Protección de Datos Personales La Ley aplicada a nuestro

Slides:



Advertisements
Presentaciones similares
Competencia estratégica y métodos de control Lars Tveit, KS.
Advertisements

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
LEY DE PROTECCIÓN DE DATOS
REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
Intranets P. Reyes / Octubre 2004.
XVIII Exposición Latinoamericana del Petróleo
Auditorías - ISO Fecha: Jornada UNED.
Open RA 10/25/00 EEM/TD/LQ M. F. Juan 1 La Función de Calidad en los Proyectos de Desarrollo de Software Manuel F. Juan Martínez Juan López Espinosa Centro.
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Gastón L. Bercún. Privacidad Ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado.
UNIVERSIDAD "ALONSO DE OJEDA"
Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign Principio #4-
2 Principios de Protección al Cliente Principio # 6 en Práctica Dos componentes de la protección de los datos de los clientes Retroalimentación de los.
Programa informático para el
ACREDITACIÓN DE CARRERAS DE GRADO LICENCIATURA EN QUÍMICA
PROTECCION DE DATOS DE CARÁCTER PERSONAL
PROPIEDAD DEL CLIENTE.
Diana Carolina Rojas Alarcón María Alejandra Hernández
Índice ¿Qué son los datos personales (DP)?, importancia
1 Directiva 2006/123/CE relativa a los servicios en el mercado interior 2006/123/CE Incorporación al derecho interno hasta el 28.XII.2009 Principales objetivos:
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Convenio para realizar la
Talcahuano 758, piso 6 B (C1013AAP) Buenos Aires, República Argentina Tel: (54 11) Fax: (54 11) Web:
1 CONEAU Comisión Nacional de Evaluación y Acreditación Universitaria MINISTERIO DE EDUCACION 2 DE JULIO DE 2010 ACREDITACIÓN DE CARRERAS DE INGENIERÍA.
Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Índice Sesión I Bloque I (09:30 a 10:30 Horas) Configuración Inicial
JORNADA INFORMATIVA REA 1 Valladolid, EL REGISTRO DE EMPRESAS ACREDITADAS: ANÁLISIS Y CONTENIDO Luis Valerio Benito Secretario General Cámara.
1 RG 1361AFIP TITULO I: EMISIÓN Y ALMACENAMIENTO ELECTRONICO DE COMPROBANTES TITULO II: ALMACENAMIENTO ELECTRONICO DE REGISTRACIONES DE COMPRO- BANTES.
Módulo N° 6 – Reglamentación del SMS
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
HISTORIA CLÍNICA RESOLUCIÓN 1995/99 MIN. PROTECCIÓN SOCIAL
CONTENIDO Introducción SEACE Conclusiones Información adicional
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad por Julio César Moreno Duque
 1) Soporta las opiniones y conclusiones expuestas en el informe.   2) Acumulación de conocimiento del cliente   3) Fácil transición en caso de realizar.
Manual del SAA NOTAS.
Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.
MESA 3 Evaluación, seguimiento y mejora, auditorias internas y Revisión por la dirección Requisitos P
1 Projecto de Auditorías de Confirmación Programa Ambiental México-EE.UU. Frontera 2012 Formación de Auditores 13 de marzo 2007.
REQUISITOS A CUMPLIR PARA SER UNA ASOCIACIÓN ACREDITADA ANTE LA ASOCIACIÓN ACTUARIAL INTERNACIONAL 22 Noviembre
SISTEMA PERSONA Marzo,2014. Lineamientos de Protección de Datos Personales Marco Normativo.
Regulación Básica: Artículo 18.4 Constitución Española (Derecho Fundamental) Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter.
AREA DE SEGURIDAD DE LA INFORMACION
La Ley La protección de los datos personales.
GUÍA de Protección de Datos para Responsables de Ficheros
A R C O Derechos ARCO Acceso Rectificación Cancelación Oposición
Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.
GERENCIA DEL HOSPITAL UNIVERSITARIO DE CEUTA. PROGRAMA DE FORMACIÓN CONTINUADA DEL TÍTULO DEL CURSO: Objetivos: Se pretende estudiar las técnicas.
Dirección Nacional de Protección de Datos Personales Prof. Dr Juan Antonio Travieso.
Ley Federal de Protección de Datos Personales Universidad Mundial Legislación del Comercio Electrónico.
INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA PROTECCIÓN DE DATOS PERSONALES EN EL SALVADOR.
“Ley Orgánica de Protección de Datos”
RECOMENDACIONES SOBRE LA LEY HÁBEAS DATA Autor: Ceira Morales Quiceno
Sesión de Videoformación para aplicar las medidas de Seguridad en materia de Protección de Datos Personales Servicio Integral de Protección de Datos del.
FUNCIONES DEL COORDINADOR DE CALIDAD
Universidad de Aconcagua SISTEMA DE GESTION DE CALIDAD
Esta presentación es una interpretación normativa actual sobre la Ley de Habeas Data hecha por el Departamento Jurídico de Bancóldex, razón por la cual,
HABEAS DATA LEY 1266 DE 2008.
REVISIÓN EQUIPOS DE CUMPUTO RESTRICCIÓN PARA INSTALACION DE SOFTWARE EN LOS EQUIPOS DE CÓMPUTO En la revisión de 121 equipos de computo, evidenciamos.
Significa tomar todas las medidas necesarias (seguridad, capacitación, etc.), a fin de proteger la información de datos personales de quienes tengan con.
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
POLÍTICAS Y PROCEDIMIENTOS ADMINISTRATIVOS RELACIONADOS CON LA MOTIVACIÓN Y LA FORMACIÓN
El valor de la ética en los negocios_
Ley 1581 de ¿Qué se ha de entender por protección de datos personales? 1. Junto con el Habeas data, hace parte de los derechos del consumidor. 2.
Sistema Integral de Información y Atención Ciudadana
Subdirección General de Inspección y Tutela de Derechos. 24 de septiembre de CONSULTAS FRECUENTES EN EL ÁMBITO DE LOS COLEGIOS PROFESIONALES IV.
EXPERIENCIA DEL DPTJI DEL GOBIERNO DE ARAGÓN EN LA ASESORÍA EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La Protección de Datos de Carácter Personal.
Transcripción de la presentación:

Protección de Datos Personales La Ley aplicada a nuestro día a día Marzo 2011

Agenda Introducción Conceptos, alcance y responsabilidades Casos aplicados Acciones realizadas y a realizar Conclusiones Preguntas y respuestas 2

Introducción La Ley 25326 de Protección de Datos Personales es una norma vigente y de alcance nacional, que tiene por objetivo la protección integral de los datos personales asentados. El Consejo entiende que es de vital importancia la capacitación de todos sus colaboradores acerca del contenido de la Ley, de la forma en que ésta alcanza y afecta al trabajo de todos. Teniendo estos objetivos por delante, estas charlas brindarán conocimientos y herramientas de aplicación en el ámbito laboral y personal, generando conciencia acerca de los derechos, obligaciones y responsabilidades por ella asignados. La Ley 25326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bases o bancos de datos, a fin de garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre. 3

Conceptos Titular: persona cuyos datos sean objeto de tratamiento. Responsable: persona física o de existencia ideal, pública o privada, propietario de un archivo, registro o base de datos. Usuario: persona pública o privada que realice el tratamiento de los datos, directamente o a través de conexión con los mismos. Archivo de datos: conjunto organizado de datos personales que sean objeto de tratamiento. Tratamiento: operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, almacenamiento, modificación, destrucción y en general, el procesamiento de datos personales, así como su cesión a terceros. 4

Conceptos (cont.) RESPONSABLE TITULAR Archivo de datos USUARIO DATOS PERSONALES Tratamiento de datos Sr. Juan Pérez Av. Rivadavia 1234 Tel. 4433-3344 CUIT 20-12345678-9 5

Alcance Proteger los datos personales asentados en archivos, registros, bases o bancos de datos. Estén soportados en papel, planillas, bases de datos, CDs, pendrives, o cualquier dispositivo de almacenamiento. Son datos personales la información referida a personas físicas o jurídicas, determinadas o determinables. Son datos personales sensibles aquellos que revelen origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, referentes a la salud o a la vida sexual. Son bases lícitas aquellas que están registradas y aseguradas según indica la Ley. 6

