Upload
ruthherrero
View
279
Download
0
Embed Size (px)
DESCRIPTION
Conceptos básicos sobre la LOPD. Esta presentación quiere proporcionar unos conceptos y conocimientos básicos sobre la legislación española en protección de datos.
Citation preview
LOPD: Ley Orgánica de
Protección de Datos
Motivación de la Legislación
Tecnologías de la Información
Ventajas
•Aumento de la productividad
•Acceso más rápido a la
información.
Desventajas/Riesgos
•Acceso más fácil a los datos: posible vulneración
del derecho a la protección de la intimidad.
•Un comercial se lleva bases de datos de clientes
•Perdemos un portátil con información de un
proyecto
Antecedentes y
Legislación Actual
Constitución Española 1978 (art. 18) Declaración Universal de
Derechos Humanos
Ley Orgánica 5/1992, de 29 de
octubre, de Regulación del
Tratamiento Automatizado de los
Datos de Carácter Personal
(LORTAD)
RD 994/1999 que aprueba el
Reglamento de Medidas de
Seguridad de los Ficheros
Automatizados que Contengan
Datos de Carácter Personal
Ley Orgánica 15/1999, de 13 de
diciembre de Protección de Datos de
Carácter Personal
RD 1720/2007 por el que se
aprueba el Reglamento de
Desarrollo de la Ley Orgánica de
Protección de Datos.
Conceptos Básicos
• Dato de carácter personal: Cualquier información concerniente a
personas físicas identificadas o identificables, tanto la relativa a su
identidad (como nombre y apellidos, domicilio, filiación, etc...) como la
relativa a su existencia y ocupaciones (estudios, trabajo, enfermedades,
etc...): Cualquier dato que identifique o permita identificar a una
persona física
• Fichero de datos personales: Todo conjunto organizado de datos
de carácter personal, cualquiera que sea la forma o modalidad de su
creación, almacenamiento, organización y acceso, constituye lo que la ley
llama fichero.
Tipos de datos
(niveles)
Infracción administrativa o
penal
Hacienda pública
Servicios financieros, crédito
Solvencia patrimonial
Evaluación de la personalidad
Resto de datos de carácter personal
Ideología u opciones
políticas
Afiliación sindical
Religión
Creencias
Origen racial
Salud y vida sexual
Nivel 3
Nivel 2
Nivel 1
Niveles de seguridad
Niveles de protección
aplicables
Figuras Implicadas
Responsable Fichero
Ante quien pueden
ejercitarse los Derechos
ARCO
Unidad de Dchos ARCO
Destinatario al que se le
comunican datos.
Cesionario
Titular de los datos Afectado
Persona designada por el Responsable del
Fichero para coordinar y controlar la
Política de Protección de datos
Responsable Seguridad
Decide sobre la Finalidad,
Uso y Contenido del Fichero,
aunque no lo materialice.
Realiza un tratamiento por
cuenta del Responsable del
Fichero.
Encargado Tratamiento
LA EMPRESA
Derechos y Obligaciones
Información
Acceso
Rectificación
Cancelación
Oposición
Indemnización
Derecho de Impugnación de Valores
Derechos del Afectado
Inscripción de Ficheros
Principio de Calidad de los datos
Deber de Información
Principio de Consentimiento
Facilitar el ejercicio derechos
Deber de Secreto
Deber de Seguridad
Respetar Finalidad, uso y contenido del fichero
Obligaciones del Responsable
Garantizar el derecho a la intimidad recogido en la
Constitución y desarrollado en la LOPD 15/1999
DERECHOS DEL AFECTADO OBLIGACIONES RESP. FICHERO
Derecho de información Notificar a la AEPD los ficheros
Derecho de acceso Recoger datos adecuados, pertinentes y no
excesivos
Derecho de rectificación Informar previo a la recogida de datos
Derecho de cancelación Recoger consentimiento para tratamiento
y/o cesión de datos
Derecho de oposición Facilitar el acceso a derechos ARCO
Derecho de impugnación de valores Guardar secreto de los datos obtenidos
Derecho de indemnización Respetar finalidad, uso y contenido del
fichero
Derecho de consulta Implantar medidas de seguridad
Medidas De Seguridad
Funciones y Obligaciones del personal – Controles y Autorizaciones
Documento de Seguridad actualizado
Registro de incidencias
Identificación y autenticación
Relación actualizada de usuarios con acceso autorizado
Procedimiento de asignación, distribución y almacenamiento de contraseñas que
garantice su confidencialidad e integridad
Contraseñas cambiadas con periodicidad y almacenadas inteligibles (encriptadas)
Control de acceso
Inventario e Identificación de Soportes – Autorización para Salidas
Copias de Seguridad Semanales – Control y Verificación semestral
Procedimiento de Archivo
Custodia de documentación en proceso de manipulación o elaboración
Dispositivos de almacenamiento con mecanismos que impidan el acceso no autorizado
Medidas De Seguridad
Identificación del Responsable de Seguridad
Auditoría Bienal o siempre que existan cambios sustanciales
Registro de Entrada y Salida de Soportes
Limitar el intento de accesos no autorizados al Sistema
Control de Acceso Físico
Procedimiento de recuperación de datos en el Registro de Incidencias
Obligaciones Nivel Básico
+
Medidas De Seguridad
Obligaciones Nivel Básico y Medio
+ Etiquetado y Cifrado de Soportes
Almacenamiento externo de Copia de Seguridad
Registro de Accesos al Sistema durante dos años
Cifrado de datos en transmisiones a través de redes de comunicaciones
Áreas restringidas cerradas para elementos de almacenamiento
Acceso a la documentación exclusivamente por personal autorizado
Registro de Accesos a la documentación
Autorización para copias de documentos en el Documento de Seguridad
Destrucción Permanente de Documentos
Garantizar la Seguridad en el Traslado físico de documentos.
