presentaciÓn grupo vadillo asesores

www.grupovadillo.com

PRESENTACIÓN

Grupo VadilloAsesores2009

Protección de datos y seguridad informática

- 18 y 25 de mayo de 2009 -


Digital Security Solutions

Empresa especializada en soluciones avanzadas de seguridad informática y de la información. Ubicada en el Vitoria, forma parte de Grupo Vadillo Asesores y proporciona servicios dirigidos a la protección de la información y el conocimiento de las organizaciones, aplicando metodologías y desarrollos propios.

El Departamento de Protección de Datos Personales cuenta con una experiencia de más de 400 proyectos de adaptación a la normativa en organizaciones públicas y privadas.

Raúl Pérez Cambero Abogado. Experto en protección de datos Responsable de Proyectos de Protección de datos de GVA


Programa – Día 1

1 Conceptos básicos en materia de protección de datos2 Principales obligaciones del responsable y derechos de los interesados3 Diferencia entre cesión de datos y accesos por terceros4 Medidas de seguridad en ficheros automatizados y seguridad informática – Aplicación práctica5 Breve referencia a las medidas de seguridad en ficheros manuales (no automatizados

* Si fuera posible, se solicitará a los asistentes que hagan un autodiagnóstico de su empresa para analizarlo en la sesión práctica.


Programa – Día 2

1 ¿Cómo inscribir ficheros en el RGAEPD?2 Revisión y análisis de autodiagnósticos para resolución de dudas3 Caso práctico de adaptación de una empresa a la normativa de protección de datos, con especial atención a medidas de seguridad de ficheros automatizados4 Análisis página web de la Agencia Española de Protección de Datos


1 Conceptos básicos en materia de protección de datos


Conceptos básicos en materia de protección de datos

Dato de carácter personalLOPD: “Cualquier información concerniente a personas físicas identificadas o identificables”.

RLOPD: “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.

Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.


Datos de carácter personal relacionados con la salud: informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

Fichero: todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Fichero NO automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurada conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.

Responsable del fichero o del tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurentes sin personalidad juríídica dica que actúen en el tráfico como sujetos diferenciados.

Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, cancelación, bloqueo o supresión, asícomo las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.



- Exclusiones del RDLOPExclusiones del RDLOP

- ficheros con datos relativos a personas jurpersonas juríídicasdicas- ficheros con datos de personas fpersonas fíísicas asociadas a una persona jursicas asociadas a una persona juríídica dica cuando presta sus servicios en aquélla.

• sólo si los datos que se tienen se refieren a nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales

-ficheros con datos relativos a empresarios individuales, empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.-datos de personas fallecidaspersonas fallecidas



Principales obligaciones del responsable y derechos de los interesados


Existencia y finalidad del fichero, identidad del responsable, destinatarios de la información.Consentimiento informado.

Recogida y tratamiento de datos personales adecuados, pertinentes y no excesivos. Actualizados.Cancelados cuando no necesarios.

INFORMACIÓN

CALIDAD DCP

Deber de secreto - concienciación interna.Cláusulas contractuales de confidencialidad.

CONFIDENCIALIDAD

Creación y aplicación del Documento de Seguridad.Adopción de medidas de seguridad de índole técnica y organizativa.

SEGURIDAD DE LOS DCP

Derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos.

GARANTÍA DE EJERCICIO DERECHOS

Inscripción en el RGAEPD.NOTIFICACIÓN DE FICHEROS

CESIÓN DE DATOS Y ACCESO DE 3º Consentimiento previo de la comunicación.Contratos de confidencialidad con encargados de tratamiento.




Consentimiento libre, inequívoco, específico, informado y revocable.Ojo, datos de menores de edad (14 años)

Existencia del fichero, responsable, finalidad y destinatarios.Derecho de consulta ante RG de Agencia Española de Protección de Datos.

INFORMACIÓN

DECIDIR SOBRE SU TRATAMIENTO

CALIDAD DCP Tratamiento leal y lícitoFines determinados, explícitos y legítimos del responsableAdecuados, pertinentes y no excesivos. Actualizados (exactos y puestos al día)Veraces los datos recogidos directamente del interesadoCancelados cuando no necesarios o inexactos.

DCP ESPECIALMENTE PROTEGIDOS Consentimiento agravado (expreso / por escrito).

Consentimiento previo a la comunicación.Garantía en tratamiento de datos responsable-encargadoTransferencias internacionales.

CESIÓN DE DATOS Y ACCESO DE 3º


ARCO Derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos.

Reclamación ante Agencia Española de Protección de Datos.TUTELA

IMPUGNACIÓN DE VALORACIONES Impugnar decisiones que impliquen una valoración basada únicamente en un tratamiento de datos personales.

INDEMNIZACIÓN Por parte del responsable del fichero o encargado del tratamiento.



Información previa de forma expresa, precisa e inequívoca (art. 5 LOPD):•• existencia del fichero existencia del fichero o tratamiento, finalidadfinalidad de la recogida de los datos y destinatariodestinatario de la

información• Carácter obligatorio o facultativo se su respuesta a preguntas planteadas (eludible) *• Consecuencias de la obtención de los datos o negativa a proporcionarlos (eludible) *• Posibilidad de ejercicio derechos ARCOderechos ARCO• Identidad y dirección del responsable del tratamiento o, en su caso, del representante.

* En atención a la naturaleza de los DCP solicitados o de las circunstancias en que se recaban.Cláusulas informativas claramente legibles cuando se utilicen cuestionarios u otros impresos para la recogida de datosCuando los datos no se recaben del interesadodatos no se recaben del interesado: información dentro de los 3 meses siguientes al momento del registro de los datos.



Excepciones al derecho de información:• una leyley lo prevea

•• fines histfines históóricos, estadricos, estadíísticos o cientsticos o cientííficosficos

•• informaciinformacióón imposible o exija esfuerzos desproporcionados n imposible o exija esfuerzos desproporcionados por nº de interesados, antigüedad de datos y posibles medidas compensatorias (a criterio de entidad de control)

• datos obtenidos de fuentes accesibles al pfuentes accesibles al púúblico y se destinen para fines comercialesblico y se destinen para fines comerciales. No obstante, en este supuesto, hay que informar en cada comunicación, del origen de los datos, identidad del responsable y derechos ARCO.Deberá informarse a través de un medio que permita acreditar su cumplimiento.Corresponde al responsable del tratamiento la carga de la prueba.Deberá conservarse mientras persista el tratamiento, pudiéndose utilizar medios informáticos o telemáticos (ej: escaneado que garantice la no alteración de los soportes originales).



Forma de recabar el consentimiento:•• consentimiento tconsentimiento táácito: cito: dirigiéndole la información art. 5 LOPD concediéndole un plazo de 30 días

para manifestar su negativa al tratamiento, advirtiendo de que si no se pronuncia se entenderáque consiente el tratamiento. OJO, problema de prueba que planteaOJO, problema de prueba que plantea

• necesario que el responsable del fichero pueda conocer si la comunicación ha sido devuelta o no para, en este caso, no tratar esos datos.

• facilitar al interesado un medio sencillo y gratuito medio sencillo y gratuito para manifestar su negativa (ej: sobre prefranqueado, llamada a nº telefónico gratuito o servicios de atención al público).

• Durante proceso de formación de contrato para finalidades no relacionados directamente con él, permitir al interesado manifestar expresamente su negativa permitir al interesado manifestar expresamente su negativa a tratamiento o cesión.

• Ello se entenderá cumplido si se utiliza una casilla visible y no previamente marcada casilla visible y no previamente marcada en el documento que se entregue para la celebración del contrato.

Ej: En caso de no autorizar el tratamiento y/o a cesión de sus datos, por favor marque la casilla

No quiero recibir información comercial sobre los productos o servicios de EMPRESAS X, S.L.



- Consentimiento para el tratamiento de datos de menores de edaddatos de menores de edad:

Mayores de 14 años: pueden prestar su consentimiento salvo cuando la Ley exija para ello la asistencia de quien ostenta la patria potestad.Menores de 14 años: consentimiento de los padres o tutores.En ningún caso se podrán obtener del menor datos sobre los demás miembros de la familia sin el consentimiento de los titulares de esos datos. Ello salvodatos de padre, madre o tutor para recabar la autorización para consentimiento.La información dirigida a los menores en lenguaje fácilmente comprensible.El responsable deberá tener procedimientos para garantizar que se ha comprobado efectivamente la edad del menor y la autenticidad del consentimiento prestado.



Actividades de publicidad y prospección comercial

Quienes se dediquen a recopilacirecopilacióón de direcciones, reparto documental, publicidad, venta a distann de direcciones, reparto documental, publicidad, venta a distancia, prospeccicia, prospeccióón n comercial y otras actividades ancomercial y otras actividades anáálogaslogas, y los que hagan estas actividades para vender sus propios productos o actividades para vender sus propios productos o servicios o los de tercerosservicios o los de terceros, sólo utilizarán nombres y direcciones u otros datos cuando:

• Figuren en alguna fuente accesible al público y el interesado no se haya negado u opuesto al tratamiento de sus datos para tales actividades.

• Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para utilizar sus datos para tales actividades

• Se informe a los interesados de los sectores de actividad sobre los que se podrá recibir información o publicidad.