Alcance (cont.) Principios del tratamiento de datos: Finalidad Licitud Consentimiento Calidad de los datos Información Categoría Seguridad de los datos Confidencialidad Cesión Disociación Finalidad: Licitud: 1) El titular de los datos debe prestar consentimiento libre, expreso e informado. Consentimiento: 2) El consentimiento no será necesario cuando se recabe información para el ejercicio de funciones propias y/o se limiten a nombre, documento, identificación tributaria, ocupación, fecha de nacimiento y domicilio. 3) Se deberá informar previamente a los titulares de los datos en forma expresa y clara: La finalidad de su tratamiento y sus posibles destinatarios. La existencia del archivo donde se registrarán los datos. La posibilidad de ejercer derecho de acceso, rectificación y supresión de los datos. Calidad: 1) Deben ser ciertos, adecuados, pertinentes y no excesivos al ámbito y finalidad para los que se hubieran obtenido. 2) Su recolección no puede hacerse por medios desleales. 3) No pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. 4) Deben ser exactos y actualizarse en los casos que sean requeridos. 5) Los datos total o parcialmente inexactos o incompletos deben ser suprimidos, sustituidos o completados. 6) Deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular. 7) Deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiese sido recolectados. Seguridad: 1) El responsable/usuario de los datos debe adoptar medidas técnicas y organizativas para garantizar la seguridad y confidencialidad de los datos, evitando su adulteración, pérdida, consulta o tratamiento no autorizado. 2) Está prohibido registrar datos personales en archivos que no reúnan condiciones técnicas de integridad y seguridad. 3) El responsable/usuario de los datos está obligado a guardar secreto profesional, aún después de finalizada su relación. 4) En caso de una cesión de datos, el cesionario queda sujeto a las mismas obligaciones legales y reglamentarias que el cedente, y responderá solidaria y conjuntamente ante un reclamo. 5) Está prohibida la transferencia de datos personales con países u organismos que no proporcionen niveles de seguridad adecuados. Cesión: El cesionario está sujeto a las mismas obligaciones del cedente y ambos responden solidaria y conjuntamente por su observancia, ante el organismo de control y el titular de los datos. Debe verificarse si la empresa proveedora o a la que se terceriza algún tratamiento de datos cumple con las obligaciones de la Ley. Disociación: todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable. 7

Responsabilidades La DNPDP es el órgano nacional que controla los archivos, registros, bases o bancos de datos registrados, asegurando la efectiva tutela de los datos personales de los titulares. Los responsables y usuarios de los datos están obligados a adoptar medidas de seguridad que deben abarcar tanto pautas técnicas como capacitación al personal sobre estos temas. La DNPDP tiene facultades para regular los requisitos de dichas medidas de seguridad y controlar su efectiva implementación. Registro obligatorio de bases de datos personales dispuesto por la Ley 25.326: permite a la DNPDP conocer y controlar a los registros, archivos, bases o bancos de datos. las personas podrán conocer qué tipo de información es la que maneja cada base de datos y quién es el responsable de la misma. La DNPDP dictó en el año 2006 la Disp. 11/06 sobre “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales”: a) Documento de Seguridad de Datos Personales. Pueden adoptarse medidas de seguridad de diseño y gestión propios, o tomarse de otros. b) 3 niveles de seguridad: A cada nivel le corresponden medidas de seguridad específicas. Básico: Estas medidas se deberán adoptar para todas las bases de datos que contengan información personal. Inclusión de rutinas de control, que minimicen la posibilidad de incorporar datos ilógicos, incorrectos o faltantes. Registros de incidentes de seguridad Procedimientos para efectuar las copias de respaldo y de recuperación de datos. Perfiles y privilegios. Política de contraseñas Prevención de software malicioso Medio: Archivos que contengan datos personales, de entidades que cumplan una función pública y/o privada y deban guardar reserva de la misma, en particular si se trata de datos relativos a antecedentes penales y contravencionales o información amparada por los secretos fiscal y bancario, así como también para los archivos de las empresas privadas de servicios públicos (telecomunicaciones, energía y agua). Además de las medidas de Seguridad de nivel Básico, deberán adoptarse: Realización de auditorías. Control de acceso físico. Adecuada gestión de soportes. Pruebas de funcionamiento con datos ficticios. Crítico: Para todos los archivos que contengan “datos sensibles”. Además de las Medidas de Seguridad de Nivel Medio, deberán adoptarse: Datos cifrados si se distribuyen soportes. Registro de accesos integral. Copias de respaldo locales y externas, situadas fuera de la localización, en caja ignífuga o en caja de seguridad bancaria. Procedimiento de recuperación de la información y de su tratamiento. Encriptación de datos que se transmitan a través de redes de comunicación. 8

