Foro de Seguridad 2010RedIRIS

Universidad Autónoma de Madrid23 de abril de 2010

Emilio Aced FélezSubdirector General de Registro de Ficheros y Consultoría

Agencia de Protección de Datos de la Comunidad de Madridemilio.aced@madrid.org

www.apdcm.es

2

Dato Personal es CUALQUIER información

concerniente a PERSONAS FÍSICAS

identificadas o identificables

Dos Definiciones Cruciales

3

Dos Definiciones Cruciales

•Se consideran datos personales–Direcciones IP–Cookies–Cualquier mecanismo de seguimiento cuya información pueda vincularse al usuario y, así, elaborar perfiles

4

Tratamiento de Datos son las operaciones y procedimientos

técnicos de carácter automatizado o no, que permitan la recogida,

grabación, conservación, elaboración, modificación,

bloqueo y cancelación, así como las cesiones de datos que resulten

de comunicaciones, consultas, interconexiones y transferencias

Dos Definiciones Cruciales

5

Preguntas que debería poder

contestar• ¿Por qué puedo tratar datos

personales?• ¿En qué condiciones?• ¿A quién debo informar y de qué?• ¿Qué medidas de seguridad debo

adoptar?• ¿Cómo asegurar la confidencialidad?• ¿Cómo garantizo los derechos de las

personas?• ¿Qué puede pasar si algo va mal?• ¿Quién me puede ayudar?

6

• Debería de llevar aparejada una autoevaluación o “auditoría limitada”

• Delimitar:– ¿Soy el responsable de todos los datos personales que

trato?– Tratamientos (aplicaciones o sistemas de información)– Ficheros (bases de datos)– Tipos o categorías de datos (estructura de las bases

de datos)

• Si actúo como encargado de tratamiento– ¿tengo un contrato firmado?– ¿tengo las instrucciones necesarias?– ¿tengo especificadas las medidas de seguridad?

Primeros Pasos

7

• ¿Por qué puedo tratar datos personales? (Legitimación)

• ¿Para qué trato datos personales? (Finalidades)• ¿De dónde provienen los datos personales que trato?• Cómo informo a los interesados de:

– Identidad y dirección del responsable del tratamiento– La existencia del tratamiento o fichero– Finalidades del tratamiento– Destinatarios de la información– Obligatoriedad o no de proporcionar datos– Consecuencias de suministrarlos o negarse a darlos– Derecho de acceso, rectificación, cancelación y oposición

• ¿Cómo actualizo los datos personales? (Actualización)

• ¿Durante cuanto tiempo los conservo? (Cancelación)

Tratamientos

8

• ¿Comunico datos a otros responsables?– ¿Para qué? (Finalidad)– ¿Qué datos? (Proporcionalidad)– ¿Por qué? (Legitimación)

Consentimiento (expreso para datos sensibles) Autorizado en una Ley Necesario para una relación jurídica Disposiciones sectoriales (solvencia, seguros)

• ¿Encargo tratamientos a terceros?– ¿He firmado los correspondientes contratos?

(Encargado del tratamiento - Artículo 12)– ¿He incluido las medidas de seguridad que

deben adoptarse?

Tratamientos

9

• ¿Realizo transferencias internacionales de datos?– ¿A países adecuados?– ¿En base a excepciones del artículo 34

LOPD?– ¿Necesito una autorización del Director de

la APD? ¿He redactado los contratos necesarios?

– ¿Para encargar tratamientos a terceros? ¿He redactado los contratos necesarios? ¿Cumplo con los requisitos del artículo 12 LOPD?

• ¿Hay alguna regulación sanitaria específica que deba tener en cuenta?

Tratamientos

10

• ¿He puesto en marcha procedimientos para:– el ejercicio de sus derechos por parte de los

ciudadanos– formación para mis empleados:

deber de secreto información sobre sus obligaciones derechos de los ciudadanos

– la actualización de la información– la cancelación (bloqueo) de oficio de datos no

necesarios– la revisión de los contratos con:

proveedores clientes encargados de tratamiento

y procedo a su revisión periódica?

Procedimientos

11

• Procedimiento(s) de recogida• ¿Qué categorías de datos trato?

(Tipificación para la notificación)• ¿Trato más datos de los necesarios para

mi actividad? (Proporcionalidad)• ¿Trato datos especialmente protegidos?

– Consentimiento expreso (en algunos casos por escrito)

– Legislación habilitante

• ¿Trato un conjunto de datos tal que permite una evaluación de la personalidad del individuo?

Tipos de Datos

12

–Técnicas y organizativas para: Garantizar seguridad datos personales

Evitar su alteración, pérdida, tratamiento o acceso no autorizado

Teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos

–Real Decreto 1720/2007, de desarrollo LOPD

¿Qué medidas de seguridad debo adoptar?

13

•¿Sólo para ficheros automatizados?

•Determinación distintos niveles de seguridad

•Documento de seguridad de obligado cumplimiento

Medidas de Seguridad

14

• Actualización del documento si:

– cambios organizativos

– cambios tecnológicos

– cambios legales

• Funciones y obligaciones del personal

– formación (y actualización)

– responsabilidades

• Establecimiento de los procedimientos necesarios

Medidas de Seguridad

15

•¿Tengo establecidos procedimientos para:– Notificación de incidencias– Gestión de incidencias (incluye información sobre procesos de recuperación realizados y autorización escrita en nivel medio)

– Pruebas ¿utilizo datos reales?

Procedimientos

16

• ¿Tengo establecidos procedimientos para:– Gestión de soportes

Identificación de soportesAlmacenamiento y acceso a los soportesEntrada/Salida de soportesRegistro de Entrada/Salida de soportes y medidas para su desecho (medio y alto)

Copias de salvaguardia y recuperaciónCifrado para la distribución de soportes (alto)

Registro de accesos, incluyendo retención y cancelación (alto)

Procedimientos

17

• Y aunque la ley no lo establezca– Debería realizar periódicamente un análisis de

riesgos (con la profundidad que sea posible)

• Mantener actualizados los sistemas operativos y productos (notificación de actualizaciones)

• Integrar verificaciones de protección de datos en gestión de control de cambios

• Diseñar procesos de formación adaptados a los distintos grupos de personas– Cursos interactivos– Incentivos por formación (formalización título)

Miscelánea

18

•El responsable del fichero y cuantas personas intervienen en el tratamiento:

–Están obligados al secreto profesional

– Incluso tras finalizar su trabajo o sus relaciones con titular o responsable del fichero

¿Cómo asegurar la confidencialidad?

19

• Impugnación• Transparencia

–Derecho de Información• Acceso• Rectificación• Cancelación• Oposición

¿Qué derechos tienenlas personas?

20

•Tutela e Indemnización– Si actuaciones contrarias a la ley:

Reclamación ante la autoridad de control competente

Sus resoluciones agotan la vía administrativa Recurso contencioso-administrativo contra

ellas

– Derecho a indemnización: Ficheros públicos: según legislación

reguladora Ficheros privados: jurisdicción ordinaria

¿Y si algo va mal…?