Si se contrata con otra entidad la realizacise contrata con otra entidad la realizacióón de la campan de la campañña publicitaria a publicitaria :a) Si los parámetros identificativos de los destinatarios se fijan por la entidad contratante de la campaña, será

ésta la responsable del tratamiento.b) Si fueran determinados por la/s entidad/es contratada/s, serán éstas las responsables del tratamiento.c) Si determinan los parámetros ambas entidades, serán las dos responsables.

Parámetros identificativos de los destinatarios: variables utilizadas para identificar el público objetivo o destinatario de una campaña o promoción comercial que permitan acotar los destinatarios individuales de la misma.



Derechos ARCODerechos ARCO

Posibilidad de representación voluntaria:• expresamente designado para el ejercicio del derecho• deberá constar la identidad del representado (copia DNI o documento equivalente) y la

representación conferida

Condiciones para el ejercicios de los derechos ARCO:• Conceder al interesado un medio sencillo y gratuitomedio sencillo y gratuito•• NoNo podrá suponer un ingreso adicional ingreso adicional para el responsable del tratamiento•• No conforme No conforme exigencia de envío de cartas certificadas o similar, uso de servicios de

telecomunicaciones que implique tarificación adicional, otros medios que supongan un coste adicional al interesado.

• Si el responsable tiene un servicio de atenciservicio de atencióón al cliente o de reclamacionesn al cliente o de reclamaciones, se podráconceder al interesado la posibilidad de ejercer derechos ARCO a través de ellos.

• El responsable ha de responder la solicitud responsable ha de responder la solicitud aunque el interesado no haya respetado el procedimiento establecido por aquél, si ha utilizado un medio que permite acreditar el envío y la recepción de la solicitud y cumple con requisitos exigidos.



Condiciones para el ejercicios de los derechos ARCO:• El responsable deberresponsable deberáá responder en todo casoresponder en todo caso, aunque no tenga datos del interesado en

sus ficheros.• Si la solicitud no cumple los requisitos exigidos, el responsable deberá solicitar la

subsanación.• El responsable del tratamiento ha de acreditar que ha cumplido con el deber de respuesta,

debiendo conservar la acreditación de su cumplimiento.• El responsable adoptará las medidas que correspondan para garantizar que el personal

con acceso a datos puede informar del procedimiento a seguir por el interesado para ejercicio de derechos ARCO.

Ej: difusión procedimiento redactado al efecto, formación interna…

Posibilidad de ejercicio derechos ARCO ante encargado del tratamiento:

• Cuando los interesados ejerciten sus derechos ARCO ante el encargado del tratamiento, éste trasladartrasladaráá la solicitud al responsable la solicitud al responsable para que resuelva.

• Se puede pactar que el encargado atenderencargado atenderáá las solicitudes de derechos ARCO las solicitudes de derechos ARCO por cuenta del responsable, debiéndose prever en el contrato correspondiente.



Derecho de acceso:Derecho de acceso:

Si el responsable ofrece un sistema para hacerlo efectivo y el interesresponsable ofrece un sistema para hacerlo efectivo y el interesado lo rechazaado lo rechaza, no responderá aquél por los riesgos que pueda suponer para la seguridad de la información tal elección.Si el responsable ofrece un procedimiento para hacerlo efectivo y el iresponsable ofrece un procedimiento para hacerlo efectivo y el interesado exige otro que nteresado exige otro que implica un coste desproporcionadoimplica un coste desproporcionado, serán a su costa los gastos derivados de su elección.Plazos:Plazos: 1 mes para resolver sobre la solicitud y, si se estima, 10 días más para hacer efectivo el acceso.Posibilidad de denegar el acceso Posibilidad de denegar el acceso cuando:

• se haya ejercitado en los 12 meses anteriores, salvo causa justificada• cuando así lo prevea una Ley o norma de derecho comunitario, o éstas impidan al

responsable revelar a los afectados el tratamiento de los datos a que se refiere el acceso• En todo caso, ha de informarse al interesado de su derecho a recabar la tutela de la Agencia

correspondiente (AEPD o autonómicas).



Derechos de rectificaciDerechos de rectificacióón y cancelacin y cancelacióón:n:

Plazo:Plazo: 10 días desde recepción de solicitud (hábiles).Si los datos han sido comunicados o cedidosSi los datos han sido comunicados o cedidos, ha de informarse al cesionario en el mismo plazo para que también rectifique o cancele en 10 días.El cesionario no tiene obligación de comunicar al interesado la rectificación o cancelación por él practicada.Posibilidad de denegar el acceso Posibilidad de denegar el acceso cuando:

• cuando los datos deban ser conservados durante plazos previstos en la legislación aplicable o en contratos entre responsable e interesado.

• cuando así lo prevea una Ley o norma de derecho comunitario, o éstas impidan al responsable revelar a los afectados el tratamiento de los datos a que se refiere el acceso

• En todo caso, ha de informarse al interesado de su derecho a recabar la tutela de la Agencia correspondiente (AEPD o autonómicas).



