protección de datos

Curs FormatiuBiblioteques

Ricard Martínez MartínezTécnico de Control de Bases de Datos

Servei d’Informàtica

Objectius del curs

Els meus objectius

Exposar els aspectes bàsics de la protecció de dades, tot i atenent a:

Els meus objectius


El valor de la informació personal.

Els meus objectius


Els drets dels ciutadans: els nostres drets.

Els meus objectius


Les corresponents obligacions.

Els meus objectius


Promoure una cultura general sobre “protecció de dades”.

Els meus objectius


El valor de la informació personal.

Els drets dels ciutadans: els nostres drets.

Les corresponents obligacions.

Promoure una cultura general sobre “protecció de dades”.

Quins són els vostres objectius?

Quina cosa permet la informàtica

O perquè podem saber tot sobre un lector

Les etapes d’evolució de la informàtica

Macroinformàtica (grans ordenadors amb capacitat limitada de processar i d’emmagatzemar informació).


Microinformàtica (xip de silici, increment de la velocitat dels processadors i la potència de càlcul: ordenadors personals)


Xarxes mundials: Internet (multimedia, convergència d’informática i telecomunicacions, comunicació entre ordenadors sense límits d’espai o temps).


Llei de Moore.


Macroinformàtica (grans ordenadors amb capacitat limitada de processar i d’emmagatzemar informació). Microinformàtica (xip de silici, increment de la velocitat dels processadors i la potència de càlcul: ordenadors personals)Xarxes mundials: Internet (multimedia, convergència d’informática i telecomunicacions, comunicació entre ordenadors sense límits d’espai o temps). Llei de Moore.

Societat de la informació

«La idea de sociedad de la información engloba un conjunto de actividades industriales y económicas, comportamientos sociales, actitudes individuales y formas de organización política y administrativa, de importancia creciente en las naciones situadas en la vanguardia económica y cultural, a lo que no pueden sustraerse los poderes públicos».(Real Decreto 1289/1999, de 23 de julio, por el que se crea la Comisión Interministerial de la Sociedad de la Información y de las Nuevas Tecnologías (B.O.E. núm. 178, de 27 de julio)

Que ens conta la fitxa d’un lector?

Els seus estudis. Permet inferir:

Els seus estudis. Permet inferir:A quina alçada està.

Els seus estudis. Permet inferir:Quin tipus de tasques li encomanen.

Més enllà dels estudis. Aspectes de la personalitat:


És puntual en les devolucions?


És un lector habitual o esporàdic?


Fa només les lectures bàsiques recomanades o aprofundeix?


Estudia en aquest campus?


Les lectures són coherents amb la titulació?


I si no, expressen una vocació o ideologia?

Els seus estudis. Permet inferir:A quina alçada està.

Quin tipus de tasques li encomanen.


És puntual en les devolucions?

És un lector habitual o esporàdic?

Fa només les lectures bàsiques recomanades o aprofundeix?

Estudia en aquest campus?

Les lectures son coherents amb la titulació?

I si no, expressen una vocació o ideologia?

Que conta una adreça de correu electrònic?

[email protected]

Identitat del subjecte: Ricard Martinez.

[email protected]

Identitat del subjecte: Ricard Martinez.

Això no sembla massa, o si? ……

O si diu alguna cosa….

Doctor en Derecho.


Doctor en Derecho.

Consultor de Derecho y nuevas tecnologías en la UOC.


Doctor en Derecho.


Profesor del máster de Derecho de las telecomunicaciones.


Doctor en Derecho.


Profesor del máster de Derecho de las telecomunicaciones.

Técnico de control de bases de datos del Servei d'Informàtica de la Universitat de València.


Doctor en Derecho. Consultor de Derecho y nuevas tecnologías en la UOC. Profesor del máster de Derecho de las telecomunicaciones.Técnico de control de bases de datos del Servei d'Informàtica de la Universitat de València. Protección de datos y Universidad, por Ricard Martínez Martínez …Tecnologias de la información, policía y Constitución · TECNOLOGIAS DE LA INFORMACIÓN, POLICÍA Y CONSTITUCIÓN Ricard Martínez Martínez. Precio: 25 €

A més ….

Intimitat i protecció de dades

La informació: element essencial de la intimitat

En parlar d’intimitat o protecció de dades parlem de control sobre la informació.


En parlar d’intimitat o protecció de dades parlem de control sobre la informació.Les tecnologies de la informació i les comunicacions faciliten:



L’acumulació de grans volums d’informació personal aparentment dispersa i innòcua.



