La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

El Reglamento de Protección de datos: Responsabilidades Ramón de la Iglesia Vidal Alejandro Piqueras Sánchez www.auditoriabalear.com.

Presentaciones similares


Presentación del tema: "El Reglamento de Protección de datos: Responsabilidades Ramón de la Iglesia Vidal Alejandro Piqueras Sánchez www.auditoriabalear.com."— Transcripción de la presentación:

1 El Reglamento de Protección de datos: Responsabilidades Ramón de la Iglesia Vidal Alejandro Piqueras Sánchez

2 El Reglamento de Protección de datos: Responsabilidades 1.Introducción 2.Niveles de Seguridad 3.Documento de Seguridad 4.El Responsable de Seguridad 5.Sanciones Aplicables

3 El Reglamento de Protección de datos: Responsabilidades 1.Introducción Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir: (art. 1 RMS)Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir: (art. 1 RMS) Los ficheros automatizadosLos ficheros automatizados Los centros de tratamiento localesLos centros de tratamiento locales EquiposEquipos SistemasSistemas ProgramasProgramas Personas que intervengan en el procesoPersonas que intervengan en el proceso

4 El Reglamento de Protección de datos: Responsabilidades 1.Introducción Antecedentes legales. Internacionales.Antecedentes legales. Internacionales. La Organización de Naciones Unidas recoge hace tiempo una serie de principios rectores aplicables a los ficheros automatizados de datos personales que han sido la base de la actual legislación.La Organización de Naciones Unidas recoge hace tiempo una serie de principios rectores aplicables a los ficheros automatizados de datos personales que han sido la base de la actual legislación. >. >.

5 El Reglamento de Protección de datos: Responsabilidades 1.Introducción Antecedentes legales: Internacionales.Antecedentes legales: Internacionales. La Declaración Universal de los Derechos Humanos adoptada y proclamada por la ONU el 10 de diciembre de La Declaración Universal de los Derechos Humanos adoptada y proclamada por la ONU el 10 de diciembre de Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de Convenio nº 108 de 28 de Enero de 1.981, del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. Donde al igual que en la ONU se establecen una serie de principios fundamentales referentes a la calidad de datos, la sensibilidad de los mismos, las medidas de seguridad, las sanciones y recursos y los flujos internacionales de datos. Convenio nº 108 de 28 de Enero de 1.981, del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. Donde al igual que en la ONU se establecen una serie de principios fundamentales referentes a la calidad de datos, la sensibilidad de los mismos, las medidas de seguridad, las sanciones y recursos y los flujos internacionales de datos.

6 El Reglamento de Protección de datos: Responsabilidades 1.Introducción Antecedentes legales: Europeos.Antecedentes legales: Europeos. Resolución 721/80. Informática y protección de los derechos del hombre.Resolución 721/80. Informática y protección de los derechos del hombre. Recomendación 890/80. Protección de datos de carácter personal.Recomendación 890/80. Protección de datos de carácter personal. Recomendación 1037/86. Protección de datos y libertad de información.Recomendación 1037/86. Protección de datos y libertad de información.

7 El Reglamento de Protección de datos: Responsabilidades 1.Introducción En España la primera norma que regula la protección de datos es la Constitución Española: Artículo 18. Derecho al honor, a la intimidad y a la propia imagen. Artículo 18. Derecho al honor, a la intimidad y a la propia imagen. 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

8 El Reglamento de Protección de datos: Responsabilidades 1.Introducción Es en la década de los 90 cuando en España cobra mayor auge la necesidad de legislar el tema que nos ocupa. En el año 1992 se aprueba la Ley Orgánica 5/1992, de 29 de octubre, de Regualación del Tratamiento Automatizado de Datos de Carácter Personal, más conocida como LORTAD, primera ley que regula la cuestión en profundidad.Es en la década de los 90 cuando en España cobra mayor auge la necesidad de legislar el tema que nos ocupa. En el año 1992 se aprueba la Ley Orgánica 5/1992, de 29 de octubre, de Regualación del Tratamiento Automatizado de Datos de Carácter Personal, más conocida como LORTAD, primera ley que regula la cuestión en profundidad. El Reglamento que desarrollaba esta ley es el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.El Reglamento que desarrollaba esta ley es el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

9 El Reglamento de Protección de datos: Responsabilidades 1.Introducción Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal. La Ley Orgánica 15/1999 de 13 de Diciembre viene a renovar a la LORTAD. Evidentemente tiene por objeto el mismo que el mencionado artículo 18.4 de nuestra Constitución y es de aplicación tanto a los ficheros públicos como privados que contengan datos de carácter personal.

