Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porRosita Velarde Modificado hace 11 años
1
El Reglamento de Protección de datos: Responsabilidades
Ramón de la Iglesia Vidal Alejandro Piqueras Sánchez
2
El Reglamento de Protección de datos: Responsabilidades
Introducción Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones Aplicables
3
El Reglamento de Protección de datos: Responsabilidades
Introducción Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir: (art. 1 RMS) Los ficheros automatizados Los centros de tratamiento locales Equipos Sistemas Programas Personas que intervengan en el proceso
4
El Reglamento de Protección de datos: Responsabilidades
Introducción <<Debemos de conocer la legislación vigente no sólo para su obligado cumplimiento sino para participar tanto en su desarrollo como en la elaboración de nuestro propio deontológico>>. Antecedentes legales. Internacionales. La Organización de Naciones Unidas recoge hace tiempo una serie de principios rectores aplicables a los ficheros automatizados de datos personales que han sido la base de la actual legislación.
5
El Reglamento de Protección de datos: Responsabilidades
Introducción Antecedentes legales: Internacionales. La Declaración Universal de los Derechos Humanos adoptada y proclamada por la ONU el 10 de diciembre de 1948. Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de 1950. Convenio nº 108 de 28 de Enero de 1.981, del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. Donde al igual que en la ONU se establecen una serie de principios fundamentales referentes a la calidad de datos, la sensibilidad de los mismos, las medidas de seguridad, las sanciones y recursos y los flujos internacionales de datos.
6
El Reglamento de Protección de datos: Responsabilidades
Introducción Antecedentes legales: Europeos. Resolución 721/80. Informática y protección de los derechos del hombre. Recomendación 890/80. Protección de datos de carácter personal. Recomendación 1037/86. Protección de datos y libertad de información.
7
El Reglamento de Protección de datos: Responsabilidades
Introducción En España la primera norma que regula la protección de datos es la Constitución Española: Artículo 18. Derecho al honor, a la intimidad y a la propia imagen. 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
8
El Reglamento de Protección de datos: Responsabilidades
Introducción Es en la década de los 90 cuando en España cobra mayor auge la necesidad de legislar el tema que nos ocupa. En el año 1992 se aprueba la Ley Orgánica 5/1992, de 29 de octubre, de Regualación del Tratamiento Automatizado de Datos de Carácter Personal, más conocida como LORTAD, primera ley que regula la cuestión en profundidad. El Reglamento que desarrollaba esta ley es el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
9
El Reglamento de Protección de datos: Responsabilidades
Introducción Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal. La Ley Orgánica 15/1999 de 13 de Diciembre viene a renovar a la LORTAD. Evidentemente tiene por objeto el mismo que el mencionado artículo 18.4 de nuestra Constitución y es de aplicación tanto a los ficheros públicos como privados que contengan datos de carácter personal.
10
El Reglamento de Protección de datos: Responsabilidades
Introducción Principios reguladores de la protección de datos: 1. Sólo podrán recogerse aquellos datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. 3. Los datos deben ser exactos y el responsable del fichero deberá actualizarlos de oficio en caso de ser inexactos. 4. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
11
El Reglamento de Protección de datos: Responsabilidades
Derechos de los particulares: Derecho a la información: Consentimiento inequívoco del afectado. Derecho de acceso: Derecho a obtener información de los datos de carácter personal sometidos a tratamiento. Derecho de rectificación. Derecho de cancelación. Deber de secreto.
12
El Reglamento de Protección de datos: Responsabilidades
Introducción Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones Aplicables
13
El Reglamento de Protección de datos: Responsabilidades
2. Niveles de Seguridad Los Niveles de seguridad posibles son los siguientes: Nivel Básico Nivel Medio Nivel Alto a) Nivel básico. Exigible a todos los ficheros automatizados de datos de carácter personal. b) Nivel medio. Exigible a los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos que se rijan por lo dispuesto en el artículo 28 de la LORTAD (derogado; se corresponde con el vigente artículo 29 de la Ley Orgánica 15/1999, sobre prestación de servicios de información sobre solvencia patrimonial y de crédito). Y parcialmente, a los ficheros que contengan datos que permitan una evaluación de la personalidad del individuo. c) Nivel alto. Exigible a los ficheros que contengan datos relativos a ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas. Posiblemente los ficheros que contengan datos relativos a la afiliación sindical deban incluirse en este apartado, puesto que la Ley Orgánica 15/1999 los considera igualmente como especialmente protegidos como los anteriores.
