SlideShare una empresa de Scribd logo

Presentación paGonzalez en Euskal SecuriTIConference

AVPD - Agencia Vasca de Protección de Datos
AVPD - Agencia Vasca de Protección de Datos

.- La frase “Eso no se puede hacer por Protección de Datos” suele aparecer como algo sobrevenido e inesperado en muchos procesos cuando ya están desplegados. Ello lleva a abordar “procesos de adaptación a la LOPD”, que suelen consistir en asegurar el cumplimiento formal de determinados requisitos legales. Por esta razón, muchos desarrolladores e ingenieros de sistemas suelen percibir la Protección de Datos como un estorbo, una “piedra en el engranaje” que solo supone dificultades. .- El reciente paradigma de diseño basado en los principios de Privacidad por Diseño (PbD, por las siglas en Inglés de “Privacy by Design”) pretende darle la vuelta a estos planteamientos y adoptar una visión proactiva de la Protección de Datos. - Nos enseña a incorporar en la arquitectura de nuestras aplicaciones los requisitos de garantía de privacidad de las personas cuyos datos de carácter personal se tratan en ellos, - de la misma forma que ya hoy en día se han incorporado los requisitos de seguridad, modularidad, usabilidad, accesibilidad, etc. .- Este enfoque se ve complementado con otras tendencias recientes, como son: - la elaboración de Análisis de Impacto sobre la Privacidad (PIA, “Privacy Impact Assesment”) - la utilización de Técnicas de Mejora de la Privacidad (PET, “Privacy-Enhancing Technologies”)

