el uso de la informática para garantizar el honor y la 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.sus derechos.


1.1. IntroducciónIntroducción•Es en la década de los 90 cuando en España cobra mayor auge la necesidad Es en la década de los 90 cuando en España cobra mayor auge la necesidad de legislar el tema que nos ocupa. En el año 1992 se aprueba la Ley de legislar el tema que nos ocupa. En el año 1992 se aprueba la Ley Orgánica 5/1992, de 29 de octubre, de Regualación del Tratamiento Orgánica 5/1992, de 29 de octubre, de Regualación del Tratamiento Automatizado de Datos de Carácter Personal, más conocida como Automatizado de Datos de Carácter Personal, más conocida como LORTAD, primera ley que regula la cuestión en profundidad.LORTAD, primera ley que regula la cuestión en profundidad.

•El Reglamento que desarrollaba esta ley es el El Reglamento que desarrollaba esta ley es el Real Decreto 994/1999, de Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personalde los ficheros automatizados que contengan datos de carácter personal ..


1.1. IntroducciónIntroducción•Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de

Carácter Personal.Carácter Personal.

La Ley Orgánica 15/1999 de 13 de Diciembre viene a renovar a la La Ley Orgánica 15/1999 de 13 de Diciembre viene a renovar a la LORTAD. Evidentemente tiene por objeto el mismo que el LORTAD. Evidentemente tiene por objeto el mismo que el mencionado artículo 18.4 de nuestra Constitución y es de aplicación mencionado artículo 18.4 de nuestra Constitución y es de aplicación tanto a los ficheros públicos como privados que contengan datos de tanto a los ficheros públicos como privados que contengan datos de carácter personal. carácter personal.


1.1. IntroducciónIntroducción•Principios reguladores de la protección de datos:Principios reguladores de la protección de datos:

1. Sólo podrán recogerse aquellos datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

3. Los datos deben ser exactos y el responsable del fichero deberá actualizarlos de oficio en caso de ser inexactos.

4. 4. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.


• Derechos de los particulares:

• Derecho a la información: Consentimiento inequívoco del afectado.

• Derecho de acceso: Derecho a obtener información de los datos de carácter personal sometidos a tratamiento.

• Derecho de rectificación.

• Derecho de cancelación.

• Deber de secreto.


• Los Niveles de seguridad posibles son los siguientes:Los Niveles de seguridad posibles son los siguientes:

1.1. Nivel BásicoNivel Básico2.2. Nivel MedioNivel Medio3.3. Nivel AltoNivel Alto

2. Niveles de Seguridad2. Niveles de Seguridad


• Existen Medidas de Seguridad a tomar según clasificación de nivel de Existen Medidas de Seguridad a tomar según clasificación de nivel de seguridad anterior:seguridad anterior:

1.1. Medidas de seguridad de nivel básico:Medidas de seguridad de nivel básico:• Sistema de Registro de incidencias.Sistema de Registro de incidencias.• Relación actualizada usuarios/recursos autorizados. (art. 11.1 Relación actualizada usuarios/recursos autorizados. (art. 11.1

y art. 12.3 RMS)y art. 12.3 RMS)• Existencia de mecanismos de identificación y autenticación Existencia de mecanismos de identificación y autenticación

de los accesos autorizados. (art. 11 RMS)de los accesos autorizados. (art. 11 RMS)• Restricción solo a los datos necesarios para cumplir cada Restricción solo a los datos necesarios para cumplir cada

funcion (art 12.1 RMS)funcion (art 12.1 RMS)



• Medidas de seguridad de nivel básico:Medidas de seguridad de nivel básico:

• Gestión de Soportes informáticoscon datos de carácter personal Gestión de Soportes informáticoscon datos de carácter personal (art. 12.1 RMS)(art. 12.1 RMS)• InventariadosInventariados• Acceso restringido Acceso restringido

• Copias de seguridad semanalmente.Copias de seguridad semanalmente.



• Medidas de seguridad de nivel medio, además de lo estipulado para Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo:nivel bajo:

• Designación de uno o varios responsables de seguridad (art. 16 Designación de uno o varios responsables de seguridad (art. 16 RMS).RMS).

