SlideShare una empresa de Scribd logo

Actuaciones de la inspección sectorial

dataconsulting
dataconsulting

El documento resume las conclusiones y recomendaciones de una inspección realizada por la Agencia Española de Protección de Datos a dos empresas de telecomunicaciones que transfieren datos internacionalmente a Colombia. La inspección concluyó que los tratamientos de datos cumplen con sus objetivos declarados y que se han implementado medidas de seguridad adecuadas. Sin embargo, también incluye algunas recomendaciones para mejorar la protección de datos, como auditar periódicamente la seguridad y restringir el acceso a dispositivos externos.

EducaciónViajes
1 de 14
Descargar para leer sin conexión
1 © Agencia Española de Protección de Datos PLANES SECTORIALES DE OFICIO SOBRE LAS TRANSFERENCIAS INTERNACIONALES. ACTUACIONES DE LA INSPECCION DE DATOS José López Calvo Subdirector General de Inspección de Datos 18 – Julio - 2007
2 © Agencia Española de Protección de Datos OBJETIVO Y PREMISAS 1. OBJETIVO Verificar el efectivo cumplimiento de la Ley Orgánica 15/1999 y su normativa de desarrollo en los centros de atención telefónica a clientes establecidos por empresas del sector de las telecomunicaciones. 2. PREMISAS - La habilitación jurídica. El contrato escrito habilita a la AEPD para auditar al importador en la misma medida que lo haría respecto del exportador de datos conforme a la legislación española. - La existencia de precedentes en el ámbito internacional en otros sectores. - La colaboración de las empresas.
3 © Agencia Española de Protección de Datos REPRESENTATIVIDAD 3. REPRESENTATIVIDAD DEL SECTOR Y EMPRESAS En mayo de 2007 para todo el sector de telecomunicaciones, constaban un total de 22 autorizaciones de transferencias internacionales de datos, que representan un 15% del total de autorizaciones. La inspección de datos ha centrado las actuaciones de investigación en las transferencias autorizadas a dos operadores del sector de las telecomunicaciones que ofrecen la explotación del servicio de atención telefónica comercial, el servicio de atención de averías y telemarketing, en relación con los servicios de telefonía fija, telefonía móvil al sector de autónomos y pequeña y mediana empresa. Gestión de backoffice.
4 © Agencia Española de Protección de Datos FASES 4. FASES Metodología empleada en tres fases. - Primera fase: visitas presenciales a las sedes de los operadores de telecomunicaciones, para concretar los servicios prestados desde Colombia. - Segunda fase: inspecciones a las entidades encargadas de tratamiento que dispongan de sede en España. . Evaluar el entorno tecnológico utilizado para la transferencia. Líneas de comunicación. . Estudiar medidas de seguridad (no acceso a Internet, no transferencia ficheros, acceso a España, no sistema periférico). . Comprobar que la información a la que se accede es adecuada.
5 © Agencia Española de Protección de Datos FASES - Tercera fase. Visitas a los encargados de los tratamientos ubicados en Colombia. Se han detectado dos casuísticas distintas. En el caso de entidades españolas con sucursal en Colombia, la visita se planteó como una inspección realizada en un local de la entidad que actúa como encargado del tratamiento. Visita presencial a los encargados de tratamiento con sede únicamente en Colombia. En este caso no se había realizado comprobación en España al no tener sede como encargado de tratamiento.
6 © Agencia Española de Protección de Datos SERVICIOS 5. Servicios realizados que requieren tratamiento de datos - Explotación del servicio de atención telefónica comercial al cliente residencial. Llamadas de clientes y tratamiento de datos relacionados con provisiones pendientes y facturación. - Atención telefónica a clientes autónomos y pequeña y mediana empresa. - Telemarketing a clientes.
7 © Agencia Española de Protección de Datos ENTORNO TECNOLÓGICO 6. Entorno tecnológico. Comunicación Línea propietaria: En el caso de empresa española prestadora de servicios con sucursal en Colombia se utilizan dos enlaces de fibra óptica que conectan directamente una sede de la entidad ubicada en España. Esto permite que los usuarios que trabajan desde Colombia tengan acceso a los mismos servicios y recursos que los que lo hacen desde la red de área local de los centros españoles. Línea compartida (dedicada): Respecto a la entidad prestadora de servicios con sede únicamente en Colombia, la estructura tecnológica de deslocalización se basa en el alquiler de líneas, propiedad del operador con quién han contratado la prestación de servicio origen de la transferencia internacional.
8 © Agencia Española de Protección de Datos CONCLUSIONES TRATAMIENTOS DE DATOS AUDITADOS Los tratamientos de datos corresponden con los servicios especificados en los contratos aportados en la solicitud de las transferencias internacionales. Los datos personales que tienen acceso las entidades encargadas del tratamiento se consideran los necesarios para la prestación de los servicios contratados. El acceso a los datos personales se efectúa directamente sobre los Sistemas de Información y ficheros de los responsables ubicados en territorio nacional e independientemente de la ubicación geográfica del encargado del tratamiento.
9 © Agencia Española de Protección de Datos CONCLUSIONES MEDIDAS DE SEGURIDAD Medidas adoptadas por los responsables de los ficheros: Los operadores de telecomunicaciones han adoptado diversas medidas, entre otras, no permitir la realización de réplicas de los ficheros con datos personales fuera del territorio español, utilizar líneas dedicadas de comunicaciones para los accesos desde Colombia y haber implementado dispositivos de seguridad lógica. La confidencialidad en los accesos a la información se realiza estableciendo un canal cifrado entre extremos. Los accesos realizados por teleoperadores ubicados tanto en España como en Colombia quedan reflejados en los Sistemas de Información de los operadores de telecomunicación auditados.
10 © Agencia Española de Protección de Datos CONCLUSIONES Han anulado en todos los puestos de trabajo utilizados por los teleoperadores los dispositivos periféricos que permiten extraer información. La identificación y autenticación de los teleoperadores ubicados en Colombia, se realiza mediante la utilización de un código de usuario y una contraseña a través de una herramienta propiedad del responsable del fichero que gestiona la asignación de las contraseñas y los perfiles de acceso a los datos.
11 © Agencia Española de Protección de Datos RECOMENDACIONES 8. Recomendaciones PRIMERA: En relación con la Seguridad de los Datos Personales. • En los casos que permiten obtener una evaluación de la personalidad del ciudadano, debe garantizarse la adopción de las medidas de seguridad de nivel medio en lo concerniente a la obligatoriedad de la realización de una auditoria bienal sobre el cumplimiento del Reglamento de Seguridad, establecimiento de un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y a la verificación de que está autorizado, a los controles de acceso físicos adecuados, así como al establecimiento de un registro de entrada y salida de soportes con datos de carácter personal.
12 © Agencia Española de Protección de Datos RECOMENDACIONES b) Acceso a través de redes. El acceso a los datos de carácter personal a través de redes de telecomunicaciones, debe realizarse con las medidas de seguridad que garanticen un nivel de seguridad equivalente al correspondiente a los accesos en modo local. c) Identificación y Autenticación. Procedimiento de asignación, distribución y almacenamiento de contraseñas. - Los usuarios que accedan a datos de carácter personal deberán poderse identificar de forma inequívoca y personalizada. - Perfiles de acceso. - Sistema de gestión integral de códigos de usuarios y contraseñas.
13 © Agencia Española de Protección de Datos RECOMENDACIONES d) Funciones y obligaciones del personal Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los Sistemas de Información deben estar claramente definidas. e) Registro de incidencias f) Auditorias El Reglamento de Medidas de Seguridad obliga a la realización de una auditoria de seguridad interna o externa que verifique el cumplimiento de dicho Reglamento y de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos cada dos años, a partir del nivel medio. Cuando no sea legalmente exigible, se considera una buena práctica su implantación en las transferencias internacionales analizadas.
14 © Agencia Española de Protección de Datos RECOMENDACIONES g) Terminales de acceso a los datos Se recomienda que en los puestos de trabajo deslocalizados se anulen todos aquellos dispositivos periféricos. SEGUNDA: En relación con el acceso a los datos por cuenta de terceros. Las empresas inspeccionadas, el exportador y el importador han de suscribir un contrato de prestación de servicios, a tenor de lo dispuesto en el art. 12 de la LOPD. Deberá indicarse que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento. TERCERA: En relación con el deber de secreto. Medidas oportunas para que los trabajadores estén informados.