14
El Reglamento de Protección de datos: Responsabilidades
2. Niveles de Seguridad Existen Medidas de Seguridad a tomar según clasificación de nivel de seguridad anterior: Medidas de seguridad de nivel básico: Sistema de Registro de incidencias. Relación actualizada usuarios/recursos autorizados. (art y art RMS) Existencia de mecanismos de identificación y autenticación de los accesos autorizados. (art. 11 RMS) Restricción solo a los datos necesarios para cumplir cada funcion (art 12.1 RMS) a) Medidas de seguridad de nivel básico. Requieren: - Existencia de un registro de incidencias en el que conste el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieren derivado de la misma (art. 10 RMS). - Existencia de una relación actualizada de usuarios que tengan acceso autorizado al sistema de información, con indicación de los recursos a los que tienen acceso (art y art RMS). - Existencia de mecanismos de identificación y autenticación de los accesos de los usuarios autorizados (login y contraseña). Las contraseñas se asignarán, distribuirán y almacenarán de forma que se garantice su confidencialidad e integridad. Se cambiarán con la periodicidad que se determine y mientras estén vigentes se almacenarán de forma ininteligible (art. 11 RMS). - Restricción de acceso a los usuarios únicamente a los datos que requieran para el desarrollo de sus funciones (art RMS).
15
El Reglamento de Protección de datos: Responsabilidades
2. Niveles de Seguridad Medidas de seguridad de nivel básico: Gestión de Soportes informáticoscon datos de carácter personal (art RMS) Inventariados Acceso restringido Copias de seguridad semanalmente. - Gestión de los soportes informáticos que contengan datos de carácter personal de manera que permitan identificar el tipo de información que contienen. Deberán ser inventariados y almacenados en lugar con acceso restringido al personal autorizado para ello en el documento de seguridad (art. 13 RMS). -Realización de copias de seguridad al menos semanalmente (art. 14 RMS).
16
El Reglamento de Protección de datos: Responsabilidades
2. Niveles de Seguridad Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo: Designación de uno o varios responsables de seguridad (art. 16 RMS). Auditoría al menos una vez cada dos años. Mecanismos para identificación inequívoca y personalizada de los usuarios (art RMS). Limitación de los intentos de acceso no autorizados (art RMS) - - Designación de uno o varios responsables de seguridad (art. 16 RMS). - Sometimiento a auditoría al menos una vez cada dos años (art. 17 RMS). - Establecimiento de mecanismos de acceso que permitan la identificación inequívoca y personalizada de los usuarios (art RMS). - Limitación de los intentos de acceso no autorizados al sistema de información (art RMS).
17
El Reglamento de Protección de datos: Responsabilidades
2. Niveles de Seguridad Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo: Medidas de control de acceso físico a los locales (art. 19 RMS) Establecimiento de un registro de entradas y salidas de soportes informáticos (art y 2 RMS) Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art y 4 RMS) Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS) - Establecimiento de medidas de control de acceso físico a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal (art. 19 RMS). - Establecimiento de un registro de entrada/salida de soportes informáticos (art y 2 RMS). - Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de sus lugares habituales de almacenamiento (art y 4 RMS). - Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS).
18
El Reglamento de Protección de datos: Responsabilidades
2. Niveles de Seguridad Medidas de seguridad de nivel alto, además de lo estipulado para nivel medio: Los soportes para distribución deberán tener la información cifrada (art. 23 RMS). Registro de accesos, autorizados y denegados (art. 24 RMS). Guardar estos registros durante 2 años. Copias de seguridad guardadas en sitio diferente (art. 25 RMS). Transmisiones cifradas (art. 26 RMS). c) Medidas de seguridad de nivel alto. Además de las anteriores, requieren: - Que los soportes que contengan datos de carácter personal para su distribución incorporen la información cifrada o protegida por cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 23 RMS). - Que exista un registro de accesos en el que se recojan los siguientes datos: identificación del usuario, fecha y hora en que se realizó el acceso, fichero accedido, tipo de acceso y si ha sido autorizado o denegado, así como el registro accedido. La información registrada deberá conservarse por un mínimo de dos años(art. 24 RMS). - Que las copias de seguridad se almacenen en un lugar diferente de aquél en el que se encuentren los equipos informáticos que traten los datos (art. 25 RMS). - Las transmisiones de datos en redes de comunicación se efectúen mediante cifrado o cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 26 RMS).