• Auditoría al menos una vez cada dos años.Auditoría al menos una vez cada dos años.• Mecanismos para identificación inequívoca y personalizada de los Mecanismos para identificación inequívoca y personalizada de los

usuarios (art. 18.1 RMS).usuarios (art. 18.1 RMS).• Limitación de los intentos de acceso no autorizados (art. 18.2 Limitación de los intentos de acceso no autorizados (art. 18.2

RMS)RMS)



• Medidas de seguridad de nivel medio, además de lo estipulado para Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo:nivel bajo:

• Medidas de control de acceso físico a los locales (art. 19 RMS)Medidas de control de acceso físico a los locales (art. 19 RMS)• Establecimiento de un registro de entradas y salidas de soportes Establecimiento de un registro de entradas y salidas de soportes

informáticos (art. 20.1 y 2 RMS)informáticos (art. 20.1 y 2 RMS)• Establecimiento de medidas para impedir la recuperación Establecimiento de medidas para impedir la recuperación

indebida de información contenida en soportes desechados o indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art. 20.3 y 4 RMS)ubicados fuera de su lugar habitual (art. 20.3 y 4 RMS)

• Consignación en el registro de incidencias de las operaciones de Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS) el responsable del fichero (art. 21 RMS)



• Medidas de seguridad de nivel alto, además de lo estipulado para nivel Medidas de seguridad de nivel alto, además de lo estipulado para nivel medio:medio:

• Los soportes para distribución deberán tener la información Los soportes para distribución deberán tener la información cifrada (art. 23 RMS).cifrada (art. 23 RMS).

• Registro de accesos, autorizados y denegados (art. 24 RMS).Registro de accesos, autorizados y denegados (art. 24 RMS).• Guardar estos registros durante 2 años.Guardar estos registros durante 2 años.• Copias de seguridad guardadas en sitio diferente (art. 25 RMS).Copias de seguridad guardadas en sitio diferente (art. 25 RMS).• Transmisiones cifradas (art. 26 RMS).Transmisiones cifradas (art. 26 RMS).



2. Niveles de Seguridad2. Niveles de Seguridad• Otras medidas de seguridad exigibles a todos los ficheros:Otras medidas de seguridad exigibles a todos los ficheros:

• Los accesos por red están sujetas las mismas medidas de Los accesos por red están sujetas las mismas medidas de seguridad exigibles del nivel de seguridad en moo local (art. 5 seguridad exigibles del nivel de seguridad en moo local (art. 5 RMS).RMS).

• El tratamiento de los datos fuera del local será autorizado El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero.expresamente por el responsable del fichero.

• Los ficheros temporales se borrarán una vez usados, tambien se le Los ficheros temporales se borrarán una vez usados, tambien se le aplicará el nivel de seguridad pertinente.aplicará el nivel de seguridad pertinente.

• El responsable del fichero elaborará el documento de seguridad El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS).(art. 8.1 RMS).

• Las pruebas con datos reales seguirán las medidas de seguridad Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS).pertinentes (art. 22 RMS).


3. Documento de Seguridad3. Documento de Seguridad

1.1. IntroducciónIntroducción• En el reglamento no se indica la forma sino el contenido.En el reglamento no se indica la forma sino el contenido.• Está destinado al personal con acceso a los datos Está destinado al personal con acceso a los datos

automatizados.automatizados.• Redactado por el responsable del fichero.Redactado por el responsable del fichero.• Es un documento dinámicoEs un documento dinámico



2.2. Contenido del documento de seguridad.Contenido del documento de seguridad.

• Ámbito de aplicación del documento, con especificación Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. detallada de los recursos protegidos.

• Medidas, normas procedimientos, reglas y estándares Medidas, normas procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en elencaminados a garantizar el nivel de seguridad exigido en el

• Reglamento de medidas de seguridad. Reglamento de medidas de seguridad. • Funciones y obligaciones del personal. Funciones y obligaciones del personal. • Estructura de los ficheros con datos de carácter personal y Estructura de los ficheros con datos de carácter personal y

descripción de los sistemas de información que los tratan. descripción de los sistemas de información que los tratan. • Procedimiento de notificación, gestión y respuesta ante las Procedimiento de notificación, gestión y respuesta ante las

incidencias. incidencias.



2.2. Contenido del documento de seguridad.Contenido del documento de seguridad.

• Procedimientos de realización de copias de seguridad y Procedimientos de realización de copias de seguridad y recuperación de datos. recuperación de datos.

• Identificación del personal autorizado para conceder, alterar Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art. 12.4 RMS) . o anular el acceso a los datos (art. 12.4 RMS) .

• Identificación del responsable o responsables de seguridad Identificación del responsable o responsables de seguridad (art. 15 RMS). (art. 15 RMS).

• Calendario de auditorías (art. 15 RMS). Calendario de auditorías (art. 15 RMS). • Procedimiento de eliminación de datos cuando un soporte Procedimiento de eliminación de datos cuando un soporte

vaya a ser desechado o reutilizado (art. 15 RMS).vaya a ser desechado o reutilizado (art. 15 RMS).• Identificación del personal con acceso a los locales donde se Identificación del personal con acceso a los locales donde se

encuentran los sistemas de información (art. 19 RMS). encuentran los sistemas de información (art. 19 RMS).



