1 Los tratamientos de datos en las Universidades y las Medidas de Seguridad del Reglamento de Desarrollo de la LOPD Mª Goretti López Deltell Consultora.

Presentación del tema: "1 Los tratamientos de datos en las Universidades y las Medidas de Seguridad del Reglamento de Desarrollo de la LOPD Mª Goretti López Deltell Consultora."— Transcripción de la presentación:

1 1 Los tratamientos de datos en las Universidades y las Medidas de Seguridad del Reglamento de Desarrollo de la LOPD Mª Goretti López Deltell Consultora Responsable de las Universidades Públicas www.apdcm.eswww.apdcm.es goretti.lopez@madrid.org III Jornada de protección de datos en las Universidades Públicas de la Comunidad de Madrid 7 de Mayo de 2008

2 - 2 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Los tratamientos de datos en las Universidades En los departamentos y centros de la Universidades como las secretarías, gerencia, departamento de Informatica, servicio de personal, etc, se tratan diariamente datos de carácter personal. Los conjuntos organizados de estos datos constituyen los ficheros La normativa y obliga a que todos estos ficheros estén declarado, registrados y que se apliquen una serie de medidas de seguridad para protegerlos

3 - 3 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Colectivos a los que pertenecen los datos Estudiantes Personal docente e investigador Personal al servicio de la Universidad Ciudadanos cuyos datos personales se han recogido en los prácticas docentes o en proyectos de investigación: pacientes de las prácticas docentes, personas encuestadas o que han participado en cualquier proyecto.

4 - 4 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Responsable de ficheros Definición: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento Funciones: Declarar los ficheros de datos de carácter personal. Atender a los ciudadanos sobre el ejercicio de derechos. Adopción de medidas de seguridad Responsabilidad sobre la ejecución material del tratamiento de datos Es el responsable de identificar los datos de carácter personal, inventariar y declarar los ficheros y de adoptar las medidas de seguridad para defender la privacidad de esos datos frente a las amenazas o riesgos

5 - 5 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Unidades Responsables Órganos centrales: Vicerrectorados, Secretaría General, Gerencia. Centros docentes: Facultades y Escuelas Personal docente e investigador

6 - 6 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Relación de ficheros más comunes Acceso a la Universidad Matriculación Tarjeta universitaria Becas y ayudas Gestión académica Títulos oficiales

7 - 7 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Relación de ficheros más comunes Asociaciones universitarias Movilidad de alumnos y profesores Orientación y empleo Masters Doctorado Planificación de la docencia Encuestas de evaluación a profesores Proyectos de Investigación

8 - 8 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Relación de ficheros más comunes Concursos y oposiciones Bibliotecas universitarias Actividades deportivas y culturales Gestión de recursos humanos Nóminas Control horario Correo electrónico

9 - 9 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Relación de ficheros más comunes Servicio médico Registro general de documentos Claustro Residentes en colegios mayores Defensor Universitario Videovigilancia

10 - 10 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Ficheros registrados de las Universidades En el Registro de Ficheros Total 181 Ficheros 164 Automatizados 10 Manuales 7 Mixtos

11 - 11 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Videovigilancia en las Universidades La grabación de imágenes y sonido es un tratamiento de datos personales. Deberá cumplir los requisitos de la Instrucción 1/2007 de la APDCM. La declaración de estos ficheros requiere un informe del responsable del fichero, justificando la necesidad de esta medida. Se deberá informar mediante carteles visibles de la utilización de las videocámaras en la zona. (Derecho de información del Art.5)

12 - 12 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Videovigilancia en las Universidades

13 - 13 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Medidas de Seguridad Las medidas de seguridad están recogidas en el Titulo VIII, del Real Decreto1720/2007, de 21 de diciembre. Las medidas de seguridad para los ficheros automatizados son prácticamente las mismas que en el anterior Reglamento de Medidas de Seguridad Se establecen medidas obligatorias para los ficheros manuales

14 - 14 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Aplicación de Niveles La aplicación en tres niveles se realiza: En función de la naturaleza de los datos En función de los responsables de estos datos En función de la finalidad Aparecen nuevos ficheros de nivel medio Seguridad Social Mutuas. Operadores de Comunicaciones (Nivel medio y Registro de accesos ) Nuevos ficheros de nivel alto Ficheros de Violencia de Género

15 - 15 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Aplicación de Niveles Se rebaja el nivel de seguridad de alto a básico, cuando: La finalidad sea transferencias de dinero a las entidades de las que sean socios o abonados (datos de: ideología, religión, creencias, origen racial, salud, vida sexual). La finalidad sea cumplimiento de deberes públicos (datos de salud: incapacidad, invalidez). ficheros manualesAparezcan datos sensibles en ficheros manuales, sin guardar relación con la finalidad, de forma incidental o accesoria. En los sistemas de tratamientos Se podrán segregar ficheros o tratamientos de un sistema en función del nivel de seguridad (constará en el documento de seguridad). En caso contrario se aplicará a todo el sistema el nivel máximo.

16 - 16 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Ficheros que contengan algunos de los siguientes tipos de datos, cuando no constituyan un perfil - Identificativos - Características personales - Circunstancias sociales - Académicos y profesionales - Empleo y carrera administrativa - Información comercial - Económico-financieros -Transacciones Ficheros con finalidad exclusiva para pagos a sus abonados - Con datos especialmente protegidos (Ideología, etc.) Ficheros para deberes públicos -Con datos de minusvalías Ficheros forma incidental -Con datos especialmente protegidos Ficheros que contengan datos: - Del nivel Básico, que permitan obtener un perfil de la persona - Sobre infracciones penales y administrativas Ficheros cuyos responsables sean: - Admón. Tributarias y competencias tributarias -Entidades Financieras y competencias financieras -De Solvencia patrimonial y crédito -Seguridad Social y competencias recaudatorias -Mutuas -Operadores Servicios comunicaciones, Ficheros que contengan datos : - Especialmente protegidos (Ideología, creencias, religión, origen racial, salud, afiliación sindical o vida sexual) - Recabados para fines policiales - Violencia de género Básico Medio Alto Aplicación a los Niveles de Seguridad

17 - 17 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Encargado del tratamiento Encargado del Tratamiento:Se concretan las relaciones con los encargados de tratamiento Se deberá hacer constar en el Documento de Seguridad la existencia o no de encargado de tratamiento. Si accede a los locales, o si se trata de un acceso remoto. Cuando los tratamientos se efectúen en los locales del encargado corresponderá al encargado elaborar el Documento de Seguridad. Identificando ficheros y responsables En todo caso el Encargado y su personal quedaran obligados al cumplimiento de las medidas del Reglamento En las prestaciones sin acceso a los datos Se limitará el acceso a datos, soportes y sistemas Si el personal es externo, el contrato recogerá la prohibición del acceso y la obligación de secreto

18 - 18 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Acceso a datos a través de redes de telecomunicación sean públicas o privadas El régimen de trabajo fuera de los locales del responsable se extiende a los portátiles Ficheros temporales o copias de trabajo de documentos Deberán cumplir el nivel de seguridad correspondiente Deberán ser destruidos o borrados al finalizar el trabajo temporal Delegaciones del responsable El responsable podrá delegar en otras personas la concesión de autorizaciones: acceso a los datos, tratamiento de datos en portátiles, etc. Deberán constar en el Documento de seguridad Otras Disposiciones Generales

19 - 19 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 El Documento de Seguridad De obligado cumplimiento para el personal con acceso a los datos y a los sistemas de información Contenido: –Á mbito de aplicación detallando recursos protegidos –Medidas, normas, procedimientos, reglas y estándares –Funciones y obligaciones del personal –Estructura de los ficheros y sistemas que los tratan –Procedimiento de notificación, gestión y respuesta de incidencias –Procedimientos de realización de copias de respaldo y recuperación de datos –Medidas para el transporte de soportes y documentos, así como para la destrucción y reutilización. Continua revisión y actualización del documento Adecuación a la normativa vigente en cada momento Controles periódicos a realizar para verificar su cumplimiento Designación de un responsable de seguridad.

20 - 20 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Novedades - Documento de Seguridad Flexibilidad en cuanto a su organización Único Ficheros o tratamientos según sistema tratamiento Otros criterios Desde el nivel básico Medidas para el transporte de soportes y documentos, destrucción y reutilización Tratamientos de datos por terceros Identificación de los ficheros y tratamientos tratados Se referenciará en el documento: el contrato, su vigencia y el encargado, Si los sistemas son exclusivos del encargado, podrá delegarse la llevanza del documento, deberá constar en el contrato (Art. 12 LOPD)

21 - 21 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Medidas de seguridad exigiblesNivel Básico Nivel Medio Nivel Alto Documento de seguridadxxx Responsable de Seguridadxx Funciones y obligaciones del personalxxx Registro de incidenciasxxx Control de accesoxxx Identificación y Autenticaciónxxx Control de acceso físicoxx Copias de respaldo y recuperaciónxxx Gestión de soportesxxx Auditoria periódicaxx Distribución de soportesx Registro de accesox Telecomunicacionesx Medidas - Ficheros automatizados

22 - 22 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Novedades - Medidas de Seguridad-Nivel básico Funciones y obligaciones Se definirán las funciones de control y las delegadas Registro de Incidencias Las medidas correctoras aplicadas Identificación y autenticación Desde el nivel básico deberá existir un mecanismo que permita la identificación de forma inequívoca y personalizada, de cada usuario y la verificación de que está autorizado Las contraseñas se cambiaran con la periodicidad que se establezca en el documento que no podrá ser superior al año. Gestión de soportes Medidas obligatorias en la salidas que se amplían a los anejos de los correos electrónicos, siendo necesaria la autorización del responsable Medidas para el traslado, que impidan sustracción, perdida o acceso indebido Medidas en los desechos de soportes y documentos, siendo necesario la destrucción o borrado y adopción de medidas, que impidan el acceso o la recuperación de la información

23 - 23 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Novedades-Medidas de Seguridad-Nivel básico Copias de respaldo y recuperación Verificación al menos cada 6 meses, por el responsable Desde el nivel básico, no se realizaran pruebas con datos reales, salvo que se asegure el nivel de seguridad correspondiente Se realizara una copia de seguridad, antes de realizar pruebas con datos reales

24 - 24 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Medidas de Seguridad-Nivel Medio - Auditoría Los sistemas e instalaciones se someterán a una auditoria interna o externa, que verifique el cumplimiento del Reglamento,..., al menos, cada dos años. El informe de auditoria debe dictaminar sobre la adecuación de las medidas y controles, identificar sus deficiencias y proponer las medidas correctoras necesarias Los informes de auditoria serán analizados por el Responsable de seguridad que elevará las conclusiones al responsable del Fichero para que adopte las medidas adecuadas y quedarán a disposición de la Agencia de Protección de Datos

25 - 25 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Novedades - Medidas de Seguridad-Nivel alto Gestión y distribución de soportes Además del cifrado en la distribución de los soportes: Se cifrarán los datos que existan en los ordenadores portátiles, cuando estén fuera de los locales del responsable Se evitará el tratamiento de datos en portátiles que no permitan su cifrado. Se podrá excepcionar adoptando medidas alternativas, que tengan en cuenta los riesgos Registro de accesos No será necesario si concurren dos circunstancias que constaran en el Documento de Seguridad: Cuando el responsable del fichero sea una persona física Cuando el responsable sea el único usuario

26 - 26 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Medidas de seguridad exigiblesNivel Básico Nivel MedioNivel Alto Documento de seguridad xxx Responsable de seguridad xx Funciones y obligaciones del personal xxx Registro de incidencias xxx Control de acceso xxx Criterios de archivo xxx Dispositivos de almacenamiento xxx Custodia de los soportes xxx Gestión de soportes xxx Auditoria periódica xx Almacenamiento de la información x Copia o reproducción x Acceso a la documentación x Traslado de documentación x Medidas - Ficheros manuales

27 - 27 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Ficheros manuales –Nivel básico Criterios de Archivo -Establecidos por normativa ó por el responsable -La conservación, la localización y Consulta -Posibilitar el ejercicio de los derechos de acceso, rectificación y cancelación. Dispositivos de almacenamiento -Con mecanismos que obstaculicen su apertura -Cuando no sea posible se adoptaran medidas que impidan el acceso a personas no autorizadas Custodia de soportes -Cuando la documentación, no se encuentre archivada en los dispositivos de almacenamiento,la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada

28 - 28 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Ficheros manuales de nivel Alto Almacenamiento de la información -Las áreas o locales donde se encuentren los armarios, archivadores, u otros elementos donde se almacene la documentación, deberán estar dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Copia o reproducción -La reproducción de copias solo será realizada bajo el control de personas autorizadas en el documento de seguridad. -Se deberá destruir las copias o reproducciones desechadas, para impedir el acceso a la información contenida en las mismas o su reproducción posterior. Acceso a la documentación -Exclusivamente para el personal autorizado -Se establecerán mecanismos, para identificar los accesos realizados, en el caso de documentos que puedan ser utilizados por múltiple usuarios. -Existirá un procedimiento establecido en el documento de seguridad para registrar el acceso de personas, cuando no sea posible implantar estos mecanismos. Traslado de documentación -Se deberán adoptar medidas, que impidan el acceso o manipulación en el traslado

29 - 29 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Plazos implantación-Ficheros Automatizados Nivel medio - 1 año  19 abril 2009 Nivel alto-18 meses  19 octubre 2009 Entidades Gestoras Seguridad Social Mutuas Los ficheros que puedan ofrecer un perfil o evaluar aspectos de personalidad, no prevista por RD 994/1999. Otros supuestos, cualquier aspecto que pueda exigir este nivel, no previsto por RD 994/1999. Violencia de género. Los operadores con datos de trafico y localización

30 - 30 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Plazos implantación Ficheros no automatizados Los ficheros, automatizados y no automatizados, creados después de 19 abril 2008 deberán tener implantadas la totalidad de las medidas de seguridad reguladas. Nivel básicoNivel medioNivel alto 1 año 19 abril 2009 18 meses 19 octubre 2009 2 años 19 abril 2010

31 - 31 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS DOCUMENTO SEGURIDAD El sistema permite generar tantos documentos de seguridad como desee el responsable, para 1 o “n” ficheros cada uno de ellos.

32 - 32 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS DOCUMENTO SEGURIDAD Los ficheros seleccionados para los que se va a generar el documento podrán ser del mismo o diferente tipo y/o nivel de seguridad.

33 - 33 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS DOCUMENTO SEGURIDAD Para elaborar el documento, el sistema facilitará todos los apartados que correspondan a los ficheros incluidos en el documento, en función de su tipo y nivel de seguridad, pudiendo personalizarlas.

34 - 34 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS DOCUMENTO SEGURIDAD El responsable podrá gestionar automáticamente su Registro de Soportes de Entrada.

35 - 35 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS DOCUMENTO SEGURIDAD El responsable podrá gestionar automáticamente su Registro de Soportes de Salida.

36 - 36 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS DOCUMENTO SEGURIDAD El responsable podrá gestionar automáticamente su Registro de Usuarios.

37 - 37 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS DOCUMENTO SEGURIDAD El responsable podrá gestionar automáticamente su Registro de Incidencias.

38 - 38 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS INFORMES DE AUDITORIA El sistema permite generar el informe resumen de las auditorias bienales de seguridad realizadas. Los informes se podrán generar para 1 o “n” ficheros.

39 - 39 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS INFORMES DE AUDITORIA El sistema permite aplicar la información utilizada para realizar un informe como modelo para generar automáticamente los informes de “n” ficheros.

40 - 40 - III Jornada de Protección de Datos en las Universidades Públicas - 7 de Mayo de 2008 Agencia de Protección de Datos de la Comunidad de Madrid Protección de Datos Personales para Universidades Públicas CUMPLE – HERRAMIENTA DE AYUDA AL RESPONSABLE DE FICHEROS INFORMES DE AUDITORIA Una vez seleccionados los ficheros a los que corresponde el informe, el sistema irá formulando preguntas, dependiendo del tipo de fichero y del nivel de seguridad que le corresponda. Una vez concluido el informe, éste puede remitirse telemáticamente a la Agencia

41