Derecho de oposiciDerecho de oposicióón:n:

Novedad, hasta ahora no existía regulación de este derecho.Es el derecho del interesado a que no se traten sus datos personales o se cese:

• cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una ley no disponga lo contrario.

• cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial

• Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos personales.

Plazo:Plazo: 10 días desde recepción de solicitud (hábiles).Efecto: Efecto: el responsable deberá excluir del tratamiento los datos relativos al solicitante o denegarla motivadamente.



Nivel de seguridad

Tipo de datos Ficheros automatizados Ficheros NO automatizados

BASICO

Identificativos,Características personalesCircunstancias socialesDatos económico-financierosTransaccionesDatos nivel alto en algunos supuestos

1. Documento de seguridad2. Definición de funciones y

obligaciones del personal3. Registro de incidencias4. Control de acceso5. Gestión de soportes y documentos6. Identificación y autenticación7. Copias de respaldo y recuperación

1. Documento de seguridad2. Definición de funciones y obligaciones

del personal3. Registro de incidencias4. Control de acceso5. Gestión de soportes 6. Criterios de archivo7. Dispositivos de almacenamiento8. Custodia de soportes

MEDIO

Infracciones administrativas, y penales, Hacienda pública, Solvencia patrimonial y crédito, personalidad del individuo, entidades gestoras SS, mutuas de accidentes

1. Medidas del nivel anterior2. Responsable de seguridad3. Auditoria (mínimo bienal)4. Gestión de soportes y documentos5. Identificación y autenticación6. Control de acceso físico7. Registro de incidencias

1. Medidas de nivel anterior2. Responsable de seguridad3. Auditoría (mínimo bienal)

ALTO

Ideología, …violencia de género, datos de facturación y tráfico servicios comunicaciones-e

1. Medidas del nivel anterior2. Gestión y distribución de soportes3. Copias de respaldo y recuperación4. Registro de accesos5. Cifrado de telecomunicciones

1. Medidas de nivel anterior2. Almacenamiento de la información3. Copia o reproducción4. Acceso a la documentación5. Traslado de la documentación



Diferencia entre cesión de datos y accesos por terceros


Diferencia entre cesiones de datos y accesos por terceros

CESICESIÓÓN DE DATOS:N DE DATOS: Tratamiento de datos que supone su revelación a una persona distinta del interesado

1 Regla general: Necesario el previo consentimiento del interesado.

Excepciones:Cesión autorizada por Ley.Datos recogidos de fuentes accesibles al público.

Relación jurídica libre y legítima que implique comunicación (correduría de seguros).Jueces, Fiscales y Defensor del PuebloEntre Administraciones Públicas para fines históricos, estadísticos o científicos.Necesaria para urgencia médica o epidemiológica.

2 El interesado debe conocer inequívocamente la finalidadfinalidad y el tipo de actividad tipo de actividad desarrollada por el cesionario. En caso contrario, será nulo.

3 No aplicable si antes de la cesión se han disociado los datos.


► Necesidad de regulación contractual.► Requisitos del contrato / cláusula de confidencialidad:

1 Contrato que permita acreditar su celebración y contenido.2 Establecer que el encargado del tratamiento únicamente tratará los datos conforme a las

instrucciones del responsable del fichero.3 Prohibición de utilizar los datos con fines distintos a los determinados en el contrato ni

comunicación a terceros.4 Implementación de medidas de seguridad por parte del encargado del tratamiento.

5 Cumplida la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos al responsable del fichero, así como los soportes o documentos en que conste algún datos de carácter personal.

► El encargado del tratamiento será considerado responsable del fichero a los efectos de infracciones y aplicación de sanciones cuando:

Destine los datos a otra finalidad, comunique o ceda los datos outilice los datos incumpliendo las estipulaciones del contrato



Relaciones entre el responsable y el encargado del tratamientoRelaciones entre el responsable y el encargado del tratamiento

El acceso por un 3º para prestar un servicio NO será comunicación de datos.

El servicio puede ser o no remunerado, temporal o indefinido.

SÍ habrá comunicación de datos si el acceso tiene por objeto establecer un NUEVO NUEVO VVÍÍNCULO NCULO entre el encargado del tratamiento y el interesado.

El responsable del tratamiento deberá comprobar que el encargado del tratamiento también cumple con el RDLOPD.

El encargado será considerado responsable si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo el contrato del art. 12 LOPD.

No tendrá responsabilidad el encargado del tratamiento cuando, por indicación expresa del responsable, ha comunicado los datos a un 3º designado por aquél, a quien hubiera encomendado la prestación de un servicio.



