HISTÒRIES PER A MENUTS II. CRA Serra del Benicadell.pdf
Llei de Protecció de dades de caràcter personal (LOPD)
1. Llei de protecció
de dades de
caràcter personal
Seguretat Informàtica
Legislació de seguretat i protecció de dades
Xavier Sala Pujolar
IES Cendrassos
2. Administració de Sistemes Informàtics i Xarxes
LOPD
● L'objectiu d'aquesta llei és regular el tractament
de dades personals per tal de garantir i protegir
– Les llibertats públiques
– Els drets fonamentals de les persones
– L'honor
– La intimitat personal i familiar
● Defineix
– un marc per dir què s'ha de reglamentar
– Defineix organismes reguladors i sancionadors
3. Administració de Sistemes Informàtics i Xarxes
LOPD i el Reglament
● La llei no defineix cap tipus de mesura que
indiqui com han d'actuar les empreses per
complir els objectius previstos
● Les mesures concretes a prendre apareixen en
el Reglament de Desenvolupament de la LOPD
que es va aprovar molt més tard
LOPD
Reglament
de la LOPD
4. Administració de Sistemes Informàtics i Xarxes
A què afecta la LOPD?
● A les dades personals que estiguin registrades
en qualsevol suport que en permeti el
tractament i al seu ús posterior
– Bases de dades, fitxers, ...
– No només suports informàtics
5. Administració de Sistemes Informàtics i Xarxes
A què NO afecta la LOPD?
● No afecta als fitxers fets per ús domèstic o
personal sempre que no siguin usats per
activitats professionals
– Llistats telefònics, etc..
6. Administració de Sistemes Informàtics i Xarxes
A qui afecta la LOPD?
● A totes les empreses i organitzacions de l'Estat
espanyol que facin servir suports
d'emmagatzematge de dades
– Simplement tenint una senzilla base de dades de
clients o de socis implica que s'ha de complir la
LOPD
Per tant són totes les empreses i
organitzacions de l'Estat
7. Administració de Sistemes Informàtics i Xarxes
A qui afecta la LOPD?
● Afecta tant a organismes privats com públics
– Empreses
– Organismes públics (Ajuntaments, etc...)
● També estan obligats a complir amb la Llei tot i que
no poden ser multats
8. Administració de Sistemes Informàtics i Xarxes
Què protegeix?
“cualquier información concerniente a
personas físicas identificadas o
identificables”
Article 3
9. Administració de Sistemes Informàtics i Xarxes
Dades de caràcter personal
professió
Adreça
Nom
DNI
Estat civil
correu electrònic
religió
NSS
Estudis
ADN
imatge
ideologia
Propietats
Experiència professional
ideologia
ingressos
Rentes
Dades bancaries
Matricula del cotxe
10. Administració de Sistemes Informàtics i Xarxes
Dades de caràcter personal
● La imatge d'un treballador (foto o gravació de vídeo):
“…la grabación de la imagen de una persona, ya sea
trabajador o no de la empresa, es un dato personal,
siendo éste el criterio de la Agencia Española de
Protección de Datos…”
(Resolució R/00035/2006)
● El correu electrònic
““…no existe duda de que la dirección decorreo
electrónico identifica, incluso de forma directa, al titular de
la cuenta, por lo que en todo caso dicha dirección ha de
ser considerada como dato de carácter personal”
(Informe Jurídic 0391/2007)
11. Administració de Sistemes Informàtics i Xarxes
Dades de caràcter personal
● Dades de trànsit
Informació sobre els llocs visitats, temps que hi ha estat, ordre en
que s'ha visitat, forums en que s'ha participat, adreces de correu
enviades o rebudes, ...
● L'adreça IP
● Les cookies del navegador
● La gravació de veu
● Dades biomètriques (empremtes digitals, iris, etc...)
● La imatge d'un client, amic o partidari
● ...
12. Administració de Sistemes Informàtics i Xarxes
Dades especialment protegides
● Es consideren dades especialment protegides
les que donin informació sobre:
– Ideologia
– Afiliació sindical
– Religió o creences
– Origen racial
– Vida sexual
– Salud
14. Administració de Sistemes Informàtics i Xarxes
Recollida Dades
● En general:
No es poden recollir dades de caràcter
personal sense l'autorització de
l'usuari
Segons les dades l'autorització pot haver de
ser per escrit
?
OK
15. Administració de Sistemes Informàtics i Xarxes
Autorització
● Hi ha excepcions conegudes com dades de
caràcter públic
– Cens promocional
– Llistins telefònics
– Llistes de persones de grups professionals si
només tenen:
● nom, títol, professió, activitat, grau acadèmic,
adreça i indicació de pertànyer al grup
– Els diaris i butlletins oficials
– Els medis de comunicació
16. Administració de Sistemes Informàtics i Xarxes
Recollida Dades
● Sempre:
S'ha d'informar a l'usuari del motiu pel
que es recullen les seves dades
– Qualsevol canvi en l'objectiu invalida el permís
de l'usuari
– Si s'arriba a l'objectiu les dades s'han d'eliminar
?
