Your SlideShare is downloading. ×
Legislación sobre Protección de Datos en
el ámbito de la PYME
¡Hola!
Pedro José De La Torre
Rodríguez
• Fundador de INDALICS.
• Decano CPITIA.
• Seminario “Lideres del
futuro de Almerí...
QUÉ VAMOS A VER
• Legislación que sustenta la
protección de datos personales en
España.
• Discusión razonada de la idoneid...
Legislación en materia de protección
de datos personales
Legislación
• Ley Orgánica de Protección de Datos (15/1999)
• Reglamento de desarrollo de la LOPD (R.D. 1720/2007)
• Ley 3...
Objetivos perseguidos
“Garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades
p...
Definiciones
• Tratamiento de datos: Operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la ...
Definiciones
• Procedimiento de disociación: Todo tratamiento de datos personales
de modo que la información que se obteng...
Definiciones
• Consentimiento del interesado: Toda manifestación de voluntar libre,
inequívoca, específica e informada med...
Definiciones
• Cancelación: Procedimiento en virtud del cual el responsable cesa en el
uso de los datos. La cancelación im...
Definiciones
• Ficheros de titularidad privada: Los ficheros de los que sean
responsables las personas, empresas o entidad...
Definiciones
• Fichero no automatizado: Todo conjunto de datos de carácter personal
organizado de forma no automática y es...
Definiciones
• Tercero: La persona física o jurídica, pública o privada, u órgano
administrativo distinta del afectado o i...
Definiciones
• Responsable de seguridad: persona o personas a las que el
responsable del fichero ha asignado formalmente l...
Definiciones
• Ficheros temporales: Ficheros de trabajo creados por usuarios o
procesos que son necesarios para un tratami...
Calidad de los datos
• Los datos de carácter personal objeto de tratamiento no podrán usarse
para finalidades incompatible...
Derecho de información
• Los interesados a los que se soliciten datos personales deberán ser
previamente informados de mod...
Derecho de información
• Cuando los datos de carácter personal no hayan sido recabados del
interesado, éste deberá ser inf...
Consentimiento
• El tratamiento de los datos de carácter personal requerirá el
consentimiento inequívoco del afectado, sal...
Datos especialmente protegidos
• De acuerdo con lo establecido en el apartado 2 del artículo 16 de la
Constitución, nadie ...
Tratamiento o cesión: Supuestos
• Será posible el tratamiento o la cesión de los datos de carácter personal sin
necesidad ...
Deber de secreto
• El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de cará...
Comunicación de datos
• Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero par...
Acceso a los datos por cuenta de
terceros
• No se considerará comunicación de datos el acceso de un tercero a los
datos cu...
Seguridad de los datos
• El responsable del fichero, y, en su caso, el encargado del tratamiento
deberán adoptar las medid...
Seguridad de los datos
• Todos los ficheros o tratamientos de datos de carácter personal deberán
adoptar las medidas de se...
Seguridad de los datos
• Además de las medidas de nivel básico y medio, las medidas de nivel
alto se aplicarán en los sigu...
Documento de seguridad
• El responsable del fichero o tratamiento elaborará un documento de
seguridad que recogerá las med...
Documento de seguridad
• e) Procedimiento de notificación, gestión y respuesta ante las
incidencias.
f) Los procedimientos...
Documento de seguridad
• Cuando exista un tratamiento de datos por cuenta de terceros, el
documento de seguridad deberá co...
Ficheros automatizados: seguridad
básica
• Las funciones y obligaciones de cada uno de los usuarios o perfiles de
usuarios...
Ficheros automatizados: seguridad
básica
• El responsable del fichero establecerá mecanismos para evitar que un
usuario pu...
Ficheros automatizados: seguridad
básica
• En el traslado de la documentación se adoptarán las medidas dirigidas a
evitar ...
Ficheros automatizados: seguridad
básica
• Deberán establecerse procedimientos de actuación para la realización
como mínim...
Ficheros automatizados: seguridad
media
• En el documento de seguridad deberán designarse uno o varios
responsables de seg...
Ficheros automatizados: seguridad
media
• Igualmente, se dispondrá de un sistema de registro de salida de
soportes que per...
Ficheros automatizados: seguridad
media
• En el registro regulado en el artículo 90 deberán consignarse, además,
los proce...
Ficheros automatizados: seguridad
media
• De cada intento de acceso se guardarán, como mínimo, la identificación
del usuar...
Ficheros automatizados: seguridad alta
• La transmisión de datos de carácter personal a través de redes públicas
o redes i...
Ficheros no automatizados: seguridad
básica
• El archivo de los soportes o documentos se realizará de acuerdo con los
crit...
Ficheros no automatizados: seguridad
media
• Los ficheros comprendidos en la presente sección se someterán, al
menos cada ...
Ficheros no automatizados: seguridad
alta
• Los armarios, archivadores u otros elementos en los que se almacenen
los fiche...
Derecho de acceso
• El interesado tendrá derecho a solicitar y obtener gratuitamente
información de sus datos de carácter ...
Derecho de rectificación y
cancelación
• El responsable del tratamiento tendrá la obligación de hacer efectivo el
derecho ...
Ficheros de titularidad privada
• Podrán crearse ficheros de titularidad privada que contengan datos de
carácter personal ...
Tratamientos con fines publicitarios y de
prospección comercial
• Quienes se dediquen a la recopilación de direcciones, re...
Listas de exclusión de
comunicaciones comerciales
• Los responsables a los que el afectado haya manifestado su negativa a
...
Conclusiones
Conclusiones
• La legislación en materia de protección de datos contiene numerosas
carencias y contrasentidos.
• El marco ...
Ejemplos de ineficacia en protección de
datos personales
Recomendaciones
Consultar la web de la AEPD
Sentido común
Confiar en auditores colegiados
Gracias por la atención
• Mail: pedro.delatorre@indalics.com
• Web: www.indalics.com
• Twitter: @pedrodelatorre , @Indalics
Upcoming SlideShare
Loading in...5
×