Posibilidad de subcontrataciPosibilidad de subcontratacióón de los serviciosn de los servicios

Como regla generalregla general, el encargado del tratamiento NO podrá subcontratar con un tercero ningún tratamiento que le hubiera encomendado el responsable, salvo que tenga autorización para ello.

En este caso, contratación en nombre y por cuenta del responsable.

Será posible la subcontratación sin autorización siempre que:

a) se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si es posible, la empresa que se va a subcontratar.

b) el tratamiento de datos por el subcontratista se ajuste a las instrucciones del responsable del fichero.

c) El encargado del tratamiento y la subcontratista suscriban contrato artículo 12 LOPD. Se considerará al subcontratista encargado del tratamiento.



ConservaciConservacióón de datos por el encargado del tratamienton de datos por el encargado del tratamiento

Cumplida la prestación contractual, los datos deberán ser destruidos o devueltos al responsable del tratamiento o al encargado del tratamiento designado por éste, así como cualquier soporte o documento con datos personales.No procederá la destrucción si hay una ley que exige su conservación, en cuyo caso habráque devolver al responsable garantizando éste la conservación.El encargado del tratamiento conservará bloqueados los datos durante el tiempo que puedan derivarse responsabilidades en relación con el responsable del tratamiento.



Infracciones y régimen sancionador

Tipo de infracción

Descripción de la infracción Sanciónprevista

LEVE

1. No atender la solicitud de rectificación o cancelación por motivos formales.

2. No proporcionar información a AEPD.3. No solicitar inscripción de fichero en el RGAEPD (puede ser infracción

grave).4. Recoger datos personales sin proporcionar información a los afectados.5. Incumplir el deber de secreto (puede ser infracción grave).

601,01 -60.101,21€

(100.000 - 10 millones Ptas.)

GRAVE

Algunas infracciones son:1. Recoger datos personales sin consentimiento de los afectados.2. Tratar o usar datos de carácter personal incumpliendo la legislación

(puede se infracción muy grave).3. Mantener datos inexactos, sin rectificar o cancelar.4. Mantener ficheros, locales, programas o equipos con datos personales sin

las debidas condiciones de seguridad.5. Vulnerar el deber de secreto en ficheros de nivel medio.

60.101,21 –300.506,05€

(10 - 50 millones Ptas.)

MUY GRAVE

Entre otras:1. Recoger datos de forma engañosa o fraudulenta.2. Comunicar o ceder los datos de carácter personal, fuera de los casos en

que esté permitido.3. Transferencia de datos a países sin nivel equiparable de protección y sin

autorización de la AEPD.4. No atender sistemáticamente los derechos de acceso, rectificación,

cancelación u oposición.

300.506,05 –601.012,10€(50 – 100

millones Ptas.)


Infracciones y régimen sancionador


Medidas de seguridad en ficheros automatizados y seguridad informática –Aplicación práctica


Nivel bNivel báásicosico

I.I. Funciones y obligaciones del personalFunciones y obligaciones del personal

“Las funciones y obligaciones de cada usuario o perfil de usuario con acceso a DCP estarán claramente definidas y documentadas en el documento de seguridad.

El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias de incumplimiento”.

Importante definir las funciones de cada usuario con acceso a DCP así como la formación, sensibilización y concienciación de empleados en materia de protección de datos.

II.II. Registro de incidenciasRegistro de incidencias

“Deberá existir un procedimiento de notificación y gestión de incidencias que afecten a DCP y establecer un registro en el que conste:

• tipo de incidencia• momento en que se ha producido o, en su caso, detectado,• persona que realiza la notificación,• a quién se le comunica• efectos que se hubieran derivado de la incidencia y• medidas correctoras aplicadas”.

Medidas de seguridad en ficheros automatizados y seguridad informática


III.III. Control de accesoControl de acceso

“Los empleados tendrán acceso sólo a los recursos que precisen para el desarrollo de sus funciones”.Por tanto, importante limitar la información a la que acceda cada empleado.

“El responsable del fichero se encargará de que exista una relación actualizada de usuarios y los accesos autorizados a cada uno de ellos”.

Importante conocer y tener registrado quién (qué usuarios) accede a los DCP.

“El responsable del fichero se encargará de que exista una relación actualizada de usuarios y los accesos autorizados a cada uno de ellos”.

Habrá que notificar en el DS las altas y bajas de usuarios.

“El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados”.

“Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero”.

Normalmente será el Responsable de Seguridad.

“En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio”.

Por ejemplo, el personal de la empresa que nos lleva el mantenimiento del sistema informático.Para ello, incluir en el contrato de acceso a datos con el encargado del tratamiento.




En sistemas MS Windows. Active Directory ofrece una interfaz de usuarios en la que se controlan sus permisos y accesos



Además ofrece la posiblidad de permitir acceso a datos con diferentes tipos de permisos e independientemente de otros usuarios


IV.IV. GestiGestióón de soportes y documentosn de soportes y documentos

“Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de informaciidentificar el tipo de informacióón n que contienen, ser inventariadosinventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad”.Es muy importante identificar la información que contiene cada soporte, entre otras cosas, para evitar pérdida de información por “regrabado.

“La salida de soportes y documentos salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por autorizada por el responsable del fichero el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad”Para controlar la información que sale de las instalaciones de la empresa.

“En el traslado de la documentacitraslado de la documentacióón n se adoptarán las medidas dirigidas a evitar la sustraccievitar la sustraccióón, pn, péérdida o acceso indebido rdida o acceso indebido a la información durante su transporte”.Medida de difícil cumplimiento. ¿Cómo evitar que te sustraigan un portátil?

“Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destruccidestruccióón o borrado, mediante la adopcin o borrado, mediante la adopcióón de medidas dirigidas a evitar el acceso a la informacin de medidas dirigidas a evitar el acceso a la informacióón n contenida en el mismo o su recuperación posterior.”.Para evitar que se quede información y pueda recuperarse una vez desechado.




Durante el transporte de la información existe riesgo de perdida de información.

Para evitarlo se debe proteger el acceso a los datos mediante contraseñas de acceso al ordenador y cifrado de datos

Acceso mediante Huella digital.

Acceso mediante Tarjeta inteligente.

HP TPM Embedded Security Chip


“La identificaciidentificacióón de los soportes n de los soportes que contengan datos de carácter personal que la organización considerase especialmente especialmente sensibles sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas”.Persigue que sólo el personal autorizado a utilizar los soportes conozcan su contenido.

VI.VI. IdentificaciIdentificacióón y autenticacin y autenticacióónn

“El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificacicorrecta identificacióón y autenticacin y autenticacióón n de los usuariosde los usuarios.El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificaciidentificacióón de forma inequn de forma inequíívoca y voca y personalizada de todo aquel usuariopersonalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignaciprocedimiento de asignacióón, n, distribucidistribucióón y almacenamiento que garantice su confidencialidad e integridan y almacenamiento que garantice su confidencialidad e integridadd.El documento de seguridad establecerá la periodicidad, que en ningningúún caso sern caso seráá superior a un asuperior a un añño, con la que tienen que ser o, con la que tienen que ser cambiadas las contrasecambiadas las contraseññasas que, mientras estén vigentes, se almacenarán de forma ininteligible”.Tienen que existir contraseñas para acceso al sistema informático y deberás ser cambiadas, al menos, una vez al año.




El visor de sucesos de seguridad debe contener las incidencias de intento de acceso a datos.



Se deben definir políticas de actualización de contraseñas asícomo de complejidad mínima.


VII.VII. Copias de respaldo y recuperaciCopias de respaldo y recuperacióónn

“Deberán establecerse procedimientos de actuación para la realizacirealizacióón como mn como míínimo semanal de copias de respaldonimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

Asimismo, se establecerán procedimientos para la recuperaciprocedimientos para la recuperacióón de los datos que garanticen en todo momento su n de los datos que garanticen en todo momento su reconstruccireconstruccióónn en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberáproceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

El responsable del fichero se encargará de verificar cada seis meses la correcta definiciverificar cada seis meses la correcta definicióón, funcionamiento y aplicacin, funcionamiento y aplicacióón de los n de los procedimientos de realizaciprocedimientos de realizacióón de copias de respaldo y de recuperacin de copias de respaldo y de recuperacióón n de los datos.

Las pruebas anteriores a la implantacipruebas anteriores a la implantacióón o modificacin o modificacióón de los sistemas de informacin de los sistemas de informacióón n que traten ficheros con datos de carácter personal no se realizarno se realizaráán con datos realesn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad”.

Obligación de hacer copias de seguridad, al menos, semanalmente, debiéndose comprobar cada 6 meses que funcionanSi se hacen pruebas para implantar o modificar los SSII no se utilizarán datos reales, serán datos ficticios. Si se utilizan datos

reales habrá que adoptar las medidas de seguridad exigibles al nivel de seguridad que corresponda en función de los datos tratados, debiéndose hacer, además, una copia de seguridad para evitar su pérdida.




Se deben realizar copias de seguridad con una periodicidad mínima semanal.

Disco duro externoCinta de seguridadBackup remoto


Nivel medioNivel medio

I.I. Responsable de SeguridadResponsable de Seguridad

“En el documento de seguridad deberán designarse uno o varios responsables de seguridad designarse uno o varios responsables de seguridad encargados de coordinar y coordinar y controlar las medidascontrolar las medidas definidas en el mismo.