Bla, bla!
17. Administració de Sistemes Informàtics i Xarxes
Recollida Dades
● Sempre:
L'usuari ha de disposar d'un
mecanisme per poder canviar o
esborrar les seves dades
?
OK
NO
OK
21. Administració de Sistemes Informàtics i Xarxes
Recollida Dades
● En general:
No es poden passar les dades
recollides a cap altra empresa
No tenen el permís de l'usuari
?
OK
22. Administració de Sistemes Informàtics i Xarxes
Cessió de dades
● Només es poden transferir dades en condicions
restringides
– Autorització per Llei o per un jutge
– Si són dades de fonts públiques
– Les Administracions públiques per fins
estadístics, històrics o científics
– Per urgències de salut
– Si s'ha evitat que puguin ser
reconegudes les persones
23. Administració de Sistemes Informàtics i Xarxes
Accés per tercers
● No es considera cessió quan l'accés es faci per
un tercer per la prestació d'un servei al
responsable
– Agència: càlcul de nòmines d'una empresa
– Comunitat de veïns: Emissió de rebuts
● Però:
– Ha d'estar regulat per un contracte i s'han de
prendre les mesures de seguretat pertinents
– S'han de destruir les dades un cop acabat el servei
24. Administració de Sistemes Informàtics i Xarxes
Transferències internacionals
● S'accepten les
cessions a països que
tinguin una protecció
de dades semblant
– Unió Europea,
Argentina, Suïssa
– Els Estats Units no!
● Empreses amb un codi
ètic acceptat
– “Safe Harbor”
● Pels altres cal permís
del Director de l'APD
26. Administració de Sistemes Informàtics i Xarxes
Registrar els fitxers
● Sempre que es tingui
un fitxer amb dades
de caràcter personal
s'ha de registrar
● S'ha de notificar al
registre de l'Agència
de Protecció de
Dades
● Es pot fer per Internet
27. Administració de Sistemes Informàtics i Xarxes
Inscripció al registre
● Al registrar un fitxer s'han d'especificar els
diferents responsables:
– Responsable del fitxer (propietari)
● És qui n'especifica el contingut i en farà ús
– Encarregat del tractament
● Qui se n'encarregarà del tractament de les dades en
nom del responsable
– Responsable de seguretat
● Se n'encarrega de controlar que es compleixen els
mecanismes de seguretat implantats.
● No cal sempre
28. Administració de Sistemes Informàtics i Xarxes
Obligacions del propietari del fitxer
Informar als
afectats i garantir
l'ús adequat de
les dades
Declarar el fitxer
en el Registre
General
Prendre les
mesures de
seguretat
adequades
DADES
29. Administració de Sistemes Informàtics i Xarxes
L'encarregat del tractament
Fer el tractament
de dades
Tractament
Resultats
● Ha de tenir en compte
els principis de secret
professional
● Té la obligació de
guardar-les
correctament
● Les empreses han
d'informar als empleats
del deure de secret i de
les conseqüències del
seu incompliment
30. Administració de Sistemes Informàtics i Xarxes
Mantenir la qualitat
● El responsable del tractament ha de garantir la
qualitat de les dades:
– Les dades han de ser tractades de forma legal i
lícita
– Només es poden recollir per fins concrets i
determinats
– Les dades han de ser exactes i mantenir-se
actualitzades
– Només s'han de conservar el temps
estrictament necessari
31. Administració de Sistemes Informàtics i Xarxes
El responsable de seguretat
● Definir el document
de seguretat i
controlar-ne les
mesures
● Mantenir la llista
d'usuaris i permisos
d'accés
● Informar als usuaris
● Fer backups i
registrar les
incidències
No és obligatori sempre
32. Administració de Sistemes Informàtics i Xarxes
Document de seguretat
● Sempre s'ha de crear un
document de seguretat on
hi han d'haver:
– Les mesures tècniques i
organitzatives
necessàries per garantir
la seguretat de les dades
i evitin la seva:
● Alteració, pèrdua i
tractament o accés no
autoritzat
33. Administració de Sistemes Informàtics i Xarxes
Document de seguretat
● El document ha de tenir com a mínim:
– Àmbit d'actuació (fitxers, sistemes, persones)
– Mesures, normes i procediments per garantir el
nivell de seguretat
– Funcions i obligacions del personal amb les dades
– Estructura dels fitxers amb dades de caràcter
personal
– Procediment de notificació, gestió i resposta als
incidents
– Mesures a adoptar pel transport de suports i
documents i com es farà per destruir-los
34. Administració de Sistemes Informàtics i Xarxes
Auditoria de seguretat
● La auditoria de la LOPD se n'encarrega de
revisar:
– En quin entorn es troben els fitxers
– De la existència de controls adequats per
garantir el tractament segur de les dades
● Quins usuaris tenen accés
● Polítiques de renovació d'usuaris
● Accessos remots a la empresa
● Control dels accessos
● Fitxers temporals
– Controlar els procediments que es segueixen
per garantir els mecanismes de seguretat
