La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Protección de Datos Personales La Ley aplicada a nuestro

Publicada porBalduino Bonilla Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Protección de Datos Personales La Ley aplicada a nuestro"— Transcripción de la presentación:

1 Protección de Datos Personales La Ley aplicada a nuestro
día a día Marzo 2011

2 Agenda Introducción Conceptos, alcance y responsabilidades
Casos aplicados Acciones realizadas y a realizar Conclusiones Preguntas y respuestas 2

3 Introducción La Ley de Protección de Datos Personales es una norma vigente y de alcance nacional, que tiene por objetivo la protección integral de los datos personales asentados. El Consejo entiende que es de vital importancia la capacitación de todos sus colaboradores acerca del contenido de la Ley, de la forma en que ésta alcanza y afecta al trabajo de todos. Teniendo estos objetivos por delante, estas charlas brindarán conocimientos y herramientas de aplicación en el ámbito laboral y personal, generando conciencia acerca de los derechos, obligaciones y responsabilidades por ella asignados. La Ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bases o bancos de datos, a fin de garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre. 3

4 Conceptos Titular: persona cuyos datos sean objeto de tratamiento.
Responsable: persona física o de existencia ideal, pública o privada, propietario de un archivo, registro o base de datos. Usuario: persona pública o privada que realice el tratamiento de los datos, directamente o a través de conexión con los mismos. Archivo de datos: conjunto organizado de datos personales que sean objeto de tratamiento. Tratamiento: operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, almacenamiento, modificación, destrucción y en general, el procesamiento de datos personales, así como su cesión a terceros. 4

5 Conceptos (cont.) RESPONSABLE TITULAR Archivo de datos USUARIO
DATOS PERSONALES Tratamiento de datos Sr. Juan Pérez Av. Rivadavia 1234 Tel CUIT 5

6 Alcance Proteger los datos personales asentados en archivos, registros, bases o bancos de datos. Estén soportados en papel, planillas, bases de datos, CDs, pendrives, o cualquier dispositivo de almacenamiento. Son datos personales la información referida a personas físicas o jurídicas, determinadas o determinables. Son datos personales sensibles aquellos que revelen origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, referentes a la salud o a la vida sexual. Son bases lícitas aquellas que están registradas y aseguradas según indica la Ley. 6

7 Alcance (cont.) Principios del tratamiento de datos: Finalidad Licitud
Consentimiento Calidad de los datos Información Categoría Seguridad de los datos Confidencialidad Cesión Disociación Finalidad: Licitud: 1) El titular de los datos debe prestar consentimiento libre, expreso e informado. Consentimiento: 2) El consentimiento no será necesario cuando se recabe información para el ejercicio de funciones propias y/o se limiten a nombre, documento, identificación tributaria, ocupación, fecha de nacimiento y domicilio. 3) Se deberá informar previamente a los titulares de los datos en forma expresa y clara: La finalidad de su tratamiento y sus posibles destinatarios. La existencia del archivo donde se registrarán los datos. La posibilidad de ejercer derecho de acceso, rectificación y supresión de los datos. Calidad: 1) Deben ser ciertos, adecuados, pertinentes y no excesivos al ámbito y finalidad para los que se hubieran obtenido. 2) Su recolección no puede hacerse por medios desleales. 3) No pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. 4) Deben ser exactos y actualizarse en los casos que sean requeridos. 5) Los datos total o parcialmente inexactos o incompletos deben ser suprimidos, sustituidos o completados. 6) Deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular. 7) Deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiese sido recolectados. Seguridad: 1) El responsable/usuario de los datos debe adoptar medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de los datos, evitando su adulteración, pérdida, consulta o tratamiento no autorizado. 2) Está prohibido registrar datos personales en archivos que no reúnan condiciones técnicas de integridad y seguridad. 3) El responsable/usuario de los datos está obligado a guardar secreto profesional, aún después de finalizada su relación. 4) En caso de una cesión de datos, el cesionario queda sujeto a las mismas obligaciones legales y reglamentarias que el cedente, y responderá solidaria y conjuntamente ante un reclamo. 5) Está prohibida la transferencia de datos personales con países u organismos que no proporcionen niveles de seguridad adecuados. Cesión: El cesionario está sujeto a las mismas obligaciones del cedente y ambos responden solidaria y conjuntamente por su observancia, ante el organismo de control y el titular de los datos. Debe verificarse si la empresa proveedora o a la que se terceriza algún tratamiento de datos cumple con las obligaciones de la Ley. Disociación: todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable. 7

