Embed Size (px)
Citation preview
Foro de Seguridad 2010RedIRIS
Universidad Autónoma de Madrid23 de abril de 2010
Emilio Aced FélezSubdirector General de Registro de Ficheros y Consultoría
Agencia de Protección de Datos de la Comunidad de [email protected]
www.apdcm.es
2
Dato Personal es CUALQUIER información
concerniente a PERSONAS FÍSICAS
identificadas o identificables
Dos Definiciones Cruciales
3
Dos Definiciones Cruciales
•Se consideran datos personales–Direcciones IP–Cookies–Cualquier mecanismo de seguimiento cuya información pueda vincularse al usuario y, así, elaborar perfiles
4
Tratamiento de Datos son las operaciones y procedimientos
técnicos de carácter automatizado o no, que permitan la recogida,
grabación, conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones de datos que resulten
de comunicaciones, consultas, interconexiones y transferencias
Dos Definiciones Cruciales
5
Preguntas que debería poder
contestar• ¿Por qué puedo tratar datos
personales?• ¿En qué condiciones?• ¿A quién debo informar y de qué?• ¿Qué medidas de seguridad debo
adoptar?• ¿Cómo asegurar la confidencialidad?• ¿Cómo garantizo los derechos de las
personas?• ¿Qué puede pasar si algo va mal?• ¿Quién me puede ayudar?
6
• Debería de llevar aparejada una autoevaluación o “auditoría limitada”
• Delimitar:– ¿Soy el responsable de todos los datos personales que
trato?– Tratamientos (aplicaciones o sistemas de información)– Ficheros (bases de datos)– Tipos o categorías de datos (estructura de las bases
de datos)
• Si actúo como encargado de tratamiento– ¿tengo un contrato firmado?– ¿tengo las instrucciones necesarias?– ¿tengo especificadas las medidas de seguridad?
Primeros Pasos
7
• ¿Por qué puedo tratar datos personales? (Legitimación)
• ¿Para qué trato datos personales? (Finalidades)• ¿De dónde provienen los datos personales que trato?• Cómo informo a los interesados de:
– Identidad y dirección del responsable del tratamiento– La existencia del tratamiento o fichero– Finalidades del tratamiento– Destinatarios de la información– Obligatoriedad o no de proporcionar datos– Consecuencias de suministrarlos o negarse a darlos– Derecho de acceso, rectificación, cancelación y oposición
• ¿Cómo actualizo los datos personales? (Actualización)
• ¿Durante cuanto tiempo los conservo? (Cancelación)
Tratamientos
8
• ¿Comunico datos a otros responsables?– ¿Para qué? (Finalidad)– ¿Qué datos? (Proporcionalidad)– ¿Por qué? (Legitimación)
Consentimiento (expreso para datos sensibles) Autorizado en una Ley Necesario para una relación jurídica Disposiciones sectoriales (solvencia, seguros)
• ¿Encargo tratamientos a terceros?– ¿He firmado los correspondientes contratos?
(Encargado del tratamiento - Artículo 12)– ¿He incluido las medidas de seguridad que
deben adoptarse?
Tratamientos
9
• ¿Realizo transferencias internacionales de datos?– ¿A países adecuados?– ¿En base a excepciones del artículo 34
LOPD?– ¿Necesito una autorización del Director de
la APD? ¿He redactado los contratos necesarios?
– ¿Para encargar tratamientos a terceros? ¿He redactado los contratos necesarios? ¿Cumplo con los requisitos del artículo 12 LOPD?
• ¿Hay alguna regulación sanitaria específica que deba tener en cuenta?
Tratamientos
10
• ¿He puesto en marcha procedimientos para:– el ejercicio de sus derechos por parte de los
ciudadanos– formación para mis empleados:
deber de secreto información sobre sus obligaciones derechos de los ciudadanos
– la actualización de la información– la cancelación (bloqueo) de oficio de datos no
necesarios– la revisión de los contratos con:
proveedores clientes encargados de tratamiento
y procedo a su revisión periódica?
Procedimientos
11
• Procedimiento(s) de recogida• ¿Qué categorías de datos trato?
(Tipificación para la notificación)• ¿Trato más datos de los necesarios para
mi actividad? (Proporcionalidad)• ¿Trato datos especialmente protegidos?
– Consentimiento expreso (en algunos casos por escrito)
– Legislación habilitante
• ¿Trato un conjunto de datos tal que permite una evaluación de la personalidad del individuo?
Tipos de Datos
12
–Técnicas y organizativas para: Garantizar seguridad datos personales
Evitar su alteración, pérdida, tratamiento o acceso no autorizado
Teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos
–Real Decreto 1720/2007, de desarrollo LOPD
¿Qué medidas de seguridad debo adoptar?
13
•¿Sólo para ficheros automatizados?
•Determinación distintos niveles de seguridad
•Documento de seguridad de obligado cumplimiento
Medidas de Seguridad
14
• Actualización del documento si:
– cambios organizativos
– cambios tecnológicos
– cambios legales
• Funciones y obligaciones del personal
– formación (y actualización)
– responsabilidades
• Establecimiento de los procedimientos necesarios
Medidas de Seguridad
15
•¿Tengo establecidos procedimientos para:– Notificación de incidencias– Gestión de incidencias (incluye información sobre procesos de recuperación realizados y autorización escrita en nivel medio)
– Pruebas ¿utilizo datos reales?
Procedimientos
16
• ¿Tengo establecidos procedimientos para:– Gestión de soportes
Identificación de soportesAlmacenamiento y acceso a los soportesEntrada/Salida de soportesRegistro de Entrada/Salida de soportes y medidas para su desecho (medio y alto)
Copias de salvaguardia y recuperaciónCifrado para la distribución de soportes (alto)
Registro de accesos, incluyendo retención y cancelación (alto)
Procedimientos
17
• Y aunque la ley no lo establezca– Debería realizar periódicamente un análisis de
riesgos (con la profundidad que sea posible)
• Mantener actualizados los sistemas operativos y productos (notificación de actualizaciones)
• Integrar verificaciones de protección de datos en gestión de control de cambios
• Diseñar procesos de formación adaptados a los distintos grupos de personas– Cursos interactivos– Incentivos por formación (formalización título)
Miscelánea
18
•El responsable del fichero y cuantas personas intervienen en el tratamiento:
–Están obligados al secreto profesional
– Incluso tras finalizar su trabajo o sus relaciones con titular o responsable del fichero
¿Cómo asegurar la confidencialidad?
19
• Impugnación• Transparencia
–Derecho de Información• Acceso• Rectificación• Cancelación• Oposición
¿Qué derechos tienenlas personas?
20
•Tutela e Indemnización– Si actuaciones contrarias a la ley:
Reclamación ante la autoridad de control competente
Sus resoluciones agotan la vía administrativa Recurso contencioso-administrativo contra
ellas
– Derecho a indemnización: Ficheros públicos: según legislación
reguladora Ficheros privados: jurisdicción ordinaria
¿Y si algo va mal…?