35. Administració de Sistemes Informàtics i Xarxes
Mesures de seguretat
● El Reglament defineix quines són les mesures
de seguretat a aplicar segons siguin les dades
● Es defineixen tres nivells de mesures segons el
tipus de dades que s'emmagatzemin
– Nivell bàsic
– Nivell mig
– Nivell alt
36. Administració de Sistemes Informàtics i Xarxes
Dades protegides
Dades de nivell bàsic
Nom, cognoms, dades de contacte (qualsevol), altres dades que no siguin de
nivell mig o alt
Dades de nivell mig
Dades sobre infraccions penals o administratives, que ofereixin definició de
característiques de personalitat o característiques i permetin avaluar la seva
personalitat o comportament , dades responsabilitat d'Hisenda, dades
responsabilitat dels bancs, dades responsabilitat de la Seguretat Social,
Dades de proveïdors de Telecomunicacions
Dades de nivell alt
Ideologia, afiliació sindical, religió i creences, origen racial, salut, vida sexual,
dades per fins policials sense consentiment, dades derivades de la violència
de gènere
37. Administració de Sistemes Informàtics i Xarxes
Classificació de les mesures
● Es defineixen les mesures a prendre en funció
del nivell de seguretat de les dades que
continguin
● Són acumulatives:
Mesures
nivell bàsic
Mesures
nivell mig
Mesures
nivell alt
38. Administració de Sistemes Informàtics i Xarxes
Mesures de nivell bàsic
Mesures de nivell bàsic
● Creació d'un document de seguretat d'obligat
compliment pel personal que tingui accés a les dades
● Adopció de mesures perquè el personal conegui les
normes de seguretat
● Creació d'un registre d'incidències
● Creació d'una relació d'usuaris (processos o
persones) que tinguin accés al sistema d'informació
● Establir mecanismes de control d'accés
● Establir mecanismes de control dels suports i de les
còpies de seguretat
39. Administració de Sistemes Informàtics i Xarxes
Mesures de nivell mig
Mesures de nivell mig
● Totes les de nivell bàsic
● Identificació del responsable de seguretat
● Control periòdic per verificar el compliment del
document de seguretat
● Definir les mesures per eliminar els suports de
còpies de seguretat
● Auditoria interna o externa almenys cada 2 anys
● Mecanismes per identificar a tots els usuaris que
intentin accedir al sistema i limitar el número
d'intents
● Normes de gestió de suports de còpies
40. Administració de Sistemes Informàtics i Xarxes
Mesures de nivell alt
Mesures de nivell alt
● S'han de complir totes les normes dels nivells
bàsic i mig
● Hi ha una sèrie de mesures extres en
● Distribució i gestió de suports de còpies de
seguretat
● Registres d'accés lògics (usuari, hora, tipus)
● Control i registre d'accessos físics
● Còpies de seguretat i recuperació
● Les comunicacions de dades han d'estar xifrades
41. Administració de Sistemes Informàtics i Xarxes
Resum de mesures
Bàsic Mig Alt
Disposar d'un document de seguretat X X X
Nomenar un responsable de seguretat X X
Explicar les funcions de seguretat al personal X X X
Portar un registre d'incidències (restauracions, etc..) X X X
Implementar mecanismes d'identificació i autentificació X X X
Sistemes de control d'accés lògic X X X
Sistemes de control d'accés físic X X
Gestió i control dels suports i documents. Registre entrada/sortida X X X
Fer i controlar les còpies de seguretat (1 fora del lloc) X X X
Fer una auditoria cada dos anys X X
No fer proves amb dades reals X X
Distribuir els suports d'emmagatzematge X
Tenir un registre d'accés X
Xifrat de les telecomunicacions X
43. Administració de Sistemes Informàtics i Xarxes
Drets ARCO
● Els ciutadans continuen tenint una sèrie de
drets sobre les dades que s'hagin cedit a una
organització
● Es coneixen com drets ARCO (accés,
rectificació, cancel·lació i oposició)
● El seu objectiu segons el tribunal Constitucional
és:
“Garantir a la persona un poder de control sobre les seves dades
personals, cosa que només és possible i efectiu imposant a tercers
els drets mencionats”
44. Administració de Sistemes Informàtics i Xarxes
Dret d'informació
● Quan es demani una dada per emmagatzemar
s'ha de dir de forma clara perquè es demana i
perquè es farà servir
● S'ha d'informar a l'individu dels seus drets i la
identitat del responsable del tractament
DADES
45. Administració de Sistemes Informàtics i Xarxes
Dret d'informació
● Qualsevol ciutadà té dret a saber les dades que
emmagatzema l'empresa consultant el registre
Cualquier persona podrá conocer, recabando a tal fin la información
oportuna del Registro General de Protección de Datos, la existencia
de tratamientos de datos de carácter personal, sus finalidades y la
identidad del responsable del tratamiento. El Registro General será
de consulta pública y gratuita.
