Mtro. Fernando Solares Valdes Septiembre 2011. Página 1 | Introducción Algunas Definiciones importantes Niveles de seguridad Principios Consentimiento.

Presentación del tema: "Mtro. Fernando Solares Valdes Septiembre 2011. Página 1 | Introducción Algunas Definiciones importantes Niveles de seguridad Principios Consentimiento."— Transcripción de la presentación:

1 Mtro. Fernando Solares Valdes Septiembre 2011

2 Página 1 | Introducción Algunas Definiciones importantes Niveles de seguridad Principios Consentimiento Derechos de los titulares Otros puntos de protección de datos a tener en cuenta Introducción al modelo de gestión Sistemas de Gestión y PRIVACIDAD Objetivos ISO 27000 Fases de la adecuación Conclusiones Agenda

3 Página 2 | ¿Qué supone esta Ley? Un RESPALDO para los ciudadanos contra la posible utilización indebida de sus datos personales. Supone que los datos personales serán tratados con el RESPETO necesario. Otorga un CONTROL al titular sobre sus propios datos. Introducción

4 Página 3 | Nacimiento de una Obligación: Quien trata datos de carácter personal ha de cumplir con una serie de Obligaciones. Protección frente a la indefensión: Confiere una serie de derechos y garantías a los ciudadanos. ¿Qué supone esta Ley? Introducción

5 Página 4 | ¿POR QUÉ CUMPLIR CON LA LEY? Desde un punto de vista Legal: por la necesidad de garantizar un Derecho Fundamental a la Protección de datos. Desde un punto de vista práctico: porque se establece un Régimen sancionador, que va de los 100 a 320,000 días de salario mínimo. Desde el punto de vista del empresario: Es una ocasión para realizar una auditoria y establecer un control de su sistema organizativo y técnico. Introducción

6 Página 5 | El alcance de la legislación de protección de datos comprende la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. OBJETO DE LA LEY Introducción

7 Página 6 | Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I.Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y II.Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. OBJETO DE LA LEY Introducción

8 Página 7 | Clientes y Contactos |Proveedores Nóminas Marketing Curriculum Contabilidad y Declaraciones a hacienda pública Gestión de Personal Archivo de Visitantes (Seguridad) Contactos Web Archivos mas frecuentes en la empresa: OBJETO DE LA LEY Introducción

9 Página 8 | Algunas definiciones importantes: Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Datos personales sensibles : Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

10 Página 9 | Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. Titular: La persona física a quien corresponden los datos personales. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. Algunas definiciones importantes:

11 Página 10 | Datos: -Identificativos -Características personales -Circunstancias sociales. -Académicos y profesionales. -Empleo y carrera administrativa -Información comercial -Económico-financieros. -Transacciones. Datos: -Identificativos -Características personales -Circunstancias sociales. -Académicos y profesionales. -Empleo y carrera administrativa -Información comercial -Económico-financieros. -Transacciones. Datos personales NIVELES DE SEGURIDAD Datos personales Sensibles Datos personales Sensibles Los datos se clasifican en Niveles según interferencia en la INTIMIDAD del individuo Datos -Especialmente protegidos: (Ideología, Creencias, religión, origen racial, salud o vida sexual) Datos -Especialmente protegidos: (Ideología, Creencias, religión, origen racial, salud o vida sexual)

12 Página 11 | Entidades Privadas Entidades Privadas Empresas Pymes Sociedades Fábricas Asociaciones Inmobiliarias.. Sanidad Farmacias Ópticas Laboratorios Clínicas Colegios Profesionales Graduados Sociales Ingenieros Peritos Abogados ¿QUIÉN HA DE ADAPTARSE A LA LFPDPPP? LFPDPPP Escuelas Universidades Primarias Secundarias

13 Página 12 | Seguridad Adopción de medidas de seguridad dispuestas en el Reglamento de Medidas de Seguridad. Comunicación de datos Las cesiones han de ser amparadas por Ley o ser consentidas por el titular de los datos. Acceso por cuenta de Terceros Empresas y entidades que prestan servicios: Gestorías, Empresas informáticas. PRINCIPIOS

14 Página 13 | Calidad de datos, proporcionalidad, finalidad. Consentimiento. Exige una manifestación de la voluntad libre e inequívoca del titular de los datos. Transparencia (información en la Recogida de datos). Se ha de cumplir con el deber de informar de lo expresamente dispuesto en la LFPDPPP. PRINCIPIOS

15 Página 14 | Principios de licitud, calidad, proporcionalidad y lealtad Los datos sólo podrán ser tratados de forma leal y lícita. No se pueden recoger los datos de manera desleal, ilícita o fraudulenta. Los datos que se recojan sólo pueden ser tratados de acuerdo a finalidades determinadas, explícitas y legítimas del responsable de la base de datos.  esto significa que es necesario informar y dar a conocer cuales son estas finalidades. No pueden ser utilizados para otras finalidades sin el consentimiento del afectado.  si queremos usarlos para publicidad o para otras cuestiones deberemos de informar de cuales son estas finalidades y solicitar el consentimiento. Sólo se recogerán los datos necesarios, no hay que excederse.  cuando en un cuestionario se soliciten datos hay que determinar cuales son los necesarios para conseguir la finalidad.

16 Página 15 | Principio de Calidad de los datos Los datos se actualizarán cuando se conozca una nueva situación del afectado.  La actualización de los datos es un gran problema en muchas empresas, ya que no pueden asegurar que los datos que manejan estén actualizados debido al esfuerzo que supone el realizarlo. Se cancelarán cuando hayan dejado de ser necesarios.  establecer un periodo de caducidad, el problema es saber cuando han dejado de ser necesarios y conocer que legislación afecta para tener en cuenta los periodos que nos impone. Limitación en el caso de los datos especialmente sensibles, que será el mínimo para cumplir la finalidad.

17 Página 16 | Principio de información Cuando se vaya a solicitar datos personales es necesario informar de lo siguiente: I. La identidad y domicilio del responsable que los recaba; II. Las finalidades del tratamiento de datos; III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos; IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley; V. En su caso, las transferencias de datos que se efectúen, y VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

18 Página 17 | Principio de información En cumplimiento de la Ley Federal de Protección de datos de 21 de Abril de 2010, le informamos que sus datos serán tratados por NOMBRE DEL RESPONSABLE DEL TRATAMIENTO con dirección C/XXXXXXXX. La finalidad del tratamiento es (determinar con claridad la finalidad del mismo). Ej. Gestión clientes, gestión de personal, informarle de nuestros productos y ofertas. Se han implantado las medidas de seguridad necesarias para evitar el uso por personal no autorizado y la divulgación a terceros. Hay que determinar la cesión de datos que se puedan realizar. Ej. En caso de cesión de datos “Asimismo se le informa que sus datos serán puestos a disposición de las empresas XXXX para las finalidades XXXXX”. O sino va a ceder los datos “La empresa tratará estos datos con la máxima confidencialidad siendo el destinatario único y exclusivo de los mismos, y no efectuando cesiones o comunicaciones a terceros al margen de las señaladas por la normativa vigente.”

19 Página 18 | Principio de información Puede ejercer sus derechos de acceso a los datos, rectificación y cancelación mediante carta dirigida a XXXXXXXXX, adjuntando fotocopia de documento identificativo. En caso de modificarse cualquiera de las condiciones de la recogida de datos se le hará llegar una nueva comunicación mediante XXXXXXXXXXXXX EN CASO DE RECABARSE DATOS PERSONALES SENSIBLES: Por la aceptación de la presente cláusula, otorga el permiso expreso para que RESPONSABLE DE LA BASE DE DATOS realice el tratamiento de sus datos, incluyendo aquellos que puedan ser considerados sensibles, según la legislación aplicable de protección de datos.

20 Página 19 | Consentimiento  El consentimiento se debe de solicitar:  Para un tratamiento o serie de tratamientos concretos, y para unas finalidades determinadas y legítimas.  En caso de cesión de los datos, se debe de informar a quien se van a ceder los datos y para que finalidades, para el que afectado pueda oponerse a estas cesiones.  El consentimiento puede ser expreso o tácito.  Expreso cuando así lo solicite la ley (datos especialmente protegidos, cesiones, otras finalidades envío de publicidad)  Tácito en el resto de los casos, siempre hay que dar la posibilidad de retirar el consentimiento  Para poder realizar un tratamiento de datos se exigirá el consentimiento inequívoco, a no ser que la ley diga otra cosa.

21 Página 20 | Consentimiento Consentimiento Expreso: cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.

22 Página 21 | Consentimiento No será necesario el consentimiento para el tratamiento de los datos personales cuando: I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica,…..

