.- La frase “Eso no se puede hacer por Protección de Datos” suele aparecer como algo sobrevenido e inesperado en muchos procesos cuando ya están desplegados. Ello lleva a abordar “procesos de adaptación a la LOPD”, que suelen consistir en asegurar el cumplimiento formal de determinados requisitos legales. Por esta razón, muchos desarrolladores e ingenieros de sistemas suelen percibir la Protección de Datos como un estorbo, una “piedra en el engranaje” que solo supone dificultades.
.- El reciente paradigma de diseño basado en los principios de Privacidad por Diseño (PbD, por las siglas en Inglés de “Privacy by Design”) pretende darle la vuelta a estos planteamientos y adoptar una visión proactiva de la Protección de Datos.
- Nos enseña a incorporar en la arquitectura de nuestras aplicaciones los requisitos de garantía de privacidad de las personas cuyos datos de carácter personal se tratan en ellos,
- de la misma forma que ya hoy en día se han incorporado los requisitos de seguridad, modularidad, usabilidad, accesibilidad, etc.
.- Este enfoque se ve complementado con otras tendencias recientes, como son:
- la elaboración de Análisis de Impacto sobre la Privacidad (PIA, “Privacy Impact Assesment”)
- la utilización de Técnicas de Mejora de la Privacidad (PET, “Privacy-Enhancing Technologies”)
Ponencia expuesta en el Curso sobre el Reglamento Europeo de Protección de Datos celebrado en la Universidad de Verano de la UPV-EHU (Uda Ikastaroak - UPVerano-EHUdan), junto con Pablo Lucas Murillo de la Cueva y José Luís Piñar Mañas (2017-06)
Presentación general de las novedades del RGPD en relación con la Responsabilidad Proactiva, la Gestión de Riesgos y las Medidas de Seguridad (2017-02)
Presentación del "framework" de la privacidad y la seguridad, teniendo en cuenta el nuevo Reglamento General de Protección de Datos en la Unión Europea
Presentación utilizada por Pedro Alberto González (paGonzalez) en la sesión "Responsabilidad Proactiva", dentro del Master "Protección de Datos, Innovación y Seguridad" (MUPDIS) de la Universidad Nebrija
Obligaciones de las empresa en el nuevo RGPDAdigital
Presentación de Rafael García Gozalo, Jefe del Departamento Internacional de la AEPD, para la jornada #AdigitalDatos celebrada el 13 de marzo de 2017 en Madrid.
Ponencia expuesta en el Curso sobre el Reglamento Europeo de Protección de Datos celebrado en la Universidad de Verano de la UPV-EHU (Uda Ikastaroak - UPVerano-EHUdan), junto con Pablo Lucas Murillo de la Cueva y José Luís Piñar Mañas (2017-06)
Presentación general de las novedades del RGPD en relación con la Responsabilidad Proactiva, la Gestión de Riesgos y las Medidas de Seguridad (2017-02)
Presentación del "framework" de la privacidad y la seguridad, teniendo en cuenta el nuevo Reglamento General de Protección de Datos en la Unión Europea
Presentación utilizada por Pedro Alberto González (paGonzalez) en la sesión "Responsabilidad Proactiva", dentro del Master "Protección de Datos, Innovación y Seguridad" (MUPDIS) de la Universidad Nebrija
Obligaciones de las empresa en el nuevo RGPDAdigital
Presentación de Rafael García Gozalo, Jefe del Departamento Internacional de la AEPD, para la jornada #AdigitalDatos celebrada el 13 de marzo de 2017 en Madrid.
El Reglamento General de Protección de Datos establece la creación de la figura del Delegado de Protección de Datos (DPO). Te ofrecemos un breve resumen sobre su figura y los riesgos de no disponer de un DPO profesional. Conversia.
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
Definiciones
Contexto
Evolución de los riesgos
Escenario de información y su tratamiento
Integración de la tecnología
Nuestro entorno y el entorno de terceros
Objetivos de establecer dominios de gobierno de la información
Cómo establecer dominios de gobierno de la información
Como determinar el alcance
Cuales son los dominios de gobierno de la información
Identificar el objetivo funcional de la información
Riesgos más importantes relacionados con la tecnología
Cultura y comunicación
Gestión y herramientas
Conclusión
Modulo I parte 6. Reglamento Europeo La Responsabilidad Proactiva. Contenidos del curso gratuito de Protección de Datos que se imparte en www.administracionfincas.eu/formacion
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
el Departamento de Consultoría y Seguridad de Nunsys ha elaborado un completo documento donde se hace un resumen de todas las nuevas medidas y se resuelven las principales cuestiones que pueden afectar a los negocios.
En Nunsys contamos con nuestro Departamento de Consultoría y Seguridad formado por expertos con amplísima experiencia en el campo de la seguridad de la información, los cuales han llevado a cabo exitosamente la implantación en los últimos años de más de 50 empresas en toda España en normativa de Seguridad de la Información (ENS, ISO 27001, LOPD, PIC, etc.).
A través de nuestras soluciones de gestión de claves de cifrado, tokenización y, de Enlace asegura todo tipo de sensibles, de alto valor y de datos regulados de amenazas internas y externas contra Proteccion de datos.
Alcances de la directiva de seguridad de la información administrada por los ...Carlos A. Horna Vallejos
Exposición realizada en el marco de la Jornada de orientación a titulares de bancos de datos personales de administración privada.
Basado en la Ley 29733 (legislación peruana) : Ley de protección de datos personales y su reglamento
Conceptos básicos sobre la LOPD. Esta presentación quiere proporcionar unos conceptos y conocimientos básicos sobre la legislación española en protección de datos.
Windows es un sistema operativo gráfico desarrollado y vendido por Microsoft. Existen diversas versiones de este sistema, incluyendo versiones para computadoras de escritorio, servidores y dispositivos móviles. Por tal razón en la actualidad es innegable la amplia utilización del sistema operativo Windows. Microsoft controla una amplio mercado de los sistemas operativos, como también software para navegación web, ofimática, multimedia, entre otros.
Windows ha ganado adeptos debido principalmente a su entorno visual y facilidad de uso. Desde la perspectiva de la seguridad esto tiene sus beneficios y debilidades. Microsoft Windows ha sido diseñado para maximizar su facilidad de uso, lo cual frecuentemente afecta la seguridad. Se puede pensar en la seguridad como en algo continuo entre polos extremos, donde el 100 por ciento de seguridad es igual a 0 por ciento de usabilidad, y de otro lado, 100 por ciento de usabilidad es igual a 0 por ciento de seguridad. Con el transcurrir de los años Microsoft ha aprendido a encontrar un balance entre estos dos polos. Además dado el hecho de ser unos de los sistemas operativos más utilizados, es también uno de los más atacados.
Este curso completamente práctico expone una metodología y herramientas esenciales para realizar una prueba de penetración adecuada contra sistemas Microsoft Windows. Desarrollándose todo el curso en un entorno de laboratorio controlado utilizando máquinas virtuales.
El Reglamento General de Protección de Datos establece la creación de la figura del Delegado de Protección de Datos (DPO). Te ofrecemos un breve resumen sobre su figura y los riesgos de no disponer de un DPO profesional. Conversia.
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
Definiciones
Contexto
Evolución de los riesgos
Escenario de información y su tratamiento
Integración de la tecnología
Nuestro entorno y el entorno de terceros
Objetivos de establecer dominios de gobierno de la información
Cómo establecer dominios de gobierno de la información
Como determinar el alcance
Cuales son los dominios de gobierno de la información
Identificar el objetivo funcional de la información
Riesgos más importantes relacionados con la tecnología
Cultura y comunicación
Gestión y herramientas
Conclusión
Modulo I parte 6. Reglamento Europeo La Responsabilidad Proactiva. Contenidos del curso gratuito de Protección de Datos que se imparte en www.administracionfincas.eu/formacion
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
el Departamento de Consultoría y Seguridad de Nunsys ha elaborado un completo documento donde se hace un resumen de todas las nuevas medidas y se resuelven las principales cuestiones que pueden afectar a los negocios.
En Nunsys contamos con nuestro Departamento de Consultoría y Seguridad formado por expertos con amplísima experiencia en el campo de la seguridad de la información, los cuales han llevado a cabo exitosamente la implantación en los últimos años de más de 50 empresas en toda España en normativa de Seguridad de la Información (ENS, ISO 27001, LOPD, PIC, etc.).
A través de nuestras soluciones de gestión de claves de cifrado, tokenización y, de Enlace asegura todo tipo de sensibles, de alto valor y de datos regulados de amenazas internas y externas contra Proteccion de datos.
Alcances de la directiva de seguridad de la información administrada por los ...Carlos A. Horna Vallejos
Exposición realizada en el marco de la Jornada de orientación a titulares de bancos de datos personales de administración privada.
Basado en la Ley 29733 (legislación peruana) : Ley de protección de datos personales y su reglamento
Conceptos básicos sobre la LOPD. Esta presentación quiere proporcionar unos conceptos y conocimientos básicos sobre la legislación española en protección de datos.
