ud 1.2 principios de la proteccion de datos de caracter personal
Post on 07-Jul-2015
534 Views
Preview:
TRANSCRIPT
2
UD1.2 Principios de la protección de datos
Principio de Limitación de Objetivos (Finalidad)
Principio de Proporcionalidad y Calidad de Datos
Principio de Consentimiento
Principio de Transparencia (Información en la recogida)
Principio de Seguridad
Principio de Comunicación de Datos
Principio de Acceso a los Datos por Cuenta de Terceros
3
UD1.2 Principios de la protección de datos
La LOPD establece una serie de limitaciones altratamiento de los datos; limitaciones fijadas paragarantizar un uso adecuado, lícito, no excesivo y conlas debidas medidas de seguridad que impidan laalteración, pérdida o tratamiento no autorizado de losdatos, por eso la ley fija como contrapeso la necesidadde observar la voluntad del interesado oconsentimiento.
En la mayoría de los supuestos, la ley fija comocontrapeso la necesidad de obtener voluntad elconsentimiento del afectado
4
Principio de calidad
La Ley tiende a establecer unos principios generales de
Calidad tendentes a garantizar un uso adecuado de los
datos, fijando que:
1º.Los datos personales deben de adecuarse a la
finalidad para la que fueron recabados,
2º.Deben ser exactos y actualizados,
3º.No deben mantenerse indefinidamente sin justificación
4º.Deben haber sido recogidos de forma lícita.
5
Principio de calidad
Finalidad:
Los datos sólo se podrán recoger para su tratamiento
cuando sean adecuados, pertinentes y no excesivos
en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para los que se
hayan obtenido.
Exactitud de los datos:
De oficio por el Responsable del Fichero, cuando
conozca dicha inexactitud.
A través del ejercicio del derecho de rectificación de
los datos por el propio interesado.
6
Principio de calidad
Cancelación de datos:
La cancelación se producirá directamente por el
Responsable del Fichero en el momento en que el
dato no sea necesario.
En el caso de que una ley establezca que se deben
conservar los datos, la cancelación se hará mediante
el bloqueo o disociación de los mismos.
Lealtad:
Se impone la prohibición de recoger los datos por medios
fraudulentos, desleales o ilícitos.
7
Principio de calidad
8
Principio de consentimiento
El consentimiento no es más que la manifestación devoluntad, libre, inequívoca, específica e informada,mediante la que el interesado consiente el tratamientode sus datos personales.
a) Libre: deberá haber sido obtenido sin la intervenciónde vicio alguno del consentimiento.
b) Específico: referido a una determinada operación de
tratamiento y para una finalidad determinada, explícita
y legítima del Responsable del Fichero.
c) Informado: el usuario debe conocer, con anterioridad
al tratamiento, la existencia y las finalidades para las
que se recogen los datos.
9
Principio de consentimiento
d) Inequívoco: es preciso que exista expresamente una
acción u omisión que implique la existencia del
consentimiento (no resulta admisible el consentimiento
presunto).
En principio, el consentimiento dado abarca todas y
cada una de las operaciones que engloban el
tratamiento; encontrando sólo una excepción, que es
en el caso de la cesión de datos, donde el
consentimiento para la cesión será previo e informado.
Principio de consentimiento
En la recogida de datos:
Como es previa al tratamiento de datos, el
consentimiento suele ser tácito.
No obstante, es necesario informar al afectado de
los siguientes puntos:
El titular del Fichero.
Las finalidades del tratamiento.
El carácter obligatorio/facultativo de las respuestas.
De los derechos que le asisten y su posibilidad de
ejercicio.
De la dirección y, en su caso, las condiciones para
ejercitar tales derechos.
10
Principio de consentimiento
No obstante el consentimiento deberá de ser
expreso:
Para el tratamiento de datos de salud, origen racial y
vida sexual
Para el tratamiento de datos de ideología, afiliación
sindical, religión y creencias, además el consentimiento
expreso será por escrito.
11
Principio de consentimiento
Excepciones a la obligación de obtener el
consentimiento:
Una ley así lo disponga.
Cuando los datos se recojan para el ejercicio de lasfunciones publicas por las Administraciones Publicas.
Los datos se refieran a las partes de un contrato oprecontrato negocial, administrativo, o se recojandentro del ámbito de una relación laboral, y sonnecesarios para su mantenimiento o cumplimiento
Cuando el tratamiento se haga por finalidad del interésvital del afectado.