8 Responsabilidades La DNPDP es el órgano nacional que controla los archivos, registros, bases o bancos de datos registrados, asegurando la efectiva tutela de los datos personales de los titulares. Los responsables y usuarios de los datos están obligados a adoptar medidas de seguridad que deben abarcar tanto pautas técnicas como capacitación al personal sobre estos temas. La DNPDP tiene facultades para regular los requisitos de dichas medidas de seguridad y controlar su efectiva implementación. Registro obligatorio de bases de datos personales dispuesto por la Ley : permite a la DNPDP conocer y controlar a los registros, archivos, bases o bancos de datos. las personas podrán conocer qué tipo de información es la que maneja cada base de datos y quién es el responsable de la misma. La DNPDP dictó en el año 2006 la Disp. 11/06 sobre “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales”: a) Documento de Seguridad de Datos Personales. Pueden adoptarse medidas de seguridad de diseño y gestión propios, o tomarse de otros. b) 3 niveles de seguridad: A cada nivel le corresponden medidas de seguridad específicas. Básico: Estas medidas se deberán adoptar para todas las bases de datos que contengan información personal. Inclusión de rutinas de control, que minimicen la posibilidad de incorporar datos ilógicos, incorrectos o faltantes. Registros de incidentes de seguridad Procedimientos para efectuar las copias de respaldo y de recuperación de datos. Perfiles y privilegios. Política de contraseñas Prevención de software malicioso Medio: Archivos que contengan datos personales, de entidades que cumplan una función pública y/o privada y deban guardar reserva de la misma, en particular si se trata de datos relativos a antecedentes penales y contravencionales o información amparada por los secretos fiscal y bancario, así como también para los archivos de las empresas privadas de servicios públicos (telecomunicaciones, energía y agua). Además de las medidas de Seguridad de nivel Básico, deberán adoptarse: Realización de auditorías. Control de acceso físico. Adecuada gestión de soportes. Pruebas de funcionamiento con datos ficticios. Crítico: Para todos los archivos que contengan “datos sensibles”. Además de las Medidas de Seguridad de Nivel Medio, deberán adoptarse: Datos cifrados si se distribuyen soportes. Registro de accesos integral. Copias de respaldo locales y externas, situadas fuera de la localización, en caja ignífuga o en caja de seguridad bancaria. Procedimiento de recuperación de la información y de su tratamiento. Encriptación de datos que se transmitan a través de redes de comunicación. 8

9 Responsabilidades (cont.)
Administrar bases de datos registradas. Proveer calidad, confidencialidad y seguridad a los datos asentados. Cumplir con los derechos de los titulares en cuanto al acceso, rectificación, actualización y/o supresión de los datos. Brindar información de sus datos personales dentro de los 10 (diez) días corridos de solicitados. Rectificar, actualizar y/o suprimirlos en un plazo máximo de 5 (cinco) días hábiles del reclamo, sin cargo alguno para el interesado. Tener los consentimientos informados para el tratamiento y cesión de datos. 9

10 Casos aplicados En la oficina de Recursos Humanos de una fábrica existe un fichero rotativo donde se registran los datos básicos de los empleados de planta (nombre y apellido, dirección y teléfono). Este fichero está accesible arriba de un escritorio y es utilizado para comunicarse con los empleados en caso de reprogramación de turnos de trabajo. Datos personales básicos. Seguridad física inadecuada. Concientización al personal. 10

11 Casos aplicados (cont.)
Los analistas de un proveedor de software tienen en sus notebooks (a veces en discos extraíbles) una copia del sistema y de las bases de datos de sus clientes, a los efectos de permitirles efectuar modificaciones a los programas y responder rápidamente a las consultas que surjan, independientemente de donde se encuentren. Datos personales de terceros. Exposición de información no autorizada. Cláusula de cesión de datos. Acuerdo de confidencialidad. Medidas de seguridad. Disociación de datos. 11

12 Casos aplicados (cont.)
En una obra social acostumbran imprimir las historias clínicas de los asociados en la impresora general que tienen disponible en el pasillo del hall. Debido a que varias veces quedan listados sin retirar al finalizar el día, dieron órdenes al personal de limpieza de la noche que tiren a la basura todos los papeles que se encuentren. Información personal sensible. Exposición en lugares de libre acceso. Seguridad física inadecuada. Acuerdo de confidencialidad con terceros. Reubicación de impresoras. Destrucción de información sensible. 12

13 Casos aplicados (cont.)
En un club de fútbol comenzaron a enviar a sus asociados publicidad de los productos ofrecidos por los sponsors del estadio. Hubieron varios reclamos para suprimir los datos por la cantidad de publicidad recibida y entonces decidieron entregarles una copia de sus registros a los sponsors para que ellos los enviaran por su cuenta. Atención de reclamos. Cesión de datos inadecuada. Licitud de datos. Finalidad distinta a la obtenida. Prestación de consentimiento. 13

14 Casos aplicados (cont.)
Empleados de una agencia de comunicaciones utilizan herramientas informáticas para mantener actualizados a sus clientes de las novedades políticas y económicas a través de correos electrónicos. Para agilizar la gestión y como tienen mucho personal temporal, todas las computadoras poseen la misma contraseña de acceso. Accesos irrestrictos a datos. Inadecuada seguridad informática. Responsabilidad por la gestión. Acuerdos de confidencialidad. Concientización al personal. 14

15 Acciones realizadas Participación del Censo Nacional de Banco de Datos (2004). Relevamiento de las bases de datos del Consejo (2007). Inscripción en la DNPDP (2007): Matriculados, Asociados a Simeco, Estudiantes, Legajos, y Proveedores. Relevamiento de temas relacionados con la Ley en áreas/sectores certificados (2009/2010). Realización de charlas de concientización al personal sobre temas de Seguridad de la Información (2009 a la fecha). 15

16 Acciones realizadas (cont.)
Formalización de marcos normativos (2009/2010): Manual de Políticas y Normas de Seguridad de la Información, Procedimientos varios de Gestión Administrativa, Acuerdos de Confidencialidad, Código de Conducta, entre otros. Aseguramiento de los recursos informáticos y aplicativos utilizados (2009 a la fecha). Confección de documentación técnica de los sistemas que administran las bases de datos inscriptas (2009/2010). Consentimientos para el tratamiento de los Datos Personales del Matriculado (2009 a la fecha). 16

17 Acciones realizadas (cont.)
Realización de charlas de concientización sobre el tratamiento de Datos Personales a Jefes y Gerentes (2010). Creación del Comité de Protección de Bases de Datos (2010). Adecuaciones de todos los Formularios donde se recolectan Datos Personales de Matriculados (2010/2011). Inscripción en la DNPDP de la base de Datos vinculados con el Matriculado (2011). Información a Matriculados (2010/2011): Filmación en lugares comunes, y Grabación de las conversaciones telefónicas. 17

18 Acciones a realizar Concientización obligatoria anual a todo el personal sobre temas relacionados con la Ley Renovación del Acuerdo de Confidencialidad en áreas que administran Datos Sensibles: Consejo Salud, Tribunal de Etica, Subsidios, Consejito, Recursos Humanos, y Administración. 18

19 Acciones a realizar (cont.)
Continuar con la adecuación de perfiles de usuarios y permisos de accesos a los sistemas aplicativos. Adecuaciones de formularios y pantallas conteniendo exclusivamente la información requerida según el nivel de acceso otorgado. Incorporación de mejoras en los procedimientos relacionados con la administración de datos personales y sensibles. Continuar con la realización de charlas de concientización al personal sobre temas de seguridad de la información. Ejecución de auditorías de revisión de escritorios limpios. 19

20 Conclusiones La Ley es una norma de orden público y alcance nacional. Los responsables y usuarios tienen responsabilidad sobre el tratamiento y gestión que se realice con los datos. Se requiere adoptar medidas de seguridad, con condiciones técnicas de integridad y seguridad en los archivos de datos personales que se gestionen. Se requiere observar y hacer observar a los miembros de la organización como a terceros con acceso a los datos el cumplimiento de las normas vigentes. La inspección incluye temas de tratamiento y gestión de datos personales, capacitación al personal, aspectos legales, acuerdos de confidencialidad, medidas implementadas de seguridad informática, documentación de los sistemas y revisiones de auditoría. 20

21 Conclusiones (cont.) En el Consejo Profesional de Ciencias Económicas de CABA: Todos tenemos la responsabilidad de cumplir y hacer cumplir lo dispuesto por la Ley Se deben registrar las bases de datos administradas, proveyendo calidad, confidencialidad y seguridad a los datos allí asentados, como así también obtener el consentimiento para el tratamiento y cesión de los datos si fuera necesario. El personal que atiende a Matriculados y público en general debe conocer los derechos que poseen los titulares, en cuanto al acceso, rectificación, actualización y/o supresión de sus datos personales. El personal que administra y/o trata datos sensibles debe conocer la importancia de su origen y velar por su protección y seguridad. 21

22 Conclusiones (cont.) El personal que participa en la definición de circuitos administrativos y/o confecciona procedimientos y formularios debe conocer lo dispuesto por la Ley y aplicarlo en su trabajo diario. El personal de Sistemas debe considerar la necesidad de visibilidad de los datos expuestos en pantallas, listados y consultas, como así también la inclusión de rutinas de control de campos que aseguren su integridad y veracidad. También deben mantener disponible documentación técnica y funcional de todos los desarrollos relacionados. El personal de Seguridad Informática debe asegurar que todos los recursos tecnológicos y datos administrados se encuentren debidamente protegidos y sean accedidos exclusivamente por el personal autorizado según responsabilidades y funciones definidas. 22

23 Conclusiones (cont.) El personal de Asuntos Legales debe considerar cláusulas de confidencialidad y de cesión de datos en todos los acuerdos contractuales que se realicen. Todo el personal del Consejo debe: Cumplir con las normativas institucionales vigentes. Proteger los datos personales administrados, independientemente de su forma y ubicación. Asegurar la calidad, integridad y confidencialidad de los datos tratados. Utilizar exclusivamente las herramientas y sistemas informáticos provistos para su tratamiento. No divulgar ni compartir sus cuentas de usuarios y claves personales de acceso. 23

24 Preguntas y respuestas
Muchas gracias 24

Descargar ppt "Protección de Datos Personales La Ley aplicada a nuestro"

Presentaciones similares

Competencia estratégica y métodos de control Lars Tveit, KS.

Competencia estratégica y métodos de control Lars Tveit, KS.
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
LEY DE PROTECCIÓN DE DATOS

LEY DE PROTECCIÓN DE DATOS
REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
XVIII Exposición Latinoamericana del Petróleo

XVIII Exposición Latinoamericana del Petróleo
Auditorías - ISO 10011 Fecha: 02.05.2001 Jornada UNED.

Auditorías - ISO Fecha: Jornada UNED.
Open RA 10/25/00 EEM/TD/LQ M. F. Juan 1 La Función de Calidad en los Proyectos de Desarrollo de Software Manuel F. Juan Martínez Juan López Espinosa Centro.

Open RA 10/25/00 EEM/TD/LQ M. F. Juan 1 La Función de Calidad en los Proyectos de Desarrollo de Software Manuel F. Juan Martínez Juan López Espinosa Centro.
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Gastón L. Bercún. Privacidad Ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado.

Gastón L. Bercún. Privacidad Ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign www.smartcampaign.org/portada Principio #4-

Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign Principio #4-
2 Principios de Protección al Cliente Principio # 6 en Práctica Dos componentes de la protección de los datos de los clientes Retroalimentación de los.

2 Principios de Protección al Cliente Principio # 6 en Práctica Dos componentes de la protección de los datos de los clientes Retroalimentación de los.
Programa informático para el

Programa informático para el
ACREDITACIÓN DE CARRERAS DE GRADO LICENCIATURA EN QUÍMICA

ACREDITACIÓN DE CARRERAS DE GRADO LICENCIATURA EN QUÍMICA
PROTECCION DE DATOS DE CARÁCTER PERSONAL

PROTECCION DE DATOS DE CARÁCTER PERSONAL
PROPIEDAD DEL CLIENTE.

PROPIEDAD DEL CLIENTE.
Diana Carolina Rojas Alarcón María Alejandra Hernández

Diana Carolina Rojas Alarcón María Alejandra Hernández
Índice ¿Qué son los datos personales (DP)?, importancia

Índice ¿Qué son los datos personales (DP)?, importancia
1 Directiva 2006/123/CE relativa a los servicios en el mercado interior 2006/123/CE Incorporación al derecho interno hasta el 28.XII.2009 Principales objetivos:

1 Directiva 2006/123/CE relativa a los servicios en el mercado interior 2006/123/CE Incorporación al derecho interno hasta el 28.XII.2009 Principales objetivos:

Presentaciones similares

Anuncios Google