Recomendados

Trabajo final empresa francesa
Trabajo final empresa francesaTrabajo final empresa francesa
Trabajo final empresa francesa
Moiseskl
 
Paso 7 hebber rafael rueda_trabajo final_208020_1
Paso 7 hebber rafael rueda_trabajo final_208020_1Paso 7 hebber rafael rueda_trabajo final_208020_1
Paso 7 hebber rafael rueda_trabajo final_208020_1
hebb_2828
 
Carta presentación TELCO 2013
Carta presentación TELCO 2013Carta presentación TELCO 2013
Carta presentación TELCO 2013
Daniel Becerril Wong
 
1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte
dataconsulting
 
Informe sobre transferencias internacionales de datos
Informe sobre transferencias internacionales de datosInforme sobre transferencias internacionales de datos
Informe sobre transferencias internacionales de datos
dataconsulting
 
1ª sesión 2ª parte
1ª sesión 2ª parte1ª sesión 2ª parte
1ª sesión 2ª parte
dataconsulting
 
Autorizaciones de transferencias internacionales de datos
Autorizaciones de transferencias internacionales de datosAutorizaciones de transferencias internacionales de datos
Autorizaciones de transferencias internacionales de datos
dataconsulting
 
2ª sesión abierta 2ª parte (principales casos 2008)
2ª sesión abierta 2ª parte (principales casos 2008)2ª sesión abierta 2ª parte (principales casos 2008)
2ª sesión abierta 2ª parte (principales casos 2008)
dataconsulting
 

Recomendados

Trabajo final empresa francesa
Trabajo final empresa francesaTrabajo final empresa francesa
Trabajo final empresa francesa
Moiseskl
 
Paso 7 hebber rafael rueda_trabajo final_208020_1
Paso 7 hebber rafael rueda_trabajo final_208020_1Paso 7 hebber rafael rueda_trabajo final_208020_1
Paso 7 hebber rafael rueda_trabajo final_208020_1
hebb_2828
 
Carta presentación TELCO 2013
Carta presentación TELCO 2013Carta presentación TELCO 2013
Carta presentación TELCO 2013
Daniel Becerril Wong
 
1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte
dataconsulting
 
Informe sobre transferencias internacionales de datos
Informe sobre transferencias internacionales de datosInforme sobre transferencias internacionales de datos
Informe sobre transferencias internacionales de datos
dataconsulting
 
1ª sesión 2ª parte
1ª sesión 2ª parte1ª sesión 2ª parte
1ª sesión 2ª parte
dataconsulting
 
Autorizaciones de transferencias internacionales de datos
Autorizaciones de transferencias internacionales de datosAutorizaciones de transferencias internacionales de datos
Autorizaciones de transferencias internacionales de datos
dataconsulting
 
2ª sesión abierta 2ª parte (principales casos 2008)
2ª sesión abierta 2ª parte (principales casos 2008)2ª sesión abierta 2ª parte (principales casos 2008)
2ª sesión abierta 2ª parte (principales casos 2008)
dataconsulting
 
Proyecto final - Privacidad movil (J. Yauri)
Proyecto final - Privacidad movil (J. Yauri)Proyecto final - Privacidad movil (J. Yauri)
Proyecto final - Privacidad movil (J. Yauri)
Joaquín Yauri Tunque
 
Manual De Seguridad En El Comercio Electronico
Manual De Seguridad En El Comercio ElectronicoManual De Seguridad En El Comercio Electronico
Manual De Seguridad En El Comercio Electronico
guest71146e07
 
Variantes de e commerce
Variantes de e commerceVariantes de e commerce
Variantes de e commerce
guillermorogel
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13
Juan Basualdo
 
Proyecto roma iii version definitiva
Proyecto roma iii version definitivaProyecto roma iii version definitiva
Proyecto roma iii version definitiva
diego227003
 
Proyecto roma iii version definitiva
Proyecto roma iii version definitivaProyecto roma iii version definitiva
Proyecto roma iii version definitiva
diego227003
 
Derechos y obligaciones
Derechos y obligacionesDerechos y obligaciones
Derechos y obligaciones
ISABEL PUENTE
 
Internet y la Nueva Ley Telecom
Internet y la Nueva Ley TelecomInternet y la Nueva Ley Telecom
Internet y la Nueva Ley Telecom
Adademia Mexicana de Derecho Informático, A.C.
 