Los datos figuren en fuentes de acceso público, comopor ejemplo, boletines oficiales, listas censales orepertorios telefónicos.
12
Principio de consentimiento
Tratamiento de datos:
El tratamiento en si consiste en las operaciones de
grabación de datos, conservación, elaboración,
modificación, bloqueo y cancelación, así como las
cesiones y acceso a los datos.
El afectado siempre podrá ejercer los derechos que le
concede la Ley (impugnación de valoraciones, acceso,
rectificación, cancelación y oposición)
13
Principio de consentimiento
14
Además existen una serie de principios y obligaciones
específicos impuestos para garantizar su correcto
tratamiento, conservación, acceso y destrucción.
El responsable del fichero deberá informar
detenidamente al afectado respecto de la utilización de
sus datos de carácter personal, por lo que se reviste al
consentimiento de una mayor seguridad jurídica. Por lo
tanto, la prueba iuris tantum corresponde al
responsable del fichero quien deberá acreditar la
existencia de consentimiento otorgado por el afectado.
Principio de consentimiento
15
•Consentimiento de los menores:
Puede pedirse el consentimiento de los mayores de 14
años.
En ningún caso, se les podrá pedir información sobre el
resto de la unidad familiar.
Debe utilizarse un lenguaje que les resulte
comprensible.
El responsable debe comprobar la edad del menor
Principio de consentimiento
16
Revocación del consentimiento:
• Se podrá ejercitar en los casos en los que hayamos
tenido que prestar el consentimiento.
• No es necesario que el afectado manifestase una
causa para revocar su consentimiento, salvo si viene
derivado del mantenimiento de una relación negocial,
administrativa, fiscal o laboral.
•La revocación tiene que poder realizarse por medios
sencillos, gratuitos y que no impliquen ingreso alguno
para el responsable del fichero.(envío prefranqueado,
teléfonos gratuitos, mail..)
Principio de consentimiento
17
• El responsable del fichero tiene un plazo de 10 días
para cesar el tratamiento de esos datos de carácter
personal desde la recepción de la oposición.
• Si el interesado hubiera solicitado al responsable del
tratamiento la confirmación del cese en el tratamiento de
sus datos, el responsable deberá responder
expresamente a la solicitud.
Principio de consentimiento
18
Derecho de oposición:
• En los casos en los que no es necesario el
consentimiento del afectado para el tratamiento de
los datos y siempre que no se disponga por ley lo
contrario, el afectado podrá oponerse al tratamiento de
sus datos –―cuando existan motivos fundados y legítimos
relativos a una concreta situación personal‖-.
Principio de consentimiento
19
El derecho de oposición podrá ser total en el caso
de datos obtenidos de fuentes accesibles al público y
cuyo tratamiento sea para fines promocionales y
publicitarios.
El derecho de oposición será parcial en aquellos
casos en los que el tratamiento venga del
mantenimiento de una relación contractual o negocial,
administrativa, laboral, etc…
Principio de consentimiento
20
El derecho de oposición podrá ser total en el caso
de datos obtenidos de fuentes accesibles al público y
cuyo tratamiento sea para fines promocionales y
publicitarios.
El derecho de oposición será parcial en aquellos
casos en los que el tratamiento venga del
mantenimiento de una relación contractual o negocial,
administrativa, laboral, etc…
Principio de consentimiento
21
22
Principio de transparencia
¿Qué es?
Es el derecho de información que tiene el titular de los datos y una obligación correlativa para el empresario.
Los datos de carácter personal se pueden recabar:
Del propio interesado
De terceros
De fuentes accesibles al publico
23
Principio de transparencia
Datos recabados del propio interesado:
¿Cuándo procede?
Hay que informar en la recogida de datos.
¿Qué hay que informar?
La existencia del fichero, la finalidad, de quien es el responsable del fichero, de los derechos, el carácter obligatorio o facultativo de la respuesta a preguntas, consecuencias de la negativa...
¿Cómo hacerlo?
-Si son cuestionarios en papel o formularios informáticos: cláusula informativa legible.
-Fuentes accesibles al publico y los utilizo con fines publicitarios: cláusula informativa en cada documento publicitario.
24
Principio de transparencia
Ejemplo:“De conformidad con la Ley Orgánica 15/1999 de Protección de Datos
Personales y a través de la cumplimentación del presente formulario,
Vd. presta su consentimiento para el tratamiento de sus datos
personales facilitados, que serán incorporados al fichero “XXXXXXX”,
titularidad de la EMPRESA XXX, inscrito en el Registro General de la
Agencia Española de Protección de Datos, cuya finalidad es la gestión
fiscal, contable y administrativa de la relación contractual, así como el
envío de información comercial sobre nuestros productos y servicios.
