FORMACION - CONCIENCIACION SEGURIDAD Y PROTECCIÓN DE DATOS (LOPD)

FORMACION - CONCIENCIACION SEGURIDAD Y PROTECCIÓN DE DATOS (LOPD)

Índice Objetivos de la formación Aspectos fundamentales de la normativa de protección de datos Seguridad reglamentaria

1. Objetivos de la formación
Exponer el ámbito de aplicación de la legislación, cuáles son los principios básicos que establece, las obligaciones de cumplimiento para todas las organizaciones y de qué modo afecta a nuestra empresa.

2. Aspectos fundamentales de la normativa de protección de datos
Referencias legales y reglamentarias Definiciones esenciales Deber de secreto Principios fundamentales Naturaleza de los datos y niveles de protección Cesiones de datos Obligaciones de cumplimiento fundamentales

Referencias legales y reglamentarias
2. Aspectos fundamentales de la normativa de protección de datos Referencias legales y reglamentarias LORTAD 5/1992 reguladora del tratamiento automatizado de datos (derogada) Directiva 95/46, 24 octubre RD 994/1999, 11 de junio, Reglamento de Medidas de Seguridad (derogado) LOPD, 15/1999, 13 de diciembre, Ley Orgánica de Protección de Datos RD 1720/2007, 21 de diciembre, por el que se desarrolla la LOPD

2. Aspectos fundamentales de la normativa de protección de datos Referencias legales y reglamentarias LOPD C.E. 1978 Art 18.4 Directiva 95/46 LORTAD R.D. 1720/2007 “reglamento” R.D. 994/1999 “RMS” +

2. Aspectos fundamentales de la normativa de protección de datos Referencias legales y reglamentarias Es un Derecho Fundamental (STC 292/2000). Impone sanciones de 900 Euros a Euros Leves Graves Muy Graves Establece unos plazos de cumplimiento AEPD Existen organismos de control: AGENCIAS AUTONÓMICAS

Definiciones esenciales
2. Aspectos fundamentales de la normativa de protección de datos Definiciones esenciales Dato de carácter Personal: Toda información concerniente a personas físicas identificadas o identificables. no sólo los datos "íntimos“ el dato es propiedad de su titular Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Definiciones esenciales
2. Aspectos fundamentales de la normativa de protección de datos Definiciones esenciales Responsable de Fichero: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Encargado de Tratamiento: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Responsable de Seguridad: Persona o personas de la organización a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.

DEBER DE SECRETO (Art. 10 LOPD)
2. Aspectos fundamentales de la normativa de protección de datos Deber de secreto ¿Estoy sujeto a la ley? ¿Manejo datos personales? ¿Están en conjuntos organizados? ¿Intervengo en algún tratamiento manual o automatizado? SÍ DEBER DE SECRETO (Art. 10 LOPD) El responsable de fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al deber de secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Principios fundamentales FINALIDAD, PERTINENCIA, CALIDAD Los DCP se tratan para fines concretos y declarados sólo se usan para esos fines se cancelan cuando ya no se necesitan para esos fines son adecuados (pertinentes) a esos fines los DCP son de calidad: íntegros, exactos y puestos al día PUBLICIDAD DE LOS FICHEROS los Ficheros “Privados” se inscriben en el Registro de la AEPD los Ficheros “Públicos” se publican en Boletín Oficial ; en la CAPV se registran ante la AVPD los interesados conocen la existencia de los ficheros DERECHO DE INFORMACION (ART. 5) Hay que informar al interesado de que existe el fichero, para qué se usan sus datos, quién es el Responsable, dónde puede ejercitar sus derechos ...

Principios fundamentales PRINCIPIO DE CONSENTIMIENTO (ART. 6) El “TRATAMIENTO” de los datos requiere el consentimiento de su titular, aunque hay excepciones (relación jurídica, ejercicio de la Administración, interés vital, fuentes accesibles al público) La “CESION” requiere el consentimiento o un amparo legal. AUTODETERMINACION INFORMATIVA DERECHOS A/R/C/O (ARTs. 15 y 16) Los ciudadanos pueden ejercitar sus derechos de Acceso, Rectificación, Cancelación y Oposición PRINCIPIO DE SEGURIDAD (ART. 9) Deber de implantar medidas de seguridad: Elaborar el Documento de Seguridad; mantener registros de incidencias; controles de acceso, Gestión de soportes; Auditorías cada 2 años; etc.