Windows es un sistema operativo gráfico desarrollado y vendido por Microsoft. Existen diversas versiones de este sistema, incluyendo versiones para computadoras de escritorio, servidores y dispositivos móviles. Por tal razón en la actualidad es innegable la amplia utilización del sistema operativo Windows. Microsoft controla una amplio mercado de los sistemas operativos, como también software para navegación web, ofimática, multimedia, entre otros.
Windows ha ganado adeptos debido principalmente a su entorno visual y facilidad de uso. Desde la perspectiva de la seguridad esto tiene sus beneficios y debilidades. Microsoft Windows ha sido diseñado para maximizar su facilidad de uso, lo cual frecuentemente afecta la seguridad. Se puede pensar en la seguridad como en algo continuo entre polos extremos, donde el 100 por ciento de seguridad es igual a 0 por ciento de usabilidad, y de otro lado, 100 por ciento de usabilidad es igual a 0 por ciento de seguridad. Con el transcurrir de los años Microsoft ha aprendido a encontrar un balance entre estos dos polos. Además dado el hecho de ser unos de los sistemas operativos más utilizados, es también uno de los más atacados.
Este curso completamente práctico expone una metodología y herramientas esenciales para realizar una prueba de penetración adecuada contra sistemas Microsoft Windows. Desarrollándose todo el curso en un entorno de laboratorio controlado utilizando máquinas virtuales.
Presentación utilizada en la charla sobre Redes Sociales, cuestiones sobre Privacidad a tener en cuenta y la importancia del control sobre la propia Identidad Digital.
The “Privacy Today” presentation was written for the IAPP by Professor Peter Swire of the Moritz College of Law of the Ohio State University. The materials cover the definition of privacy, ways to protect privacy, privacy harms, and fair information practices. The “Privacy Today” presentation is designed for college and university students.
Licensed under Creative Commons Attribution 3.0 Unported
Ponencia enmarcada en la Jornada:
"EuskaSecuriTIConference"
expertos de importantes instituciones y empresas debatirán en Bilbao sobre diversos temas de actualidad relacionados con la seguridad en el ámbito de las tecnologías de la información.
Esta jornada, organizada por el Colegio Oficial de Ingenieros en Informática del País Vasco / Euskadiko Informatika Ingeniarien Elkargo Ofiziala (COIIE / EIIEO)
Estrategia y elementos para la proteccion de datosIvan Oliva Mota
Modelo para integrar la protección de datos y respetar la Ley Federal de Protección de Datos Personales en Posesión de Particulares, integrando las mejores prácticas y estándares internacionales
Gestión de la Seguridad de la Información con ISO27002EXIN
El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000
Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Presentación paGonzalez en Euskal SecuriTIConference
1. “Privacy by Design”:
Construyendo soluciones
que garanticen la privacidad
Pedro Alberto González
Encargado del Registro de Ficheros y
Nuevas Tecnologías
paGonzalez@avpd.es
2. “Esto no se puede hacer por
Protección de Datos”
http://www.avpd.es Privacy by Design 2
5. AVPD: Quienes somos …
• Naturaleza
– La AVPD es un ente de derecho público.
– Actúa con plena independencia
• Régimen jurídico
– Se crea por la Ley 2/2004 del Parlamento Vasco
– Actúa como Autoridad de Control aplicando la
LOPD
• Competencia:
– Ficheros de titularidad Pública de Euskadi
– (EJ-GV + DDFF + Ayttos)
http://www.avpd.es Privacy by Design 5
7. Guión de la exposición
1. ¿Seguridad vs. Privacidad?
2. Marco de referencia de la Privacidad
3. ¿Qué es “Privacy by Design”?