Igualmente le informamos que podrá ejercer los derechos de acceso,
rectificación, cancelación y oposición establecidos en dicha Ley,
adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección:
EMPRESA XXX. Departamento de Atención al Cliente LOPD.
C/XXXXXX nº X. 46000 Valencia.
Los campos señalados con * son obligatorios.”-
25
Principio de transparencia
Datos recabados por terceros:
• Es el caso de la cesión de datos.
• En el caso de obtener datos que no hayan sidodirectamente recabados de los interesados,deberemos comunicar al interesado:
Procedencia de los datos.
El titular del Fichero.
Las finalidades del tratamiento.
El carácter obligatorio/facultativo de las respuestas.
De los derechos que le asisten y su posibilidad de
ejercicio.
De la dirección para ejercer los derechos ARCO.
26
Principio de transparencia
Excepciones:
1º.Que se le haya informado con anterioridad, por la
empresa que recabó originariamente los datos.
2º.Que así lo prevea expresamente una Ley.
3º.Que el tratamiento tenga fines históricos, científicos
o estadísticos.
4º.Cuando, a criterio de la Agencia Española de
Protección de Datos, resulte imposible o exija un
esfuerzo desproporcionado realizar tal
comunicación, siempre atendiendo al número de
interesados, antigüedad de los datos y a las posibles
medidas compensatorias.
27
Principio de transparencia
Datos recabados de fuentes accesibles al publico:
Cuando los datos proceden de fuentes accesibles al
público y se destinen a la actividad de publicidad o
prospección comercial, se debe informar al
interesado en cada comunicación que se le realice
de:
El origen de los datos.
La identidad y dirección del Responsable del Fichero.
Las finalidades del tratamiento.
La posibilidad del ejercicio de los derechos de
acceso, rectificación, cancelación y oposición.
28
Acceso a datos
¿Qué es el acceso a los datos por cuenta de
terceros? (Art 12 de la LOPD y Art. 20, 21 y 22 del RD 1720/2007)
-El responsable del fichero permite a un tercero acceder a
los datos de carácter personal para que preste un
servicio relacionado con los mismos.
-El tercero, denominado encargado de tratamiento se
limita a tratar los datos por cuenta del responsable de
los datos, es decir siguiendo sus instrucciones y
devolviendo o destruyendo los datos una vez finalizado
el servicio contratado.Ej: encargados de tratamiento serian las asesorías o gestorías que realizan
la gestión contable, fiscal o laboral; servicios de Prevención de Riesgos;empresas de mantenimiento de Software o Hardware…
29
Acceso a datos
¿Qué características deben darse pare que exista
acceso a datos por cuenta de terceros?
1) Firma de un contrato de acceso a datos:
El contrato que deberá constar por escrito o en alguna otra forma que
permita acreditar su celebración y contenido, estableciéndose
expresamente que el encargado del tratamiento únicamente tratará
los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figure
en dicho contrato, ni los comunicará, ni siquiera para su
conservación, a otras personas.
Se establecerán y detallarán las medidas de seguridad que deberá
adoptar e implantar, de acuerdo al nivel de seguridad de los datos.
30
Acceso a datos
2) Una vez finalizado el servicio, o cumplida la
prestación contractual, el encargado de tratamiento
deberá destruir o devolver los datos de carácter personal.
3) En caso de que el encargado del tratamiento quiera
subcontratar algún servicio que suponga el acceso a los
datos a un tercero, deberá contar con el expreso
consentimiento del Responsable del Fichero;
consentimiento que deberá quedar establecido en el
contrato.
31
Acceso a datos
Responsabilidad de las partes:
Del Encargado del Tratamiento:
Asumirá personalmente las infracciones y sanciones que
puedan derivarse del incumplimiento de sus obligaciones
contractuales en relación con los datos de carácter
personal.
Del Responsable del Fichero:
Asumirá personalmente las infracciones cometidas por el
Encargado del Tratamiento cuando éste actúe de acuerdo
a las instrucciones y obligaciones fijadas en el contrato.(Revisar el modelo de contrato de acceso a datos que aparece en la sección
Biblioteca de la Plataforma)
32
Acceso a datos
Si no se dan las características anteriores, no estaremos
ante un caso de acceso a datos, sino ante un supuesto de
comunicación de datos o cesión de datos.