10 El Reglamento de Protección de datos: Responsabilidades 1.Introducción Principios reguladores de la protección de datos:Principios reguladores de la protección de datos: 1. Sólo podrán recogerse aquellos datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. 3. Los datos deben ser exactos y el responsable del fichero deberá actualizarlos de oficio en caso de ser inexactos Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

11 El Reglamento de Protección de datos: Responsabilidades Derechos de los particulares: Derecho a la información: Consentimiento inequívoco del afectado. Derecho de acceso: Derecho a obtener información de los datos de carácter personal sometidos a tratamiento. Derecho de rectificación. Derecho de cancelación. Deber de secreto.

12 El Reglamento de Protección de datos: Responsabilidades 1.Introducción 1.Introducción 2.Niveles de Seguridad 3.Documento de Seguridad 4.El Responsable de Seguridad 5.Sanciones Aplicables

13 El Reglamento de Protección de datos: Responsabilidades Los Niveles de seguridad posibles son los siguientes:Los Niveles de seguridad posibles son los siguientes: 1.Nivel Básico 2.Nivel Medio 3.Nivel Alto 2. Niveles de Seguridad

14 El Reglamento de Protección de datos: Responsabilidades Existen Medidas de Seguridad a tomar según clasificación de nivel de seguridad anterior:Existen Medidas de Seguridad a tomar según clasificación de nivel de seguridad anterior: 1.Medidas de seguridad de nivel básico: Sistema de Registro de incidencias.Sistema de Registro de incidencias. Relación actualizada usuarios/recursos autorizados. (art y art RMS)Relación actualizada usuarios/recursos autorizados. (art y art RMS) Existencia de mecanismos de identificación y autenticación de los accesos autorizados. (art. 11 RMS)Existencia de mecanismos de identificación y autenticación de los accesos autorizados. (art. 11 RMS) Restricción solo a los datos necesarios para cumplir cada funcion (art 12.1 RMS)Restricción solo a los datos necesarios para cumplir cada funcion (art 12.1 RMS) 2. Niveles de Seguridad

15 El Reglamento de Protección de datos: Responsabilidades Medidas de seguridad de nivel básico:Medidas de seguridad de nivel básico: Gestión de Soportes informáticoscon datos de carácter personal (art RMS)Gestión de Soportes informáticoscon datos de carácter personal (art RMS) InventariadosInventariados Acceso restringidoAcceso restringido Copias de seguridad semanalmente.Copias de seguridad semanalmente. 2. Niveles de Seguridad

16 El Reglamento de Protección de datos: Responsabilidades Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo:Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo: Designación de uno o varios responsables de seguridad (art. 16 RMS).Designación de uno o varios responsables de seguridad (art. 16 RMS). Auditoría al menos una vez cada dos años.Auditoría al menos una vez cada dos años. Mecanismos para identificación inequívoca y personalizada de los usuarios (art RMS).Mecanismos para identificación inequívoca y personalizada de los usuarios (art RMS). Limitación de los intentos de acceso no autorizados (art RMS)Limitación de los intentos de acceso no autorizados (art RMS) 2. Niveles de Seguridad

17 El Reglamento de Protección de datos: Responsabilidades Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo:Medidas de seguridad de nivel medio, además de lo estipulado para nivel bajo: Medidas de control de acceso físico a los locales (art. 19 RMS)Medidas de control de acceso físico a los locales (art. 19 RMS) Establecimiento de un registro de entradas y salidas de soportes informáticos (art y 2 RMS)Establecimiento de un registro de entradas y salidas de soportes informáticos (art y 2 RMS) Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art y 4 RMS)Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art y 4 RMS) Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS)Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS) 2. Niveles de Seguridad