Cibercafes
CibercafesCibercafes
Cibercafes
Luis Gerardo Hidalgo
 
Congreso cybercafes
Congreso cybercafesCongreso cybercafes
Congreso cybercafes
Nathaly Campoverde
 
ANALISIS DE CEFEMD ANGEL ZUNIGA
ANALISIS DE CEFEMD ANGEL ZUNIGAANALISIS DE CEFEMD ANGEL ZUNIGA
ANALISIS DE CEFEMD ANGEL ZUNIGA
Angel H. Zuniga Castro
 
2016 seguridad informatica
2016 seguridad informatica 2016 seguridad informatica
2016 seguridad informatica
MGMCCONTADORES
 
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
CoworkingSpain
 
Portafolio grupo 6
Portafolio grupo 6Portafolio grupo 6
Portafolio grupo 6
CURSOLEGISTELECO
 
Portafolio Télécommunications France
Portafolio Télécommunications FrancePortafolio Télécommunications France
Portafolio Télécommunications France
Cristian Bermeo
 
09 06 Firmas Electronicas
09 06 Firmas Electronicas09 06 Firmas Electronicas
09 06 Firmas Electronicas
juank28
 
Problemática jurídica de las transferencias internacionales de datos
Problemática jurídica de las transferencias internacionales de datosProblemática jurídica de las transferencias internacionales de datos
Problemática jurídica de las transferencias internacionales de datos
dataconsulting
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
Les Esco
 
1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte
dataconsulting
 
1ª sesión 1ª parte
1ª sesión 1ª parte1ª sesión 1ª parte
1ª sesión 1ª parte
dataconsulting
 

Más contenido relacionado

Similar a Actuaciones de la inspección sectorial

Proyecto final - Privacidad movil (J. Yauri)
Proyecto final - Privacidad movil (J. Yauri)Proyecto final - Privacidad movil (J. Yauri)
Proyecto final - Privacidad movil (J. Yauri)
Joaquín Yauri Tunque
 
Manual De Seguridad En El Comercio Electronico
Manual De Seguridad En El Comercio ElectronicoManual De Seguridad En El Comercio Electronico
Manual De Seguridad En El Comercio Electronico
guest71146e07
 
Variantes de e commerce
Variantes de e commerceVariantes de e commerce
Variantes de e commerce
guillermorogel
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13
Juan Basualdo
 
Proyecto roma iii version definitiva
Proyecto roma iii version definitivaProyecto roma iii version definitiva
Proyecto roma iii version definitiva
diego227003
 
Proyecto roma iii version definitiva
Proyecto roma iii version definitivaProyecto roma iii version definitiva
Proyecto roma iii version definitiva
diego227003
 
Derechos y obligaciones
Derechos y obligacionesDerechos y obligaciones
Derechos y obligaciones
ISABEL PUENTE
 
Internet y la Nueva Ley Telecom
Internet y la Nueva Ley TelecomInternet y la Nueva Ley Telecom
Internet y la Nueva Ley Telecom
Adademia Mexicana de Derecho Informático, A.C.
 
Cibercafes
CibercafesCibercafes
Cibercafes
Luis Gerardo Hidalgo
 
Congreso cybercafes
Congreso cybercafesCongreso cybercafes
Congreso cybercafes
Nathaly Campoverde
 
ANALISIS DE CEFEMD ANGEL ZUNIGA
ANALISIS DE CEFEMD ANGEL ZUNIGAANALISIS DE CEFEMD ANGEL ZUNIGA
ANALISIS DE CEFEMD ANGEL ZUNIGA
Angel H. Zuniga Castro
 
2016 seguridad informatica
2016 seguridad informatica 2016 seguridad informatica
2016 seguridad informatica
MGMCCONTADORES
 
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
CoworkingSpain
 
Portafolio grupo 6
Portafolio grupo 6Portafolio grupo 6
Portafolio grupo 6
CURSOLEGISTELECO
 
Portafolio Télécommunications France
Portafolio Télécommunications FrancePortafolio Télécommunications France
Portafolio Télécommunications France
Cristian Bermeo
 
09 06 Firmas Electronicas
09 06 Firmas Electronicas09 06 Firmas Electronicas
09 06 Firmas Electronicas
juank28
 
Problemática jurídica de las transferencias internacionales de datos
Problemática jurídica de las transferencias internacionales de datosProblemática jurídica de las transferencias internacionales de datos
Problemática jurídica de las transferencias internacionales de datos
dataconsulting
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
Les Esco
 

Similar a Actuaciones de la inspección sectorial (20)

Proyecto final - Privacidad movil (J. Yauri)
Proyecto final - Privacidad movil (J. Yauri)Proyecto final - Privacidad movil (J. Yauri)
Proyecto final - Privacidad movil (J. Yauri)
 
Manual De Seguridad En El Comercio Electronico
Manual De Seguridad En El Comercio ElectronicoManual De Seguridad En El Comercio Electronico
Manual De Seguridad En El Comercio Electronico
 
Variantes de e commerce
Variantes de e commerceVariantes de e commerce
Variantes de e commerce
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13
 
Proyecto roma iii version definitiva
Proyecto roma iii version definitivaProyecto roma iii version definitiva
Proyecto roma iii version definitiva
 
Proyecto roma iii version definitiva
Proyecto roma iii version definitivaProyecto roma iii version definitiva
Proyecto roma iii version definitiva
 
Derechos y obligaciones
Derechos y obligacionesDerechos y obligaciones
Derechos y obligaciones
 
Internet y la Nueva Ley Telecom
Internet y la Nueva Ley TelecomInternet y la Nueva Ley Telecom
Internet y la Nueva Ley Telecom
 
Cibercafes
CibercafesCibercafes
Cibercafes
 
Congreso cybercafes
Congreso cybercafesCongreso cybercafes
Congreso cybercafes
 
ANALISIS DE CEFEMD ANGEL ZUNIGA
ANALISIS DE CEFEMD ANGEL ZUNIGAANALISIS DE CEFEMD ANGEL ZUNIGA
ANALISIS DE CEFEMD ANGEL ZUNIGA
 
2016 seguridad informatica
2016 seguridad informatica 2016 seguridad informatica
2016 seguridad informatica
 
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
La (nueva) regulación de la Protección de Datos: de la LOPD al RGPD. Carlos G...
 
Portafolio grupo 6
Portafolio grupo 6Portafolio grupo 6
Portafolio grupo 6
 
Portafolio Télécommunications France
Portafolio Télécommunications FrancePortafolio Télécommunications France
Portafolio Télécommunications France
 
09 06 Firmas Electronicas
09 06 Firmas Electronicas09 06 Firmas Electronicas
09 06 Firmas Electronicas
 
Problemática jurídica de las transferencias internacionales de datos
Problemática jurídica de las transferencias internacionales de datosProblemática jurídica de las transferencias internacionales de datos
Problemática jurídica de las transferencias internacionales de datos
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 

Más de dataconsulting

1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte
dataconsulting
 
1ª sesión 1ª parte
1ª sesión 1ª parte1ª sesión 1ª parte
1ª sesión 1ª parte
dataconsulting
 
2ª sesión abierta 2ª parte (novedades)
2ª sesión abierta 2ª parte (novedades)2ª sesión abierta 2ª parte (novedades)
2ª sesión abierta 2ª parte (novedades)
dataconsulting
 
2ª sesión abierta 2ª parte (consultas)
2ª sesión abierta 2ª parte (consultas)2ª sesión abierta 2ª parte (consultas)
2ª sesión abierta 2ª parte (consultas)
dataconsulting
 
2ª sesión abierta 1ª parte (videovigilancia)
2ª sesión abierta 1ª parte (videovigilancia)2ª sesión abierta 1ª parte (videovigilancia)
2ª sesión abierta 1ª parte (videovigilancia)
dataconsulting
 
2ª sesión abierta 2ª parte (desarrollos internacionales)
2ª sesión abierta 2ª parte (desarrollos internacionales)2ª sesión abierta 2ª parte (desarrollos internacionales)
2ª sesión abierta 2ª parte (desarrollos internacionales)
dataconsulting
 
Iii sesión abierta 2010 - consultas
Iii sesión abierta 2010 - consultasIii sesión abierta 2010 - consultas
Iii sesión abierta 2010 - consultas
dataconsulting
 
III sesión abierta 2010 - 2ª parte
III sesión abierta 2010 - 2ª parteIII sesión abierta 2010 - 2ª parte
III sesión abierta 2010 - 2ª parte
dataconsulting
 
III sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parteIII sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parte
dataconsulting
 

Más de dataconsulting (9)

1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte1ª sesión preguntas 1ª parte
1ª sesión preguntas 1ª parte
 
1ª sesión 1ª parte
1ª sesión 1ª parte1ª sesión 1ª parte
1ª sesión 1ª parte
 
2ª sesión abierta 2ª parte (novedades)
2ª sesión abierta 2ª parte (novedades)2ª sesión abierta 2ª parte (novedades)
2ª sesión abierta 2ª parte (novedades)
 
2ª sesión abierta 2ª parte (consultas)
2ª sesión abierta 2ª parte (consultas)2ª sesión abierta 2ª parte (consultas)
2ª sesión abierta 2ª parte (consultas)
 
2ª sesión abierta 1ª parte (videovigilancia)
2ª sesión abierta 1ª parte (videovigilancia)2ª sesión abierta 1ª parte (videovigilancia)
2ª sesión abierta 1ª parte (videovigilancia)
 
2ª sesión abierta 2ª parte (desarrollos internacionales)
2ª sesión abierta 2ª parte (desarrollos internacionales)2ª sesión abierta 2ª parte (desarrollos internacionales)
2ª sesión abierta 2ª parte (desarrollos internacionales)
 
Iii sesión abierta 2010 - consultas
Iii sesión abierta 2010 - consultasIii sesión abierta 2010 - consultas
Iii sesión abierta 2010 - consultas
 
III sesión abierta 2010 - 2ª parte
III sesión abierta 2010 - 2ª parteIII sesión abierta 2010 - 2ª parte
III sesión abierta 2010 - 2ª parte
 
III sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parteIII sesión abierta 2010 - 1ª parte
III sesión abierta 2010 - 1ª parte
 

Último

1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl
ROCIORUIZQUEZADA
 
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdfMundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
ViriEsteva
 
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptxPPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
gamcoaquera
 
Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......
LuanaJaime1
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Demetrio Ccesa Rayme
 
Presentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdfPresentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdf
LuanaJaime1
 
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
rosannatasaycoyactay
 
Libro Integrado 8vo egb len-mat-ccnn-eess
Libro Integrado 8vo egb len-mat-ccnn-eessLibro Integrado 8vo egb len-mat-ccnn-eess
Libro Integrado 8vo egb len-mat-ccnn-eess
maxgamesofficial15
 
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Unidad de Espiritualidad Eudista
 
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdfEl Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
Robert Zuñiga Vargas
 
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptxNuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
lautyzaracho4
 
CUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdf
CUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdfCUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdf
CUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdf
Inslvarez5
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
Jose Luis Jimenez Rodriguez
 
200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural
shirherrer
 
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdfLas Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Demetrio Ccesa Rayme
 
Planificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACKPlanificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACK
ssusera6697f
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
JAVIER SOLIS NOYOLA
 
Maristella Svampa-La sociedad excluyente.pdf
Maristella Svampa-La sociedad excluyente.pdfMaristella Svampa-La sociedad excluyente.pdf
Maristella Svampa-La sociedad excluyente.pdf
belbarcala
 
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdfDocentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
Demetrio Ccesa Rayme
 

Último (20)

1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl
 
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdfMundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
 
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptxPPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
PPT_Servicio de Bandeja a Paciente Hospitalizado.pptx
 
Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
 
Presentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdfPresentación de proyecto en acuarela moderna verde.pdf
Presentación de proyecto en acuarela moderna verde.pdf
 
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
3° SES COMU LUN10 CUENTO DIA DEL PADRE 933623393 PROF YESSENIA (1).docx
 
Libro Integrado 8vo egb len-mat-ccnn-eess
Libro Integrado 8vo egb len-mat-ccnn-eessLibro Integrado 8vo egb len-mat-ccnn-eess
Libro Integrado 8vo egb len-mat-ccnn-eess
 
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
Triduo Eudista: Jesucristo, Sumo y Eterno Sacerdote; El Corazón de Jesús y el...
 