19
El Reglamento de Protección de datos: Responsabilidades
2. Niveles de Seguridad Otras medidas de seguridad exigibles a todos los ficheros: Los accesos por red están sujetas las mismas medidas de seguridad exigibles del nivel de seguridad en moo local (art. 5 RMS). El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. Los ficheros temporales se borrarán una vez usados, tambien se le aplicará el nivel de seguridad pertinente. El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS). Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS). d) Otras medidas de seguridad exigibles a todos los ficheros. - Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al de los accesos en modo local (art. 5 RMS). - El tratamiento de los datos fuera de los locales de ubicación del fichero deberá ser autorizado expresamente por el responsable del fichero, garantizando el nivel de seguridad correspondiente (art. 6 RMS). - La creación de ficheros temporales deberá efectuarse con cumplimiento de las normas de seguridad correspondientes, y serán borrados una vez que hayan dejado de ser necesarios (art. 7 RMS). - El responsable del fichero deberá elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal (art. 8.1 RMS). - Las funciones y obligaciones del personal con acceso al sistema de información estarán claramente definidas y documentadas. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento (art. 9 RMS). - Las pruebas con datos reales sólo podrán efectuarse cumpliendo con las medidas de seguridad correspondientes al nivel exigible de acuerdo con la naturaleza de los datos (art. 22 RMS).
20
El Reglamento de Protección de datos: Responsabilidades
Introducción Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones Aplicables
21
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 1. Introducción En el reglamento no se indica la forma sino el contenido. Está destinado al personal con acceso a los datos automatizados. Redactado por el responsable del fichero. Es un documento dinámico I. Introducción. Es el documento mediante el cual el responsable del fichero elabora e implanta la normativa de seguridad. Esta normativa es de obligado cumplimiento para el personal con acceso a los datos de carácter personal objeto del tratamiento, y la redacción del documento es preceptiva para todo tipo de ficheros. Contendrá, como mínimo, los siguientes aspectos (art. 8.2 RMS):
22
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 2. Contenido del documento de seguridad. Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. Medidas, normas procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento de medidas de seguridad. Funciones y obligaciones del personal. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante las incidencias. III. Contenido del documento de seguridad. El propósito de este apartado es alcanzar un esquema de documento de seguridad en el que se contemplen todos los extremos citados en el RMS, al tiempo que se puedan apreciar con claridad que partes del documento describen el sistema de información, y cuales recogen las medidas de seguridad, sus aspectos técnico y organizativo. El documento de seguridad contendrá, como mínimo, los siguientes aspectos (art. 8.2 RMS): a) Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. 1). Ámbito de aplicación del documento. Responde al art. 8.2.a) RMS, según el cual el documento de seguridad deberá reflejar el ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. Por otro lado, el apartado d) del mismo precepto hace referencia a la estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Para discernir que debe incluirse en relación con uno y otro apartados, partiremos de las siguientes descripciones normativas: Sistemas de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. Recurso: Cualquier parte componente de un sistema de información. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. También debemos tener en cuenta, para determinar lo que es el ámbito de aplicación del documento, el del propio Reglamento de medidas de seguridad: ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal, que están sujetos a las medidas de seguridad exigidas por el RMS, y por tanto también a las del correspondiente documento de seguridad Es preciso, por tanto, definir el ámbito personal y el ámbito que podríamos llamar territorial (referido a centros y locales) del documento de seguridad. - Ámbito personal. Esta definición puede hacerse bien mediante referencia al grupo de personas que pueden acceder al fichero, bien mediante su identificación inequívoca. La segunda opción, aunque posible, no es aconsejable, sobre todo si se trata de ficheros pertenecientes a grandes organizaciones, públicas o privadas. Es posible porque el artículo 11.1 RMS obliga al responsable del fichero a encargarse de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información. No es aconsejable porque en sistemas de información en los que el número e identidad de usuarios varía frecuentemente (ficheros de las Administraciones Públicas, de grandes empresas) sería preciso modificar el documento de seguridad cada vez que una persona fuera autorizada o desautorizada para acceder al fichero. Parece por lo tanto más operativo realizar una mención a las personas que tienen acceso al sistema, de acuerdo con la cualidad por la que obtuvieron la condición de usuarios del sistema y con remisión a la relación a que hace referencia el citado art RMS, que se puede incorporar