Tecnología
1 de 42
Descargar para leer sin conexión
“Privacy by Design”: Construyendo soluciones que garanticen la privacidad Pedro Alberto González Encargado del Registro de Ficheros y Nuevas Tecnologías paGonzalez@avpd.es
“Esto no se puede hacer por Protección de Datos” http://www.avpd.es Privacy by Design 2
http://www.avpd.es Privacy by Design 3
AVPD: Quienes somos … • Naturaleza – La AVPD es un ente de derecho público. – Actúa con plena independencia • Régimen jurídico – Se crea por la Ley 2/2004 del Parlamento Vasco – Actúa como Autoridad de Control aplicando la LOPD • Competencia: – Ficheros de titularidad Pública de Euskadi – (EJ-GV + DDFF + Ayttos) http://www.avpd.es Privacy by Design 5
Distintas audiencias, distintos mensajes, … http://www.avpd.es Privacy by Design 6
Guión de la exposición 1. ¿Seguridad vs. Privacidad? 2. Marco de referencia de la Privacidad 3. ¿Qué es “Privacy by Design”? 4. Análisis de impacto sobre la Privacidad 5. Tecnologías de mejora de la Privacidad 6. Conclusiones http://www.avpd.es Privacy by Design 7
Seguridad ≠ Privacidad • Adjetivo (un medio) • Sustantivo (un fin) – Protección de activos – Derecho • Evitar riesgo • Fundamental • Mitigar impacto • Constitucional “Privacy by “Security by Design” Design” http://www.avpd.es Privacy by Design 8
Colisión Seguridad <> Libertad http://www.avpd.es Privacy by Design 9
Colisión Seguridad <> Privacidad http://www.avpd.es Privacy by Design 10
Framework de la Privacidad (Principios de la LOPD) 1. (minimizació Calidad de los datos (minimización) 2. protecció Especial protección de algunos datos 3. Informació Información en la recogida 4. Consentimiento del afectado 5. Limitació Limitación de las cesiones de datos 6. A- Cumplimiento derechos A-R-C-O- 7. Deber de secreto 8. Seguridad de los datos http://www.avpd.es Privacy by Design 11
Seguridad de los Datos (art. 9 LOPD) • Se adoptarán las medidas técnicas y organizativas necesarias para garantizar la Referencia seguridad de los datos, Marco de – evitando su alteración o pérdida – y su tratamiento o acceso no autorizado • Teniendo en cuenta: – el estado de la tecnología – la naturaleza de los datos almacenados – los riesgos a que estén expuestos • Afecta tanto al Responsable del Fichero como al Encargado del Tratamiento http://www.avpd.es Privacy by Design 12
RD 1720/2007: Niveles de seguridad • Se definen tres niveles de seguridad – Básico Medio Alto Niveles de Seguridad de acuerdo con la naturaleza de la información • Cualquier fichero o tratamiento de datos de carácter personal debe cumplir el nivel Básico http://www.avpd.es Privacy by Design 13
Niveles de seguridad Nivel Alto: ficheros con •Datos especialmente protegidos •Fines policiales •Violencia de género Nivel Medio: ficheros con •Infracciones administrativas o penales •Información sobre solvencia patrimonial •Administraciones Tributarias •Entidades financieras •Seguridad Social •Elaboración de perfiles Bá Nivel Básico: Todos los ficheros
10 Objetivos de Control de medidas de seguridad 1. Organización de la Seguridad 2. Documentación de Seguridad 3. Funciones y obligaciones del personal 4. Identificación y autenticación de usuarios 5. Controles y registros de accesos 6. Accesos a través de redes / Internet 7. Soportes y documentos con información 8. Copias de respaldo y recuperación 9. Gestionar Incidencias de seguridad 10. Efectuar Auditorías y Controles http://www.avpd.es Privacy by Design 15
Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Organizar Decidir Elaborar Documentación de Seguridad políticas Aplicar Conocer Definir + Funciones y obligaciones del personal Actuar Documentar Cumplir Definir pol. Identificación y autenticación de usuarios Implantar Cumplir Implantar Controles y registros de accesos Gestionar Conocer Implantar Accesos a través de redes / Internet Gestionar Conocer Definir pol. Soportes y documentos con información Gestionar Cumplir Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Gestionar Cooperar Encargar Efectuar Auditorías y Controles Decidir Gestionar Cooperar http://www.avpd.es Privacy by Design 16
¿Qué es “Privacy by Design”? ¿Marketing conceptual?
2003..2007 - PbD en Canadá http://www.privacybydesign.ca http://www.avpd.es Privacy by Design 19
7 Principios fundamentales de la Privacidad por Diseño 1. Proactivo, no Reactivo; • Preventivo, no Correctivo 2. Privacidad como configuración por defecto 3. Privacidad incrustada en el diseño 4. Funcionalidad total: • “Suma-Positiva”, no “Suma-Zero” 5. Seguridad en todo el ciclo de vida (“end-to-end”) 6. Visibilidad y transparencia – “Keep it Open” 7. Respeto a la privacidad personal (“User-centric”)
2008 - PbD en UK http://www.ico.gov.uk • Promovió: – un grupo de trabajo, – una conferencia y – un estudio sobre PbD – un plan de acción • Vinculado con: – Estándares – PIA’s – PET’s – Identity Management