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdfEl Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
 
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptxNuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
 
CUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdf
CUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdfCUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdf
CUENTOS EN MAYÚSCULAS PARA APRENDER A LEER.pdf
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
 
200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural
 
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdfLas Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
 
Planificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACKPlanificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACK
 
A VISITA DO SENHOR BISPO .
A VISITA DO SENHOR BISPO .A VISITA DO SENHOR BISPO .
A VISITA DO SENHOR BISPO .
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
 
Maristella Svampa-La sociedad excluyente.pdf
Maristella Svampa-La sociedad excluyente.pdfMaristella Svampa-La sociedad excluyente.pdf
Maristella Svampa-La sociedad excluyente.pdf
 
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdfDocentes y el uso de chatGPT en el Aula Ccesa007.pdf
Docentes y el uso de chatGPT en el Aula Ccesa007.pdf
 

Actuaciones de la inspección sectorial

  • 1. 1 © Agencia Española de Protección de Datos PLANES SECTORIALES DE OFICIO SOBRE LAS TRANSFERENCIAS INTERNACIONALES. ACTUACIONES DE LA INSPECCION DE DATOS José López Calvo Subdirector General de Inspección de Datos 18 – Julio - 2007
  • 2. 2 © Agencia Española de Protección de Datos OBJETIVO Y PREMISAS 1. OBJETIVO Verificar el efectivo cumplimiento de la Ley Orgánica 15/1999 y su normativa de desarrollo en los centros de atención telefónica a clientes establecidos por empresas del sector de las telecomunicaciones. 2. PREMISAS - La habilitación jurídica. El contrato escrito habilita a la AEPD para auditar al importador en la misma medida que lo haría respecto del exportador de datos conforme a la legislación española. - La existencia de precedentes en el ámbito internacional en otros sectores. - La colaboración de las empresas.
  • 3. 3 © Agencia Española de Protección de Datos REPRESENTATIVIDAD 3. REPRESENTATIVIDAD DEL SECTOR Y EMPRESAS En mayo de 2007 para todo el sector de telecomunicaciones, constaban un total de 22 autorizaciones de transferencias internacionales de datos, que representan un 15% del total de autorizaciones. La inspección de datos ha centrado las actuaciones de investigación en las transferencias autorizadas a dos operadores del sector de las telecomunicaciones que ofrecen la explotación del servicio de atención telefónica comercial, el servicio de atención de averías y telemarketing, en relación con los servicios de telefonía fija, telefonía móvil al sector de autónomos y pequeña y mediana empresa. Gestión de backoffice.
  • 4. 4 © Agencia Española de Protección de Datos FASES 4. FASES Metodología empleada en tres fases. - Primera fase: visitas presenciales a las sedes de los operadores de telecomunicaciones, para concretar los servicios prestados desde Colombia. - Segunda fase: inspecciones a las entidades encargadas de tratamiento que dispongan de sede en España. . Evaluar el entorno tecnológico utilizado para la transferencia. Líneas de comunicación. . Estudiar medidas de seguridad (no acceso a Internet, no transferencia ficheros, acceso a España, no sistema periférico). . Comprobar que la información a la que se accede es adecuada.
  • 5. 5 © Agencia Española de Protección de Datos FASES - Tercera fase. Visitas a los encargados de los tratamientos ubicados en Colombia. Se han detectado dos casuísticas distintas. En el caso de entidades españolas con sucursal en Colombia, la visita se planteó como una inspección realizada en un local de la entidad que actúa como encargado del tratamiento. Visita presencial a los encargados de tratamiento con sede únicamente en Colombia. En este caso no se había realizado comprobación en España al no tener sede como encargado de tratamiento.
  • 6. 6 © Agencia Española de Protección de Datos SERVICIOS 5. Servicios realizados que requieren tratamiento de datos - Explotación del servicio de atención telefónica comercial al cliente residencial. Llamadas de clientes y tratamiento de datos relacionados con provisiones pendientes y facturación. - Atención telefónica a clientes autónomos y pequeña y mediana empresa. - Telemarketing a clientes.
  • 7. 7 © Agencia Española de Protección de Datos ENTORNO TECNOLÓGICO 6. Entorno tecnológico. Comunicación Línea propietaria: En el caso de empresa española prestadora de servicios con sucursal en Colombia se utilizan dos enlaces de fibra óptica que conectan directamente una sede de la entidad ubicada en España. Esto permite que los usuarios que trabajan desde Colombia tengan acceso a los mismos servicios y recursos que los que lo hacen desde la red de área local de los centros españoles. Línea compartida (dedicada): Respecto a la entidad prestadora de servicios con sede únicamente en Colombia, la estructura tecnológica de deslocalización se basa en el alquiler de líneas, propiedad del operador con quién han contratado la prestación de servicio origen de la transferencia internacional.