4. Análisis de impacto sobre la Privacidad
5. Tecnologías de mejora de la Privacidad
6. Conclusiones
http://www.avpd.es Privacy by Design 7
8. Seguridad ≠ Privacidad
• Adjetivo (un medio) • Sustantivo (un fin)
– Protección de activos – Derecho
• Evitar riesgo • Fundamental
• Mitigar impacto • Constitucional
“Privacy by
“Security by
Design”
Design”
http://www.avpd.es Privacy by Design 8
11. Framework de la Privacidad
(Principios de la LOPD)
1. (minimizació
Calidad de los datos (minimización)
2. protecció
Especial protección de algunos datos
3. Informació
Información en la recogida
4. Consentimiento del afectado
5. Limitació
Limitación de las cesiones de datos
6. A-
Cumplimiento derechos A-R-C-O-
7. Deber de secreto
8. Seguridad de los datos
http://www.avpd.es Privacy by Design 11
12. Seguridad de los Datos
(art. 9 LOPD)
• Se adoptarán las medidas técnicas y
organizativas necesarias para garantizar la
Referencia
seguridad de los datos,
Marco de
– evitando su alteración o pérdida
– y su tratamiento o acceso no autorizado
• Teniendo en cuenta:
– el estado de la tecnología
– la naturaleza de los datos almacenados
– los riesgos a que estén expuestos
• Afecta tanto al Responsable del Fichero como
al Encargado del Tratamiento
http://www.avpd.es Privacy by Design 12
13. RD 1720/2007:
Niveles de seguridad
• Se definen tres niveles de seguridad
– Básico Medio Alto
Niveles de
Seguridad
de acuerdo con la naturaleza de la
información
• Cualquier fichero o tratamiento de datos
de carácter personal debe cumplir el
nivel Básico
http://www.avpd.es Privacy by Design 13
14. Niveles de seguridad
Nivel Alto: ficheros con
•Datos especialmente protegidos
•Fines policiales
•Violencia de género
Nivel Medio: ficheros con
•Infracciones administrativas o penales
•Información sobre solvencia patrimonial
•Administraciones Tributarias
•Entidades financieras
•Seguridad Social
•Elaboración de perfiles
Bá
Nivel Básico: Todos los ficheros
15. 10 Objetivos de Control
de medidas de seguridad
1. Organización de la Seguridad
2. Documentación de Seguridad
3. Funciones y obligaciones del personal
4. Identificación y autenticación de usuarios
5. Controles y registros de accesos
6. Accesos a través de redes / Internet
7. Soportes y documentos con información
8. Copias de respaldo y recuperación
9. Gestionar Incidencias de seguridad
10. Efectuar Auditorías y Controles
http://www.avpd.es Privacy by Design 15
16. Quién hace qué?
Respons. Respons.
Medidas de Seguridad Fichero Seguridad
Personal
Organización de la Seguridad Designar Organizar
Decidir Elaborar
Documentación de Seguridad políticas Aplicar
Conocer
Definir +
Funciones y obligaciones del personal Actuar
Documentar Cumplir
Definir pol.
Identificación y autenticación de usuarios Implantar
Cumplir
Implantar
Controles y registros de accesos Gestionar
Conocer
Implantar
Accesos a través de redes / Internet Gestionar
Conocer
Definir pol.
Soportes y documentos con información Gestionar
Cumplir
Definir pol.
Copias de respaldo y recuperación Supervisar
Anticipar
Incidencias de seguridad Actuar
Gestionar
Cooperar
Encargar
Efectuar Auditorías y Controles Decidir
Gestionar
Cooperar
http://www.avpd.es Privacy by Design 16
19. 2003..2007 - PbD en Canadá
http://www.privacybydesign.ca
http://www.avpd.es Privacy by Design 19
20. 7 Principios fundamentales de
la Privacidad por Diseño
1. Proactivo, no Reactivo;
• Preventivo, no Correctivo
2. Privacidad como configuración por defecto
3. Privacidad incrustada en el diseño
4. Funcionalidad total:
• “Suma-Positiva”, no “Suma-Zero”
5. Seguridad en todo el ciclo de vida (“end-to-end”)
6. Visibilidad y transparencia – “Keep it Open”
7. Respeto a la privacidad personal (“User-centric”)
21. 2008 - PbD en UK
http://www.ico.gov.uk
• Promovió:
– un grupo de trabajo,
– una conferencia y
– un estudio sobre PbD
– un plan de acción
• Vinculado con:
– Estándares
– PIA’s
– PET’s
– Identity Management
22. 2009 – PbD presentación en
sociedad (Conf. Int. APD’s)
• WorkShop celebrado
en Madrid
• Presentado a la 31
Conferencia
Internacional de
APD’s (Madrid)
http://www.privacyconference2009.org
23. 2010 - PbD en la Conferencia
Internacional de APD’s
http://www.privacyconference2010.org
24. 2010 - PbD en la Unión Europea
• En 2009, el “Grupo del Artículo 29” eleva a la
Comisión Europea el documento “The Future of
Privacy”, en el que, entre otras cosas
– Propone adoptar la “Privacidad por Diseño” como un
nuevo principio a incorporar en la Directiva Europea
de Protección de Datos
• En 2010, la Comisión Europea aprueba la
“Comunicación COM(2010)-609 al Parlamento
Europeo (…), sobre Un enfoque global en la
Protección de Datos en la Unión Europea”
– Adopta el enfoque de la “Privacidad por Diseño”,
http://www.avpd.es Privacy by Design 24
25. 2011 - PbD en la Unión Europea
• El “Enfoque global en la Protección de Datos
en la Unión Europea” se desarrollará en la
UE durante 2011, adoptando la PbD
mediante:
– Introducción del principio de “accountability”,
con la figura del “Responsable Interno de PD”.