Seminario protección de datos 2013

212

Published on

Presentación en Seminario sobre LOPD para emprendedores

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
212
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Seminario protección de datos 2013"

  1. 1. Legislación sobre Protección de Datos en el ámbito de la PYME
  2. 2. ¡Hola! Pedro José De La Torre Rodríguez • Fundador de INDALICS. • Decano CPITIA. • Seminario “Lideres del futuro de Almería” . • Master en Desarrollo de Software. • Master en Gestión de la Innovación. • EMBA Dirección General - ESIC • Director Desarrollo (2008) • ITI Sistemas UAL (2005).
  3. 3. QUÉ VAMOS A VER • Legislación que sustenta la protección de datos personales en España. • Discusión razonada de la idoneidad de las medidas legislativas. • Discusión razonada sobre la capacidad de las pequeñas empresas para cumplir la legislación en materia de protección de datos • Algunas conclusiones tras la jornada
  4. 4. Legislación en materia de protección de datos personales
  5. 5. Legislación • Ley Orgánica de Protección de Datos (15/1999) • Reglamento de desarrollo de la LOPD (R.D. 1720/2007) • Ley 34/2002 de Servicios de Sociedad de la Información • Autoridad competente: Agencia Española de Protección de Datos (AEPD)
  6. 6. Objetivos perseguidos “Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”
  7. 7. Definiciones • Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. • Datos de carácter personal: cualquier dato concerniente a personas físicas identificadas o identificables. • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  8. 8. Definiciones • Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. • Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento. • Afectado o interesado: Persona física titular de los datos que sean objeto de tratamiento. • Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo, o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  9. 9. Definiciones • Consentimiento del interesado: Toda manifestación de voluntar libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. • Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una forma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
  10. 10. Definiciones • Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo se procederá a la supresión de los datos. • Datos de carácter personal relacionados con la salud: Las informaciones concernientes a la salud pasada, presente y futura, física o mental de un individuo. En particular se considerarán datos relacionados con la salud de las personas los referidos a su grado de discapacidad y a su información genética.
  11. 11. Definiciones • Ficheros de titularidad privada: Los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quién ostente la titularidad de su capital o de la procedencia de sus recursos económicos así como los ficheros de los que sean responsables las corporaciones de derecho público en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público. • Ficheros de titularidad pública: Los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones Autonómicas con funciones análogas a los mismos, las Administraciones Públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de Derecho Público, siempre que su finalidad sea el ejercicio de potestades de derecho público.
  12. 12. Definiciones • Fichero no automatizado: Todo conjunto de datos de carácter personal organizado de forma no automática y estructurado conforme a criterios específicos relativos a personas físicas que permitan accede sin esfuerzos desproporcionados a sus datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica. • Importador de datos personales: La persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o un tercero. • Exportador de datos personales: La persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice una transferencia de datos de carácter personal a un país tercero.
  13. 13. Definiciones • Tercero: La persona física o jurídica, pública o privada, u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. • Persona identificable: Toda persona cuya identidad pueda determinarse directa o indirectamente mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. • Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español
  14. 14. Definiciones • Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordina y controlar las medidas de seguridad aplicables. • Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. • Sistema de información: Conjunto de ficheros, tratamientos, programas, soportes, y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
  15. 15. Definiciones • Ficheros temporales: Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. • Sistema de tratamiento: Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. • Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. • Usuario: Sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.
  16. 16. Calidad de los datos • Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. • Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. • Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
  17. 17. Derecho de información • Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
  18. 18. Derecho de información • Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento y de la procedencia de los datos.
  19. 19. Consentimiento • El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. • No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
  20. 20. Datos especialmente protegidos • De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. • Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. • Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. • Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
  21. 21. Tratamiento o cesión: Supuestos • Será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando: a) Lo autorice una norma con rango de ley o una norma de derecho comunitario b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado. • Los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado cuando: a) Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario. b) Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.
  22. 22. Deber de secreto • El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