18 El Reglamento de Protección de datos: Responsabilidades Medidas de seguridad de nivel alto, además de lo estipulado para nivel medio:Medidas de seguridad de nivel alto, además de lo estipulado para nivel medio: Los soportes para distribución deberán tener la información cifrada (art. 23 RMS).Los soportes para distribución deberán tener la información cifrada (art. 23 RMS). Registro de accesos, autorizados y denegados (art. 24 RMS).Registro de accesos, autorizados y denegados (art. 24 RMS). Guardar estos registros durante 2 años.Guardar estos registros durante 2 años. Copias de seguridad guardadas en sitio diferente (art. 25 RMS).Copias de seguridad guardadas en sitio diferente (art. 25 RMS). Transmisiones cifradas (art. 26 RMS).Transmisiones cifradas (art. 26 RMS). 2. Niveles de Seguridad

19 El Reglamento de Protección de datos: Responsabilidades 2. Niveles de Seguridad Otras medidas de seguridad exigibles a todos los ficheros:Otras medidas de seguridad exigibles a todos los ficheros: Los accesos por red están sujetas las mismas medidas de seguridad exigibles del nivel de seguridad en moo local (art. 5 RMS).Los accesos por red están sujetas las mismas medidas de seguridad exigibles del nivel de seguridad en moo local (art. 5 RMS). El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero.El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. Los ficheros temporales se borrarán una vez usados, tambien se le aplicará el nivel de seguridad pertinente.Los ficheros temporales se borrarán una vez usados, tambien se le aplicará el nivel de seguridad pertinente. El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS).El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS). Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS).Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS).

20 El Reglamento de Protección de datos: Responsabilidades 1.Introducción 1.Introducción 2.Niveles de Seguridad 2.Niveles de Seguridad 3.Documento de Seguridad 4.El Responsable de Seguridad 5.Sanciones Aplicables

21 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 1.Introducción En el reglamento no se indica la forma sino el contenido.En el reglamento no se indica la forma sino el contenido. Está destinado al personal con acceso a los datos automatizados.Está destinado al personal con acceso a los datos automatizados. Redactado por el responsable del fichero.Redactado por el responsable del fichero. Es un documento dinámicoEs un documento dinámico

22 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 2.Contenido del documento de seguridad. Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos.Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. Medidas, normas procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en elMedidas, normas procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento de medidas de seguridad.Reglamento de medidas de seguridad. Funciones y obligaciones del personal.Funciones y obligaciones del personal. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante las incidencias.Procedimiento de notificación, gestión y respuesta ante las incidencias.

23 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 2.Contenido del documento de seguridad. Procedimientos de realización de copias de seguridad y recuperación de datos.Procedimientos de realización de copias de seguridad y recuperación de datos. Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art RMS).Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art RMS). Identificación del responsable o responsables de seguridad (art. 15 RMS).Identificación del responsable o responsables de seguridad (art. 15 RMS). Calendario de auditorías (art. 15 RMS).Calendario de auditorías (art. 15 RMS). Procedimiento de eliminación de datos cuando un soporte vaya a ser desechado o reutilizado (art. 15 RMS).Procedimiento de eliminación de datos cuando un soporte vaya a ser desechado o reutilizado (art. 15 RMS). Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS).Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS).

24 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 3.Medidas de índole técnica y de índole organizativa. Las medidas de seguridad deben responder según el art. 17 de la Directiva 95/46/CELas medidas de seguridad deben responder según el art. 17 de la Directiva 95/46/CE A los conocimientos técnicos existentesA los conocimientos técnicos existentes Al coste de su aplicaciónAl coste de su aplicación A los riesgos que presente el tratamiento de los datosA los riesgos que presente el tratamiento de los datos A la naturaleza de estosA la naturaleza de estos En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción.En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción.