Responsabilidades (cont.) Administrar bases de datos registradas. Proveer calidad, confidencialidad y seguridad a los datos asentados. Cumplir con los derechos de los titulares en cuanto al acceso, rectificación, actualización y/o supresión de los datos. Brindar información de sus datos personales dentro de los 10 (diez) días corridos de solicitados. Rectificar, actualizar y/o suprimirlos en un plazo máximo de 5 (cinco) días hábiles del reclamo, sin cargo alguno para el interesado. Tener los consentimientos informados para el tratamiento y cesión de datos. 9

Casos aplicados En la oficina de Recursos Humanos de una fábrica existe un fichero rotativo donde se registran los datos básicos de los empleados de planta (nombre y apellido, dirección y teléfono). Este fichero está accesible arriba de un escritorio y es utilizado para comunicarse con los empleados en caso de reprogramación de turnos de trabajo. Datos personales básicos. Seguridad física inadecuada. Concientización al personal. 10

Casos aplicados (cont.) Los analistas de un proveedor de software tienen en sus notebooks (a veces en discos extraíbles) una copia del sistema y de las bases de datos de sus clientes, a los efectos de permitirles efectuar modificaciones a los programas y responder rápidamente a las consultas que surjan, independientemente de donde se encuentren. Datos personales de terceros. Exposición de información no autorizada. Cláusula de cesión de datos. Acuerdo de confidencialidad. Medidas de seguridad. Disociación de datos. 11

Casos aplicados (cont.) En una obra social acostumbran imprimir las historias clínicas de los asociados en la impresora general que tienen disponible en el pasillo del hall. Debido a que varias veces quedan listados sin retirar al finalizar el día, dieron órdenes al personal de limpieza de la noche que tiren a la basura todos los papeles que se encuentren. Información personal sensible. Exposición en lugares de libre acceso. Seguridad física inadecuada. Acuerdo de confidencialidad con terceros. Reubicación de impresoras. Destrucción de información sensible. 12

Casos aplicados (cont.) En un club de fútbol comenzaron a enviar a sus asociados publicidad de los productos ofrecidos por los sponsors del estadio. Hubieron varios reclamos para suprimir los datos por la cantidad de publicidad recibida y entonces decidieron entregarles una copia de sus registros a los sponsors para que ellos los enviaran por su cuenta. Atención de reclamos. Cesión de datos inadecuada. Licitud de datos. Finalidad distinta a la obtenida. Prestación de consentimiento. 13

Casos aplicados (cont.) Empleados de una agencia de comunicaciones utilizan herramientas informáticas para mantener actualizados a sus clientes de las novedades políticas y económicas a través de correos electrónicos. Para agilizar la gestión y como tienen mucho personal temporal, todas las computadoras poseen la misma contraseña de acceso. Accesos irrestrictos a datos. Inadecuada seguridad informática. Responsabilidad por la gestión. Acuerdos de confidencialidad. Concientización al personal. 14

Acciones realizadas Participación del Censo Nacional de Banco de Datos (2004). Relevamiento de las bases de datos del Consejo (2007). Inscripción en la DNPDP (2007): Matriculados, Asociados a Simeco, Estudiantes, Legajos, y Proveedores. Relevamiento de temas relacionados con la Ley 25326 en áreas/sectores certificados (2009/2010). Realización de charlas de concientización al personal sobre temas de Seguridad de la Información (2009 a la fecha). 15

Acciones realizadas (cont.) Formalización de marcos normativos (2009/2010): Manual de Políticas y Normas de Seguridad de la Información, Procedimientos varios de Gestión Administrativa, Acuerdos de Confidencialidad, Código de Conducta, entre otros. Aseguramiento de los recursos informáticos y aplicativos utilizados (2009 a la fecha). Confección de documentación técnica de los sistemas que administran las bases de datos inscriptas (2009/2010). Consentimientos para el tratamiento de los Datos Personales del Matriculado (2009 a la fecha). 16