Esta designación puede ser úúnica para todos los ficheros o tratamientos nica para todos los ficheros o tratamientos de datos de carácter personal o diferenciada sego diferenciada segúún los n los sistemas de tratamiento sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento”.

Hay que definir un (o varios) responsable de seguridad para coordinar y verificar que se están implementando las medidas de seguridad exigidas.

II.II. AuditorAuditorííaa

“A partir del nivel medio los sistemas de informacisistemas de informacióón e instalacionesn e instalaciones de tratamiento y almacenamiento de datos se someterse someteráán, al n, al menos cada dos amenos cada dos añños, a una auditoros, a una auditoríía interna o externa a interna o externa que verifique el cumplimiento del presente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior”.

Al menos cada dos años hay que verificar el estado de cumplimiento de la normativa de protección de datos, no siendo necesario externalizar el servicio, por poderse hacer internamente.



“El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al

responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas”.

Se recoge el contenido del informe de auditoría, lo cual facilita la posibilidad de que se pueda hacer de forma interna.No hay que notificar la auditoría a la AEPD, únicamente, tener el informe a su disposición en caso de que lo solicite.

III.III.GestiGestióón de soportes y documentosn de soportes y documentos

“Deberá establecerse un sistema de registro de entrada de soportes sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.Igualmente, se dispondrá de un sistema de registro de salida de soportes sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.”

Hay que tener un registro de entrada y salida de soportes para controlar la información que entra y sale de la organización, de forma que estos movimientos estén registrados y autorizados.



IV.IV. IdentificaciIdentificacióón y autenticacin y autenticacióónn

“El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el limite la posibilidad de intentar reiteradamente el acceso acceso no autorizado al sistema de información”.

Para el nivel medio, además de tener contraseñas de acceso, es necesario limitar los intentos de accesos fallidos.

V.V. Control de acceso fControl de acceso fíísicosico

“Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información”.

VI.VI. Registro de incidenciasRegistro de incidencias

“En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos”.

Es una medida adicional a lo exigido para nivel básico, debiéndose recoger en el RI los aspectos que señala este artículo.




Se deben bloquear intentos fallidos de acceso.



El acceso físico al los sistemas debe estar restringido.


Nivel altoNivel alto

I.I. GestiGestióón y distribucin y distribucióón de soportesn de soportes“La identificación de los soportes se deberse deberáá realizar realizar utilizando sistemas de etiquetado comprensibles y con significado que

permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos”.

La identificación facultativa de soportes que recogía en el nivel básico aquí se vuelve obligatoria. Habrá que cifrar la información contenido en los soportes y dispositivos portátiles para impedir el acceso a la información.

II.II. Copias de respaldo y recuperaciCopias de respaldo y recuperacióónn“Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar en un lugar

diferente de aquel en que se encuentren los equipos informdiferente de aquel en que se encuentren los equipos informááticos que los tratanticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación”.

Exige conservar una copia de seguridad en un lugar diferente de la empresa. Es recomendable, aunque no sea exigible, incluso para nivel básico.




III.III. Registro de accesosRegistro de accesos

“De cada intento de acceso se guardarDe cada intento de acceso se guardaráánn, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

El perperííodo modo míínimo de conservacinimo de conservacióón n de los datos registrados será de dos ados aññosos.El responsable de seguridad se encargará de revisar al menos una vez al mes la informacirevisar al menos una vez al mes la informacióón de control registrada n de control registrada y elaborará

un informe de las revisiones realizadas y los problemas detectados.

Habrá que registrar la información señalada de cada intento de acceso, debiéndose almacenar durante dos años y revisarse mensualmente por el responsable de seguridad.

No serNo seráá necesario el registro de accesos necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:a) Que el responsable del fichero o del tratamiento sea una persona física.b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamenteen el documento de seguridad.”.

En estos dos supuestos, acreditados en el DS, se excluye la obligación de registro de accesos (autónomos).




IV.IV. TelecomunicacionesTelecomunicaciones

“Cuando, deban implantarse las medidas de seguridad de nivel alto, la transmisitransmisióón de datos n de datos de carácter personal a través de redes predes púúblicas o redes inalblicas o redes inaláámbricas mbricas de comunicaciones electrónicas se realizará cifrando dichos datos cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.

Cuando se envíen datos especialmente protegidos por medios electrónicos habrá que cifrarlos para evitar que se reciba la información por quien no es el destinatario.




Las comunicaciones entre delegaciones y con los usuarios moviles deben estar cifradas a traves de VPNs cifradas.