  • 8. 8 © Agencia Española de Protección de Datos CONCLUSIONES TRATAMIENTOS DE DATOS AUDITADOS Los tratamientos de datos corresponden con los servicios especificados en los contratos aportados en la solicitud de las transferencias internacionales. Los datos personales que tienen acceso las entidades encargadas del tratamiento se consideran los necesarios para la prestación de los servicios contratados. El acceso a los datos personales se efectúa directamente sobre los Sistemas de Información y ficheros de los responsables ubicados en territorio nacional e independientemente de la ubicación geográfica del encargado del tratamiento.
  • 9. 9 © Agencia Española de Protección de Datos CONCLUSIONES MEDIDAS DE SEGURIDAD Medidas adoptadas por los responsables de los ficheros: Los operadores de telecomunicaciones han adoptado diversas medidas, entre otras, no permitir la realización de réplicas de los ficheros con datos personales fuera del territorio español, utilizar líneas dedicadas de comunicaciones para los accesos desde Colombia y haber implementado dispositivos de seguridad lógica. La confidencialidad en los accesos a la información se realiza estableciendo un canal cifrado entre extremos. Los accesos realizados por teleoperadores ubicados tanto en España como en Colombia quedan reflejados en los Sistemas de Información de los operadores de telecomunicación auditados.
  • 10. 10 © Agencia Española de Protección de Datos CONCLUSIONES Han anulado en todos los puestos de trabajo utilizados por los teleoperadores los dispositivos periféricos que permiten extraer información. La identificación y autenticación de los teleoperadores ubicados en Colombia, se realiza mediante la utilización de un código de usuario y una contraseña a través de una herramienta propiedad del responsable del fichero que gestiona la asignación de las contraseñas y los perfiles de acceso a los datos.
  • 11. 11 © Agencia Española de Protección de Datos RECOMENDACIONES 8. Recomendaciones PRIMERA: En relación con la Seguridad de los Datos Personales. • En los casos que permiten obtener una evaluación de la personalidad del ciudadano, debe garantizarse la adopción de las medidas de seguridad de nivel medio en lo concerniente a la obligatoriedad de la realización de una auditoria bienal sobre el cumplimiento del Reglamento de Seguridad, establecimiento de un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y a la verificación de que está autorizado, a los controles de acceso físicos adecuados, así como al establecimiento de un registro de entrada y salida de soportes con datos de carácter personal.
  • 12. 12 © Agencia Española de Protección de Datos RECOMENDACIONES b) Acceso a través de redes. El acceso a los datos de carácter personal a través de redes de telecomunicaciones, debe realizarse con las medidas de seguridad que garanticen un nivel de seguridad equivalente al correspondiente a los accesos en modo local. c) Identificación y Autenticación. Procedimiento de asignación, distribución y almacenamiento de contraseñas. - Los usuarios que accedan a datos de carácter personal deberán poderse identificar de forma inequívoca y personalizada. - Perfiles de acceso. - Sistema de gestión integral de códigos de usuarios y contraseñas.
  • 13. 13 © Agencia Española de Protección de Datos RECOMENDACIONES d) Funciones y obligaciones del personal Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los Sistemas de Información deben estar claramente definidas. e) Registro de incidencias f) Auditorias El Reglamento de Medidas de Seguridad obliga a la realización de una auditoria de seguridad interna o externa que verifique el cumplimiento de dicho Reglamento y de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos cada dos años, a partir del nivel medio. Cuando no sea legalmente exigible, se considera una buena práctica su implantación en las transferencias internacionales analizadas.
  • 14. 14 © Agencia Española de Protección de Datos RECOMENDACIONES g) Terminales de acceso a los datos Se recomienda que en los puestos de trabajo deslocalizados se anulen todos aquellos dispositivos periféricos. SEGUNDA: En relación con el acceso a los datos por cuenta de terceros. Las empresas inspeccionadas, el exportador y el importador han de suscribir un contrato de prestación de servicios, a tenor de lo dispuesto en el art. 12 de la LOPD. Deberá indicarse que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento. TERCERA: En relación con el deber de secreto. Medidas oportunas para que los trabajadores estén informados.