33
Cesión de datos o Comunicación de Datos
¿Qué es la cesión de datos?
―Toda revelación de datos realizada por persona distinta
del interesado‖Ej: Comunicación de Datos entre empresas de un mismo grupo empresarial;
comunicación de datos a un empresa de publicidad para hacer campaña
de telemarketing…
¿Cuáles son las características de la cesión de
datos?
1º. Se ceden datos a un tercero que trata los datos por su
cuenta (no sigue instrucciones del fichero) y bajo su
responsabilidad.
2º.El previo consentimiento informado del interesado.
34
Cesión de datos o Comunicación de Datos
3º. El tercero al que se le ceden los datos (cesionario) adquiere la condición de responsable del fichero.
35
Cesión de datos o Comunicación de datos
Para poder obtener el consentimiento, hay que informar:
a)Identificación, actividad y dirección del cesionario.
b)Finalidad a la cual se destinarán los datos cedidos.
c)La identidad y dirección del cesionario,
d)La naturaleza de los datos cedidos,
e)La finalidad del fichero.
No será necesario proporcionar esta información al
interesado cuando resulte imposible o exija esfuerzos
desproporcionados a criterio de la Agencia Española de
Protección de Datos, en consideración al número de
interesados, a la antigüedad de los datos y a las posibles
medidas compensatorias.
36
Cesión de datos o Comunicación de datos
¿Cuándo el consentimiento previo del interesado
no es necesario en la cesión de sus datos?
1º.Cuando la cesión esté autorizada por una Ley.
Cesiones Legales.
2º.Cuando se trate de datos recogidos de fuentesaccesibles al público, siempre que el tratamiento delos datos sea necesario para la satisfacción del interéslegítimo perseguido por el cedente o por el cesionario yse respeten los derechos de los interesados.
3º.- Cuando el tratamiento responda a la libre ylegítima aceptación de una relación jurídica cuyodesarrollo, cumplimiento y control impliquenecesariamente conexión con ficheros de terceros.
37
Cesión de datos o Comunicación de datos
4º.- Cuando la comunicación que deba efectuarse tenga
por destinatario al Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de
Cuentas.
5º.- Cuando la cesión se produzca entre
Administraciones Públicas y tenga por objeto el
tratamiento posterior de los datos con fines históricos,
estadísticos y científicos.
6º.- Cuando la cesión de datos de carácter personal
relativos a la salud sea necesaria para solucionar una
urgencia
38
Cesión de datos o Comunicación de datos
¿Cuándo es nulo el consentimiento dado en la
cesión?
Cuando el interesado otorgue su consentimiento a la
cesión sin pleno conocimiento de quién es el
destinatario de la misma, cuál es su actividad y para
qué finalidad va a utilizar sus datos.
¿Es revocable el consentimiento dado a la cesión
de los datos?
El consentimiento siempre es revocable, pero no tendrá
efectos retroactivos a las cesiones que se realizaron
mientras el consentimiento estaba activo.
39
Cesión de datos o Comunicación de datos
¿A qué se obliga el cedente con la cesión? El
cedente se obliga a informar al interesado en dos
momentos:
1º.En el momento de la recogida de los datos, donde
deberá recabar el previo consentimiento informado para
la cesión de los datos.
2º.En el momento de proceder a la cesión efectiva de los
datos, deberá comunicarle al interesado los datos del
cesionario, finalidad del fichero y datos que han sido
cedidos.
40
Cesión de datos o Comunicación de datos
¿A qué se obliga el cesionario con la cesión?
En la primera comunicación que dirija al interesado,
deberá informarle de forma expresa, precisa e
inequívoca de:
a)Procedencia de los datos.
b)Su incorporación a un fichero.
c)Finalidad del tratamiento.
d)Derechos que puede ejercitar (acceso, rectificación,
cancelación y oposición).
e)Datos identificativos y dirección.
Resumen
41
Resumen
42
Acceso a Datos Cesión de datos
• El tercero trata los datos
siguiendo las instrucciones del
responsable del fichero
• Debe existir un contrato,
normalmente por escrito, que
cumpla con los requisitos del
art. 11 de la LOPD)
• Una vez finalizado el servicio
los datos se devuelven o hay
que destruirlo.
• El encargado del tratamiento
será responsable , solo en el
caso de que incumpla las
estipulaciones del contrato
• El tercero trata los datos por
su cuenta (sin seguir
instrucciones del responsable)
• Debe existir un consentimiento
previo del afectado.