  23. 23. Comunicación de datos • Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. • Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. • El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable. • Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.
  24. 24. Acceso a los datos por cuenta de terceros • No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. • La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
  25. 25. Seguridad de los datos • El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. • No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. • Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.
  26. 26. Seguridad de los datos • Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. • Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. b) Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
  27. 27. Seguridad de los datos • Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. c) Aquéllos que contengan datos derivados de actos de violencia de género.
  28. 28. Documento de seguridad • El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. • El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  29. 29. Documento de seguridad • e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. • En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además: a) La identificación del responsable o responsables de seguridad. b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
  30. 30. Documento de seguridad • Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. • En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.
  31. 31. Ficheros automatizados: seguridad básica • Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. • Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. • Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
  32. 32. Ficheros automatizados: seguridad básica • El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. • Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. • La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
  33. 33. Ficheros automatizados: seguridad básica • En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. • El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. • El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. • Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. • El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas.
  34. 34. Ficheros automatizados: seguridad básica • Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. • Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. • Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.
  35. 35. Ficheros automatizados: seguridad media • En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. • A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento. • Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
  36. 36. Ficheros automatizados: seguridad media • Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. • El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. • Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.
  37. 37. Ficheros automatizados: seguridad media • En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. • Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. • La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. • Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas.
  38. 38. Ficheros automatizados: seguridad media • De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. • Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. • El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
  39. 39. Ficheros automatizados: seguridad alta • La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
  40. 40. Ficheros no automatizados: seguridad básica • El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. • Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas. • Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento accesos no autorizados
  41. 41. Ficheros no automatizados: seguridad media • Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. • Se designará uno o varios responsables de seguridad
  42. 42. Ficheros no automatizados: seguridad alta • Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. • La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad. • Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. • Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.
  43. 43. Derecho de acceso • El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. • El derecho de acceso sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
  44. 44. Derecho de rectificación y cancelación • El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. • La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
  45. 45. Ficheros de titularidad privada • Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular. • Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
  46. 46. Tratamientos con fines publicitarios y de prospección comercial • Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento. • En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal. • Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.
  47. 47. Listas de exclusión de comunicaciones comerciales • Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad. • El interesado podrá solicitar su exclusión respecto de un fichero o tratamiento concreto o su inclusión en ficheros comunes de excluidos de carácter general o sectorial (Listas Robinson)
  48. 48. Conclusiones
  49. 49. Conclusiones • La legislación en materia de protección de datos contiene numerosas carencias y contrasentidos. • El marco legal es díficil de entender e implementar para pequeñas empresas y entidades. • Implementar las medidas de seguridad indicadas en la ley no es sencillo ni barato. • No están bien delimitadas las responsabilidades de los auditores en materia de LOPD • La efectividad del marco legal actual es muy limitada.
  50. 50. Ejemplos de ineficacia en protección de datos personales
  51. 51. Recomendaciones
  52. 52. Consultar la web de la AEPD
  53. 53. Sentido común
  54. 54. Confiar en auditores colegiados
  55. 55. Gracias por la atención • Mail: pedro.delatorre@indalics.com • Web: www.indalics.com • Twitter: @pedrodelatorre , @Indalics

×