L’acumulació de grans volums d’informació personal aparentment dispersa i innòcua.L’extracció d'informació de caràcter privat mitjançant tècniques de tractament que aprofiten elements que en principi no tenen aquesta natura.

Dret a la intimitat, vida privada i dades personals

Una història: Warren y Brandeis.


Dret a disposar d’un àmbit de vida privada reservat davant les intromissions de qualsevol sujecte public o privat.


Dret a disposar d’un àmbit de vida privada reservat davant les intromissions de qualsevol sujecte public o privat.La vida privada ve definida pel comportament individual i els costums socials.


Dret a disposar d’un àmbit de vida privada reservat davant les intromissions de qualsevol sujecte public o privat.La vida privada ve definida pel comportament individual i els costums socials.La vida privada s’integra per un conjunt d’informacions de dades personals, íntimes o no, que permeten reconstruir part o tota la nostra personalitat.


Dret a disposar d’un àmbit de vida privada reservat davant les intromissions de qualsevol sujecte public o privat.La vida privada ve definida pel comportament individual i els costums socials.La vida privada s’integra per un conjunt d’informacions de dades personals, íntimes o no, que permeten reconstruir part o tota la nostra personalitat.La vida privada funciona com a fonament de l’eficacia del sistema de drets fonamentals: (desenvolupar o incloure a participació democràtica)

La intimitat base dels drets fonamentals

La vida privada és bàsica per el lliure desenvolupament de la personalitat i per garantir les llibertats La intimitat es projecta sobre el sistema de drets fonamentals directament:

dret al honor a la intimitat i a la pròpia imatge.inviolabilitat del domicili.secret de les comunicacionsprotecció de dades.

Indirectament en la llibertat ideològica i sindical, el dret al treball o l’accés a prestacions.

Protecció de dades

Conceptes

Que és una dada personal?

La protecció de dades

Que és una dada personal? qualsevol informació referent a persones físiques identificades o identificables.


Que és una dada personal?qualsevol informació referent a persones físiques identificades o identificables.

Que es un fitxer i un tractament?


Que és una dada personal? qualsevol informació referent a persones físiques identificades o identificables.

Que es un fitxer i un tractament?Fitxer: qualsevol conjunt organitzat de dades de caràcter personal, siga quina siga la forma o la modalitat de creació, emmagatzematge, organització i accés.Tractament de dades: les operacions i els procediments tècnics de caràcter automatitzat o no, que permeten recollir, gravar, conservar, elaborar, modificar, bloquejar i cancel·lar, així com les cessions de dades que deriven de comunicacions, consultes, interconnexions i transferències.

La protecció de dades.

El principi de qualitat de les dades.


El principi de qualitat de les dades.El consentiment.


El principi de qualitat de les dades.El consentiment.Els nostres drets:

Dret a la informació en la recollida.



Dret a la informació en la recollida.Dret d’oposició al tractament.



Dret a la informació en la recollida.Dret d’oposició al tractament.Dret de consentir les cessions de dades.



Dret a la informació en la recollida.Dret d’oposició al tractament.Dret de consentir les cessions de dades.Dret d’oposicio a les valoracions personals basades exclusivament en un tractament automatitzat de dades personals.



Dret a la informació en la recollida.Dret d’oposició al tractament.Dret de consentir les cessions de dades.Dret d’oposicio a les valoracions personals basades exclusivament en un tractament automatitzat de dades personals.Dret d’accés, rectificació i cancel·lació.



Dret a la informació en la recollida.Dret d’oposició al tractament.Dret de consentir les cessions de dades.Dret d’oposicio a les valoracions personals basades exclusivament en un tractament automatitzat de dades personals.Dret d’accés, rectificació i cancel·lació.L’Agencia de Protecció de dades. El RGPD.




Infraccions i sancions.




Infraccions i sancions.La justicia ordinaria.

DATOS DE CARÁCTER PERSONAL EN LA UVEG: DOCUMENTO DE

SEGURIDAD

Ricard MartínezTécnico de control bases de datos.

SIUV

El estrés en las reuniones

Las actividades sobre protección de datos suelen obligar a prestar un elevado grado de atención.

Investigaciones científicas demuestran que cuando mayor es la concentración e intensidad de una reunión mayor capacidad se tiene para distinguir a dos delfines aparentemente iguales en una fotografía.

Esto se atribuye a que la concentración y la percepción se incrementan en situaciones de estrés.

