SlideShare una empresa de Scribd logo

Preparatic - Caso Practico LOPD.pptx

Descargar como PPTX, PDF
C
CarlosMolano21

LOPD

Internet
1 de 24
Caso práctico de aplicación de la LOPD Sesión de Preparatic 26 de noviembre de 2011 -1- José Antonio Pérez Jefe de Área - Registro General de Protección de Datos Agencia Española de Protección de Datos
Caso práctico: Aplicación de la LOPD -2- • Recientemente se ha creado una Agencia de titularidad pública dentro de la AGE cuya finalidad es gestionar subvenciones y ayudas a autónomos. Dentro de su plan estratégico de lanzamiento, ha decidido externalizar en una empresa de hosting la gestión de los sistemas de información utilizados para la gestión de las ayudas. El resto de la información gestionada por la Agencia se almacenará y tratará en sistemas propios. • Los solicitantes de ayudas deben aportar, entre otros, los siguientes datos: Nombre y apellidos, NIF, nº de afiliación a la seguridad social, últimos tres recibos abonados a la Seguridad Social como autónomos. • Para la gestión interna de su personal, la Agencia ha previsto la implantación de un sistema de fichaje mediante huella digital. En su sede, los empleados deberán portar una tarjeta identificativa con su fotografía. • La Agencia cuenta entre su personal con algunos empleados que tienen reconocido un cierto grado de minusvalía, aspecto que debe ser tenido en cuenta en la gestión de las nóminas a efectos de aplicación de las correspondientes deducciones en el tipo de IRPF aplicable. Dentro del expediente de El servicio médico de la Agencia almacena un historial clínico de cada empleado, en formato papel que posteriormente se digitaliza.
Caso práctico: Aplicación de la LOPD -3- • Por otra parte, la Agencia ha contratado la seguridad de sus instalaciones con una empresa privada. Se han instalado cámaras y un circuito cerrado de TV (CCTV) para el visionado de imágenes de dichas instalaciones. No está previsto el almacenamiento de dichas imágenes para su posterior reproducción. • Los únicos proveedores de la Agencia son empresas. Existe un fichero de proveedores en los que se almacenan los datos de contacto profesionales de sus representantes: teléfono, fax, email y dirección postal. Cuando asisten a reuniones en la sede de la Agencia, Seguridad recaba su DNI a efectos de control de visitas. • Diseñar un plan de adecuación que resuma las acciones principales que deberá llevar a cabo la citada Agencia para cumplir la normativa de protección de datos, con especial énfasis en las medidas de seguridad a implantar.
Solución caso práctico: Plan de adecuación a la LOPD -4- 1. Identificación de los ficheros o tratamientos de datos personales que realiza la Agencia, y el nivel de seguridad aplicable. Una posible relación de ficheros podría ser la siguiente: Ayudas a autónomos Básico Proveedores Básico Sólo se almacenan datos de contacto profesionales (teléfono, email, puesto desempeñado), que están excluidos del ámbito de aplicación del RLOPD (art. 2.1). Si existieran proveedores que fueran personas físicas (autónomos) sí que se estaría dentro del ámbito del RLOPD. Empleados Básico Nóminas Básico Aunque el grado de minusvalía es un dato de salud, su uso en este caso constituye una de las excepciones previstas en el artículo 81.6 del RLOPD, por lo que sólo sería exigible el nivel de medidas de seguridad básico. Gestión económico administrativa Básico Control de visitas Básico La Agencia es responsable del fichero, aunque la gestión del mismo la realice la empresa de seguridad Videovigilancia Básico Hay tratamiento de datos pero no existe fichero, puesto que las imágenes no se almacenan. No procede inscripción en RGPD. Persisten no obstante el resto de obligaciones Fichero/Tratam. Nivel medidas de seguridad Observaciones Historiales clínicos empleados Alto Almacena datos de salud. Sistema de tratamiento mixto: automatizado y no automatizado -- -- --
Solución caso práctico: Plan de adecuación a la LOPD -5- 2. Determinar y formalizar los contratos de prestación de servicios que implican tratamiento de datos personales: • Por un lado, tenemos la empresa externa que realiza el hosting del sistema de información que gestiona las solicitudes de subvenciones y ayudas a autónomos. • La empresa de seguridad también realiza tratamiento de datos personales, ya que tiene acceso a la base de datos del personal autorizado a entrar en las instalaciones, visiona las imágenes de las cámaras de seguridad y realiza toda la gestión asociada al control de visitas. • De acuerdo con lo establecido en el artículo 12 de la LOPD, estos tratamientos de datos deberán estar regulados en un contrato escrito. En dichos contratos: • se establecerá expresamente que el encargado de tratamiento (la empresa de hosting y la empresa de seguridad) únicamente tratará los datos conforme a las instrucciones de la Agencia; que no los utilizará con un fin distinto al que figure en el contrato, ni los comunicará a otras personas. • se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
Solución caso práctico: Plan de adecuación a la LOPD -6- 3. Elaboración del Documento de Seguridad • Está regulado en el art. 88 del RLOPD. Su elaboración es preceptiva por parte de cualquier entidad que sea responsable de ficheros o tratamientos de datos personales. Es un documento interno de la organización. • Debe recoger las medidas de índole técnica y organizativa definidas para garantizar la seguridad de los datos personales, siendo de obligado cumplimiento para el personal con acceso a los datos. • Puede ser único y comprensivo de todos los ficheros o tratamientos o bien individualizado para cada fichero o tratamiento. • Contenido mínimo: • Ámbito de aplicación. • Medidas, normas procedimientos para garantizar el nivel de seguridad preceptivo. • Funciones y obligaciones del personal • Estructura de los ficheros de datos personales y de los SSII que los tratan • Procedimiento de notificación, gestión y respuesta a incidencias. • Procedimientos de realización de copias de respaldo y recuperación de los datos • Medidas para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes. • Puesto que existne tratamientos de datos por cuenta de terceros, el DS debe identificar los ficheros/tratamientos que tratan los encargados, con referencia expresa al contrato de prestación de servicios que los regula.
Solución caso práctico: Plan de adecuación a la LOPD -7- 3. Nombramiento del Responsable de Seguridad • Puesto que a uno de los ficheros le son de aplicación las medidas de seguridad de nivel alto, debe designarse un responsable de seguridad (es preceptivo a partir de nivel medio). En el Documento de Seguridad debe identificarse el responsable de seguridad nombrado por la organización • El responsable de seguridad es la persona a la que la organización ha otorgado la responsabilidad de coordinar y asegurar el cumplimiento de las medidas recogidas en el documento de seguridad. • Puede existir más de un responsable de seguridad.
Solución caso práctico: Plan de adecuación a la LOPD -8- 4. Implantación de las medidas de seguridad recogidas en el documento de seguridad • Para los ficheros y tratamientos de nivel básico, podrían implantarse, entre otras las siguientes medidas:  Impartir programas de formación al personal que trata datos personales, de forma que conozca sus funciones y obligaciones.  Elaborar e implantar un procedimiento de notificación y gestión de incidencias.  Elaborar de relación de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos.  Establecer mecanismos para evitar que un usuario pueda acceder a datos no autorizados, así como de aquellos que garanticen la correcta identificación y autenticación de usuarios. Por ejemplo: usuario/contraseña, o certificados electrónicos almacenados en tarjetas criptográficas.  Elaboración de un inventario de soportes que contengan datos de carácter personal: servidores, ordenadores personales, discos, cintas, DVD, pen drives, archivadores de documentos en papel, etc. Identificación de los soportes con etiquetas indicativas de su contenido.  Definición de los procedimientos de realización de copias de respaldo, y ejecución de los mismos al menos con periodicidad semanal.  Almacenamiento de los ficheros en soporte papel en archivadores dotados de mecanismos que obstaculicen su apertura (ej.: cerraduras)
Solución caso práctico: Plan de adecuación a la LOPD -9- 4. Implantación de las medidas de seguridad recogidas en el documento de seguridad • Para el fichero de historias clínicas de los empleados habría que implantar las medidas de nivel medio y alto:  Realizar auditorías de medidas de seguridad al menos cada dos años.  Establecimiento de un registro de entrada y salida de soportes. En caso de distribución de estos soportes, los datos deberían estar cifrados.  Implantación de mecanismos que limiten la posibilidad de intentar reiteradamente el acceso no autorizado al fichero automatizado.  Los servidores u ordenadores en los que se almacene el fichero informático de historias clínicas deben instalarse en una sala a la que sólo tenga acceso el personal autorizado en el documento de seguridad.  En el registro de incidencias deben recogerse los procedimientos de recuperación de datos ejecutados.  Las copias de respaldo deben almacenarse en una ubicación diferente a la de los equipos informáticos que los tratan. Si esto no fuera posible, se deberían habilitar medios alternativos (p.ej. armarios ignífugos).  Registro de accesos al fichero automatizado, que deberá conservarse al menos dos años. En el caso del fichero en soporte papel, sólo sería necesario si accede a él más de una persona.  El fihcero en soporte papel debe ubicarse en un área en el que el acceso esté protegido con con puertas de acceso dotadas de cerradura o mecanismo equivalente.
Solución caso práctico: Plan de adecuación a la LOPD 5. Publicación de la disposición general de creación de los ficheros en el Boletín Oficial del Estado, por tratarse de ficheros de titularidad pública. 6. Notificación a la AEPD de los ficheros de datos personales señalados en el punto 1, para su inscripción en el Registro General de Protección de Datos. • Tal y como se expuso en el primer punto, no procede la inscripción del fichero de videovigilancia, ya que sólo existe visionado de imágenes, y no almacenamiento de las mismas. Sí sería preceptiva si las imágenes fueran almacenadas. 7. Como consecuencia del tratamiento de datos personales de nivel alto, debe establecerse un plan de auditoría de medidas de seguridad, que habrán de realizarse al menos cada dos años (art. 96 RLOPD).
Solución caso práctico: Plan de adecuación a la LOPD 8. Deben incluirse en todos los formularios de recogida de datos de personas físicas cláusulas informativas conforme a lo establecido en el artículo 5 de la LOPD. • El cumplimiento del deber de información en el caso del visionado de imágenes del circuito cerrado de TV debe hacerse efectivo mediante la colocación de distintivos informativos ubicados en lugares suficientemente visibles (Instrucción 1/2006, de 8 de noviembre, de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras). 9. Habilitar los medios para el ejercicio de los derechos de acceso, rectificación, oposición y cancelación. • Así, por ejemplo, podrían establecerse diversos canales de atención: número telefónico gratuito, dirección postal, correo electrónico, formulario electrónico en la página web del organismo, así como los medios humanos encargados de atender estas solicitudes.
Anexo: Las medidas de seguridad en el reglamento de desarrollo de la LOPD
 Artículo 5.2. Definiciones  Título VIII. MEDIDAS DE SEGURIDAD en el tratamiento de datos de carácter personal  Capítulo I. Disposiciones generales (arts. 79 - 87)  Capítulo II. Del documento de seguridad (art. 88)  Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos AUTOMATIZADOS • Sección Primera. Medidas de seguridad de nivel básico (arts. 89 - 94) • Sección Segunda. Medidas de seguridad de nivel medio (arts. 95 - 100) • Sección Tercera. Medidas de seguridad de nivel alto (arts. 101 - 104)  Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos NO AUTOMATIZADOS • Sección Primera. Medidas de seguridad de nivel básico (arts. 105 - 108) • Sección Segunda. Medidas de seguridad de nivel medio (arts. 109 - 110) • Sección Tercera. Medidas de seguridad de nivel alto (arts. 111 - 114) -13- Reglamento LOPD: Título VIII Medidas de seguridad
Definiciones (art. 5.2)  Documento Unidad diferenciada de información  escrito, gráfico, sonido, imagen  Ficheros temporales Tratamiento ocasional, paso intermedio en un tratamiento de datos  Incidencia Anomalía que afecte o pudiera afectar a la seguridad de los dato  Perfil de usuario accesos autorizados a un grupo de usuarios  Sistema de tratamiento Modo en que se organiza un sistema de información: automatizado, no automatizado o parcialmente automatizado  Autenticación Comprobación de la identidad de un usuario -14- Reglamento LOPD: Título VIII Medidas de seguridad
 Disposiciones generales Niveles de seguridad: Básico, Medio y Alto. Aplicación de los niveles de seguridad: ALTO Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual Fines policiales sin consentimiento de las personas afectadas Violencia de género Los creados para el cumplimiento de las disposiciones de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo MEDIO Infracciones administrativas o penales Servicios de información sobre solvencia patrimonial y crédito Administraciones Tributarias - potestades tributarias Entidades financieras - servicios financieros Seguridad Social, Mutuas Elaboración de perfiles MEDIO (+ registro de accesos) Operadores TELECO – tráfico y localización BÁSICO  Cualquier otro fichero o tratamiento de datos de carácter personal. También en datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad • Salud (grado o condición de discapacidad o invalidez - cumplimiento de deberes públicos) -15- Reglamento LOPD: Título VIII Medidas de seguridad
Las medidas de seguridad tienen que aplicarse a cualquier fichero o tratamiento de datos de carácter personal, con independencia:  de quién realice el tratamiento • Encargado del tratamiento  Diferentes modos de prestación del servicio (art. 82) • Prestación de servicios sin acceso a datos personales  Cláusula informativa en el contrato (art. 83)  desde dónde se realice • Acceso a datos a través de redes de comunicaciones, sean o no públicas (art. 85) • Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento  Dispositivos portátiles (art. 86)  cómo se realice • Ficheros temporales o copias de trabajo de documentos (art. 87) -16- Reglamento LOPD: Título VIII Medidas de seguridad
Documento de seguridad (art. 88)  Documento interno de la organización que recoge las medidas de índole técnica y organizativa que han de aplicarse para garantizar la seguridad de los datos  Su elaboración es obligatoria para todo responsable de ficheros o tratamientos  Las medidas y procedimientos contenidos en él son de obligado cumplimiento para el personal con acceso a los sistemas de información  Contenido mínimo (art. 88.3) - Ámbito de aplicación - Medidas, normas, procedimientos de actuación y estándares para garantizar el nivel de seguridad exigido en el RLOPD. - Funciones y obligaciones del personal en relación con el tratamiento de datos de carácter personal - Estructura de los ficheros de datos personales y descripción de los sistemas de información que los tratan. - Procedimientos de notificación, gestión y respuesta ante las incidencias - Procedimientos de realización de copias de respaldo y de recuperación de datos en los ficheros y tratamientos automatizados - Medidas para el transporte de soportes, así como para la destrucción de documentos y soportes. -17- Reglamento LOPD: Título VIII Medidas de seguridad
Documento de seguridad (art. 88)  Además, si fueran de aplicación medidas de nivel medio o alto, contendrá: • Identificación del responsable de seguridad • Los controles periódicos para verificar el cumplimiento del documento  En caso de que el tratamiento de los datos se realice exclusivamente en los sistemas del encargado del tratamiento, puede delegarse en éste la llevanza del documento de seguridad  Debe mantenerse actualizado en todo momento y adecuarse siempre a las disposiciones vigentes en materia de seguridad de los datos de carácter personal -18- Reglamento LOPD: Título VIII Medidas de seguridad
El Reglamento aporta aclaraciones y flexibilidad para cumplir las medidas de seguridad  Segregación de ficheros por niveles (art. 81.8)  Delegación de autorizaciones (art. 84)  Perfiles de usuario (art. 5.2.j)  Documento de seguridad (art. 88) • Único o individualizado, en función de sistemas de tratamiento, otros criterios del responsable • Recogerá las delegaciones de autorizaciones • Recogerá las situaciones excepcionales:  Prestaciones de servicios, uso de dispositivos portátiles,  Medidas compensatorias, imposibilidad aplicación medidas previstas • Interno, actualizado -19- Reglamento LOPD: Título VIII Medidas de seguridad
Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal • Claramente definidas en el documento de seguridad • Adopción de las medidas necesarias para que sean conocidas por el personal Art. 90. Registro de incidencias. Debe existir: • Un procedimiento de notificación y gestión de incidencias • Un registro de incidencias en el que se indique: tipo, fecha/hora, impacto, quién realiza la notificación y destino de la misma, acciones correctoras. Art. 91. Control de acceso • Acceso de los usuarios sólo a los recursos que se precisen para el desarrollo de su trabajo • Relación actualizada de usuarios y perfiles de usuarios • Mecanismos para evitar el acceso a recursos distintos de los autorizados • Sólo el personal autorizado en el DS puede conceder, alterar o anular el acceso autorizado. Art. 92. Gestión de soportes y documentos • Identificación del tipo de información que contienen + inventario de soportes • La salida fuera de locales del responsable debe estar autorizada; adopción de medidas de seguridad en el traslado de soportes para evitar su sustracción, pérdida o acceso no autorizado • Borrado o destrucción previa de la información si se va desechar el soporte -20-
Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Básico Sólo automatizados Sólo no automatizados Art. 93. Identificación y autenticación - Inequívoca y personalizada - Cuando el mecanismo de autenticación se base en contraseñas, debe existir un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad - Las contraseñas tienen que ser cambiadas al menos con periodicidad anual Art. 94. Copias de respaldo y recuperación - Al menos con periodicidad semanal, a menos que no se hubieran producido cambios - Procedimientos para la recuperación de datos - Verificación de los procedimientos de realización de copias de seguridad y recuperación de datos al menos cada seis meses - Pruebas previas a la implantación del SI con datos no reales, a menos que se garantice el nivel de seguridad correspondiente Art. 106. Criterios de archivo • Posibilitar derechos ARCO • Correcta conservación de los documentos Art. 107. Dispositivos de almacenamiento • Deben disponer de mecanismos que obstaculicen su apertura (p.ej, cerraduras) • Si las características físicas de aquéllos no permiten adoptar la medida anterior, se adoptarán medidas que impidan el acceso de personas no autorizadas. • Art. 108. Custodia de los soportes • Mientras la documentación no se encuentre archivada (p.ej., por encontrase en proceso de revisión o tramitación), la persona a cargo debe custodiarla y evitar que sea accedida por personas no autorizadas -21-
Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Medio Ficheros automatizados y no automatizados Responsable de seguridad (art. 95, art. 109). Uno o varios Auditoría (art. 96, art. 110)  Al menos cada dos años. Interna o externa. Sólo automatizados Art. 97. Gestión de soportes • Sistema de registro de entrada y salida de soportes Art. 98. Identificación y autenticación • Mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información Art. 99. Control de acceso físico • Sólo el personal autorizado en el documento de seguridad podrá tener acceso a los lugares en los que se hallen instalados los equipos que den soporte a los sistemas de información Art. 100. Registro de incidencias • En el registro deberán consignarse los procedimientos realizados de recuperación de datos. Éstos deberán ser autorizados por el responsable de seguridad. -22-
Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Alto Ficheros automatizados Ficheros no automatizados Art. 101. Gestión y distribución de soportes • La distribución de soportes que contengan datos personales se hará cifrado dichos datos. • Se cifrarán los datos los dispositivos portátiles, cuando se encuentren fuera de las instalaciones del responsable Art. 102. Copias de respaldo y recuperación • Una copia de respaldo y de los procedimientos de recuperación de datos en un lugar diferente al de los equipos informáticos que los tratan Art. 103. Registro de accesos • Se guardarán durante un periodo mínimo de dos años un registro de todos los acceso. Excepción: cuando el responsable sea una persona física y garantice que es el único que accede y trata los datos personales. Art. 104. Telecomunicaciones • Cifrado de los datos personales cuando se transmitan por redes públicas o inalámbricas de comunicaciones electrónicas Art. 111. Almacenamiento de la información • Los armarios o archivadores deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de llave o dispositivo equivalente. • Medidas alternativas cuando las características de los locales no hagan posible el cumplimiento del punto anterior. Art. 112. Copia o reproducción • Sólo bajo el control de personal autorizado • Destrucción de copias desechadas Art. 113. Acceso a la documentación • Mecanismo que permitan identificar los accesos realizados (sólo si pueden acceder varios usuarios) Art. 114. Traslado de documentación • En caso de traslado físico, adopción de medidas que impidan el acceso o manipulación de la información -23-
-24-  Disposición adicional única Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto Reglamento LOPD: Título VIII Medidas de seguridad