• El tercero (cesionario)
adquiere la condición de
responsable del fichero.
La diferencia radica ,principalmente ,en la responsabilidad:
43
Principio de Seguridad
La normativa sobre protección de datos liga el
concepto de seguridad a:
a) Confidencialidad: entendido como el acceso
autorizado a los datos.
b) Exactitud: la información no debe sufrir alteraciones
no deseadas, en cuanto a su contenido.
c) Disponibilidad: sólo las personas autorizadas
pueden tener acceso a la información.
44
Principio de Seguridad
Las medidas que se establecen, son de dos tipos:
Medidas Organizativas: aquellas medidas
destinadas a establecer procedimientos, normas,
reglas y estándares de seguridad, cuyos
destinatarios son los usuarios que tratan los datos
de los ficheros.
b) Medidas Técnicas: medidas destinadas
principalmente a la conservar la integridad de la
información (su no alteración, pérdida o robo) y en
menor medida a la confidencialidad de los datos
personales. Se encuentran delimitadas en función
del nivel de seguridad de los datos tratados: básico,
medio y alto.
45
Principio de Seguridad
Niveles de Seguridad:
Nivel Básico: Todos los ficheros
Nivel Medio:
a) Ficheros que contengan datos relativos a la comisión
de infracciones administrativas o penales.
b) Ficheros que contengan datos sobre Hacienda
Pública.
c) Ficheros que contengan datos sobre Servicios
Financieros.
d) Ficheros que contengan datos sobre solvencia
patrimonial y crédito.
46
Principio de Seguridad
e) Ficheros que contengan un conjunto de datos
suficientes que permitan elaborar un perfil del
afectado.
f) Ficheros titularidad de Entidades Gestoras y Servicios
Comunes de la Seguridad Social, mutuas de trabajo y
enfermedades profesionales de la SS.
Nivel Alto:
Ideología ,afiliación sindical, religión creencias, origen
racial, salud y vida sexual.
Datos de violencia de genero.
Datos recabados para fines policiales policiales sin
consentimiento de los afectados.
47
Principio de Seguridad
Excepción:
Los datos especialmente protegidos podrán
considerarse de Nivel Básico en los siguientes
casos:
Para el pago de cuotas de asociaciones
En ficheros en papel que los contengan de manera accidental.
Los datos propios para hacer frente a las obligaciones legales, tales como seguridad social, hacienda, etc. respecto de los trabajadores—altas, bajas, porcentaje de minusvalía, detracción cuota sindical, pagos a entidades bancarias, etc.
48
Principio de Seguridad
NIVEL BASICO NIVEL MEDIO NIVEL ALTO
TIPOS DE
DATOS
Datos de Carácter
identificativo (Nombre y
apellidos, DNI, Teléfono,
domicilio…) ,Imagen
Infracciones penales y/o
administrativas, datos de
Hacienda Pública,
Información de Servicios
financieros…
Religión y creencias ,Origen
racial, Salud, Ideología y
Vida sexual
MEDIDAS DE
SEGURIDAD
-Documento de Seguridad
-Registro de incidencias
-Funciones y obligaciones
de personal
-Contraseñas de acceso
-Copias de Seguridad
-Inventario de soportes
-Control de acceso físico
-Documento de Seguridad
-Registro de incidencias
-Funciones y obligaciones
de personal
-Contraseñas de acceso
-Copias de Seguridad
-Inventario de soportes
-Control de acceso físico
-Responsable de Seguridad
-Auditoria Bianual
-Documento de Seguridad
-Registro de incidencias
-Funciones y obligaciones
de personal
-Contraseñas de acceso
-Copias de Seguridad
-Inventario de soportes
-Control de acceso físico
-Responsable de Seguridad
-Auditoria Bianual
-Registro de acceso a datos
-Almacenar las copias de
seguridad fuera del local.
-Cifrado de Datos
SANCIONES De 900€ a 40.000€ De 40.001€ a 300.000€ De 300.001€ a 600.000€
49
Principio de Seguridad
Medidas aplicables a los diferentes niveles de
seguridad de ficheros automatizados
El RD establece unas medidas de seguridad que se
aplican independientemente del nivel de seguridad de
los ficheros tratados:
a) Acceso a través de redes de telecomunicaciones
Las medidas de seguridad exigibles para el acceso a
través de redes de telecomunicaciones deberá
garantizar un nivel equivalente al correspondiente a los
accesos en modo local.