Los dos delfines que verá a continuación son muy similares, si Ud. no es capaz de distinguirlos tal vez debería regresar a casa.

Seguridad ¿Por qué?

Porque es necesaria:En la sociedad de la información resulta esencial proteger nuestros activos.


Porque es necesaria:.

Es presupuesto para el correcto funcionamiento de los sistemas y para la adopción de decisiones.


Porque es necesaria:

Contribuye a la racionalización de los medios y de los usos: facilita el cumplimiento del principio de calidad.



Genera una cultura LOPD en las organizaciones.



Proporciona confianza:• Interna: en el funcionamiento de los sistemas.• Externa en el usuario.


Porque es necesaria:En la sociedad de la información resulta esencial proteger nuestros activos.Es presupuesto para el correcto funcionamiento de los sistemas y para la adopción de decisiones.Contribuye a la racionalización de los medios y de los usos: facilita el cumplimiento del principio de calidad.Genera una cultura LOPD en las organizaciones.Proporciona confianza:• Interna: en el funcionamiento de los sistemas.• Externa en el usuario.

Porque es una obligación legal:Art. 9 Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Real Decreto 994/1999, de 11 de junio, en el que se regulan las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

La seguridad debe garantizar:

Confidencialidad

Integridad

Disponibilidad

Confidencialidad

La seguridad es instrumental a la tutela del derecho fundamental a la protección de datos.

Confidencialidad

Es un principio consustancial a la actividad administrativa.

Confidencialidad

Es instrumental a la satisfacción del deber de secreto en sus dimensiones funcionarial, profesional e informática.

Confidencialidad

Es presupuesto de la relación de confianza con el ciudadano.

Confidencialidad

La seguridad es instrumental a la tutela del derecho fundamental a la protección de datos.

Es un principio consustancial a la actividad administrativa.

Es instrumental a la satisfacción del deber de secreto en sus dimensiones funcionarial, profesional e informática.

Es presupuesto de la relación de confianza con el ciudadano.

Integridad

Constituye un elemento esencial para el cumplimiento del principio de calidad del artículo 4 LOPD.

Integridad

Contribuye a garantizar la corrección de las decisiones de la organización ya que se basan en información confiable y no manipulada.

Integridad

Proporciona confianza al titular de los datos: su perfil informativo será el adecuado y no variará arbitrariamente.

Integridad

Constituye un elemento esencial para el cumplimiento del principio de calidad del artículo 4 LOPD.

Contribuye a garantizar la corrección de las decisiones de la organización ya que se basan en información confiable y no manipulada.

Proporciona confianza al titular de los datos: su perfil informativo será el adecuado y no variará arbitrariamente.

Disponibilidad

Garantiza el funcionamiento normal de la organización.

Disponibilidad

Permite restaurar los sistemas ante cualquier evento.

Disponibilidad

Facilita la respuesta en todos los casos incluso ante las catástrofes.

Disponibilidad

Presupuesto necesario para el ejercicio de los derechos de acceso, rectificación y cancelación.

Disponibilidad

Ofrece confianza.

Disponibilidad

Garantiza el funcionamiento normal de la organización.

Permite restaurar los sistemas ante cualquier evento.

Facilita la respuesta en todos los casos incluso ante las catástrofes.

Presupuesto necesario para el ejercicio de los derechos de acceso, rectificación y cancelación.

Ofrece confianza.

La seguridad afecta a todas las formas de información y sus soportes así como a cualquier método usado para transmitir conocimiento, datos e ideas.

La información y los sistemas que la soportan constituyen activos valiosos e importantes para la Organización.

La seguridad permite depositar la suficiente confianza sobre la capacidad de dicha información y de los sistemas para sostener el funcionamiento adecuado de las funciones y los valores de la Organización

La seguridad proporciona

Confianza

Eficiencia

Calidad

Medidas

Técnológicas.

Organizativas.

De cumplimiento de la legalidad.

Se trata de una cuestión de puro sentido común.

La seguridad debería permitir

Garantizar la continuidad y el funcionamiento normal de los procesos de gestión soportados por TIC.


Asegurar la información relevante frente a intrusiones externas, frente a errores internos y frente a catástrofes.


Ordenar los flujos de información y racionalizar el modo de obtenerla, tratarla, producirla y utilizarla.


Generar cultura LOPD.


Proteger derechos fundamentales.