Responsable de Seguridad
Puesta en marcha de las medidas de seguridad
Controlar el cumplimiento de las medidas de seguridad
Mantener actualizado el Documento de seguridad
Colaborar en la difusión del Documento de seguridad
Gestionar las incidencias del sistema
Controles periódicos de verificación del cumplimiento Actualización del listado de Usuarios
Comprobación de copias de seguridad
Registros de entradas y salidas
Estructura de datos de los ficheros
Plataformas hardware y software
Incidencias
No solicitar la inscripción de los ficheros ante la AEPD
Proceder a la recogida de datos sin cumplir con el Deber de Información
No atender la solicitud de rectificación o cancelación
No proporcionar a la APD información en relación con aspectos sustantivos
de la protección de datos
Incumplir el deber de secreto, salvo que constituya infracción grave
Sanción
INFRACCIÓN
Prescripción
LEVE
601,01 € a 60.101,21 €
1 año
Motivos
Infracciones y Sanciones
Crear ficheros con finalidades distintas a las de constitución
Recabar datos de carácter personal sin consentimiento del afectado
No atender la solicitud de Acceso y Oposición
Mantener datos inexactos o no efectuar las rectificaciones exigidas
Tratar los datos violando los principios y garantías de la LOPD
Incumplir el Deber de Secreto sobre datos de Nivel Medio
No remitir a la AEPD las notificaciones previstas
Mantener Ficheros, Locales, Programas o Equipos sin Medidas Seguridad
La obstrucción al ejercicio de la función inspectora
No inscribir el fichero cuando ya ha sido requerido por la AEPD
Incumplir el Deber de Información cuando los datos se recaben de personas
distintas al afectado
Sanción
INFRACCIÓN
Prescripción
Motivos
Infracciones y Sanciones
GRAVE
60.101,21 € a 300.506,05 €
2 años
Recogida de datos de forma engañosa o fraudulenta
Recabar datos especialmente protegidos sin consentimiento expreso
No atender u obstaculizar sistemáticamente el ejercicio de derechos ARCO
Vulnerar el Deber de Secreto sobre datos especialmente protegidos
La comunicación o cesión de datos fuera de los casos en los que no esté permitida
No cesar en el uso ilegítimo a petición de la AEPD
Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que
sean de aplicación
No atender sistemáticamente la inscripción de ficheros ante la AEPD
Transferencia internacional con destino a países sin nivel de protección equiparable
o sin autorización del Dtor. de la AEPD
Sanción
INFRACCIÓN
Prescripción
Motivos
Infracciones y Sanciones
MUY GRAVE
300.506,05 € a 601.012,10 €
3 años
¿Cómo implantar la LOPD?
Esencialmente la LOPD exige a todas las empresas realizar unos
procedimientos legales o ADAPTACIÓN JURÍDICA, LO/15/1999.
Además exige la implantación de unas medidas de seguridad informática
mínimas o ADAPTACIÓN INFORMÁTICA, detalladas en el Real
Decreto de Medidas de Seguridad RD/1720/2007.
Ambos puntos son obligatorios para que las empresas, administraciones y
autónomos puedan CUMPLIR AL 100% LA LOPD.
¿
¿Que Obligaciones Tiene Mi Empresa?
OBLIGACIONES JURÍDICAS OBLIGACIONES TECNOLÓGICAS
Cumplir al
100% la
LOPD
• DOCUMENTO DE SEGURIDAD DINÁMICO
• CONTROL DE E/S SOPORTES
• CONTROL DE INCIDENCIAS
• INSCRIPCIÓN DE FICHEROS
•CONTROL DE USUARIOS
•REGISTRO DE ACCESOS DURANTE 24 MESES
•ENCRIPTACIÓN
•EVITAR ACCESOS NO AUTORIZADOS
¿Qué Ocurre Si Solo
Cumplo una Parte de la LOPD?
SOLO ADAPTACIÓN JURIDICA = SANCIÓN
SOLO ADAPTACIÓN INFORMATICA = SANCIÓN
¿Qué plazo tengo para adaptarme a la LOPD?
-Para ficheros automatizados: 3 años desde 14/09/1999: PLAZO FINALIZADO
-Para ficheros no automatizados: 12 años desde 34/10/1995: PLAZO FINALIZADO