Acciones realizadas (cont.) Realización de charlas de concientización sobre el tratamiento de Datos Personales a Jefes y Gerentes (2010). Creación del Comité de Protección de Bases de Datos (2010). Adecuaciones de todos los Formularios donde se recolectan Datos Personales de Matriculados (2010/2011). Inscripción en la DNPDP de la base de Datos vinculados con el Matriculado (2011). Información a Matriculados (2010/2011): Filmación en lugares comunes, y Grabación de las conversaciones telefónicas. 17

Acciones a realizar Concientización obligatoria anual a todo el personal sobre temas relacionados con la Ley 25326. Renovación del Acuerdo de Confidencialidad en áreas que administran Datos Sensibles: Consejo Salud, Tribunal de Etica, Subsidios, Consejito, Recursos Humanos, y Administración. 18

Acciones a realizar (cont.) Continuar con la adecuación de perfiles de usuarios y permisos de accesos a los sistemas aplicativos. Adecuaciones de formularios y pantallas conteniendo exclusivamente la información requerida según el nivel de acceso otorgado. Incorporación de mejoras en los procedimientos relacionados con la administración de datos personales y sensibles. Continuar con la realización de charlas de concientización al personal sobre temas de seguridad de la información. Ejecución de auditorías de revisión de escritorios limpios. 19

Conclusiones La Ley 25.326 es una norma de orden público y alcance nacional. Los responsables y usuarios tienen responsabilidad sobre el tratamiento y gestión que se realice con los datos. Se requiere adoptar medidas de seguridad, con condiciones técnicas de integridad y seguridad en los archivos de datos personales que se gestionen. Se requiere observar y hacer observar a los miembros de la organización como a terceros con acceso a los datos el cumplimiento de las normas vigentes. La inspección incluye temas de tratamiento y gestión de datos personales, capacitación al personal, aspectos legales, acuerdos de confidencialidad, medidas implementadas de seguridad informática, documentación de los sistemas y revisiones de auditoría. 20

Conclusiones (cont.) En el Consejo Profesional de Ciencias Económicas de CABA: Todos tenemos la responsabilidad de cumplir y hacer cumplir lo dispuesto por la Ley 25326. Se deben registrar las bases de datos administradas, proveyendo calidad, confidencialidad y seguridad a los datos allí asentados, como así también obtener el consentimiento para el tratamiento y cesión de los datos si fuera necesario. El personal que atiende a Matriculados y público en general debe conocer los derechos que poseen los titulares, en cuanto al acceso, rectificación, actualización y/o supresión de sus datos personales. El personal que administra y/o trata datos sensibles debe conocer la importancia de su origen y velar por su protección y seguridad. 21

Conclusiones (cont.) El personal que participa en la definición de circuitos administrativos y/o confecciona procedimientos y formularios debe conocer lo dispuesto por la Ley y aplicarlo en su trabajo diario. El personal de Sistemas debe considerar la necesidad de visibilidad de los datos expuestos en pantallas, listados y consultas, como así también la inclusión de rutinas de control de campos que aseguren su integridad y veracidad. También deben mantener disponible documentación técnica y funcional de todos los desarrollos relacionados. El personal de Seguridad Informática debe asegurar que todos los recursos tecnológicos y datos administrados se encuentren debidamente protegidos y sean accedidos exclusivamente por el personal autorizado según responsabilidades y funciones definidas. 22

Conclusiones (cont.) El personal de Asuntos Legales debe considerar cláusulas de confidencialidad y de cesión de datos en todos los acuerdos contractuales que se realicen. Todo el personal del Consejo debe: Cumplir con las normativas institucionales vigentes. Proteger los datos personales administrados, independientemente de su forma y ubicación. Asegurar la calidad, integridad y confidencialidad de los datos tratados. Utilizar exclusivamente las herramientas y sistemas informáticos provistos para su tratamiento. No divulgar ni compartir sus cuentas de usuarios y claves personales de acceso. 23

Preguntas y respuestas Muchas gracias 24

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.