23 Página 22 | Se ha de respetar unos procedimientos y plazos para dar respuesta a estos derechos. ACCESO RECTIFICACIÓN CANCELACIÓN OPOSICIÓN DERECHOS DE LOS TITULARES

24 Página 23 | Otros puntos de la protección de datos a tener en cuenta  Clasificación de los datos conforme a su nivel de protección.  Cesión de datos a terceros  Tratamiento de los datos por terceros  Transferencias internacionales de datos  Atención al ejercicio de los derechos  Protección de los datos, medidas de seguridad a aplicar.  Tratamientos específicos de publicidad, creación de bases de datos de exclusión de publicidad.

25 Página 24 |  El objeto de la PRIVACIDAD es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades p ú blicas y los derechos fundamentales de las personas f í sicas y especialmente su honor e intimidad personal y familiar  Las organizaciones se suelen debatir entre s ó lo cumplir con la PRIVACIDAD o implantar las medidas necesarias para no tener incidentes Sistema de Gestión Y Privacidad

26 Página 25 | Sistema de gestión y Privacidad  Para una organización lo que verdaderamente es importante es no tener incidentes que puedan desembocar en denuncias  Para ello se suele llegar a puntos muertos en el desarrollo de las medidas en los que el discurso es “Ya sé que podemos tener un incidente, pero es que la ley no lo exige” La legislación establece unas medidas de seguridad concretas, pero deja claro que la organización debe hacer lo necesario para proteger los datos personales

27 Página 26 | Sistema de Gestión y Privacidad  Dicho esto, un Sistema de Gestión contempla los controles necesarios para  Evitar incidentes en la medida de lo posible  Detectarlos rápidamente si se producen  Darles una respuesta rápida, eficaz y ordenada  Adoptar las medidas para que no se vuelva a repetir  Y todo ello, como no puede ser de otra forma, cumpliendo con la legislación aplicable  La implantación de un Sistema de Gestión, o incluso su certificación,  NO constituyen ninguna garantía de cumplimiento en lo referente a PRIVACIDAD

28 Página 27 |  Si además de pensar en cumplir con la ley, pensamos en tener los datos personales con un nivel de seguridad que nos permita ser optimista...  ¿Cuál de los siguientes objetivos podríamos pasar por alto? Sistema de Gestión y Privacidad

29 Página 28 | Asegurarse de que puede tratar los datos y asignarles una finalidad concreta. Recoger los datos de forma adecuada y poner especial cuidado en el consentimiento. Informar a los titulares de la identidad del Responsable, de sus derechos, etc... Poner especial cuidado en las cesiones de datos y en realizar contratos con los encargados de tratamiento. Pasos para adecuar a una empresa a la Legislación de protección de Datos Personales

30 Página 29 | Redacción de un Documento de Seguridad. Implantación de Medidas de seguridad (técnicas y organizativas). Respetar al máximo los Derechos y Principios que la Ley otorga al titular de los datos de carácter personal. Auditorias con periodicidad temporal. Pasos para adecuar a una empresa a la Legislación de protección de Datos Personales

31 Página 30 | FASES ADECUACIÓN Análisis de Empresas - Análisis de BB.DD. - Funciones del personal - Procedimientos de seguridad - Sistemas informáticos Análisis de Empresas - Análisis de BB.DD. - Funciones del personal - Procedimientos de seguridad - Sistemas informáticos Contratos Redacción de Documento de Seguridad Redacción de Documento de Seguridad Políticas de seguridad Políticas de seguridad Regulación jurídica Regulación jurídica Implementación en la empresa Establecimiento del sistema de gestión Establecimiento del sistema de gestión

32 Página 31 | Un Sistema de Gestión no garantiza que la organización cumpla con la PRIVACIDAD Sin embargo la mayoría de los objetivos de la ISO 27000 son de aplicación para la protección de datos personales La seguridad de datos personales requiere de un proceso de gestión, el establecido en la ISO 27000 está basado en el modelo PDCA que es el más difundido Por todo ello un Sistema de Gestión no garantiza que se cumpla con la PRIVACIDAD pero ayuda... Y mucho Conclusiones

33 Página 32 | CONCLUSIONES ¿POR QÚE ADECUARNOS A LA LFPDPPP? Sanciones. Legislación. Gestión segura de la información. Crear buena imagen, prestigio. Protección ante empleados por la incorrecta utilización de la información, del correo electrónico, Internet, etc... Evitar principales fuentes de problemas: »Clientes insatisfechos. »Personal interno. »Competencia.

34 Mtro. Fernando Solares fsolares@cibersoftec.com www.cibersoftec.com