– Regulación legal de los “Análisis de Impacto en
la Privacidad” (PIA, Privacy Impact Assessment)
– Promoción de la utilización de la Tecnologías de
Mejora de la Privacidad” (PET, Privacy
Enhancing Techniques)
http://www.avpd.es Privacy by Design 25
26. ¿Qué son los PIA?
(Privacy Impact Assessment)
• Una Evaluación de Impacto en la Privacidad (PIA) es
un análisis de cómo se maneja la información:
1. para asegurar que su uso se ajusta a la legalidad
2. para determinar los riesgos y efectos de la recogida,
tratamiento y difusión de la información sobre la privacidad, y
3. para examinar y evaluar procedimientos alternativos para el
para mitigar los posibles riesgos sobre la privacidad.
• No son preceptivos
– Pero se consideran “Buenas Prácticas”
• Similitud:
– Evaluación de Impacto Medioambiental
– Evaluación y Análisis de Riesgos de Seguridad
http://www.avpd.es Privacy by Design 26
27. Análisis de Riesgos
Modelo de referencia: magerit
Están expuestos a…
Activos tienen …
Amenazas Valor
Causan +/- …
Degradación
Impacto
ContraMedidas Impacto
Residual
Frecuencia
Ocurren con +/-…
Riesgo
Riesgo
Residual
http://www.avpd.es Privacy by Design 27
28. PIAs en Canadá
• Uso obligatorio para el Sector Público
• Tanto a nivel Federal como Nacional
http://www.priv.gc.ca http://www.ipc.on.ca
29. PIAs en UK
• 2007: Estudio conjunto sobre PIA’s
• Manual de procedimiento (Handbook v.2)
http://www.ico.gov.uk/upload/documents/pia_handbook_html_v2/
31. PIAs en la Unión Europea
• Promovidos dentro
del esquema “PbD”
de la futura revisión
de la Directiva de PD
• Desarrollado un
esquema para PIA en
aplicaciones RFID
http://ec.europa.eu/information_society/policy/rfid/documents/infso-2011-00068.pdf
http://www.avpd.es Privacy by Design 31
32. ¿Qué son las PET?
(Privacy Enhancement Techniques)
• PET (“Tecnologías de Mejora de la Privacidad”)
es un término genérico que designa:
– herramientas, aplicaciones y mecanismos
– para su uso en Internet
– para proteger la privacidad personal
– mediante la minimización de datos personales
– evitando el procesamiento innecesario o indeseado,
– sin pérdida de funcionalidad del sistema.
• Wikipedia:
– http://en.wikipedia.org/wiki/Privacy-enhancing_technologies
http://www.avpd.es Privacy by Design 32
34. Identidad Digital = Perfil Activo
http://about.me/paGonzalez
http://www.avpd.es Privacy by Design 34
35. ¿PET = Anonimato?
• Principio de calidad LOPD:
– Minimización de datos
– “adecuados, pertinentes y no excesivos”
• Privacidad por defecto:
– Anonimato Pseudo-identidad
– Identificación (débil) Autenticación (fuerte)
– (Autorización)
• Herramientas de “autodefensa”
• ¿Es lícito el anonimato?
http://www.avpd.es Privacy by Design 35
36. Identidad y Privacidad
según “Common Criteria”
• Anonimato
– No se solicita/revela ninguna identidad
• Pseudo-anonimato
– Se contabiliza el uso sin revelar identidad
• Identificación sin vinculación
– Identidades separadas, sin interrelaciones
• Inobservabilidad
– Ninguna tercera parte conoce el uso
http://www.avpd.es Privacy by Design 36
37. Ejemplos de herramientas PET
• Navegación anónima
– TOR - https://www.torproject.org/
• Cifrado
– PGP, OpenGP, GNUPG, … http://www.gnupg.org/
• Supresión de “Cookies”
– “Do Not Track” - http://donottrack.us/
• Gestión de identidades
40. Conclusiones
1. La privacidad no es un obstáculo para la
funcionalidad ni la seguridad
2. La privacidad debe formar parte de las
especificaciones de los proyectos
3. Debe evaluarse el impacto de nuestros
proyectos (también) sobre la privacidad
4. El diseño debe asumir la minimización
del uso de datos personales
http://www.avpd.es Privacy by Design 40