50
Principio de Seguridad
b) Régimen de trabajo fuera de los locales de la
ubicación del fichero
Autorizado por el responsable en Documento de
Seguridad. La autorización puede tener un periodo de
validez
c) Ficheros Temporales (art.7).
Los ficheros temporales deberán cumplir el mismo
nivel de seguridad que el fichero del tienen origen.
Destrucción o borrado seguro cuando haya dejado de
ser necesario para la finalidad que motivó su creación.
51
Principio de Seguridad
Medidas de seguridad de Nivel Básico
1) Documento de Seguridad:
El Documento de Seguridad es un documento de
carácter privado y de obligado cumplimiento para todo
el personal de la Empresa que acceda a los Ficheros
de datos de carácter personal y a los Sistemas de
Información, en el que deben quedar plasmadas y
recogidas todas las políticas, reglas, medidas y
procedimientos de seguridad establecidos por el
Responsable del Fichero.
52
Principio de Seguridad
Contenido del Documento de Seguridad
a) Ámbito de aplicación del Documento con
especificación detallada de los recursos
protegidos
Ficheros de datos de carácter personal protegidos por la
normativa.
Descripción de los equipos informáticos utilizados para su
tratamiento (servidores, terminales, ordenadores).
Aplicaciones informáticas utilizadas para el tratamiento de los
ficheros de datos (como Bases de datos SQL, Programas de
gestión,…)
Descripción de la red de comunicaciones.
Locales e ubicaciones donde será de aplicación la normativa.
53
Principio de Seguridad
b) Medidas, normas, procedimientos y estándares
encaminados a garantizar el nivel de seguridad
exigido.
Los procedimientos y normas de acceso físico a las ubicaciones y
locales:
Los procedimientos y normas de acceso al sistema informático:
asignación, distribución, almacenamiento y cambio de
contraseñas de acceso al sistema y red.
Los procedimientos, normas y medidas de seguridad lógica
adoptados para la defensa ante ataques externos (antivirus,
firewalls, cifrado de redes, control de puertos, etc…).
Los procedimientos de acceso y normas de utilización de
aplicaciones informáticas concretas.
54
Principio de Seguridad
Los procedimientos de acceso y normas de utilización de
aplicaciones informáticas concretas.
Los procedimientos, normas y medidas de acceso a través de
Redes de Telecomunicaciones.
Los procedimientos, autorizaciones y normas de trabajo en
ubicaciones distintas a la principal.
Las directrices de seguridad para la utilización de determinados
programas de correo electrónico, protectores de pantalla,
conservación de documentos, generación de contraseñas…
c) Funciones y obligaciones del personal.
Listado actualizado de usuarios con acceso a los datos de carácter
personal.
55
Principio de Seguridad
d) Estructura de los ficheros con datos de carácter
personal y descripción de los sistemas de
información.
Se especifica el nombre de la aplicación informática que se utiliza
para el tratamiento de los datos; datos referentes al equipo-
servidor en el que se encuentra almacenado el fichero.
f) Los procedimientos de realización de copias de
respaldo y recuperación de datos.
Debe establecerse y definirse en el Documento de Seguridad
cuándo, cómo y qué se incorpora a las copias de seguridad; y, en
caso de que sea necesaria la restauración de los datos, cuál es el
procedimiento de actuación a seguir.
56
Principio de Seguridad
g) Las medidas que sea necesario adoptar para el
transporte de soportes y documentos , así como
la destrucción de los mismos o su reutilización.
Si existe tratamiento por cuenta de terceros debe
aparecer en el documento de seguridad.
El documento de seguridad debe mantenerse en todo
momento actualizado.
57
Principio de Seguridad
2) Funciones y obligaciones de personal con acceso
a los datos:
Deben de estar claramente definidas y documentadas
El personal deberá conocer las normas de seguridad
establecidas y las consecuencias de su incumplimiento.
3) Registro de Incidencias
Tipo de incidencia
Momento en que se ha producido,
Persona que realiza la notificación,
Persona a quien se le comunica, y
Efectos que se hubieran derivado de la incidencia.
58
Principio de Seguridad
4) Control de acceso:
El responsable del fichero se encargará de que exista una
relación actualizada de usuarios que tengan acceso autorizado al
sistema de información y de establecer procedimientos de
identificación y autenticación para dicho acceso.
Solo el personal autorizado podrá acceder a la información.
5) Identificación y autenticación
Identificación de forma inequívoca y personal
Identificación= usuario
autenticación=contraseña
59
Principio de Seguridad
Procedimiento de asignación, distribución y almacenamiento que
garantice su confidencialidad e integridad.