25 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 4.Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnicaMedidas de índole organizativa - Garantía de que los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local (art. 5)(art. 5) - La ejecución del tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero, y en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado (art. 6)(art. 6) - Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el RMS (art. 7) (art. 7) - Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación (art. 7)(art. 7)

26 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 4.Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnicaMedidas de índole organizativa - Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. - Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible (art. 11 y 18 [NM])(art El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quien se le comunica y los efectos que se hubieren derivado de la misma (art. 10) - En el registro de incidencias se consignarán los procedimientos de recuperación de datos (NM, art. 21) (art. 10)art. 21

27 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 4.Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnicaMedidas de índole organizativa - Gestión de soportes: identificación de la información que contienen. - La salida de soportes informáticos fuera del lugar del tratamiento requerirá autorización del responsable del fichero (art. 13) - Registro de entrada-salida de soportes (NM, art. 20) - Borrado de datos en los soportes desechados o reutilizados (NM, art. 20) - Medidas para evitar la recuperación indebida de los datos contenidos en soportes fuera de los locales del tratamiento (NM, art. 20)(art. 13) art Establecimiento del procedimiento de copias de seguridad (art. 14)(art. 14)

28 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 4.Medidas de índole técnica y de índole organizativa en el documento de seguridad. Medidas de índole técnicaMedidas de índole organizativa - Identificación del responsable de seguridad y calendario de auditorías en el documento de seguridad (NM, art. 15)art Responsable de seguridad (NM; art. 16)art Auditorías (NM, art. 17)art Control de acceso físico (NM, art. 19)art. 19

29 El Reglamento de Protección de datos: Responsabilidades 3. Documento de Seguridad 5.Funciones y obligaciones del personal. Funciones de los usuariosFunciones de los usuarios RootRoot AdministradoresAdministradores UsuariosUsuarios … Procedimiento de acceso.Procedimiento de acceso.

30 El Reglamento de Protección de datos: Responsabilidades 1.Introducción 1.Introducción 2.Niveles de Seguridad 2.Niveles de Seguridad 3.Documento de Seguridad 3.Documento de Seguridad 4.El Responsable de Seguridad 5.Sanciones Aplicables

31 El Reglamento de Protección de datos: Responsabilidades 4. El Responsable de Seguridad Nivel Medio y alto.Nivel Medio y alto. Coordinar y controlar las medidas definidas en el documento de seguridad.Coordinar y controlar las medidas definidas en el documento de seguridad. Analizar informes de auditoría.Analizar informes de auditoría. Control de los mecanismos de acceso del art. 24Control de los mecanismos de acceso del art. 24 Informes de los registros.Informes de los registros. No tiene las responsabilidades del responsable de fichero.No tiene las responsabilidades del responsable de fichero.

32 El Reglamento de Protección de datos: Responsabilidades 1.Introducción 1.Introducción 2.Niveles de Seguridad 2.Niveles de Seguridad 3.Documento de Seguridad 3.Documento de Seguridad 4.El Responsable de Seguridad 4.El Responsable de Seguridad 5.Sanciones Aplicables

33 El Reglamento de Protección de datos: Responsabilidades Responsabilidades:Responsabilidades: Art 9.2 El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.Art 9.2 El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Art 16 El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento.Art 16 El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento. 5. Sanciones Aplicables

34 El Reglamento de Protección de datos: Responsabilidades Sanciones (LOPD)Sanciones (LOPD) Leves (601,01 a ,21 Euros)Leves (601,01 a ,21 Euros) Graves (60.101,21 a ,05 Euros)Graves (60.101,21 a ,05 Euros) Muy graves ( ,05 a ,10 Euros)Muy graves ( ,05 a ,10 Euros) La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora.La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Sanciones Aplicables

35 El Reglamento de Protección de datos: Responsabilidades Conclusiones No es económicamente viable para Pymes, aunque si puede servir de guía. No es económicamente viable para Pymes, aunque si puede servir de guía. Invertir en un responsable o equipo de seguridad.Invertir en un responsable o equipo de seguridad. Gran importancia del Documento de Seguridad.Gran importancia del Documento de Seguridad. Multas/Auditorias/Consultorías.Multas/Auditorias/Consultorías.

36 El Reglamento de Protección de datos: Responsabilidades Auditoría Informática Balear


Descargar ppt "El Reglamento de Protección de datos: Responsabilidades Ramón de la Iglesia Vidal Alejandro Piqueras Sánchez www.auditoriabalear.com."

Presentaciones similares


Anuncios Google