Article 14
46. Administració de Sistemes Informàtics i Xarxes
Dret d'informació
● El ciutadà té dret a consultar el Registre
General de Protecció de Dades
DADES
COMUNICACIÓ
DEL FITXER
Empresa
Quines dades emmagatzema
L'empresa?
47. Administració de Sistemes Informàtics i Xarxes
Dret d'accés
● Permet al ciutadà dirigir-se al responsable del
fitxer i demanar-li gratuïtament:
– Quines dades tenen sobre ell
– Quina és la finalitat del tractament
– Informació sobre l'origen de les dades
– Comunicacions de dades que s'han fet o que es
volen fer
?
48. Administració de Sistemes Informàtics i Xarxes
Dret de rectificació i cancel·lació
● Pot demanar que es modifiquin les dades
inexactes, inadequades, excessives o
incompletes
● Pot demanar que les dades siguin esborrades
– Excepcions en administracions, jutges o tribunals
però han d'estar bloquejades
cancel·lar / modificar
FET
49. Administració de Sistemes Informàtics i Xarxes
Dret d'oposició
● El ciutadà es pot dirigir al responsable per
demanar-li que deixi de treballar amb les seves
dades:
– Si no hi ha consentiment (encara que sigui permès
legalment)
– Si es fa per publicitat o prospecció comercial
– En base al tractament automatitzat
No vull que es facin servir
OK
50. Administració de Sistemes Informàtics i Xarxes
Tutela de dret
● Si a un ciutadà se li denegen els seus drets pot
interposar una denuncia a la AGPD
Multa
NO
Possible
indemnització
Petició
52. Administració de Sistemes Informàtics i Xarxes
Agència de Protecció de Dades
● La llei defineix la creació de l'Agencia
Española de Protección de Datos (AEPD)
que se n'encarrega de :
– Regular el compliment de la normativa
– Sancionar els incompliments
– Gestionar el Registre de fitxers
53. Administració de Sistemes Informàtics i Xarxes
Agència Catalana de Protecció de Dades
● En algunes comunitats les tasques han estat
transferides i tenen la seva pròpia agència:
– Catalunya, Madrid i Euskadi
● A Catalunya hi ha l'Agència Catalana de
Protecció de dades
http://www.apdcat.net/
54. Administració de Sistemes Informàtics i Xarxes
Agència de Protecció de Dades
● També es crea el
Registre General de
Protecció de Dades
● Els fitxers hi han
d'estar inscrits i
registrats
– Es pot fer a través de
formularis
electrònics en la
web de l'AEPD
– A Catalunya a través
de la web de
l'ACPD
55. Administració de Sistemes Informàtics i Xarxes
Infraccions
● Una altra de les
funcions de l'Agència és
imposar multes pels
incompliments de la llei
● Les sancions poden ser:
– Lleus
– Greus
– Molt greus
56. Administració de Sistemes Informàtics i Xarxes
Dades de caràcter personal
● Segons l'agència les
denuncies més fetes
durant el 2009 han
estat:
– Eliminació de
dades de
pàgines web
– Inclusions errònies
a Llistes de
morosos
– Problemes amb la
Videovigilància
57. Administració de Sistemes Informàtics i Xarxes
Infraccions i sancions
Infraccions lleus
de 600 fins a 60.101€
● No inscriure el fitxer en el registre
● Recollir dades sense informar al titular de:
- L'existència del fitxer
- De perquè es faran servir
- Dels drets de l'usuari
- De qui és el responsable del fitxer
● No atendre a les sol·licituds dels afectats
58. Administració de Sistemes Informàtics i Xarxes
Infraccions greus
Infraccions greus
Fins a 300.506 €
● Recollir dades sense el consentiment de
l'afectat
● Destinar dades a una finalitat diferent a la per la
que es va demanar
● Crear un fitxer públic sense autorització
especial
● No adoptar les mesures de seguretat
estipulades
● Mantenir dades inexactes i no fer les
correccions o cancel·lacions
59. Administració de Sistemes Informàtics i Xarxes
Infraccions molt greus
Infraccions molt greus
Fins a 601.102 €
● No atendre als drets dels usuaris
sistemàticament
● Recollida de dades de forma enganyosa o
fraudulenta
● Comunicar o cedir dades il·legalment