Naturaleza de los datos y medidas de seguridad
2. Aspectos fundamentales de la normativa de protección de datos Naturaleza de los datos y medidas de seguridad Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Aquéllos que contengan datos relativos a violencia de género. Alto Medio Básico Comisión de infracciones administrativas o penales. Aquellos regidos por el artículo 29 de la LOPD. (Prestación de servicios de información sobre solvencia patrimonial y crédito) Aquellos bajo responsabilidad de Administraciones tributarias y referidos al ejercicio de potestades tributarias. Aquéllos bajo responsabilidad de las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquéllos bajo responsabilidad de las Entidades Gestoras y Servicios Comunes de la Sdad. Social y relacionados con sus competencias. Aquellos bajo responsabilidad de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. Aquéllos que contengan un conjunto de DCP que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Cualquier dato de carácter personal que permita identificar a una persona o que resulte identificable

CESIONES DE DATOS (ART. 11 LOPD) ACCESOS A DATOS (ART. 12 LOPD)
2. Aspectos fundamentales de la normativa de protección de datos Cesiones de datos CESIONES DE DATOS (ART. 11 LOPD) Revelación de datos a cualquier persona distinta del interesado. ACCESOS A DATOS (ART. 12 LOPD) Acceso a datos del responsable de fichero para la prestación de un servicio REGULACIÓN Consentimiento o excepción REGULACIÓN Contrato EMPRESA SEGURIDAD SOCIAL Mutua (PRL) Asesoría externa Cesión vía excepción (Art.11.2 LOPD) Cesión vía excepción (Art.11.2 LOPD) Acceso a datos > Contrato (Art. 12 LOPD)

Obligaciones de cumplimiento fundamentales
2. Aspectos fundamentales de la normativa de protección de datos Obligaciones de cumplimiento fundamentales 1º Registrar los ficheros ante el organismo correspondiente 2º Implantar la medidas de seguridad pertinentes (Documento de Seguridad) 3º Regular las cesiones de datos a terceros 4º Cumplir con los deberes de información y consentimiento

3. Seguridad Reglamentaria
Objetivos El R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, comparte con dicha L.O. la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales. En concreto, el Título VIII regula un aspecto esencial para la tutela del derecho fundamental a la protección de datos, la seguridad, que repercute sobre múltiples aspectos organizativos, de gestión y aún de inversión, en todas las organizaciones que traten datos de carácter personal. Objetivo: Dar a conocer las obligaciones mínimas exigidas para utilizar DCP en los sistemas de información.

3. Seguridad Reglamentaria Referencias legales y reglamentarias LOPD C.E. 1978 Art 18.4 Directiva 95/46 LORTAD R.D. 1720/2007 “reglamento” R.D. 994/1999 “RMS” +

Ámbito objetivo de aplicación (art. 2)
3. Seguridad Reglamentaria Ámbito objetivo de aplicación (art. 2) Datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. No será de aplicación a: Datos referidos a personas jurídicas. Ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros. Datos referidos a personas fallecidas.

Objetivo del Título VIII
3. Seguridad Reglamentaria Objetivo del Título VIII Enmarca la Función de Seguridad (a) en un entorno controlado (b) que después será auditado (c), exigiendo que todo ello se documente con claridad (d). (a) Establecer la Organización de Seguridad (b) Definir los Controles (medidas a implantar) (c) Planificar la Auditoría de cumplimiento (d) Elaborar el Documento de Seguridad Alcance: automatizados / no-automatizados (art 79) es una disposición de MÍNIMOS exigibles (art 81.7)

Clasificación de los “dcp” (art 80 y 81)
3. Seguridad Reglamentaria Clasificación de los “dcp” (art 80 y 81) Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Aquéllos que contengan datos relativos a violencia de género. Alto Medio Básico Comisión de infracciones administrativas o penales. Aquellos regidos por el artículo 29 de la LOPD. (Prestación de servicios de información sobre solvencia patrimonial y crédito) Aquellos bajo responsabilidad de Administraciones tributarias y referidos al ejercicio de potestades tributarias. Aquéllos bajo responsabilidad de las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquéllos bajo responsabilidad de las Entidades Gestoras y Servicios Comunes de la Sdad. Social y relacionados con sus competencias. Aquellos bajo responsabilidad de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. Aquéllos que contengan un conjunto de DCP que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Cualquier dato de carácter personal que permita identificar a una persona o que resulte identificable

Plazos de implantación
3. Seguridad Reglamentaria Plazos de implantación FICHEROS: TODOS creados después de 19/04/08 AUTOMATIZADOS NO AUTOMATIZADOS anteriores a 19/04/08 CASOS: FECHAS: “NUEVAS” MEDIDAS (*) - SEG.SOCIAL - MUTUAS - PERSONALIDAD VIOLENCIA GENERO “TELCOS”: TRAFICO Y LOCALIZACION 19/04/2008 TODAS 19/04/2009 MEDIO BASICO 19/10/2009 ALTO 19/04/2010 (*) Medidas “diferenciales” s/R.D.994/1999, para ficheros AUTOMATIZADOS no contemplados en los casos particulares referidos en las otras 2 columnas.