Recomendaciones para las contraseñas:
Si la contraseña es generada por el Administrador del Sistema y
luego es cambiada, en el primer acceso al sistema, por una
contraseña personal por parte del usuario, o por el contrario no
podrá ser modificada por el usuario.
La longitud mínima (6 a 8 caracteres)
Composición Alfanumérica (letras, números, mayúsculas y
minúsculas y /o símbolos)
Vigencia no superior a un año.
60
Principio de Seguridad
Establecer los procedimientos para el cambio de contraseña y los
casos en los que deberá procederse a su cambio por haberse
visto comprometida.
Establecer los procedimientos de bloqueo y desbloqueo de cuenta
por utilización reiterada de contraseñas incorrectas.
Establecer los procedimientos de generación, conservación y
almacenamiento seguro de contraseñas.
6) Gestión de soportes y documentos:
Los soportes o documentos que contengan datos de carácter
personal deberán permitir identificar el tipo de información que
contienen.
La salida de soportes y documentos que contengan datos de
carácter personal, fuera de los locales en los que está ubicado el
fichero, debe ser autorizado por el responsable del fichero.
61
Principio de Seguridad
Posibles medidas a adoptar:
Inventariado y almacenamiento de todos los soportes
informáticos.
Modelo de autorización y registro de salida de soportes
informáticos.
Conservación y almacenamiento de soportes papel
/documentación en armarios/archivadores.
Cada vez que un usuario accede a documentos y/o soportes
(informáticos y/o en papel) que contengan datos de carácter
personal, una vez finalizado su uso deberá devolverlo a su
armario/archivador.
Inventariado y almacenamiento con acceso restringido a
documentos y soportes calificados como confidenciales.
62
Principio de Seguridad
7) Copias de respaldo y recuperación:
Copias de seguridad
a) Verificar la definición y correcta aplicación de los procedimientos
de ejecución de copias de respaldo y recuperación de los datos.
b) Los procedimientos de backup deberán garantizar la
reconstrucción de los datos al estado en que se encontraban al
momento anterior de producirse la pérdida o destrucción.
c) Deberán realizarse copias de respaldo al menos semanalmente
d) El responsable del fichero se encargara de verificar cada 6 meses
la correcta definición, funcionamiento y aplicación del
procedimiento de copias de seguridad.
63
Principio de Seguridad
Medidas de seguridad de Nivel Medio
1) Documento de Seguridad:
Identificar el responsable/s de seguridad
Los controles periódicos que se deban realizar para verificar el
cumplimiento del documento de seguridad.
2) Responsable de Seguridad
La persona encargada de velar por el cumplimiento de las
medidas, reglas y normas de seguridad establecidas por el
Responsable del Fichero.
Debe establecerse en el documento de seguridad sus funciones
y obligaciones.
64
Principio de Seguridad
3) Auditoría:
Auditoria Bianual interna o externa obligatoria.
El Informe de Auditoría deberá dictaminar sobre el grado de
adecuación y cumplimiento de las medidas de seguridad,
identificar sus deficiencias y proponer las medidas correctoras
necesarias.
4) Identificación y Autenticación:
Se debe limitar la posibilidad de intentar reiteradamente el acceso
no autorizado al sistema de información.
5) Control de acceso físico:
Solo el personal autorizado podrá acceder a los lugares donde se
hallen los equipos físicos.
65
Principio de Seguridad
6) Registro de incidencias:
Deberá además señalarse la persona que ejecuto el proceso, los
datos restaurados, y en su caso, que datos ha sido grabar
manualmente en el proceso de recuperación.
El responsable del fichero deberá autorizar los procedimientos
de recuperación de datos.
7) Gestión de soportes y documentos:
Debe existir un registro de entrada y salida de soportes que
identifique: tipo de documento o soporte, fecha y hora,
emisor/destinatario , numero de documento, tipo de información
que contienen, forma de envío, responsable de la recepción o
entrega.
66
Principio de Seguridad
Medidas de seguridad de Nivel Alto
Se establecen medidas de seguridad especificas para
este nivel:
La utilización de mecanismos de encriptación y cifrado
de los datos.
El registro, control y almacenamiento de logs de
accesos a los ficheros.
El almacenamiento de copia de seguridad en
ubicación distinta.
67
Principio de Seguridad
Medidas de seguridad de Nivel Alto
Se establecen medidas de seguridad especificas para
este nivel:
La utilización de mecanismos de encriptación y cifrado
de los datos.