como anexo al documento de seguridad, así como, en su caso, la tabla o vista de la base de datos en la que figuren relacionados los usuarios activos del sistema. - Ámbito material: Consideraremos como tal al fichero, a los recursos del sistema de información en el que se sustenta y a los locales donde se ubica. Como en el apartado d) del artículo 8.2 se exige la estructura del fichero y la descripción detallada del sistema de información, en lo referente al ámbito de aplicación nos limitaremos a identificar el fichero y el sistema de información, con remisión a su posterior descripción. Entendemos por tanto que bastará incluir los siguientes extremos, sin pretender agotar todas las posibilidades: Fichero: Denominación, responsable, norma de creación de tratarse de ficheros de titularidad pública, código de registro en el Registro General de Protección de Datos. Recursos: Físicos: Ordenador/es servidor/es del sistema de información (modelo/número de unidades, en caso de ser más de uno). Ordenadores terminales del sistema de información. Red de comunicaciones (nombre de la red, o identificación precisa de la misma). Lógicos: Modo acceso por los usuarios al sistema de información: local o a través de red de comunicación; y en este último caso, indicación del modo cliente-servidor o del modo emulación de terminal, por ejemplo. Sistema operativo de los servidores. Sistema operativo de los terminales Gestor de base de datos. Aplicaciones de gestión de la información. Aplicaciones de emulación de terminal o cliente-servidor. Locales: referencia a la ubicación de las dependencias donde se efectúe el tratamiento, con remisión a la descripción de los recursos en el caso de que su localización se encontrase distribuida. b) Medidas, normas procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento de medidas de seguridad. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. 2) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Se refiere este apartado al art. 8.2.d) RMS, que debe contener la estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. En el mismo se recogerá con detalle la descripción del ámbito material del documento, y en su caso la ubicación de los locales del tratamiento: - Datos de carácter personal contenidos en el fichero, de acuerdo con la norma de creación o la notificación al Registro General de Protección de Datos. - Recursos del sistema: Físicos: Ordenador/es servidor/es del sistema de información. Modelo/número de unidades, en caso de ser más de uno. Características técnicas: se sugiere efectuar remisión al manual del fabricante. Red de comunicaciones: características de la red. Si la red está administrada por órgano o entidad ajena al responsable del fichero, se sugiere que se efectúe remisión a la documentación que obre su poder. Lógicos: Estructura del sistema de información, indicando: - Si existe una base de datos, o varias. En este último caso, breve descripción del contenido de cada una de ellas. Denominación (DNS) y direcciones IP (Internet Protocol) de las máquinas que las sirven. - Identificación de las tablas o vistas que contienen datos de carácter personal en cada una de las bases de datos. Descripción de los campos de esas tablas. - Ubicación de los sistemas (referencia específica a los locales donde se efectúa el tratamiento). e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
23
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 2. Contenido del documento de seguridad. Procedimientos de realización de copias de seguridad y recuperación de datos. Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art RMS) . Identificación del responsable o responsables de seguridad (art. 15 RMS). Calendario de auditorías (art. 15 RMS). Procedimiento de eliminación de datos cuando un soporte vaya a ser desechado o reutilizado (art. 15 RMS). Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS). f) Procedimientos de realización de copias de seguridad y recuperación de datos. g) Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art RMS). h) Identificación del responsable o responsables de seguridad (art. 15 RMS) (8). i) Calendario de auditorías (art. 15 RMS) (9). j) Procedimiento de eliminación de datos cuando un soporte vaya a ser desechado o reutilizado (art. 15 RMS) (10). k) Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS) (11). 1). Ámbito de aplicación del documento. Responde al art. 8.2.a) RMS, según el cual el documento de seguridad deberá reflejar el ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. Por otro lado, el apartado d) del mismo precepto hace referencia a la estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Para discernir que debe incluirse en relación con uno y otro apartados, partiremos de las siguientes descripciones normativas: Sistemas de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. Recurso: Cualquier parte componente de un sistema de información. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. También debemos tener en cuenta, para determinar lo que es el ámbito de aplicación del documento, el del propio Reglamento de medidas de seguridad: ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal, que están sujetos a las medidas de seguridad exigidas por el RMS, y por tanto también a las del correspondiente documento de seguridad Es preciso, por tanto, definir el ámbito personal y el ámbito que podríamos llamar territorial (referido a centros y locales) del documento de seguridad.