Principio de seguridad, en la LOPD
3. Seguridad Reglamentaria Principio de seguridad, en la LOPD Art. 9 – Seguridad de los datos El Responsable del Fichero, y, en su caso, el Encargado del Tratamiento deberán adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos... Dichas medidas se establecerán mediante un Reglamento. Art h) No disponer de las medidas de seguridad constituye una infracción grave. Sanción: de € a € (organizaciones públicas  disciplinarias)

Medidas aplicables El Documento de Seguridad Artículo 88. El documento de seguridad. 1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. Comunicar sus obligaciones al personal Artículo 89. Funciones y obligaciones del personal. 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Medidas aplicables Identificación, autenticación y control de acceso Artículo 91. Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. […] Artículo 93. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. […] Registro de accesos a DCP “alto” (log) Artículo 103. Registro de accesos. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. […]

Medidas aplicables Registro de incidencias Artículo 90. Registro de incidencias. Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. Control de acceso a las instalaciones Artículo 99. Control de acceso físico. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

Protección de la red de telecomunicaciones
3. Seguridad Reglamentaria Medidas aplicables Gestión y protección de soportes Artículo 92. Gestión de soportes y documentos. 1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado […] 2. La salida de soportes y documentos […] 3. En el traslado de la documentación […] 4. Siempre que vaya a desecharse […] Además, Registros de E/S […] Protección de la red de telecomunicaciones Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Medidas aplicables Documentos y archivos manuales Artículo 106. Criterios de archivo. Artículo 107. Dispositivos de almacenamiento. Artículo 108. Custodia de los soportes. […] Artículo 112. Copia o reproducción. Artículo 113. Acceso a la documentación. Artículo 114. Traslado de documentación. Auditorías periódicas (2 años) Artículo 96. Auditoría. 1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Resumen Unos controles de seguridad. Además, si procede, serán auditados. Una organización que se encarga de definir, coordinar, cumplir y hacer cumplir dichos controles. Un documento en el cual se describe todo lo anterior con claridad y que hay que cumplir.

Sentencia de la Audiencia Nacional
3. Seguridad Reglamentaria Sentencia de la Audiencia Nacional Sala de lo Contencioso-Administrativo Sección 1ª (28 septiembre 2001): “…la creencia de que su obrar era lícito […por parte del infractor…] es un argumento que, además de ser invocado asiduamente en esta materia, no comporta una cualificada disminución de la culpabilidad o antijuricidad. Cuando se tratan datos de forma automatizada, desconocer los límites de dicha actividad supone una grave inobservancia de la diligencia exigible, teniendo en cuenta, como se ha dicho, que está en juego la vulneración de un derecho fundamental, el derecho a la protección de los datos.” € RATIFICADA por el Tribunal Supremo. Sentencia 25 de enero de 2006.

Conclusión Ideas a recordar:
Protección de DCP es un derecho FUNDAMENTAL. Los DCP son SIEMPRE de su titular. La Ley no prohíbe manejar datos, prohíbe su tratamiento SIN GARANTÍA Todo tratamiento debe estar CONSENTIDO. Todo tratamiento debe ser INFORMADO. No se puede CEDER datos a terceros sin amparo legal o sin consentimiento del titular. Consejos: Solicite el Documento de Seguridad (DS) de su empresa. Estudie sus obligaciones como usuario. Identifíquese dentro de las normativas y procedimientos del DS. Contacte con el Responsable de Seguridad para consultarle cualquier duda en esta materia. El DS de la empresa está disponible en la red local: \\pagasarri\GF-Historico$\3.Global\1.General\0.DS GF y SDeC

Gracias por la atención prestada.

FORMACION - CONCIENCIACION SEGURIDAD Y PROTECCIÓN DE DATOS (LOPD)

Presentaciones similares

Presentación del tema: "FORMACION - CONCIENCIACION SEGURIDAD Y PROTECCIÓN DE DATOS (LOPD)"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

FORMACION - CONCIENCIACION SEGURIDAD Y PROTECCIÓN DE DATOS (LOPD)

Presentaciones similares

Presentación del tema: "FORMACION - CONCIENCIACION SEGURIDAD Y PROTECCIÓN DE DATOS (LOPD)"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback