Protección de Datos en la Universidad Carlos III de Madrid 7 de Mayo de 2008 protdatos@listserv.uc3m.es
Índice de la presentación La protección de datos en la UC3M: actuaciones más importantes realizadas. Aspectos organizativos. Actuaciones en materia de seguridad. Auditoría. Dificultades. Comentario inicial: no vamos a entrar en legislación o aspectos generales de protección de datos. Equipo de trabajo conjunto formado por Servicio de RRHH&O y el Servicio de Informática y Comunicaciones (ASYC). Declaración de ficheros, 1º: RESOLUCION DE 20 DE JULIO DE 1994, DE LA PRESIDENCIA DE LA COMISION GESTORA DE LA UNIVERSIDAD CARLOS III DE MADRID, POR LA QUE SE REGULAN LOS FICHEROS DE TRATAMIENTO DE DATOS DE CARACTER PERSONAL DE LA UNIVERSIDAD CARLOS III DE MADRID, 10 ficheros. Formularios: Los datos personales recogidos serán incorporados y tratados en el fichero RECURSOS HUMANOS, cuya finalidad es la gestión de datos de personal que mantienen una relación laboral con la Universidad. El fichero está inscrito en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid. Los datos personales podrán ser cedidos según las previsiones del propio fichero así como aquellas otras previstas en la Ley. El órgano responsable del fichero es la Gerencia de la Universidad, y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es: C/ Madrid nº 126, 28903, Getafe; todo lo cual se informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Actuaciones en materia de seguridad: diapositiva específica. Auditoría interna se ve en diapositiva específica. Comisión se ve en una diapositiva específica Jornadas informativas: 2007, 96 asistentes
Actuaciones más importantes realizadas Declaración de ficheros. Firma del convenio de colaboración con la APDCM. Adaptación de formularios: cláusula informativa. Elaboración de documentos de seguridad. Información: página de protección de datos, integrada en el portal del empleado. Actuaciones específicas en materia de seguridad. Auditoría interna (2005). Constitución de la Comisión de Protección de Datos (2007). Seminario sobre protección de datos para el PAS y el PDI de la Universidad (2007, 96 asistentes). Auditoría externa (2008). Declaración fichero videovigilancia y seguridad. Comentario inicial: no vamos a entrar en legislación o aspectos generales de protección de datos. Equipo de trabajo conjunto formado por Servicio de RRHH&O y el Servicio de Informática y Comunicaciones (ASYC). Declaración de ficheros, 1º: RESOLUCION DE 20 DE JULIO DE 1994, DE LA PRESIDENCIA DE LA COMISION GESTORA DE LA UNIVERSIDAD CARLOS III DE MADRID, POR LA QUE SE REGULAN LOS FICHEROS DE TRATAMIENTO DE DATOS DE CARACTER PERSONAL DE LA UNIVERSIDAD CARLOS III DE MADRID, 10 ficheros. Formularios: Los datos personales recogidos serán incorporados y tratados en el fichero RECURSOS HUMANOS, cuya finalidad es la gestión de datos de personal que mantienen una relación laboral con la Universidad. El fichero está inscrito en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid. Los datos personales podrán ser cedidos según las previsiones del propio fichero así como aquellas otras previstas en la Ley. El órgano responsable del fichero es la Gerencia de la Universidad, y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es: C/ Madrid nº 126, 28903, Getafe; todo lo cual se informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Actuaciones en materia de seguridad: diapositiva específica. Auditoría interna se ve en diapositiva específica. Comisión se ve en una diapositiva específica Jornadas informativas: 2007, 96 asistentes
Actuaciones más importantes realizadas: organizativas Comisión de Protección de Datos. Objetivos de la Comisión: Evaluación de la situación de la protección de datos y seguridad informática en la Universidad Carlos III de Madrid, tomando como referencia las recomendaciones recogidas en las Auditorías realizadas. Seguimiento del convenio firmado con la Agencia de Protección de Datos de la Comunidad de Madrid, proponiendo actividades y mejoras. Propuesta de recomendaciones y acciones en materia de protección de datos y seguridad informática. Información en sus ámbitos de actuación. Colaboración con el Comité de Seguridad Informática. Colaboración con la Comisión Informática. Comentar equipo multidisciplinar técnico-organizativo-jurídico Comentar que el Comité de seguridad está formado por el SdIC y el Departamento de Informática de la Universidad: objetivo seguridad de aplicaciones, sistemas, etc. Comentar que la Comisión Informática está formada por representantes de los centros y departamentos de la Universidad, además del PAS.
Actuaciones más importantes realizadas: organizativas Comisión de Protección de Datos. Integrantes: Presidente: Vicerrectora de Calidad, Infraestructuras y Medio Ambiente. Secretaría General. Especialistas en Protección de datos. Gerente/Vicegerente. Director de la Asesoría Jurídica. Directora del Servicio de Informática y Comunicaciones. Servicio de Recursos Humanos y Organización. Técnicos del Servicio de Informática y Comunicaciones. Responsable de seguridad.
Actuaciones más importantes realizadas: seguridad Creación del Comité de seguridad informática. Control de acceso físico a los locales e instalaciones donde se encuentren los ficheros Controles de acceso a los ficheros lógicos y físicos. Medidas de identificación y autenticación. Gestión, distribución y almacenamiento de soportes Procedimientos y gestión de copias de respaldo y recuperación Cortafuegos (en servidores y equipos cliente) Políticas de seguridad a nivel de red (en los cortafuegos corporativos) Gestión y Administración de contraseñas (Single Sign-On) Manual de seguridad (https://asyc.uc3m.es/papers/sb.pdf). Borrado seguro de discos.
Actuaciones más importantes realizadas: auditoría Obligatoria para ficheros automatizados de datos personales. Medidas de seguridad de nivel medio y de nivel alto Al menos cada dos años Interna o externa Verificar el cumplimiento del RMS Nos estamos refiriendo al anterior REGLAMENTO. Nivel medio: (infracciones administrativas o penales, Hacienda Pública, servicios financieros o que permitan evaluar la personalidad de los individuos) Nivel alto: (los que incorporen datos sobre ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas) Auditoría de sistemas de información e instalaciones de tratamiento de datos
Actuaciones más importantes realizadas: auditoría Primera auditoría realizada en 2005. Interna. Aspectos legales más importantes: Tipos de datos y ficheros en la Universidad Formas de obtención de los datos. Finalidad Terceros implicados en el tratamiento. Funciones del personal en materia de protección de datos Derechos de los usuarios: cláusulas de información y ejercicio de los derechos. Nivel medio: (infracciones administrativas o penales, Hacienda Pública, servicios financieros o que permitan evaluar la personalidad de los individuos) Nivel alto: (los que incorporen datos sobre ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas) Auditoría de sus sistemas de información e instalaciones de tratamiento de datos
Actuaciones más importantes realizadas: auditoría Aspectos técnicos más importantes: Documentos de seguridad. Control para el acceso, modificación o supresión de los datos Obligaciones básicas en materia de protección de datos. Registro de incidencias, soportes, copias de seguridad. Responsable de seguridad. Auditorías periódicas.
Actuaciones más importantes realizadas: auditoría Medidas más importantes aplicadas: Actualización de documentos de seguridad. Responsable de seguridad. Creación de Comisión de Protección de datos. Actualización de cláusulas. Seminario formativo (2007). Comentar dificultades: importante esfuerzo en tiempo, hablar con distintas personas del SdIC y de Servicios Universitarios.
Actuaciones más importantes realizadas: auditoría Segunda auditoría realizada en 2007, principios 2008. Auditoría externa. Inicio: Definición de un equipo interno de apoyo Selección auditor externo. Definición de un plan de trabajo con el auditor: Equipo de apoyo interno. Responsables de Servicios. Centros y Departamentos Auditoría externa: tener una visión externa y totalmente independiente de la situación de la protección de datos en la Universidad. Recursos necesarios para realizar la auditoría de forma interna. Equipo interno de apoyo: SdIC, RRHH&O, coordinación por parte de la Comisión de Protección de Datos.
Actuaciones más importantes realizadas: auditoría Trabajos iniciales: Conocimiento de la Universidad por el equipo auditor externo. Identificación de ficheros. Formularios de toma de datos. Cláusulas y contratos. Cesiones a terceros. Soportes de almacenamiento de datos. Tratamientos de datos. En el conocimiento de la Universidad se realizaron diversas reuniones con el equipo de apoyo interno. También se realizaron reuniones de trabajo con responsables de servicios universitarios.
Actuaciones más importantes realizadas: auditoría Estudio de ubicación, medios y tratamiento que se da a la información: Locales: descripción, ubicación y acceso. Sistema informático, servidores, configuración. Aplicaciones informáticas, SGBD. Redes y acceso a Internet. Perfiles de los distintos usuarios Perfiles de los usuarios: Asignación de responsabilidades. personal autorizado: administradores, responsable de seguridad, usuarios de las aplicaciones; gestión de contraseñas.
Actuaciones más importantes realizadas: auditoría Chequeo del cumplimiento y seguimiento a la fecha de las medidas adoptadas con relación a la LOPD: Análisis de ficheros registrados. Adecuación de los niveles de protección según la LOPD. Adopción de medidas según el nivel de fichero. Análisis del documento de Seguridad. Gestión de incidencias. Ejercicio de derechos ARCO. Análisis del documento de seguridad: Contenidos mínimos. Cumplimiento de requisitos legales.
Aplicar medidas auditoría externa: Plan de acción. Actuaciones futuras Aplicar medidas auditoría externa: Plan de acción. Adaptación al nuevo reglamento de medidas de seguridad. Avanzar en información a departamentos y servicios; asesoría. Finalizar manual de buenas prácticas. Con respecto al plan de acción, comentar: Conclusiones de la auditoría: Recomendaciones en relación con el RMS. Recomendaciones adicionales / mejoras. Priorización teniendo en cuenta: riesgo, dificultad, plazo de implantación y coste/recursos necesarios. ------------------------------------------------------------ Algunas ideas: Revisión declaración de ficheros: A, B, M. Revisión de actividades del responsable de seguridad. Mejora del sistema de Gestión de incidencias. Funciones y obligaciones del personal.
Muchos Servicios, Departamentos y Centros, con autonomía. Dificultades Muchos Servicios, Departamentos y Centros, con autonomía. Aspectos Legislativos, aspectos técnicos y organizativos. Importante esfuerzo: tiempo, actividades (ej. Responsable de Seguridad). Cambios legislativos. Legislación diversa: Comunidad, Estatal, Europea. Concienciación de los usuarios de las aplicaciones: formar e informar. Nuevas formas de trabajo: Teletrabajo, housing, hosting. Riesgos de la conexión en red (virus). Comentar los aspectos técnicos: riesgos de Internet, virus, Nuevas formas de trabajo housing, hosting, teletrabajo
Protección de Datos en la Universidad Carlos III de Madrid 7 de Mayo de 2008 protdatos@listserv.uc3m.es