FORMACION Protección de datos de carácter personal (LOPD) 07/08 Formación Interna
Introducción a la LOPD El 13 de diciembre de 1999 se aprobaba la Ley Orgánica 15/99 de Datos de Carácter Personal (LOPD) . Se daba así comienzo a la actividad reguladora del tratamiento informatizado de datos personales, necesario para evitar los abusos y perjuicios que pueden producirse. Acaba de publicarse el nuevo Reglamento de protección de datos, correspondiente a la ley en vigor desde 1999. La LOPD estipula la obligación de registrar en el Registro al efecto de la Agencia de Protección de Datos, todos los ficheros automatizados y no automatizados con datos de carácter personal que existan en poder de la empresa. Dependiendo del tipo de datos objeto del tratamiento, la LOPD establece tres niveles diferentes de seguridad, cada uno de ellos con exigencias diferentes. Ley Orgánica 15/99 de 13 de Diciembre, de Protección de datos de Carácter Personal Reglamento de desarrollo de la Ley Orgánica 15/99 (RD 1720/2007 de 21 de Diciembre, publicado en el BOE el 19/1/08)
Introducción a la LOPD Las sanciones por incumplimiento de la ley (articulo 43) se estipulan en (a titulo personal o de empresa): infracciones leves: Sanción de 600 a 60.000 € infracciones graves: Sanción de 60.000 a 300.000 € infracciones muy graves: Sanción de 300.000 a 600.000 € La protección de datos a que se refiere la Ley 15/99, tiene un ámbito mayor que el mero almacenamiento y acceso a los datos: Protege todo el tratamiento de los mismos: Recopilación de datos (conocimiento y consentimiento). Almacenamiento y seguridad Acceso, modificación y rectificación de datos por parte del propietario de la BD y del titular de los mismos. Cesión (consentimiento obligatorio). Eliminación. Finalidad y proporcionalidad de los datos
Marco Legal y Normativas Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de carácter personal Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Marco Legal Instrucciones dictadas por la APD: Instrucción 1/1995 de Prestación de Servicios de Información sobre solvencia patrimonial y crédito. Instrucción 2/1995 de medidas para garantizar la intimidad de los datos personales recabados en la contratación de un seguro de vida conjuntamente con un préstamo hipotecario personal. Instrucción 1/1996 de ficheros automatizados para el control del acceso a edificios. Instrucción 2/1996 de ficheros automatizados para el control de acceso a casinos y salas de bingo. Instrucción 1/1998 relativa al Ejercicio de los Derechos de Acceso, Rectificación y Cancelación. Instrucción 1/2000 relativa a las normas por las se rigen los movimientos internacionales de datos. ……………………
Obligaciones Formales Organizativas Técnicas Registro ficheros RGAPD Documento Seguridad Organizativas Implementar documento seguridad Formación de los afectados (Difusión) Responsable de Seguridad Notificación y Gestión de Incidencias Control de acceso físico Distribución y etiquetado de soportes Auditoria Información ejercicio derechos / Deber de informar Cesión / Encargados del tratamiento Técnicas Control acceso lógico Identificación y Autenticación Gestión de Soportes Backups y Recuperación de los datos Pruebas con datos reales Registro de accesos Telecomunicaciones Control acceso físico
Aplicación niveles seguridad Todos los ficheros que contengan datos de carácter personal, adoptarán las medidas de nivel básico. Los que contengan datos financieros, hacienda pública o relativos a la comisión de infracciones administrativas o penales adoptarán las medidas de nivel básico y de nivel medio. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, adoptarán las medidas de nivel alto (además de las de nivel medio y bajo).
Medidas por Nivel de Seguridad Básico Medio Alto Documento Seguridad ● Funciones y obligaciones Personal + Difusión Registro Incidencias Identificación y Autenticación Control de acceso lógico Gestión de Soportes Copias de Respaldo y Recuperación Auditoria Pruebas con datos reales Responsable de Seguridad Control de acceso físico Distribución de Soportes Registro de accesos Telecomunicaciones
Medidas Nivel Medio Responsable Seguridad Auditoria LOPD Bianual. Identificación única y personalizada del acceso a los ficheros nivel medio. Límite de accesos erróneos al fichero. Control de acceso físico a los ficheros. Gestión Soportes: Anotar entrada/salida de soportes que contengan el fichero de nivel medio (Tipo soporte, fecha y hora, destinatario, número de soportes, tipo de información contenida, forma de envío, persona responsable de la recepción). Registro de Incidencias: Autorización por escrito del responsable del fichero en caso de recuperación, y anotación del procedimiento efectuado, persona que lo realiza y datos recuperados.