24
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 3. Medidas de índole técnica y de índole organizativa. Las medidas de seguridad deben responder según el art. 17 de la Directiva 95/46/CE A los conocimientos técnicos existentes Al coste de su aplicación A los riesgos que presente el tratamiento de los datos A la naturaleza de estos En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción. Tanto la LOPD como el RMS insisten en reiteradas ocasiones en distinguir entre las medidas de seguridad técnicas y las organizativas: 9.1 LOPD, preámbulo y arts. 1 y 28 RMS. Esta diferenciación deberá reflejarse en la estructura del documento de seguridad. Pero previamente debemos resolver la cuestión de qué es una medida de seguridad técnica y qué es una medida de seguridad organizativa, y como encajan en los apartados del artículo 8.2 RMS. De una manera intuitiva, podemos decir que son medidas de seguridad de índole técnica aquellas que se encuentran incorporadas en el sistema de información (programas, equipos, soportes, o seguridad lógica y física, siguiendo a DEL PESO), mientras que las de índole organizativa serán las que constituyen el conjunto de funciones y obligaciones de los usuarios. Sin embargo, como vamos a ver seguidamente, tanto las medidas técnicas como las organizativas deben enunciarse cumpliendo los mínimos requeridos por el RMS, para lo que deberemos determinar qué medidas (técnicas lógicas o físicas, organizativas) forman parte de cada elemento del documento de seguridad. Las medidas de seguridad deben responder, además, al principio de proporcionalidad, de acuerdo con el artículo 17 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), con el artículo 9.1 de la LOPD (2) y la disposición transitoria del RMS (3). En virtud de este principio, las medidas de seguridad exigibles serán adecuadas, conforme al art. 17 de la Directiva 95/46/CE, - a los conocimientos técnicos existentes - al coste de su aplicación - a los riesgos que presente el tratamiento de los datos - y a la naturaleza de estos. Sin embargo, en la transposición de la Directiva efectuada por la LOPD se omite la referencia al coste de su adopción. Y en el desarrollo reglamentario parece que el Poder Ejecutivo decide cual debe ser la graduación de las medidas, distinguiendo entre niveles básico, medio y alto, “atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información (4).” Así pues, el Decreto 994/1999 introduce un criterio no previsto en la LOPD (la necesidad de garantizar la confidencialidad e integridad de la información) y olvida los relativos a los riesgos y a los conocimientos técnicos existentes (sólo parcialmente tenido en cuenta en la disposición transitoria, al establecer un plazo especial de tres años cuando un sistema de información en funcionamiento no permita tecnológicamente la implantación de alguna de las medidas de seguridad, sin determinar quién y como es competente para decidir esa imposibilidad técnológica. No queremos entrar a profundizar sobre la inevitable cuestión de inseguridad jurídica que se suscita, por apartarse de nuestro propósito) (5). Por supuesto, tampoco hay mención alguna al criterio económico, lo que puede implicar una defectuosa transposición de la Directiva, en cuya parte expositiva considera “que esas medidas [medidas de seguridad de técnicas y de organización apropiadas] deberán garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste de su aplicación en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse” (6) (el subrayado es nuestro) y yendo más allá del margen de maniobra permitido por su considerando noveno (7). Desde este punto de vista, los responsables de ficheros de datos personales sujetos a la legislación española pueden verse perjudicados en relación con los sujetos a otras legislaciones comunitarias que sí hayan incorporado todos los principios de seguridad de la información contenidos en la repetida Directiva. Artículo 9. Seguridad de los datos. 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
25
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 4. Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnica Medidas de índole organizativa - Garantía de que los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local (art. 5) - La ejecución del tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero, y en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado (art. 6) - Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el RMS (art. 7) - Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación (art. 7) 3) Medidas de seguridad de índole técnica y organizativa. Establece el artículo 8.2.b) RMS que el documento de seguridad deberá recoger las medidas, normas procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento de medidas de seguridad. La primera cuestión es determinar que son medidas, normas, procedimientos y estándares, distintos a las funciones y obligaciones del personal, puesto que se encuentran consignados en el apartado c) del art. 8.2 RMS. En el Diccionario de la Real Academia Española encontramos las definiciones siguientes: Medida: disposición, prevención. Norma: regla que se debe seguir o a que se deben ajustar las conductas, tareas, actividades, etc. Procedimiento: método de ejecutar algunas cosas. Estándar: dícese de lo que sirve como tipo, modelo, norma, patrón o referencia. Parece, pues, que los cuatro términos se refieren a una misma cosa: normas de actuación, de cosas (en este caso sistemas de información) o de personas (usuarios o responsables del sistema de información). Para distinguir entre las medidas de índole técnica y las organizativas, deberemos pues diferencias las medidas, normas, procedimientos y estándares incorporados en los elementos físicos y lógicos del sistema, y los exigibles a las personas que acceden al mismo o que tienen responsabilidades sobre él.
26
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 4. Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnica Medidas de índole organizativa - Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. - Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible (art. 11 y 18 [NM]) - El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quien se le comunica y los efectos que se hubieren derivado de la misma (art. 10) - En el registro de incidencias se consignarán los procedimientos de recuperación de datos (NM, art. 21)
27
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 4. Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnica Medidas de índole organizativa - Gestión de soportes: identificación de la información que contienen. - La salida de soportes informáticos fuera del lugar del tratamiento requerirá autorización del responsable del fichero (art. 13) - Registro de entrada-salida de soportes (NM, art. 20) - Borrado de datos en los soportes desechados o reutilizados (NM, art. 20) - Medidas para evitar la recuperación indebida de los datos contenidos en soportes fuera de los locales del tratamiento (NM, art. 20) - Establecimiento del procedimiento de copias de seguridad (art. 14)
28
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 4. Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnica Medidas de índole organizativa - Identificación del responsable de seguridad y calendario de auditorías en el documento de seguridad (NM, art. 15) - Responsable de seguridad (NM; art. 16) - Auditorías (NM, art. 17) - Control de acceso físico (NM, art. 19)
29
El Reglamento de Protección de datos: Responsabilidades
3. Documento de Seguridad 5. Funciones y obligaciones del personal. Funciones de los usuarios Root Administradores Usuarios … Procedimiento de acceso. 4) Funciones y obligaciones del personal: deberá hacerse referencia a la normativa aplicable. En un nivel inferior, las funciones de los usuarios serán las descritas en el anexo correspondiente. Se detallaran las funciones de los usuarios especiales: root, administrador funcional, administrador informático. Autorización del usuario para otorgar permisos de acceso. Procedimiento de acceso. Deber de secreto. Responsabilidades. Es el documento mediante el cual el responsable del fichero elabora e implanta la normativa de seguridad. Esta normativa es de obligado cumplimiento para el personal con acceso a los datos de carácter personal objeto del tratamiento. Su redacción es obligatoria para todo tipo de ficheros.
30
El Reglamento de Protección de datos: Responsabilidades
Introducción Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones Aplicables
31
El Reglamento de Protección de datos: Responsabilidades
4. El Responsable de Seguridad Nivel Medio y alto. Coordinar y controlar las medidas definidas en el documento de seguridad. Analizar informes de auditoría. Control de los mecanismos de acceso del art. 24 Informes de los registros. No tiene las responsabilidades del responsable de fichero. Una o varias personas, designadas necesariamente por el responsable del fichero cuando el nivel de seguridad exigible sea medio o alto. Sus funciones genéricas son coordinar y controlar las medidas definidas en el documento de seguridad. Específicamente le corresponde: a) Analizar los informes de auditoría a que se refiere el artículo 17 RMS y elevar al responsable del fichero sus conclusiones, para que adopte las medidas correctoras adecuadas. b) Control directo de los mecanismos de registro de accesos a que se refiere el artículo 24 RMS. c) Revisar el registro de accesos a que se refiere el artículo 24 RMS y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. Las responsabilidades del fichero nunca son delegadas a él.
32
El Reglamento de Protección de datos: Responsabilidades
Introducción Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones Aplicables
33
El Reglamento de Protección de datos: Responsabilidades
5. Sanciones Aplicables Responsabilidades: Art 9.2 “ El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. ” Art 16 “El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento.”
34
El Reglamento de Protección de datos: Responsabilidades
5. Sanciones Aplicables Sanciones (LOPD) Leves (601,01 a ,21 Euros) Graves (60.101,21 a ,05 Euros) Muy graves ( ,05 a ,10 Euros) La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora. 1. Las infracciones se calificarán como leves, graves o muy graves. 2. Son infracciones leves: a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos. c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave. d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley. e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave. 3. Son infracciones graves: a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente. b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara. g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar emplazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos. j) La obstrucción al ejercicio de la función inspectora. k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos. l) Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado. 4. Son infracciones muy graves: a) La recogida de datos en forma engañosa y fraudulenta. b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratarlos datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentarla prohibición contenida en el apartado 4 del artículo 7. d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso. e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos. f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas. h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
35
El Reglamento de Protección de datos: Responsabilidades
Conclusiones No es económicamente viable para Pymes, aunque si puede servir de guía. Invertir en un “responsable” o equipo de seguridad. Gran importancia del Documento de Seguridad. Multas/Auditorias/Consultorías.
36
El Reglamento de Protección de datos: Responsabilidades
Auditoría Informática Balear
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.