Recomendados

De lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo accesoDe lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo accesoFabián Descalzo
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)jmedino
 
Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopddosn
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria FisicaManuel Medina
 
Curso L.O.P.D. Adecuacion practica en la empresa
Curso L.O.P.D. Adecuacion practica en la empresaCurso L.O.P.D. Adecuacion practica en la empresa
Curso L.O.P.D. Adecuacion practica en la empresaiLabora
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPDEuQuality
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCastillo'S Legal Solutions
 

Recomendados

De lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo accesoDe lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo accesoFabián Descalzo
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)jmedino
 
Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopddosn
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria FisicaManuel Medina
 
Curso L.O.P.D. Adecuacion practica en la empresa
Curso L.O.P.D. Adecuacion practica en la empresaCurso L.O.P.D. Adecuacion practica en la empresa
Curso L.O.P.D. Adecuacion practica en la empresaiLabora
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPDEuQuality
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCastillo'S Legal Solutions
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDWebinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDMailjet
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad ITRamiro Cid
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)SEGUROS RED - Escuela de Seguros Campus Asegurador
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Principales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicosPrincipales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicosFabián Descalzo
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Manual de copias de seguridad
Manual de copias de seguridadManual de copias de seguridad
Manual de copias de seguridadJUAN RAMON TORRALBA DIAZ
 
Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...Cámara Oficial de Comercio, Industria y Servicios de Zamora
 
Caso enunciado
Caso enunciadoCaso enunciado
Caso enunciadoNilsonCesar3
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 

Más contenido relacionado

Similar a Preparatic - Caso Practico LOPD.pptx

Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDWebinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDMailjet
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad ITRamiro Cid
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Principales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicosPrincipales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicosFabián Descalzo
 

Similar a Preparatic - Caso Practico LOPD.pptx (20)

Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
 
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDWebinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad IT
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina Ornelas
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Cap6
Cap6Cap6
Cap6
 
Cap6
Cap6Cap6
Cap6
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Principales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicosPrincipales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Manual de copias de seguridad
Manual de copias de seguridadManual de copias de seguridad
Manual de copias de seguridad
 
Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...
 
Caso enunciado
Caso enunciadoCaso enunciado
Caso enunciado
 

Último

Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfLUZMARIAAYALALOPEZ
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 

Último (7)

Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 

Preparatic - Caso Practico LOPD.pptx

  • 1. Caso práctico de aplicación de la LOPD Sesión de Preparatic 26 de noviembre de 2011 -1- José Antonio Pérez Jefe de Área - Registro General de Protección de Datos Agencia Española de Protección de Datos
  • 2. Caso práctico: Aplicación de la LOPD -2- • Recientemente se ha creado una Agencia de titularidad pública dentro de la AGE cuya finalidad es gestionar subvenciones y ayudas a autónomos. Dentro de su plan estratégico de lanzamiento, ha decidido externalizar en una empresa de hosting la gestión de los sistemas de información utilizados para la gestión de las ayudas. El resto de la información gestionada por la Agencia se almacenará y tratará en sistemas propios. • Los solicitantes de ayudas deben aportar, entre otros, los siguientes datos: Nombre y apellidos, NIF, nº de afiliación a la seguridad social, últimos tres recibos abonados a la Seguridad Social como autónomos. • Para la gestión interna de su personal, la Agencia ha previsto la implantación de un sistema de fichaje mediante huella digital. En su sede, los empleados deberán portar una tarjeta identificativa con su fotografía. • La Agencia cuenta entre su personal con algunos empleados que tienen reconocido un cierto grado de minusvalía, aspecto que debe ser tenido en cuenta en la gestión de las nóminas a efectos de aplicación de las correspondientes deducciones en el tipo de IRPF aplicable. Dentro del expediente de El servicio médico de la Agencia almacena un historial clínico de cada empleado, en formato papel que posteriormente se digitaliza.
  • 3. Caso práctico: Aplicación de la LOPD -3- • Por otra parte, la Agencia ha contratado la seguridad de sus instalaciones con una empresa privada. Se han instalado cámaras y un circuito cerrado de TV (CCTV) para el visionado de imágenes de dichas instalaciones. No está previsto el almacenamiento de dichas imágenes para su posterior reproducción. • Los únicos proveedores de la Agencia son empresas. Existe un fichero de proveedores en los que se almacenan los datos de contacto profesionales de sus representantes: teléfono, fax, email y dirección postal. Cuando asisten a reuniones en la sede de la Agencia, Seguridad recaba su DNI a efectos de control de visitas. • Diseñar un plan de adecuación que resuma las acciones principales que deberá llevar a cabo la citada Agencia para cumplir la normativa de protección de datos, con especial énfasis en las medidas de seguridad a implantar.
  • 4. Solución caso práctico: Plan de adecuación a la LOPD -4- 1. Identificación de los ficheros o tratamientos de datos personales que realiza la Agencia, y el nivel de seguridad aplicable. Una posible relación de ficheros podría ser la siguiente: Ayudas a autónomos Básico Proveedores Básico Sólo se almacenan datos de contacto profesionales (teléfono, email, puesto desempeñado), que están excluidos del ámbito de aplicación del RLOPD (art. 2.1). Si existieran proveedores que fueran personas físicas (autónomos) sí que se estaría dentro del ámbito del RLOPD. Empleados Básico Nóminas Básico Aunque el grado de minusvalía es un dato de salud, su uso en este caso constituye una de las excepciones previstas en el artículo 81.6 del RLOPD, por lo que sólo sería exigible el nivel de medidas de seguridad básico. Gestión económico administrativa Básico Control de visitas Básico La Agencia es responsable del fichero, aunque la gestión del mismo la realice la empresa de seguridad Videovigilancia Básico Hay tratamiento de datos pero no existe fichero, puesto que las imágenes no se almacenan. No procede inscripción en RGPD. Persisten no obstante el resto de obligaciones Fichero/Tratam. Nivel medidas de seguridad Observaciones Historiales clínicos empleados Alto Almacena datos de salud. Sistema de tratamiento mixto: automatizado y no automatizado -- -- --
  • 5. Solución caso práctico: Plan de adecuación a la LOPD -5- 2. Determinar y formalizar los contratos de prestación de servicios que implican tratamiento de datos personales: • Por un lado, tenemos la empresa externa que realiza el hosting del sistema de información que gestiona las solicitudes de subvenciones y ayudas a autónomos. • La empresa de seguridad también realiza tratamiento de datos personales, ya que tiene acceso a la base de datos del personal autorizado a entrar en las instalaciones, visiona las imágenes de las cámaras de seguridad y realiza toda la gestión asociada al control de visitas. • De acuerdo con lo establecido en el artículo 12 de la LOPD, estos tratamientos de datos deberán estar regulados en un contrato escrito. En dichos contratos: • se establecerá expresamente que el encargado de tratamiento (la empresa de hosting y la empresa de seguridad) únicamente tratará los datos conforme a las instrucciones de la Agencia; que no los utilizará con un fin distinto al que figure en el contrato, ni los comunicará a otras personas. • se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
  • 6. Solución caso práctico: Plan de adecuación a la LOPD -6- 3. Elaboración del Documento de Seguridad • Está regulado en el art. 88 del RLOPD. Su elaboración es preceptiva por parte de cualquier entidad que sea responsable de ficheros o tratamientos de datos personales. Es un documento interno de la organización. • Debe recoger las medidas de índole técnica y organizativa definidas para garantizar la seguridad de los datos personales, siendo de obligado cumplimiento para el personal con acceso a los datos. • Puede ser único y comprensivo de todos los ficheros o tratamientos o bien individualizado para cada fichero o tratamiento. • Contenido mínimo: • Ámbito de aplicación. • Medidas, normas procedimientos para garantizar el nivel de seguridad preceptivo. • Funciones y obligaciones del personal • Estructura de los ficheros de datos personales y de los SSII que los tratan • Procedimiento de notificación, gestión y respuesta a incidencias. • Procedimientos de realización de copias de respaldo y recuperación de los datos • Medidas para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes. • Puesto que existne tratamientos de datos por cuenta de terceros, el DS debe identificar los ficheros/tratamientos que tratan los encargados, con referencia expresa al contrato de prestación de servicios que los regula.
  • 7. Solución caso práctico: Plan de adecuación a la LOPD -7- 3. Nombramiento del Responsable de Seguridad • Puesto que a uno de los ficheros le son de aplicación las medidas de seguridad de nivel alto, debe designarse un responsable de seguridad (es preceptivo a partir de nivel medio). En el Documento de Seguridad debe identificarse el responsable de seguridad nombrado por la organización • El responsable de seguridad es la persona a la que la organización ha otorgado la responsabilidad de coordinar y asegurar el cumplimiento de las medidas recogidas en el documento de seguridad. • Puede existir más de un responsable de seguridad.
  • 8. Solución caso práctico: Plan de adecuación a la LOPD -8- 4. Implantación de las medidas de seguridad recogidas en el documento de seguridad • Para los ficheros y tratamientos de nivel básico, podrían implantarse, entre otras las siguientes medidas:  Impartir programas de formación al personal que trata datos personales, de forma que conozca sus funciones y obligaciones.  Elaborar e implantar un procedimiento de notificación y gestión de incidencias.  Elaborar de relación de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos.  Establecer mecanismos para evitar que un usuario pueda acceder a datos no autorizados, así como de aquellos que garanticen la correcta identificación y autenticación de usuarios. Por ejemplo: usuario/contraseña, o certificados electrónicos almacenados en tarjetas criptográficas.  Elaboración de un inventario de soportes que contengan datos de carácter personal: servidores, ordenadores personales, discos, cintas, DVD, pen drives, archivadores de documentos en papel, etc. Identificación de los soportes con etiquetas indicativas de su contenido.  Definición de los procedimientos de realización de copias de respaldo, y ejecución de los mismos al menos con periodicidad semanal.  Almacenamiento de los ficheros en soporte papel en archivadores dotados de mecanismos que obstaculicen su apertura (ej.: cerraduras)
  • 9. Solución caso práctico: Plan de adecuación a la LOPD -9- 4. Implantación de las medidas de seguridad recogidas en el documento de seguridad • Para el fichero de historias clínicas de los empleados habría que implantar las medidas de nivel medio y alto:  Realizar auditorías de medidas de seguridad al menos cada dos años.  Establecimiento de un registro de entrada y salida de soportes. En caso de distribución de estos soportes, los datos deberían estar cifrados.  Implantación de mecanismos que limiten la posibilidad de intentar reiteradamente el acceso no autorizado al fichero automatizado.  Los servidores u ordenadores en los que se almacene el fichero informático de historias clínicas deben instalarse en una sala a la que sólo tenga acceso el personal autorizado en el documento de seguridad.  En el registro de incidencias deben recogerse los procedimientos de recuperación de datos ejecutados.  Las copias de respaldo deben almacenarse en una ubicación diferente a la de los equipos informáticos que los tratan. Si esto no fuera posible, se deberían habilitar medios alternativos (p.ej. armarios ignífugos).  Registro de accesos al fichero automatizado, que deberá conservarse al menos dos años. En el caso del fichero en soporte papel, sólo sería necesario si accede a él más de una persona.  El fihcero en soporte papel debe ubicarse en un área en el que el acceso esté protegido con con puertas de acceso dotadas de cerradura o mecanismo equivalente.
  • 10. Solución caso práctico: Plan de adecuación a la LOPD 5. Publicación de la disposición general de creación de los ficheros en el Boletín Oficial del Estado, por tratarse de ficheros de titularidad pública. 6. Notificación a la AEPD de los ficheros de datos personales señalados en el punto 1, para su inscripción en el Registro General de Protección de Datos. • Tal y como se expuso en el primer punto, no procede la inscripción del fichero de videovigilancia, ya que sólo existe visionado de imágenes, y no almacenamiento de las mismas. Sí sería preceptiva si las imágenes fueran almacenadas. 7. Como consecuencia del tratamiento de datos personales de nivel alto, debe establecerse un plan de auditoría de medidas de seguridad, que habrán de realizarse al menos cada dos años (art. 96 RLOPD).
  • 11. Solución caso práctico: Plan de adecuación a la LOPD 8. Deben incluirse en todos los formularios de recogida de datos de personas físicas cláusulas informativas conforme a lo establecido en el artículo 5 de la LOPD. • El cumplimiento del deber de información en el caso del visionado de imágenes del circuito cerrado de TV debe hacerse efectivo mediante la colocación de distintivos informativos ubicados en lugares suficientemente visibles (Instrucción 1/2006, de 8 de noviembre, de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras). 9. Habilitar los medios para el ejercicio de los derechos de acceso, rectificación, oposición y cancelación. • Así, por ejemplo, podrían establecerse diversos canales de atención: número telefónico gratuito, dirección postal, correo electrónico, formulario electrónico en la página web del organismo, así como los medios humanos encargados de atender estas solicitudes.
  • 12. Anexo: Las medidas de seguridad en el reglamento de desarrollo de la LOPD
  • 13.  Artículo 5.2. Definiciones  Título VIII. MEDIDAS DE SEGURIDAD en el tratamiento de datos de carácter personal  Capítulo I. Disposiciones generales (arts. 79 - 87)  Capítulo II. Del documento de seguridad (art. 88)  Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos AUTOMATIZADOS • Sección Primera. Medidas de seguridad de nivel básico (arts. 89 - 94) • Sección Segunda. Medidas de seguridad de nivel medio (arts. 95 - 100) • Sección Tercera. Medidas de seguridad de nivel alto (arts. 101 - 104)  Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos NO AUTOMATIZADOS • Sección Primera. Medidas de seguridad de nivel básico (arts. 105 - 108) • Sección Segunda. Medidas de seguridad de nivel medio (arts. 109 - 110) • Sección Tercera. Medidas de seguridad de nivel alto (arts. 111 - 114) -13- Reglamento LOPD: Título VIII Medidas de seguridad
  • 14. Definiciones (art. 5.2)  Documento Unidad diferenciada de información  escrito, gráfico, sonido, imagen  Ficheros temporales Tratamiento ocasional, paso intermedio en un tratamiento de datos  Incidencia Anomalía que afecte o pudiera afectar a la seguridad de los dato  Perfil de usuario accesos autorizados a un grupo de usuarios  Sistema de tratamiento Modo en que se organiza un sistema de información: automatizado, no automatizado o parcialmente automatizado  Autenticación Comprobación de la identidad de un usuario -14- Reglamento LOPD: Título VIII Medidas de seguridad
  • 15.  Disposiciones generales Niveles de seguridad: Básico, Medio y Alto. Aplicación de los niveles de seguridad: ALTO Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual Fines policiales sin consentimiento de las personas afectadas Violencia de género Los creados para el cumplimiento de las disposiciones de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo MEDIO Infracciones administrativas o penales Servicios de información sobre solvencia patrimonial y crédito Administraciones Tributarias - potestades tributarias Entidades financieras - servicios financieros Seguridad Social, Mutuas Elaboración de perfiles MEDIO (+ registro de accesos) Operadores TELECO – tráfico y localización BÁSICO  Cualquier otro fichero o tratamiento de datos de carácter personal. También en datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad • Salud (grado o condición de discapacidad o invalidez - cumplimiento de deberes públicos) -15- Reglamento LOPD: Título VIII Medidas de seguridad
  • 16. Las medidas de seguridad tienen que aplicarse a cualquier fichero o tratamiento de datos de carácter personal, con independencia:  de quién realice el tratamiento • Encargado del tratamiento  Diferentes modos de prestación del servicio (art. 82) • Prestación de servicios sin acceso a datos personales  Cláusula informativa en el contrato (art. 83)  desde dónde se realice • Acceso a datos a través de redes de comunicaciones, sean o no públicas (art. 85) • Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento  Dispositivos portátiles (art. 86)  cómo se realice • Ficheros temporales o copias de trabajo de documentos (art. 87) -16- Reglamento LOPD: Título VIII Medidas de seguridad
  • 17. Documento de seguridad (art. 88)  Documento interno de la organización que recoge las medidas de índole técnica y organizativa que han de aplicarse para garantizar la seguridad de los datos  Su elaboración es obligatoria para todo responsable de ficheros o tratamientos  Las medidas y procedimientos contenidos en él son de obligado cumplimiento para el personal con acceso a los sistemas de información  Contenido mínimo (art. 88.3) - Ámbito de aplicación - Medidas, normas, procedimientos de actuación y estándares para garantizar el nivel de seguridad exigido en el RLOPD. - Funciones y obligaciones del personal en relación con el tratamiento de datos de carácter personal - Estructura de los ficheros de datos personales y descripción de los sistemas de información que los tratan. - Procedimientos de notificación, gestión y respuesta ante las incidencias - Procedimientos de realización de copias de respaldo y de recuperación de datos en los ficheros y tratamientos automatizados - Medidas para el transporte de soportes, así como para la destrucción de documentos y soportes. -17- Reglamento LOPD: Título VIII Medidas de seguridad
  • 18. Documento de seguridad (art. 88)  Además, si fueran de aplicación medidas de nivel medio o alto, contendrá: • Identificación del responsable de seguridad • Los controles periódicos para verificar el cumplimiento del documento  En caso de que el tratamiento de los datos se realice exclusivamente en los sistemas del encargado del tratamiento, puede delegarse en éste la llevanza del documento de seguridad  Debe mantenerse actualizado en todo momento y adecuarse siempre a las disposiciones vigentes en materia de seguridad de los datos de carácter personal -18- Reglamento LOPD: Título VIII Medidas de seguridad
  • 19. El Reglamento aporta aclaraciones y flexibilidad para cumplir las medidas de seguridad  Segregación de ficheros por niveles (art. 81.8)  Delegación de autorizaciones (art. 84)  Perfiles de usuario (art. 5.2.j)  Documento de seguridad (art. 88) • Único o individualizado, en función de sistemas de tratamiento, otros criterios del responsable • Recogerá las delegaciones de autorizaciones • Recogerá las situaciones excepcionales:  Prestaciones de servicios, uso de dispositivos portátiles,  Medidas compensatorias, imposibilidad aplicación medidas previstas • Interno, actualizado -19- Reglamento LOPD: Título VIII Medidas de seguridad
  • 20. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal • Claramente definidas en el documento de seguridad • Adopción de las medidas necesarias para que sean conocidas por el personal Art. 90. Registro de incidencias. Debe existir: • Un procedimiento de notificación y gestión de incidencias • Un registro de incidencias en el que se indique: tipo, fecha/hora, impacto, quién realiza la notificación y destino de la misma, acciones correctoras. Art. 91. Control de acceso • Acceso de los usuarios sólo a los recursos que se precisen para el desarrollo de su trabajo • Relación actualizada de usuarios y perfiles de usuarios • Mecanismos para evitar el acceso a recursos distintos de los autorizados • Sólo el personal autorizado en el DS puede conceder, alterar o anular el acceso autorizado. Art. 92. Gestión de soportes y documentos • Identificación del tipo de información que contienen + inventario de soportes • La salida fuera de locales del responsable debe estar autorizada; adopción de medidas de seguridad en el traslado de soportes para evitar su sustracción, pérdida o acceso no autorizado • Borrado o destrucción previa de la información si se va desechar el soporte -20-
  • 21. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Básico Sólo automatizados Sólo no automatizados Art. 93. Identificación y autenticación - Inequívoca y personalizada - Cuando el mecanismo de autenticación se base en contraseñas, debe existir un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad - Las contraseñas tienen que ser cambiadas al menos con periodicidad anual Art. 94. Copias de respaldo y recuperación - Al menos con periodicidad semanal, a menos que no se hubieran producido cambios - Procedimientos para la recuperación de datos - Verificación de los procedimientos de realización de copias de seguridad y recuperación de datos al menos cada seis meses - Pruebas previas a la implantación del SI con datos no reales, a menos que se garantice el nivel de seguridad correspondiente Art. 106. Criterios de archivo • Posibilitar derechos ARCO • Correcta conservación de los documentos Art. 107. Dispositivos de almacenamiento • Deben disponer de mecanismos que obstaculicen su apertura (p.ej, cerraduras) • Si las características físicas de aquéllos no permiten adoptar la medida anterior, se adoptarán medidas que impidan el acceso de personas no autorizadas. • Art. 108. Custodia de los soportes • Mientras la documentación no se encuentre archivada (p.ej., por encontrase en proceso de revisión o tramitación), la persona a cargo debe custodiarla y evitar que sea accedida por personas no autorizadas -21-
  • 22. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Medio Ficheros automatizados y no automatizados Responsable de seguridad (art. 95, art. 109). Uno o varios Auditoría (art. 96, art. 110)  Al menos cada dos años. Interna o externa. Sólo automatizados Art. 97. Gestión de soportes • Sistema de registro de entrada y salida de soportes Art. 98. Identificación y autenticación • Mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información Art. 99. Control de acceso físico • Sólo el personal autorizado en el documento de seguridad podrá tener acceso a los lugares en los que se hallen instalados los equipos que den soporte a los sistemas de información Art. 100. Registro de incidencias • En el registro deberán consignarse los procedimientos realizados de recuperación de datos. Éstos deberán ser autorizados por el responsable de seguridad. -22-
  • 23. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Alto Ficheros automatizados Ficheros no automatizados Art. 101. Gestión y distribución de soportes • La distribución de soportes que contengan datos personales se hará cifrado dichos datos. • Se cifrarán los datos los dispositivos portátiles, cuando se encuentren fuera de las instalaciones del responsable Art. 102. Copias de respaldo y recuperación • Una copia de respaldo y de los procedimientos de recuperación de datos en un lugar diferente al de los equipos informáticos que los tratan Art. 103. Registro de accesos • Se guardarán durante un periodo mínimo de dos años un registro de todos los acceso. Excepción: cuando el responsable sea una persona física y garantice que es el único que accede y trata los datos personales. Art. 104. Telecomunicaciones • Cifrado de los datos personales cuando se transmitan por redes públicas o inalámbricas de comunicaciones electrónicas Art. 111. Almacenamiento de la información • Los armarios o archivadores deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de llave o dispositivo equivalente. • Medidas alternativas cuando las características de los locales no hagan posible el cumplimiento del punto anterior. Art. 112. Copia o reproducción • Sólo bajo el control de personal autorizado • Destrucción de copias desechadas Art. 113. Acceso a la documentación • Mecanismo que permitan identificar los accesos realizados (sólo si pueden acceder varios usuarios) Art. 114. Traslado de documentación • En caso de traslado físico, adopción de medidas que impidan el acceso o manipulación de la información -23-
  • 24. -24-  Disposición adicional única Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto Reglamento LOPD: Título VIII Medidas de seguridad