Breve referencia a las medidas de seguridad en ficheros manuales(no automatizados)



Obligaciones comunes a ficheros automatizadosObligaciones comunes a ficheros automatizados

“Además de lo dispuesto en el presente capítulo, a los ficheros no automatizados les será de aplicación lo dispuesto en los capítulos I y II del presente título (ficheros automatizados) en lo relativo a:

a) Alcance.b) Niveles de seguridad.c) Encargado del tratamiento.d) Prestaciones de servicios sin acceso a datos personales.e) Delegación de autorizaciones.f) Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento.g) Copias de trabajo de documentos.h) Documento de seguridad.

Asimismo se les aplicará lo establecido por la sección primera del capítulo III del presente título en lo relativoa:

a) Funciones y obligaciones del personal.b) Registro de incidencias.c) Control de acceso.d) Gestión de soportes.




I.I. Criterios de archivoCriterios de archivo

“El archivoarchivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo”.

II.II. Dispositivos de almacenamientoDispositivos de almacenamiento

“Los dispositivos de almacenamiento de los documentos dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas”.

III.III. Custodia de soportesCustodia de soportes

“Mientras la documentaciMientras la documentacióón con datos de carn con datos de caráácter personal no se encuentre archivada cter personal no se encuentre archivada en los dispositivos de almacenamientoestablecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la

persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada”.

Breve referencia a ficheros manuales



Se debe optar por dispositivos de almacenamiento con capacidades de cifrado.

Mediante:Huella dactilarContraseñaCifrado de los datos


Nivel medioNivel medio

I.I. Responsable de seguridadResponsable de seguridad

“Se designará uno o varios responsables de seguridad uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 95 de este reglamento”.

II.II. AuditorAuditorííaa

“Los ficheros comprendidos en la presente sección se someterán, al menos cada dos aal menos cada dos añños, a una auditoros, a una auditoríía interna o externa a interna o externa que verifique el cumplimiento del presente título”.

No suponen ninguna diferencia con respecto a lo exigido en ficheros automatizados.




I.I. Almacenamiento de la informaciAlmacenamiento de la informacióónn“Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter

personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad”.

II.II. Copia y reproducciCopia y reproduccióónn

“La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.

Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.



III.III. Acceso a la documentaciAcceso a la documentacióónn“El acceso a la documentación se limitará exclusivamente al personal autorizado.Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.”.

IV.IV.Traslado de documentaciTraslado de documentacióónn

“Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado”.



Situación típica de una empresa


Manual de funciones y obligaciones del personal

CLIENTES

Identificativos

Características personales

Académicos y profesionales

FICHEROS

DATOS PERSONALES

PROVEEDORES

Datos económicos, financieros y de seguros

PERSONAL

CURRICULUMS

Información comercial

SITUACIONESAcceso de terceros a datos para prestar un servicio

Comunicación de datos a terceros

VIDEOVIGILANCIA

Detalles de empleo

Transacciones de bienes y servicios

Datos especialmente protegidos


Programa – Día 2

1 ¿Cómo inscribir ficheros en el RGAEPD?2 Revisión de autodiagnósticos para resolución de dudas3 Caso práctico de adaptación de empresa a normativa de protección de datos, con especial mención a medidas de seguridad de ficheros automatizados4 Análisis página web de la Agencia Española de Protección de Datos


Inscripción de ficheros AEPD

Inscripción de ficherosAEPD


Autodiagnósticos de asistentes

Autodiagnósticos de asistentes


Página web AEPD

Página web AEPDwww.agpd.es


Informar a los interesados (avisos legales). Ojo datos de menores y página web.

Firmar contratos de acceso a datos con determinados proveedores.

Respeto a principio calidad de datos: que los datos que se recojan sean los adecuados, pertinentes y no excesivos

Cumplir el Documento de Seguridad (también procedimientos y “Manual de funciones y obligaciones del personal”)

Solicitar consentimiento del interesado para el tratamiento de sus datos con fines comerciales.

Deber de confidencialidad o de secreto: no proporcionar información por teléfono.

Responder solicitudes Derechos ARCO.

Medidas de seguridad y seguridad informática: contraseñas privadas, copias de seguridad, gestión de soportes, etc.

¿Qué hacer para cumplir con la LOPD y RLOPD?


Pintor Díaz de Olano, 18 · 01008 Vitoria-GasteizAvda. Gasteiz, 82 · 01012 Vitoria-GasteizTravesía Paganos, 45 · 01300 Laguardia (Alava)Centro de Servicios Júndiz. Paduleta, 55 · 01015 Vitoria-Gasteiz

[email protected]. 945 22 27 62

Asesoría integral:Jurídica · Fiscal · Contable · Financiera · Laboral · SegurosAsesoria en direccion:Modelo EFQM · Gestión por procesos · Planificación estratégicaGestión de personas · Responsabilidad social empresarialProtección de datos · Especialistas en gestión de empresa familiar

Muchas gracias a tod@s

presentaciÓn grupo vadillo asesores

Documents