3.3. Medidas de índole técnica y de índole organizativa.Medidas de índole técnica y de índole organizativa.

• Las medidas de seguridad deben responder según el art. 17 Las medidas de seguridad deben responder según el art. 17 de la Directiva 95/46/CEde la Directiva 95/46/CE• A los conocimientos técnicos existentesA los conocimientos técnicos existentes• Al coste de su aplicaciónAl coste de su aplicación• A los riesgos que presente el tratamiento de los datosA los riesgos que presente el tratamiento de los datos• A la naturaleza de estosA la naturaleza de estos

• En la transposición de la Directiva de la LOPD se omite la En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción.referencia al coste de la adopción.



4.4. Medidas de índole técnica y de índole organizativa en el Medidas de índole técnica y de índole organizativa en el documento de seguridad.documento de seguridad.

Medidas de índole técnica Medidas de índole organizativa

- Garantía de que los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local (art. 5)

- La ejecución del tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero, y en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado (art. 6)

- Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el RMS (art. 7)

- Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación (art. 7)





- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. - Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible (art. 11 y 18 [NM])

- El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quien se le comunica y los efectos que se hubieren derivado de la misma (art. 10) - En el registro de incidencias se consignarán los procedimientos de recuperación de datos (NM, art. 21)





- Gestión de soportes: identificación de la información que contienen. - La salida de soportes informáticos fuera del lugar del tratamiento requerirá autorización del responsable del fichero (art. 13) - Registro de entrada-salida de soportes (NM, art. 20) - Borrado de datos en los soportes desechados o reutilizados (NM, art. 20) - Medidas para evitar la recuperación indebida de los datos contenidos en soportes fuera de los locales del tratamiento (NM, art. 20)

- Establecimiento del procedimiento de copias de seguridad (art. 14)





- Identificación del responsable de seguridad y calendario de auditorías en el documento de seguridad (NM, art. 15)

- Responsable de seguridad (NM; art. 16)

- Auditorías (NM, art. 17)

- Control de acceso físico (NM, art. 19)



5.5. Funciones y obligaciones del personal.Funciones y obligaciones del personal.• Funciones de los usuariosFunciones de los usuarios

• RootRoot• AdministradoresAdministradores• UsuariosUsuarios• ……

• Procedimiento de acceso.Procedimiento de acceso.


4. 4. El Responsable de Seguridad El Responsable de Seguridad

• Nivel Medio y alto.Nivel Medio y alto.• Coordinar y controlar las medidas definidas en el documento Coordinar y controlar las medidas definidas en el documento

de seguridad.de seguridad.• Analizar informes de auditoría.Analizar informes de auditoría.• Control de los mecanismos de acceso del art. 24Control de los mecanismos de acceso del art. 24• Informes de los registros.Informes de los registros.

• No tiene las responsabilidades del responsable de fichero.No tiene las responsabilidades del responsable de fichero.


• Responsabilidades:Responsabilidades:• Art 9.2 “ El responsable del fichero adoptará las medidas Art 9.2 “ El responsable del fichero adoptará las medidas

necesarias para que el personal conozca las normas de seguridad necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. consecuencias en que pudiera incurrir en caso de incumplimiento. ” ”

• Art 16 “El responsable del fichero designará uno o varios Art 16 “El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este corresponde al responsable del fichero de acuerdo con este Reglamento.”Reglamento.”

5. 5. Sanciones AplicablesSanciones Aplicables


• Sanciones (LOPD)Sanciones (LOPD)• Leves (601,01 a 60.101,21 Euros)Leves (601,01 a 60.101,21 Euros)• Graves (60.101,21 a 300.506,05 Euros)Graves (60.101,21 a 300.506,05 Euros)• Muy graves (300.506,05 a 601.012,10 Euros) Muy graves (300.506,05 a 601.012,10 Euros) • La cuantía de las sanciones se graduará atendiendo a la naturaleza La cuantía de las sanciones se graduará atendiendo a la naturaleza

de los derechos personales afectados, al volumen de los de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora. concreta actuación infractora.

5. 5. Sanciones AplicablesSanciones Aplicables


ConclusionesConclusiones

• No es económicamente viable para Pymes, aunque si puede servir de guía.No es económicamente viable para Pymes, aunque si puede servir de guía.

•Invertir en un “responsable” o equipo de seguridad.Invertir en un “responsable” o equipo de seguridad.

•Gran importancia del Documento de Seguridad.Gran importancia del Documento de Seguridad.

•Multas/Auditorias/Consultorías.Multas/Auditorias/Consultorías.


Auditoría Informática Auditoría Informática BalearBalear

www.auditoriabalear.comwww.auditoriabalear.com

el reglamento de protección de datos: responsabilidades ramón de la iglesia vidal alejandro...

Documents