Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado III Jornada Protección de Datos en la Educación Madrid, 25 de noviembre de 2008 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría Agencia de Protección de Datos de la Comunidad de Madrid

2 Ámbito de aplicación –Tratamientos automatizados –Ficheros manuales no automatizados  Coincide con el final de la moratoria LOPD  Consecuencias importantes medidas seguridad  Desarrolladas en un capítulo específico Tratamientos y Datos excluidos –Datos ficheros contactos de empresa –Datos de empresarios individuales –Datos de fallecidos Aspectos Generales

3 Medidas de Seguridad Nuevos ficheros en Nivel Medio –Seguridad Social –Mutuas –Conjunto de datos que permitan  Definición características o personalidad  Evaluar aspectos personalidad o comportamiento –Datos de tráfico y localización  Además, el registro de accesos del Nivel Alto Nuevos ficheros Nivel Alto –Datos derivados actos violencia de género

4 Medidas de Seguridad Otros cambios de Nivel de Seguridad –Nivel básico para datos sensibles si  Transferencia dineraria a entidades de las que son miembros los afectados  Datos de declaración o grado de discapacidad y condición de invalidez  Si se recogen exclusivamente con motivo del cumplimiento de deberes públicos –Nivel básico para ficheros manuales  Que contengan datos sensibles de forma incidental  Sin guardar relación con finalidad del fichero

5 Plazos de Implantación Ficheros automatizados preexistentes: –Medidas nivel medio (ficheros Seguridad Social, mutuas, perfiles): un año –Medidas nivel alto (ficheros violencia género, tráfico telecomunicaciones): dieciocho meses Ficheros manuales preexistentes: –Medidas nivel básico: un año –Medidas nivel medio: dieciocho meses –Medidas nivel alto: dos años Ficheros nuevos de cualquier tipo: –Deben cumplir el reglamento desde su creación

6 Medidas de Seguridad Segregación de datos de sistema principal –Si requieren nivel de seguridad mayor Delegación de autorizaciones –Constarán en Documento de Seguridad Regulación –Ficheros temporales y copias de trabajo –Dispositivos portátiles y trabajo fuera locales Concepto de documento –Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como unidad diferenciada

7 Seguridad – Encargado Tratamiento En locales del Responsable o en acceso remoto con prohibición de incorporar datos –Se reflejará en documento de seguridad responsable –Compromiso de cumplimiento medidas de seguridad En locales del Encargado –Documento de Seguridad del Encargado –Identificando  Fichero o tratamiento  Responsable del mismo –Incorporando medidas de seguridad En todo caso, acceso del Encargado –Sometido a medidas de seguridad del Reglamento

8 Medidas de Seguridad Prestaciones sin acceso a datos personales –Limitación de acceso a sistemas de información –Prohibición acceso y deber de secreto en contrato Acceso a datos a través de redes –Garantizar nivel seguridad equivalente a local Niveles de Seguridad de Ficheros Mixtos –Inscripción nivel seguridad más alto –Aplicación medidas de seguridad  Parte automatizada: Medidas ficheros automatizados  Parte manual: Medidas ficheros manuales

9 Documento de Seguridad Flexibilidad en su organización –Único –Por ficheros o tratamientos –Agrupándolos  Según sistema de tratamiento  Por criterios organizativos responsable

10 Documento de Seguridad Inclusión de –Medidas transporte y destrucción de documentos –Tratamientos por cuenta de terceros  Referencia al contrato, identificación encargado y duración  Delegable llevanza documento de seguridad si el encargado trata en sus equipos todos los datos En Nivel Medio o Alto: –Identificación responsables de seguridad –Controles periódicos que deben realizar para verificar cumplimiento

Ficheros Manuales

12 Ficheros Manuales Obligaciones similares a automatizados en –Alcance –Niveles de seguridad –Encargado de tratamiento –Prestaciones sin acceso a datos personales –Delegación de autorizaciones –Régimen del trabajo fuera de los locales del responsable o encargado –Copias de trabajo de documentos –Documento de seguridad –Funciones y obligaciones del personal –Registro de incidencias –Control de acceso –Gestión de soportes

13 Ficheros Manuales – Nivel Básico Criterios de archivo –Según legislación aplicable –Si no, establecidos por responsable –Garantizarán  Correcta conservación de los documentos  Localización y consulta de la información  Ejercicio de los derechos

14 Ficheros Manuales – Nivel Básico Dispositivos de almacenamiento –Mecanismos que obstaculicen apertura –Si no fuera posible  Medidas impidan acceso personas no autorizadas Custodia de los soportes fuera de los dispositivos de almacenamiento –Responsabilidad: quien los tenga a cargo –Impedir acceso personas no autorizadas

15 Ficheros Manuales – Nivel Medio Obligación de designar –Responsable(s) de seguridad Auditoría bienal –Interna o externa –Que verifique cumplimiento medidas

16 Ficheros Manuales – Nivel Alto Zonas de archivadores –Protegidas por puertas con llave o equivalente –Cerradas cuando no sea preciso acceso a documentos –Si no fuera posible  Medidas alternativas  Documentadas y justificadas en DS Copia o reproducción –Bajo control de personal autorizado en DS –Destrucción copias desechadas  Que evite recuperación información que contienen

17 Ficheros Manuales – Nivel Alto Acceso a la documentación –Exclusivamente por personal autorizado –Si documentos utilizados por múltiples usuarios  Mecanismos de identificación de cada acceso –Acceso de personas no autorizadas  Registrado según procedimiento establecido en DS Traslado de documentos: –Medidas para impedir acceso o manipulación de la información