Medidas Nivel Alto Distribución de Soportes: Se ha de cifrar la distribución de los soportes que contengan datos de carácter personal. Registro de accesos al fichero: Se ha de guardad de cada acceso identificación del usuario, fecha y hora del acceso, tipo de acceso y si ha sido autorizado o no. Es información se debe guardar 2 años mínimo. El Responsable de Seguridad ha de realizar un informe mensual de revisiones realizadas y problemas detectadas. Copias de Seguridad: Se debe guardar una copia del fichero en lugar físico diferente. La transmisión de datos de datos de carácter personal a través de redes de Telecomunicaciones se realizará cifrando datos.
Documento de seguridad. Estructura CAPÍTULO 1 AMBITO DE APLICACION / RECURSOS PROTEGIDOS. CAPÍTULO 2 MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTANDARS ENCAMINADOS A GARANTIZAR EL NIVEL DE SEGURIDAD EXIGIDA EN EL REGLAMENTO. CAPÍTULO 3 FUNCIONES Y OBLIGACIONES DEL PERSONAL. CAPÍTULO 4 ESTRUCTURA DE LOS FICHEROS CON DATOS DE CARACTER PERSONAL Y DESCRIPCION DE LOS SISTEMAS DE INFORMACION QUE LOS TRATAN. CAPÍTULO 5 PROCEDIMIENTO DE NOTIFICACION, GESTION Y RESPUESTA ENTORNO A LAS INCIDENCIAS. CAPÍTULO 6 COPIAS DE SEGURIDAD Y GESTIÓN DE SOPORTES. CAPÍTULO 7 PROCEDIMIENTO DE COPIA DE SEGURIDAD. COMPROBACIÓN. CAPÍTULO 8 PROCEDIMIENTO DE RESTAURACIÓN. CAPÍTULO 9 FUNCIONES Y RESPONSABILIDADES DEL RESPOSABLE DE SEGURIDAD. CAPÍTULO 10 CESIÓN DE DATOS. CAPÍTULO 11 COMUNICACIÓN DE DATOS E INFORMACIÓN. CAPITULO 12 ACCESO Y RECTIFICACION DE DATOS. CAPITULO 13 PROCEDIMIENTO Y CUSTODIA DEL ARCHIVO FÍSICO. CAPITULO 14 POLITICA DE INTERNET Y CONTROL DE VIRUS. CAPITULO 15 TRATAMIENTO FICHEROS TEMPORALES. CAPÍTULO 16 JURISDICCIÓN APLICABLE.
Obligaciones del trabajador Conocimiento y obligatorio cumplimiento del Documento de Seguridad y la normativa allí definidas (Manual de seguridad): Confidencialidad en los datos accedidos Cumplimiento de permisos definidos en el documento de seguridad Confidencialidad de los datos utilizados para sus tareas laborales. Obligación de informar de cualquier incidencia con datos de carácter personal al Responsable de Seguridad. Prohibición de guardar ningún tipo de información en modo local. El trabajador es responsable de la información residente en el ordenador. Prohibición de grabación de datos de carácter personal (CD, usb, diskette,etc) sin autorización del responsable de Seguridad Prohibición de instalación de software en la estación cliente sin autorización del responsable de seguridad (ni bajar programas de internet) Cambio de contraseña trimestral Otros ……….. (Documento de seguridad)
A tener en cuenta !!! Ficheros manuales estructurados: guardar en lugar cerrado con llave. Responsable de Seguridad: Sergi Ros No hacer copias de seguridad de los datos: ya existe procedimiento habilitado en los recursos definidos No se pueden guardar informes médicos ni datos de salud Documento de seguridad de obligatorio cumplimiento (se ha de revisar y confirmar que se ha leído). Lo exige la LOPD. Si no se lee, no exime del cumplimiento Las multas por incumplimiento son a título personal (y de empresa)
Ficheros identificados Ficheros identificados en todas las empresas y responsable: