La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

Presentaciones similares


Presentación del tema: "Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría."— Transcripción de la presentación:

1 Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría Agencia de Protección de Datos de la Comunidad de Madrid

2 2 Dato Personal es CUALQUIER información concerniente a PERSONAS FÍSICAS identificadas o identificables Dos Definiciones Cruciales

3 3 Se consideran datos personales –Direcciones IP –Cookies –Cualquier mecanismo de seguimiento cuya información pueda vincularse al usuario y, así, elaborar perfiles

4 4 Tratamiento de Datos son las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias Dos Definiciones Cruciales

5 5 Preguntas que debería poder contestar ¿Por qué puedo tratar datos personales? ¿En qué condiciones? ¿A quién debo informar y de qué? ¿Qué medidas de seguridad debo adoptar? ¿Cómo asegurar la confidencialidad? ¿Cómo garantizo los derechos de las personas? ¿Qué puede pasar si algo va mal? ¿Quién me puede ayudar?

6 6 Debería de llevar aparejada una autoevaluación o auditoría limitada Delimitar: –¿Soy el responsable de todos los datos personales que trato? –Tratamientos (aplicaciones o sistemas de información) –Ficheros (bases de datos) –Tipos o categorías de datos (estructura de las bases de datos) Si actúo como encargado de tratamiento –¿tengo un contrato firmado? –¿tengo las instrucciones necesarias? –¿tengo especificadas las medidas de seguridad? Primeros Pasos

7 7 ¿Por qué puedo tratar datos personales? (Legitimación) ¿Para qué trato datos personales? (Finalidades) ¿De dónde provienen los datos personales que trato? Cómo informo a los interesados de: –Identidad y dirección del responsable del tratamiento –La existencia del tratamiento o fichero –Finalidades del tratamiento –Destinatarios de la información –Obligatoriedad o no de proporcionar datos –Consecuencias de suministrarlos o negarse a darlos –Derecho de acceso, rectificación, cancelación y oposición ¿Cómo actualizo los datos personales? (Actualización) ¿Durante cuanto tiempo los conservo? (Cancelación) Tratamientos

8 8 ¿Comunico datos a otros responsables? –¿Para qué? (Finalidad) –¿Qué datos? (Proporcionalidad) –¿Por qué? (Legitimación) Consentimiento (expreso para datos sensibles) Autorizado en una Ley Necesario para una relación jurídica Disposiciones sectoriales (solvencia, seguros) ¿Encargo tratamientos a terceros? –¿He firmado los correspondientes contratos? (Encargado del tratamiento - Artículo 12) –¿He incluido las medidas de seguridad que deben adoptarse? Tratamientos

9 9 ¿Realizo transferencias internacionales de datos? –¿A países adecuados? –¿En base a excepciones del artículo 34 LOPD? –¿Necesito una autorización del Director de la APD? ¿He redactado los contratos necesarios? –¿Para encargar tratamientos a terceros? ¿He redactado los contratos necesarios? ¿Cumplo con los requisitos del artículo 12 LOPD? ¿Hay alguna regulación sanitaria específica que deba tener en cuenta? Tratamientos

10 10 ¿He puesto en marcha procedimientos para: –el ejercicio de sus derechos por parte de los ciudadanos –formación para mis empleados: deber de secreto información sobre sus obligaciones derechos de los ciudadanos –la actualización de la información –la cancelación (bloqueo) de oficio de datos no necesarios –la revisión de los contratos con: proveedores clientes encargados de tratamiento y procedo a su revisión periódica? Procedimientos

11 11 Procedimiento(s) de recogida ¿Qué categorías de datos trato? (Tipificación para la notificación) ¿Trato más datos de los necesarios para mi actividad? (Proporcionalidad) ¿Trato datos especialmente protegidos? –Consentimiento expreso (en algunos casos por escrito) –Legislación habilitante ¿Trato un conjunto de datos tal que permite una evaluación de la personalidad del individuo? Tipos de Datos

12 12 –Técnicas y organizativas para: Garantizar seguridad datos personales Evitar su alteración, pérdida, tratamiento o acceso no autorizado Teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos –Real Decreto 1720/2007, de desarrollo LOPD ¿Qué medidas de seguridad debo adoptar?

13 13 ¿Sólo para ficheros automatizados? Determinación distintos niveles de seguridad Documento de seguridad de obligado cumplimiento Medidas de Seguridad

14 14 Actualización del documento si: –cambios organizativos –cambios tecnológicos –cambios legales Funciones y obligaciones del personal –formación (y actualización) –responsabilidades Establecimiento de los procedimientos necesarios Medidas de Seguridad

15 15 ¿Tengo establecidos procedimientos para: –Notificación de incidencias –Gestión de incidencias (incluye información sobre procesos de recuperación realizados y autorización escrita en nivel medio) –Pruebas ¿utilizo datos reales? Procedimientos

16 16 ¿Tengo establecidos procedimientos para: –Gestión de soportes Identificación de soportes Almacenamiento y acceso a los soportes Entrada/Salida de soportes Registro de Entrada/Salida de soportes y medidas para su desecho (medio y alto) Copias de salvaguardia y recuperación Cifrado para la distribución de soportes (alto) Registro de accesos, incluyendo retención y cancelación (alto) Procedimientos

17 17 Y aunque la ley no lo establezca –Debería realizar periódicamente un análisis de riesgos (con la profundidad que sea posible) Mantener actualizados los sistemas operativos y productos (notificación de actualizaciones) Integrar verificaciones de protección de datos en gestión de control de cambios Diseñar procesos de formación adaptados a los distintos grupos de personas –Cursos interactivos –Incentivos por formación (formalización título) Miscelánea

18 18 El responsable del fichero y cuantas personas intervienen en el tratamiento: –Están obligados al secreto profesional –Incluso tras finalizar su trabajo o sus relaciones con titular o responsable del fichero ¿Cómo asegurar la confidencialidad?

19 19 Impugnación Transparencia –Derecho de Información Acceso Rectificación Cancelación Oposición ¿Qué derechos tienen las personas?

20 20 Tutela e Indemnización –Si actuaciones contrarias a la ley: Reclamación ante la autoridad de control competente Sus resoluciones agotan la vía administrativa Recurso contencioso-administrativo contra ellas –Derecho a indemnización: Ficheros públicos: según legislación reguladora Ficheros privados: jurisdicción ordinaria ¿Y si algo va mal…?

21


Descargar ppt "Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría."

Presentaciones similares


Anuncios Google