El registro, control y almacenamiento de logs de
accesos a los ficheros.
El almacenamiento de copia de seguridad en ubicación
distinta.
68
Principio de Seguridad
1) Gestión y Distribución de soportes:
Identificación de los soportes mediante sistemas de etiquetado
que permitan identificar su contenido.
Distribución de los soportes cifrada u otro mecanismo que impida
su manipulación durante su transporte.
2) Copias de Respaldo y Recuperación:
Los ficheros de datos de nivel alto deberán conservarse una
copia de respaldo y de los procedimientos de recuperación de los
datos en un lugar diferente a aquél en que se encuentran los
equipos informáticos que los tratan cumpliendo, en todo caso, las
medidas de seguridad exigidas.
69
Principio de Seguridad
3) Registro de accesos
De cada acceso, se guardarán como mínimo:
a) La identificación del usuario
b) Fecha y la hora en que se realizó el acceso
c) Fichero accedido,
d) Tipo de acceso: autorizado o denegado,
e) Y en el caso que el acceso haya sido autorizado, será preciso
guardar la información que permita identificar el registro accedido.
Los mecanismos que permiten el registro de los datos detallados
anteriormente estarán bajo el control directo del responsable de
seguridad
70
Principio de Seguridad
El periodo mínimo de conservación de estos datos ser a de años.
El responsable de seguridad competente se encargará de revisar
periódicamente la información de control registrada y elaborará un
informe de las revisiones realizadas y los problemas detectados
Excepciones al Registro de acceso:
Cuando el responsable del fichero sea una persona física
y
Que el responsable del fichero garantice que únicamente el tiene
acceso.
Si concurren ambas circunstancias debe hacerse constar en el
Documento de Seguridad
71
Principio de Seguridad
4) Telecomunicaciones
La transmisión de datos de carácter personal a través de
redes de telecomunicaciones se realizará cifrando
dichos datos o bien utilizando cualquier otro
mecanismo que garantice que la información no sea
inteligible ni manipulada por terceros.
Resumen: (Ver el cuadro resumen de medidas de seguridad de la Agencia
Española de Protección de Datos que esta en la sección Biblioteca)
72
Principio de Seguridad
Medidas aplicables a los diferentes niveles de
seguridad para ficheros no automatizados
Se regulan los medios a través de los cuales se deben custodiar,almacenar y/o guardar, y acceder a aquellos por parte de laspersonas que están autorizadas. Sin embargo, deja plena libertada la hora de configurar por el responsable del fichero las medidasa implantar para este tipo de soportes.
Se les aplica gran parte de lo exigido para los soportesautomatizados:
Inscripción en la AGPD
Niveles de Seguridad
Encargado del tratamiento
Documento de seguridad
Copias de trabajo
73
Principio de Seguridad
Delegación de autorizaciones
Régimen de trabajo fuera de los locales
Funciones y obligaciones de personal
Registro de incidencias
Control de acceso
Gestión de Soportes
74
Principio de Seguridad
Medidas de seguridad de Nivel Básico:
1) Criterios de Archivo
Establecidos por la normativa especifica o el responsable del
fichero
Deben permitir la conservación, localización y consulta de los
documentos y posibilitar el ejercicio de los Derechos ARCO.
2) Dispositivos de almacenamiento
Limitar el acceso a los documentos de las personas no
autorizadas mediante mecanismos que obstaculicen la apertura.
3) Custodia de soportes
En el proceso previo o posterior al archivo, la persona
responsable deberá custodiar los documentos.
75
Principio de Seguridad
Medidas de seguridad de Nivel Medio:
1) Designar uno o varios responsables de
seguridad.
2) Auditoria de Protección de Datos de Carácter
Personal
Auditoria Bianual Obligatoria
76
Principio de Seguridad
Medidas de seguridad de Nivel Alto:
1) Almacenamiento de la información:
Solo personal autorizado puede tener acceso a los armarios,
archivadores…que almacenen los ficheros
Dichas aéreas deben permanecer cerradas cuando no sea
preciso el acceso.
2) Copia o reproducción
Solo podrá realizarse por personal autorizado
3) Acceso a la documentación
Solo personal autorizado
Establecer mecanismos para saber quien a accedido al
documento cuando existan varios usuarios
77
Principio de Seguridad
Medidas de seguridad de Nivel Alto:
4) Traslado de documentación
Tomar medidas para evitar el acceso o la
manipulación durante el traslado.
78
Principio de Seguridad
top related