2009 – PbD presentación en sociedad (Conf. Int. APD’s) • WorkShop celebrado en Madrid • Presentado a la 31 Conferencia Internacional de APD’s (Madrid) http://www.privacyconference2009.org
2010 - PbD en la Conferencia Internacional de APD’s http://www.privacyconference2010.org
2010 - PbD en la Unión Europea • En 2009, el “Grupo del Artículo 29” eleva a la Comisión Europea el documento “The Future of Privacy”, en el que, entre otras cosas – Propone adoptar la “Privacidad por Diseño” como un nuevo principio a incorporar en la Directiva Europea de Protección de Datos • En 2010, la Comisión Europea aprueba la “Comunicación COM(2010)-609 al Parlamento Europeo (…), sobre Un enfoque global en la Protección de Datos en la Unión Europea” – Adopta el enfoque de la “Privacidad por Diseño”, http://www.avpd.es Privacy by Design 24
2011 - PbD en la Unión Europea • El “Enfoque global en la Protección de Datos en la Unión Europea” se desarrollará en la UE durante 2011, adoptando la PbD mediante: – Introducción del principio de “accountability”, con la figura del “Responsable Interno de PD”. – Regulación legal de los “Análisis de Impacto en la Privacidad” (PIA, Privacy Impact Assessment) – Promoción de la utilización de la Tecnologías de Mejora de la Privacidad” (PET, Privacy Enhancing Techniques) http://www.avpd.es Privacy by Design 25
¿Qué son los PIA? (Privacy Impact Assessment) • Una Evaluación de Impacto en la Privacidad (PIA) es un análisis de cómo se maneja la información: 1. para asegurar que su uso se ajusta a la legalidad 2. para determinar los riesgos y efectos de la recogida, tratamiento y difusión de la información sobre la privacidad, y 3. para examinar y evaluar procedimientos alternativos para el para mitigar los posibles riesgos sobre la privacidad. • No son preceptivos – Pero se consideran “Buenas Prácticas” • Similitud: – Evaluación de Impacto Medioambiental – Evaluación y Análisis de Riesgos de Seguridad http://www.avpd.es Privacy by Design 26
Análisis de Riesgos Modelo de referencia: magerit Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto ContraMedidas Impacto Residual Frecuencia Ocurren con +/-… Riesgo Riesgo Residual http://www.avpd.es Privacy by Design 27
PIAs en Canadá • Uso obligatorio para el Sector Público • Tanto a nivel Federal como Nacional http://www.priv.gc.ca http://www.ipc.on.ca
PIAs en UK • 2007: Estudio conjunto sobre PIA’s • Manual de procedimiento (Handbook v.2) http://www.ico.gov.uk/upload/documents/pia_handbook_html_v2/
PIAs en Australia http://www.privacy.gov.au http://www.privacy.vic.gov.au
PIAs en la Unión Europea • Promovidos dentro del esquema “PbD” de la futura revisión de la Directiva de PD • Desarrollado un esquema para PIA en aplicaciones RFID http://ec.europa.eu/information_society/policy/rfid/documents/infso-2011-00068.pdf http://www.avpd.es Privacy by Design 31
¿Qué son las PET? (Privacy Enhancement Techniques) • PET (“Tecnologías de Mejora de la Privacidad”) es un término genérico que designa: – herramientas, aplicaciones y mecanismos – para su uso en Internet – para proteger la privacidad personal – mediante la minimización de datos personales – evitando el procesamiento innecesario o indeseado, – sin pérdida de funcionalidad del sistema. • Wikipedia: – http://en.wikipedia.org/wiki/Privacy-enhancing_technologies http://www.avpd.es Privacy by Design 32
http://www.avpd.es Privacy by Design 33
Identidad Digital = Perfil Activo http://about.me/paGonzalez http://www.avpd.es Privacy by Design 34
¿PET = Anonimato? • Principio de calidad LOPD: – Minimización de datos – “adecuados, pertinentes y no excesivos” • Privacidad por defecto: – Anonimato Pseudo-identidad – Identificación (débil) Autenticación (fuerte) – (Autorización) • Herramientas de “autodefensa” • ¿Es lícito el anonimato? http://www.avpd.es Privacy by Design 35
Identidad y Privacidad según “Common Criteria” • Anonimato – No se solicita/revela ninguna identidad • Pseudo-anonimato – Se contabiliza el uso sin revelar identidad • Identificación sin vinculación – Identidades separadas, sin interrelaciones • Inobservabilidad – Ninguna tercera parte conoce el uso http://www.avpd.es Privacy by Design 36
Ejemplos de herramientas PET • Navegación anónima – TOR - https://www.torproject.org/ • Cifrado – PGP, OpenGP, GNUPG, … http://www.gnupg.org/ • Supresión de “Cookies” – “Do Not Track” - http://donottrack.us/ • Gestión de identidades
“Do Not Track”
Configuración “Do Not Track” en FireFox-4
Conclusiones 1. La privacidad no es un obstáculo para la funcionalidad ni la seguridad 2. La privacidad debe formar parte de las especificaciones de los proyectos 3. Debe evaluarse el impacto de nuestros proyectos (también) sobre la privacidad 4. El diseño debe asumir la minimización del uso de datos personales http://www.avpd.es Privacy by Design 40
http://www.avpd.es Privacy by Design 41
http://www.flickr.com/photos/rosino/3658259716/ http://www.avpd.es Privacy by Design 42

Recomendados

RGPD - Responsabilidad proActiva - Análisis de Consecuencias
RGPD - Responsabilidad proActiva - Análisis de ConsecuenciasRGPD - Responsabilidad proActiva - Análisis de Consecuencias
RGPD - Responsabilidad proActiva - Análisis de ConsecuenciasAVPD - Agencia Vasca de Protección de Datos
 
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosRGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosAVPD - Agencia Vasca de Protección de Datos
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - DBEB
 
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas OficialesBigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas OficialesAVPD - Agencia Vasca de Protección de Datos
 
RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija
RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-NebrijaRGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija
RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-NebrijaAVPD - Agencia Vasca de Protección de Datos
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDAdigital
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónAVPD - Agencia Vasca de Protección de Datos
 
Lopd Brochure
Lopd BrochureLopd Brochure
Lopd Brochuregresteban
 

Recomendados

RGPD - Responsabilidad proActiva - Análisis de Consecuencias
RGPD - Responsabilidad proActiva - Análisis de ConsecuenciasRGPD - Responsabilidad proActiva - Análisis de Consecuencias
RGPD - Responsabilidad proActiva - Análisis de ConsecuenciasAVPD - Agencia Vasca de Protección de Datos
 
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosRGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosAVPD - Agencia Vasca de Protección de Datos
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - DBEB
 
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas OficialesBigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas OficialesAVPD - Agencia Vasca de Protección de Datos
 
RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija
RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-NebrijaRGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-Nebrija
RGPD-2019-11 - Responsabilidad Proactiva - MUPDIS-NebrijaAVPD - Agencia Vasca de Protección de Datos
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDAdigital
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónAVPD - Agencia Vasca de Protección de Datos
 
Lopd Brochure
Lopd BrochureLopd Brochure
Lopd Brochuregresteban
 
Conversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDConversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDDiana Vega Hernandez
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
 
Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.ANTONIO GARCÍA HERRÁIZ
 
Programa Superior en Ciberseguridad y Compliance
Programa Superior en Ciberseguridad y CompliancePrograma Superior en Ciberseguridad y Compliance
Programa Superior en Ciberseguridad y ComplianceICEMD
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
 
Ciberbullying y Privacidad
Ciberbullying y PrivacidadCiberbullying y Privacidad
Ciberbullying y PrivacidadAVPD - Agencia Vasca de Protección de Datos
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionDavid Thomas
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_IIIngeniería e Integración Avanzadas, S.A.
 
Lopd
LopdLopd
LopdLuis Modesto Gonzalez
 
Protección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosProtección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosMariano M. del Río
 
Alcances de la directiva de seguridad de la información administrada por los ...
Alcances de la directiva de seguridad de la información administrada por los ...Alcances de la directiva de seguridad de la información administrada por los ...
Alcances de la directiva de seguridad de la información administrada por los ...Carlos A. Horna Vallejos
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPDEuQuality
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos AdquisiciónDavid Narváez
 
Cloudicamos
CloudicamosCloudicamos
CloudicamosGESConsultor
 
Conceptos Básicos LOPD
Conceptos Básicos LOPDConceptos Básicos LOPD
Conceptos Básicos LOPDruthherrero
 
EuskalsecuriTIConference 2011 - Ponencia Ejie
EuskalsecuriTIConference 2011 - Ponencia EjieEuskalsecuriTIConference 2011 - Ponencia Ejie
EuskalsecuriTIConference 2011 - Ponencia EjieMikel García Larragan
 
euskal securiTiConference 2011 - Ponencia EiTB
euskal securiTiConference 2011 - Ponencia EiTBeuskal securiTiConference 2011 - Ponencia EiTB
euskal securiTiConference 2011 - Ponencia EiTBMikel García Larragan
 
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2AVPD - Agencia Vasca de Protección de Datos
 
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)AVPD - Agencia Vasca de Protección de Datos
 
Curso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsCurso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsAlonso Caballero
 

Más contenido relacionado

La actualidad más candente

Conversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDConversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDDiana Vega Hernandez
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
 
Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.ANTONIO GARCÍA HERRÁIZ
 
Programa Superior en Ciberseguridad y Compliance
Programa Superior en Ciberseguridad y CompliancePrograma Superior en Ciberseguridad y Compliance
Programa Superior en Ciberseguridad y ComplianceICEMD
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionDavid Thomas
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Protección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosProtección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosMariano M. del Río
 
Alcances de la directiva de seguridad de la información administrada por los ...
Alcances de la directiva de seguridad de la información administrada por los ...Alcances de la directiva de seguridad de la información administrada por los ...
Alcances de la directiva de seguridad de la información administrada por los ...Carlos A. Horna Vallejos
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPDEuQuality
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos AdquisiciónDavid Narváez
 
Conceptos Básicos LOPD
Conceptos Básicos LOPDConceptos Básicos LOPD
Conceptos Básicos LOPDruthherrero
 

La actualidad más candente (17)

Conversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDConversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPD
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de seguros
 
Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.
 
Programa Superior en Ciberseguridad y Compliance
Programa Superior en Ciberseguridad y CompliancePrograma Superior en Ciberseguridad y Compliance
Programa Superior en Ciberseguridad y Compliance
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
 
Ciberbullying y Privacidad
Ciberbullying y PrivacidadCiberbullying y Privacidad
Ciberbullying y Privacidad
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bd
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Norma nist
Norma nistNorma nist
Norma nist
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_II
 
Lopd
LopdLopd
Lopd
 
Protección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos CorporativosProtección de Datos Personales en Entornos Corporativos
Protección de Datos Personales en Entornos Corporativos
 
Alcances de la directiva de seguridad de la información administrada por los ...
Alcances de la directiva de seguridad de la información administrada por los ...Alcances de la directiva de seguridad de la información administrada por los ...
Alcances de la directiva de seguridad de la información administrada por los ...
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPD
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos Adquisición
 
Cloudicamos
CloudicamosCloudicamos
Cloudicamos
 
Conceptos Básicos LOPD
Conceptos Básicos LOPDConceptos Básicos LOPD
Conceptos Básicos LOPD
 

Destacado

EuskalsecuriTIConference 2011 - Ponencia Ejie
EuskalsecuriTIConference 2011 - Ponencia EjieEuskalsecuriTIConference 2011 - Ponencia Ejie
EuskalsecuriTIConference 2011 - Ponencia EjieMikel García Larragan
 
euskal securiTiConference 2011 - Ponencia EiTB
euskal securiTiConference 2011 - Ponencia EiTBeuskal securiTiConference 2011 - Ponencia EiTB
euskal securiTiConference 2011 - Ponencia EiTBMikel García Larragan
 
Curso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsCurso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsAlonso Caballero
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
“Privacy Today” Slide Presentation
“Privacy Today” Slide Presentation “Privacy Today” Slide Presentation
“Privacy Today” Slide Presentation tomasztopa
 
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2AVPD - DBEB
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 

Destacado (12)

EuskalsecuriTIConference 2011 - Ponencia Ejie
EuskalsecuriTIConference 2011 - Ponencia EjieEuskalsecuriTIConference 2011 - Ponencia Ejie
EuskalsecuriTIConference 2011 - Ponencia Ejie
 
euskal securiTiConference 2011 - Ponencia EiTB
euskal securiTiConference 2011 - Ponencia EiTBeuskal securiTiConference 2011 - Ponencia EiTB
euskal securiTiConference 2011 - Ponencia EiTB
 
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
 
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
 
Curso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsCurso Virtual de Hacking Windows
Curso Virtual de Hacking Windows
 
Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0
 
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad DigitalpaGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 
“Privacy Today” Slide Presentation
“Privacy Today” Slide Presentation “Privacy Today” Slide Presentation
“Privacy Today” Slide Presentation
 
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
 
11 s antes_despues_slideshare
11 s antes_despues_slideshare11 s antes_despues_slideshare
11 s antes_despues_slideshare
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 

Similar a Presentación paGonzalez en Euskal SecuriTIConference

Estrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosEstrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosIvan Oliva Mota
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
01 principios(1)
01 principios(1)01 principios(1)
01 principios(1)Tito98Porto
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICorporacion Colombia Digital
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionBibliotic
 
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...jean918
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Tecnologías enfocadas en la nube - Foro Tecnológico de Salto
Tecnologías enfocadas en la nube - Foro Tecnológico de SaltoTecnologías enfocadas en la nube - Foro Tecnológico de Salto
Tecnologías enfocadas en la nube - Foro Tecnológico de SaltoMarcos Ezquerra
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJon Echanove
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informáticaJon Echanove
 
Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática Nacor Bea Galán
 

Similar a Presentación paGonzalez en Euskal SecuriTIConference (20)

Estrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosEstrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datos
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
01 principios(1)
01 principios(1)01 principios(1)
01 principios(1)
 
Seguridad
SeguridadSeguridad
Seguridad
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
Tecnologías enfocadas en la nube - Foro Tecnológico de Salto
Tecnologías enfocadas en la nube - Foro Tecnológico de SaltoTecnologías enfocadas en la nube - Foro Tecnológico de Salto
Tecnologías enfocadas en la nube - Foro Tecnológico de Salto
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
Modelo de Política
Modelo de PolíticaModelo de Política
Modelo de Política
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informática
 
Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática
 

Último

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 

Último (15)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 

Presentación paGonzalez en Euskal SecuriTIConference

  • 1. “Privacy by Design”: Construyendo soluciones que garanticen la privacidad Pedro Alberto González Encargado del Registro de Ficheros y Nuevas Tecnologías paGonzalez@avpd.es
  • 2. “Esto no se puede hacer por Protección de Datos” http://www.avpd.es Privacy by Design 2
  • 3. http://www.avpd.es Privacy by Design 3
  • 4.
  • 5. AVPD: Quienes somos … • Naturaleza – La AVPD es un ente de derecho público. – Actúa con plena independencia • Régimen jurídico – Se crea por la Ley 2/2004 del Parlamento Vasco – Actúa como Autoridad de Control aplicando la LOPD • Competencia: – Ficheros de titularidad Pública de Euskadi – (EJ-GV + DDFF + Ayttos) http://www.avpd.es Privacy by Design 5
  • 6. Distintas audiencias, distintos mensajes, … http://www.avpd.es Privacy by Design 6
  • 7. Guión de la exposición 1. ¿Seguridad vs. Privacidad? 2. Marco de referencia de la Privacidad 3. ¿Qué es “Privacy by Design”? 4. Análisis de impacto sobre la Privacidad 5. Tecnologías de mejora de la Privacidad 6. Conclusiones http://www.avpd.es Privacy by Design 7
  • 8. Seguridad ≠ Privacidad • Adjetivo (un medio) • Sustantivo (un fin) – Protección de activos – Derecho • Evitar riesgo • Fundamental • Mitigar impacto • Constitucional “Privacy by “Security by Design” Design” http://www.avpd.es Privacy by Design 8
  • 9. Colisión Seguridad <> Libertad http://www.avpd.es Privacy by Design 9
  • 10. Colisión Seguridad <> Privacidad http://www.avpd.es Privacy by Design 10
  • 11. Framework de la Privacidad (Principios de la LOPD) 1. (minimizació Calidad de los datos (minimización) 2. protecció Especial protección de algunos datos 3. Informació Información en la recogida 4. Consentimiento del afectado 5. Limitació Limitación de las cesiones de datos 6. A- Cumplimiento derechos A-R-C-O- 7. Deber de secreto 8. Seguridad de los datos http://www.avpd.es Privacy by Design 11
  • 12. Seguridad de los Datos (art. 9 LOPD) • Se adoptarán las medidas técnicas y organizativas necesarias para garantizar la Referencia seguridad de los datos, Marco de – evitando su alteración o pérdida – y su tratamiento o acceso no autorizado • Teniendo en cuenta: – el estado de la tecnología – la naturaleza de los datos almacenados – los riesgos a que estén expuestos • Afecta tanto al Responsable del Fichero como al Encargado del Tratamiento http://www.avpd.es Privacy by Design 12
  • 13. RD 1720/2007: Niveles de seguridad • Se definen tres niveles de seguridad – Básico Medio Alto Niveles de Seguridad de acuerdo con la naturaleza de la información • Cualquier fichero o tratamiento de datos de carácter personal debe cumplir el nivel Básico http://www.avpd.es Privacy by Design 13
  • 14. Niveles de seguridad Nivel Alto: ficheros con •Datos especialmente protegidos •Fines policiales •Violencia de género Nivel Medio: ficheros con •Infracciones administrativas o penales •Información sobre solvencia patrimonial •Administraciones Tributarias •Entidades financieras •Seguridad Social •Elaboración de perfiles Bá Nivel Básico: Todos los ficheros
  • 15. 10 Objetivos de Control de medidas de seguridad 1. Organización de la Seguridad 2. Documentación de Seguridad 3. Funciones y obligaciones del personal 4. Identificación y autenticación de usuarios 5. Controles y registros de accesos 6. Accesos a través de redes / Internet 7. Soportes y documentos con información 8. Copias de respaldo y recuperación 9. Gestionar Incidencias de seguridad 10. Efectuar Auditorías y Controles http://www.avpd.es Privacy by Design 15
  • 16. Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Organizar Decidir Elaborar Documentación de Seguridad políticas Aplicar Conocer Definir + Funciones y obligaciones del personal Actuar Documentar Cumplir Definir pol. Identificación y autenticación de usuarios Implantar Cumplir Implantar Controles y registros de accesos Gestionar Conocer Implantar Accesos a través de redes / Internet Gestionar Conocer Definir pol. Soportes y documentos con información Gestionar Cumplir Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Gestionar Cooperar Encargar Efectuar Auditorías y Controles Decidir Gestionar Cooperar http://www.avpd.es Privacy by Design 16
  • 17. ¿Qué es “Privacy by Design”? ¿Marketing conceptual?
  • 18.
  • 19. 2003..2007 - PbD en Canadá http://www.privacybydesign.ca http://www.avpd.es Privacy by Design 19
  • 20. 7 Principios fundamentales de la Privacidad por Diseño 1. Proactivo, no Reactivo; • Preventivo, no Correctivo 2. Privacidad como configuración por defecto 3. Privacidad incrustada en el diseño 4. Funcionalidad total: • “Suma-Positiva”, no “Suma-Zero” 5. Seguridad en todo el ciclo de vida (“end-to-end”) 6. Visibilidad y transparencia – “Keep it Open” 7. Respeto a la privacidad personal (“User-centric”)
  • 21. 2008 - PbD en UK http://www.ico.gov.uk • Promovió: – un grupo de trabajo, – una conferencia y – un estudio sobre PbD – un plan de acción • Vinculado con: – Estándares – PIA’s – PET’s – Identity Management
  • 22. 2009 – PbD presentación en sociedad (Conf. Int. APD’s) • WorkShop celebrado en Madrid • Presentado a la 31 Conferencia Internacional de APD’s (Madrid) http://www.privacyconference2009.org
  • 23. 2010 - PbD en la Conferencia Internacional de APD’s http://www.privacyconference2010.org
  • 24. 2010 - PbD en la Unión Europea • En 2009, el “Grupo del Artículo 29” eleva a la Comisión Europea el documento “The Future of Privacy”, en el que, entre otras cosas – Propone adoptar la “Privacidad por Diseño” como un nuevo principio a incorporar en la Directiva Europea de Protección de Datos • En 2010, la Comisión Europea aprueba la “Comunicación COM(2010)-609 al Parlamento Europeo (…), sobre Un enfoque global en la Protección de Datos en la Unión Europea” – Adopta el enfoque de la “Privacidad por Diseño”, http://www.avpd.es Privacy by Design 24
  • 25. 2011 - PbD en la Unión Europea • El “Enfoque global en la Protección de Datos en la Unión Europea” se desarrollará en la UE durante 2011, adoptando la PbD mediante: – Introducción del principio de “accountability”, con la figura del “Responsable Interno de PD”. – Regulación legal de los “Análisis de Impacto en la Privacidad” (PIA, Privacy Impact Assessment) – Promoción de la utilización de la Tecnologías de Mejora de la Privacidad” (PET, Privacy Enhancing Techniques) http://www.avpd.es Privacy by Design 25
  • 26. ¿Qué son los PIA? (Privacy Impact Assessment) • Una Evaluación de Impacto en la Privacidad (PIA) es un análisis de cómo se maneja la información: 1. para asegurar que su uso se ajusta a la legalidad 2. para determinar los riesgos y efectos de la recogida, tratamiento y difusión de la información sobre la privacidad, y 3. para examinar y evaluar procedimientos alternativos para el para mitigar los posibles riesgos sobre la privacidad. • No son preceptivos – Pero se consideran “Buenas Prácticas” • Similitud: – Evaluación de Impacto Medioambiental – Evaluación y Análisis de Riesgos de Seguridad http://www.avpd.es Privacy by Design 26
  • 27. Análisis de Riesgos Modelo de referencia: magerit Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto ContraMedidas Impacto Residual Frecuencia Ocurren con +/-… Riesgo Riesgo Residual http://www.avpd.es Privacy by Design 27
  • 28. PIAs en Canadá • Uso obligatorio para el Sector Público • Tanto a nivel Federal como Nacional http://www.priv.gc.ca http://www.ipc.on.ca
  • 29. PIAs en UK • 2007: Estudio conjunto sobre PIA’s • Manual de procedimiento (Handbook v.2) http://www.ico.gov.uk/upload/documents/pia_handbook_html_v2/
  • 30. PIAs en Australia http://www.privacy.gov.au http://www.privacy.vic.gov.au
  • 31. PIAs en la Unión Europea • Promovidos dentro del esquema “PbD” de la futura revisión de la Directiva de PD • Desarrollado un esquema para PIA en aplicaciones RFID http://ec.europa.eu/information_society/policy/rfid/documents/infso-2011-00068.pdf http://www.avpd.es Privacy by Design 31
  • 32. ¿Qué son las PET? (Privacy Enhancement Techniques) • PET (“Tecnologías de Mejora de la Privacidad”) es un término genérico que designa: – herramientas, aplicaciones y mecanismos – para su uso en Internet – para proteger la privacidad personal – mediante la minimización de datos personales – evitando el procesamiento innecesario o indeseado, – sin pérdida de funcionalidad del sistema. • Wikipedia: – http://en.wikipedia.org/wiki/Privacy-enhancing_technologies http://www.avpd.es Privacy by Design 32
  • 33. http://www.avpd.es Privacy by Design 33
  • 34. Identidad Digital = Perfil Activo http://about.me/paGonzalez http://www.avpd.es Privacy by Design 34
  • 35. ¿PET = Anonimato? • Principio de calidad LOPD: – Minimización de datos – “adecuados, pertinentes y no excesivos” • Privacidad por defecto: – Anonimato Pseudo-identidad – Identificación (débil) Autenticación (fuerte) – (Autorización) • Herramientas de “autodefensa” • ¿Es lícito el anonimato? http://www.avpd.es Privacy by Design 35
  • 36. Identidad y Privacidad según “Common Criteria” • Anonimato – No se solicita/revela ninguna identidad • Pseudo-anonimato – Se contabiliza el uso sin revelar identidad • Identificación sin vinculación – Identidades separadas, sin interrelaciones • Inobservabilidad – Ninguna tercera parte conoce el uso http://www.avpd.es Privacy by Design 36
  • 37. Ejemplos de herramientas PET • Navegación anónima – TOR - https://www.torproject.org/ • Cifrado – PGP, OpenGP, GNUPG, … http://www.gnupg.org/ • Supresión de “Cookies” – “Do Not Track” - http://donottrack.us/ • Gestión de identidades
  • 39. Configuración “Do Not Track” en FireFox-4
  • 40. Conclusiones 1. La privacidad no es un obstáculo para la funcionalidad ni la seguridad 2. La privacidad debe formar parte de las especificaciones de los proyectos 3. Debe evaluarse el impacto de nuestros proyectos (también) sobre la privacidad 4. El diseño debe asumir la minimización del uso de datos personales http://www.avpd.es Privacy by Design 40
  • 41. http://www.avpd.es Privacy by Design 41