Garantizar la continuidad y el funcionamiento normal de los procesos de gestión soportados por TIC.Asegurar la información relevante frente a intrusiones externas, frente a errores internos y frente a catástrofes. Ordenar los flujos de información y racionalizar el modo de obtenerla, tratarla, producirla y utilizarla.Generar cultura LOPD.Proteger derechos fundamentales.

Medidas de seguridad

Art. 9 LOPDReal Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (RMS).

Artículo 9. Seguridad de los datos.

«1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural.2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley».

Niveles de seguridad

Son acumulativos.

Básico. Se aplicará a todos los ficheros.


Medio. Ficheros que contengan datos sobre comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y datos sobre solvencia patrimonial y crédito.


Nivel medio parcial: se aplica a «aquellos que contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo». Implica la aplicación de los arts. 17 a 20.


Alto. Ficheros que contengan datos especialmente protegidos, -datos de ideología, religión, creencias, origen racial, salud o vida sexual-, así como los que contengan datos recabados para fines policiales sin consentimiento de los titulares.

Reglamento (R.D. 994/1999): Documento de Seguridad

De obligado cumplimiento. Contendrá:Ámbito de aplicación y recursos protegidos.


De obligado cumplimiento. Contendrá:Ámbito de aplicación y recursos protegidos.Medidas que garanticen el nivel de seguridad exigido.


De obligado cumplimiento. Contendrá:Ámbito de aplicación y recursos protegidos.Medidas que garanticen el nivel de seguridad exigido.Funciones y obligaciones del personal.


De obligado cumplimiento. Contendrá:Ámbito de aplicación y recursos protegidos.Medidas que garanticen el nivel de seguridad exigido.Funciones y obligaciones del personal.Procedimiento de notificación y gestión de incidencias.


De obligado cumplimiento. Contendrá:Ámbito de aplicación y recursos protegidos.Medidas que garanticen el nivel de seguridad exigido.Funciones y obligaciones del personal.Procedimiento de notificación y gestión de incidencias.Gestión de soportes, entrada y salida de datos por red y procedimiento de respaldo y recuperación.


De obligado cumplimiento. Contendrá:Ámbito de aplicación y recursos protegidos.Medidas que garanticen el nivel de seguridad exigido.Funciones y obligaciones del personal.Procedimiento de notificación y gestión de incidencias.Gestión de soportes, entrada y salida de datos por red y procedimiento de respaldo y recuperación.Controles periódicos.

Responsables y Recursos protegidos

Responsable del Fichero: UVEG.

Responsable de Seguridad: UVEG.

Recursos protegidos: Centro de tratamiento.

Servidores.

Archivos.

Carpetas

Puestos de trabajo.

¿Cómo se consiguen los objetivos de la seguridad informática de las

bases de datos?

Medidas Organizativas

Medidas Técnicas

Medidas Organizativas

Definición de una política de seguridad

Definición de funciones y responsabilidades de los usuarios

Articulación de procedimientos

Registro de incidencias

Formación

Controles periódicos del cumplimiento

Gestión de soportes

Explotaciones del fichero.

Funciones y Obligaciones del personal.

Funciones y obligaciones del personal.Claramente definidas y documentadas (Anexo H del Documento de Seguridad)

Se informará a los interesados

• De sus funciones y obligaciones

• De las consecuencias de su incumplimiento

Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación con la entidad.

Mantener en secreto sus claves de acceso al sistema, debiendo poner en conocimiento del Responsable de departamento cualquier hecho que pueda haber comprometido el secreto.

Las contraseñas de acceso al sistema son personales e intransferibles, siendo el usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida.

Cambiar las contraseñas a petición del sistema.

Cerrar o bloquear todas las sesiones al término de la jornada laboral.

Bloquear las sesiones en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados.

Comunicar al Responsable de departamento, conforme al procedimiento de notificación, las incidencias de seguridad de las que tenga conocimiento.

Medidas Organizativas - Registro de incidencias.

Concepto de incidencia: « Se define como incidencia cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos».

Contenido: Tipo de incidenciaFecha y hora en que se produjoPersona que realiza la notificaciónPersona a quien se comunicaEfectos que puede producir (si son evaluables)Descripción detallada de la misma

Medidas Organizativas - Registro de incidencias.

Cualquier usuario que tenga conocimiento de una incidencia deberá comunicarla inmediatamente a través del CAU y/o del responsable de la unidad.

El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

No copiar la información contenida en los ficheros en los que se almacenen datos de carácter personal al propio ordenador, disquetes o a cualquier otro soporte sin autorización expresa del Responsable. Queda igualmente prohibido el traslado de cualquier soporte en los que se almacene información titularidad de la organización fuera de los locales de la misma.

Guardar todos los ficheros con datos de carácter personal en la carpeta indicada por el Responsable de departamento a fin de facilitar la aplicación de las medidas de seguridad que les correspondan.

Guardar todos los soportes físicos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.

Asegurarse de que no quedan documentos impresos que contengan datos protegidos impresos en la bandeja de salida de la impresora.

Únicamente las personas autorizadas para ello en el listado de accesos podrán introducir, modificar o anular los datos contenidos en los ficheros objeto de protección. Los permisos de acceso de los usuarios a los diferentes ficheros son concedidos por el responsable. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable de la unidad dará traslado de la solicitud al SIUV.

.

Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes. Los ficheros de carácter temporal deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán ser almacenados en la carpeta designada por el Responsable. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el fichero, deberá comunicarlo al Responsable de departamento, para adoptar las medidas oportunas sobre el mismo.

Queda prohibido:

Emplear identificadores y contraseñas de otros usuarios para acceder al sistema.

Queda prohibido:

Intentar modificar o acceder al registro de accesos.

Queda prohibido:

Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a ficheros o programas cuyo acceso no le haya sido permitido.

Queda prohibido:

El empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando las normas de uso de los recursos informáticos o bien para la realización de actos que pudieran ser considerados ilícitos.

DEBER DE SECRETO

Todos los usuarios que intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos, y al deber de guardarlos, obligaciones éstas que permanecen vigentes aun cuando finalicen su relación con el responsable del fichero.

Medidas Organizativas – Gestión de soportes

Identificación de la información que contienen

Inventariados

Almacenados en un lugar con acceso restringido al personal autorizado.

La salida fuera de la organización deberá ser autorizada por el Responsable del Fichero.

Control sobre los soportes no automatizados.

Medidas Organizativas – Explotaciones

No se permitirá la realización de explotaciones del fichero sin la debida autorización del Responsable del Fichero y siempre que en la realización de tales explotaciones se respeten los principios, normas y directrices de la Ley Orgánica 15/1999 .

Medidas Técnicas - Identificación de usuarios y control de accesos.

Relación actualizada de usuarios

Identificación y autenticación en el acceso al sistema

Autenticación mediante contraseña:• Procedimiento de almacenamiento y distribución seguro

• Difícilmente deducibles

• Se conservarán de forma ininteligible

• Se cambiarán con la periodicidad establecida en el documento de seguridad (semestral)

• La asignación de un nuevo usuario requiere autorización del jefe de la unidad administrativa.

• Cada usuario será responsable de la confidencialidad de su contraseña.

Medidas Técnicas– Control de acceso

Control de acceso:Acceso sólo a datos y recursos necesarios.

Mecanismos que eviten el uso de recursos no autorizados.

La relación de usuarios contendrá los derechos de acceso autorizados a cada uno de ellos.

Sólo el personal autorizado podrá conceder, modificar o anular los derechos de acceso.

Consideraciones adicionales

Usuarios reticentes

El usuario concibe el RMS como una obligación adicional “excesiva”:

El usuario como profesional, trabajador, funcionario viene obligado por el deber de sigilo o secreto.

Las medidas del RMS responden al sentido común y a la más elemental traslación de la seguridad del mundo físico al virtual.

La “puesta en conocimiento” del art. 9.2 RMS.

Responsabilidad

La infracción del deber de seguridad puede generar diversos niveles de responsabilidad jurídica: LOPD (art. 44)

Por infracción al deber de secreto (leve o grave)Por tratar los datos conculcando los principios y garantías de la LOPD o de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo (grave o muy grave)No implementar medidas de seguridad (grave)No implementar garantías cuando esto afecte a derechos fundamentales (muy grave)

Responsabilidad civil Objetiva objetiva por el daño causado (art. 1902).

Contractual (1101 y ss.)

Responsabilidad patrimonial de la Administración Pública.

Responsabilidad ética: hablamos de derechos fundamentales

La defensa de los derechos y su relación con la seguridad.El derecho fundamental a la protección de datos.El control de la información personal como presupuesto para la autodeterminación individual.El tratamiento de información personal como soporte básico para el funcionamiento del Estado Social.La defensa de una esfera de vida privada como elemento central para el funcionamiento de las democracias representativas (Benjamín Constant)

Muchas gracias

[email protected]

protección de datos

Documents