SlideShare a Scribd company logo

LOPD ficheros datos protección

Pedro Garcia Repetto
Pedro Garcia Repetto

Este documento trata sobre la Ley Orgánica de Protección de Datos de Carácter Personal en España. Explica conceptos clave como dato de carácter personal, fichero, responsable del tratamiento, encargado del tratamiento, y Agencia Española de Protección de Datos. Además, describe el proceso de adaptación a la ley, incluyendo las fases de identificación de ficheros, legitimación de datos a través del consentimiento del interesado y la gestión de sus derechos, y la implementación de medidas de seguridad.

Technology
1 of 76
AI06 LOPD AI06 1 Ley Orgánica 15/99 de Protección de Datos de Carácter Personal Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
AI06 LOPD AI06 2 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4. Caso práctico aplicación 5. Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
AI06 LOPD AI06 3 AI06.1 Introducción 1. Dato de carácter personal (dcp) 2. ¿Por qué es necesario proteger los dcp? 3. Antecedentes LOPD 4. Conceptos y agentes
AI06 LOPD AI06 4 AI06.1.1 Introducción - DCP Dato de Carácter Personal (DCP) Cualquier información concerniente a personas físicas identificadas o identificables” (art. 3 LOPD) Identificable Toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. (Directiva 95/46 CE)
AI06 LOPD AI06 5 AI06.1.1 Introducción - DCP Ejemplo (DCP)
AI06 LOPD AI06 6 AI06.1.1 Introducción - DCP Ejemplo (DCP) DNI/NIF email Fotografías Imágenes Huella dactilar Voz Nº Teléfono Dirección Matrícula Nº Seguridad Social Datos sociales Nombre y apellidos Estado civil Sexo Deudas Religión Enfermedades Datos sociales Datos sindicales Datos comerciales Deudas
AI06 LOPD AI06 7 AI06.1.2 Introducción - ¿Por qué es necesario proteger los DCP? DCP son información valiosa para las empresas Cumplir LOPD aumenta la calidad de los procesos Mayor confianza para los clientes: imagen ¿Activo? Responsabilidad social corporativa Derecho fundamental de las personas Orientación hacia la gestión integral de la seguridad Porque es sencillo: apoyo de la AEPD.
AI06 LOPD AI06 8 AI06.1.3 Introducción – Antecedentes LOPD 1978 Constitución española. Art. 18.4 «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derecho» Ley Orgánica 1/1982 Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen Ley Orgánica 5/92 – LORTAD Da cobertura al art. 18.4 de la Constitución Aplica a DCP en ficheros automatizados
AI06 LOPD AI06 9 AI06.1.3 Introducción – Antecedentes LOPD Directiva europea 95/46 CE Los Estados miembros garantizarán la protección … del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales Ley Orgánica 15/1999 – LOPD DCP en ficheros automatizados + no automatizados RMS – RD 994/1999 Medidas de seguridad Reglamento de medidas de seguridad de la LORTAD Medidas técnicas y organizativas a aplicar a los SI que manejen DCP
AI06 LOPD AI06 10 AI06.1.3 Introducción – Antecedentes LOPD Sentencia 292/2000 del Tribunal constitucional Diferencia el derecho a la protección de los DCP respecto al derecho a la intimidad (Constitución art. 18.1) RDLOPD – RD 1720/2007 Reglamento de desarrollo LOPD. Deroga al RMS de la LORTAD Medidas de seguridad a aplicar a ficheros automatizados y no automatizados
AI06 LOPD AI06 11 AI06.1.3 Introducción – Antecedentes LOPD RDLOPD – RD 1720/2007 Cambia niveles de seguridad a aplicar a tipologías de datos. Transferencias internacional de datos Establece normas, medidas, procedimientos y mecanismos para garantizar la seguridad de: ficheros, centros de tratamientos, locales, equipos, sistemas, programas y personas que intervienen en el tratamiento de DCP
AI06 LOPD AI06 12 AI06.1.4 Introducción – Conceptos y agentes Fichero Conjunto organizado de DCP en soporte físico, automatizado o no automatizado o mixto Fichero automatizado Datos en soportes informáticos que requieren herramientas informáticas para su tratamiento Fichero no automatizado Datos en soportes que no requieren herramientas informáticas para su tratamiento
AI06 LOPD AI06 13 AI06.1.4 Introducción – Conceptos y agentes Tratamiento de datos Operación o tratamiento técnico que permita la recogida, grabación, conservación, modificación, consulta, utilización, cancelación, bloqueo o supresión o cesión de DCP Cesión o comunicación Tratamiento de datos que consiste en revelar DCP a una persona distinta del interesado. La organización que maneja DCP de un titular, afectado o interesado los «entrega» a otra organización sin la autorización del titular  Solicitar autorización
AI06 LOPD AI06 14 AI06.1.4 Introducción – Conceptos y agentes Afectado o interesado Persona física (en contraposición a jurídica) titular de los DCP. Responsable del fichero (RF) o del tratamiento Persona física o jurídica, pública o privada que decide sobre la finalidad, contenido y uso del tratamiento de los DCP
AI06 LOPD AI06 15 AI06.1.4 Introducción – Conceptos y agentes Encargado del tratamiento (ET) Persona física o jurídica, pública o privada que trata DCP por encargo o cuenta del Responsable del fichero o del tratamiento Responsable de seguridad (RS) Persona o personas a las que el RF asigna formalmente la función de coordinar y controlar las medidas de seguridad Usuario Persona que trata o utiliza los DCP
AI06 LOPD AI06 16 AI06.1.4 Introducción – Conceptos y agentes Agencia Española de Protección de Datos Informar sobre todo lo relativo de la protección DCP Ayudar al ciudadano a ejercitar sus derechos Ayudar a organizaciones a cumplir sus obligaciones Garantizar el derecho a la protección de DCP Investigar actuaciones contrarias a los principios y garantías de la LOPD. Imponer sanciones Referente: LOPD y RDLOPD
AI06 LOPD AI06 17 Índice 1. Introducción 2.Proceso adaptación 3. Medidas de seguridad 4. Proceso auditoría 5. Caso práctico aplicación 6. Caso práctico auditoría 7. Bibliografía
AI06 LOPD AI06 18 AI06.2 Proceso adaptación Fase I Adaptación de ficheros Fase II Legitimación de datos Fase III Política de seguridad de datos Identificación Ficheros Notificación y hoja de solicitud Notificar ficheros ante el RGPD Recogida de información Consentimiento del afectado Derechos ciudadano: ARCO Documento de seguridad Responsable de seguridad Medidas de seguridad B/M/A
AI06 LOPD AI06 19 AI06.2.1 Proceso adaptación – Fase I - Ficheros Identificar ficheros con DCP DCP de proveedores, clientes, empleados, candidatos, deudas, sanidad, etc. Ficheros: BD de clientes y/o proveedores, relaciones de empleados, facturas de proveedores, albaranes de clientes, CV de candidatos, etc. Determinar soporte Automatizado, no automatizado o mixto
AI06 LOPD AI06 20 AI06.2.1 Proceso adaptación – Fase I - Ficheros Notificar a la AEPD Notificaciones se deben hacer con carácter previo a la creación del fichero NOTA: Notificaciones telemáticas a la AEPD Fichero normal: formulario vacío Ficheros TIPO: Nóminas, clientes/proveedores, comunidades, videovigilancia, pacientes, gestión escolar, etc. Ficheros Inscritos RGPD
AI06 LOPD AI06 21 AI06.2.1 Proceso adaptación – Fase I - Ficheros Consulta de ficheros inscritos Ficheros de titularidad pública Ficheros de titularidad privada Primer paso auditoría LOPD: consultar en la AEPD los ficheros inscritos por la organización pública o privada (CIF/NIF) Ej. IBERDROLA – IBERDROLA S A - PERSONAL Ejercicio: buscar ficheros registrados en la AEPD de por la UCM y analizar sus propiedades
AI06 LOPD AI06 22 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Principios a seguir por el RF con los DCP Se tratan de manera leal y lícita Se recogen con fines determinados, explícitos y legítimos Deben ser exactos y estar actualizados Se conservan sólo durante el tiempo necesario para las finalidades del tratamiento para el que se han recogido
AI06 LOPD AI06 23 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Informar (quedando registrado el hecho) de: Existencia de un fichero, su finalidad y destinatario Si las preguntas son obligatorias o facultativas. De las consecuencias de la obtención o negativa Identidad y dirección del RF De los derechos ARCO (acceso, rectificación, cancelación y oposición)
AI06 LOPD AI06 24 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Ejemplo general clausula LOPD art. 5 – Información En cumplimiento con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informamos que sus datos personales serán tratados y quedarán incorporados en ficheros responsabilidad de MI EMPRESA registrados en la Agencia Española de Protección de Datos, con la finalidad de GESTIÓN ALQUILER. De igual forma, autoriza la comunicación de sus datos de carácter personal a la entidad SU EMPRESA TURÍSTICA para la finalidad PUBLICIDAD TURISMO NACIONAL, realizándose la comunicación únicamente para este fin. CESIÓN
AI06 LOPD AI06 25 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Ejemplo general clausula LOPD art. 5 – Información En todo caso, puede ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a la sede social, sita en GRAN VÍA 1, 31 DCHA, MADRID o en la dirección de correo LOPD@MIEMPRESA.ES. Le rogamos que en el supuesto de producirse alguna modificación en sus datos de carácter personal, nos lo comunique con el fin de mantener actualizados los mimos.
AI06 LOPD AI06 26 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado Voluntad, libre, inequívoca, especifica e informada Consentimiento tácito: en la mayoría de los casos Consentimiento expreso: datos de salud Consentimiento expreso por escrito: ideología, afiliación sindical, religión y creencias Menores 14 años: consentimiento padre, madre o tutor
AI06 LOPD AI06 27 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado (ejemplo) D. PEDRO PÉREZ LÓPEZ mayor de edad, con domicilio en la c/MI CALLE nº 999, Localidad WARNER Provincia MADRID, Código Postal 29999 con D.N.I. 99.999.99, por medio del presente escrito manifiesta que: Por la presente autoriza el tratamiento de sus datos de carácter personal y su inclusión en el fichero de ASTRONAUTAS de la UCM, cuya finalidad es SELECCIÓN DE VIAJEROS POR EL ESPACIO, de acuerdo con lo dispuesto en la Declaración de ficheros de la UCM publicada en el nº 69 del BOUC de 11 de abril de 2007. Firma del interesado
AI06 LOPD AI06 28 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Informar al interesado antes del registro y tratamiento de los DCP por parte del RF Gestionar derechos (ARCO) del interesado Acceso: qué datos tiene el RF del interesado Rectificar: corregir los datos erróneos o incompletos Cancelar: borrador de datos inexactos o erróneos Oposición: a que se traten sus datos
AI06 LOPD AI06 29 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado si hay cesión RF informa al interesado en la primera cesión: Finalidad, naturaleza de los DCP y cesionario No es necesario el consentimiento para la cesión si: Autorizado por Ley Datos recogidos de fuentes accesibles al público Destinatario: Justicia, Defensor del Pueblo o TC Urgencia relativa de salud
AI06 LOPD AI06 30 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado si hay cesión (ej) De igual forma, autoriza la comunicación de sus datos de carácter personal a la entidad SU EMPRESA TURÍSTICA para la finalidad PUBLICIDAD TURISMO NACIONAL, realizándose la comunicación únicamente para este fin. Consiento que la CVSS comunique mis datos personales a mis parientes ( hasta el segundo grado de consanguinidad o afinidad ) en aras a que éstos puedan justificar su ausencia laboral en la pertinente empresa. No consiento que Clínica V. San Sebastián comunique mis datos personales a mis familiares y allegados.
AI06 LOPD AI06 31 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Transferencia internacional de datos Autorización de la AEPD en general, salvo si el destino es UE o país «adecuado» (notificación AEPD) Excepciones: art. 34 Convenios internacionales Consentimiento inequívoco Auxilio judicial Estado UE o de confianza Asistencia sanitaria Petición desde registro público
AI06 LOPD AI06 32 AI06.2.1 Proceso adaptación – Fase III – Medidas de seguridad ¿Qué medidas de seguridad se implantan? Depende • Nombre y apellidos • Datos contacto (dirección, teléfono, email, etc.) Básico • Infracciones administrativas o penales • Financieros, seguridad social y e- comunicaciones • Personalidad o comportamiento Medio • Ideología, religión y creencias • Salud y vida sexual • Afiliación sindical • Violencia de género Alto
AI06 LOPD AI06 33 Índice 1. Introducción 2. Proceso adaptación 3.Medidas de seguridad 4. Caso práctico aplicación 5. Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
AI06 LOPD AI06 34 AI06.3 Medidas de seguridad – Documento de seguridad Guía de seguridad de datos (14) – AEPD Descripción de ficheros con DCP y de los S.I. Tratamientos, personas y locales Estándares y procedimientos según el nivel de DCP Funciones y obligaciones del personal Responsable del fichero Encargado del tratamiento Usuario final
AI06 LOPD AI06 35 AI06.3 Medidas de seguridad – Documento de seguridad Procedimiento de notificación, gestión y respuesta ante incidencias Procedimientos de copias de respaldo y recuperación Transporte de DCP y destrucción de soportes Nivel medio Responsable de seguridad: funciones y obligaciones Controles periódicos de verificación del cumplimiento
AI06 LOPD AI06 36 AI06.3 Medidas de seguridad Guía de seguridad de datos (10) – AEPD Responsable de seguridad-M Coordina y controla las medidas de seguridad Divulgar normativa de seguridad al personal-B Formación y concienciación en seguridad Funciones y obligaciones. Manual de bienvenida Difusión de la estándares y procedimientos Aceptación formal de la normativa de seguridad Acceso a la información: aceptación verificable de la responsabilidad del usuario
AI06 LOPD AI06 37 AI06.3 Medidas de seguridad Gestión de incidencias-B Incidencia: anomalía que afecta a la seguridad y CID Procedimiento notificación, gestión y respuesta Registro de incidencias M: Registro de recuperación de datos Procedimiento de control de acceso-B Personal sólo accede a lo que necesite conocer según las funciones que tenga asignadas Control de acceso físico (DCP no automatizado, instalaciones y lógico (aplicaciones) A: Registro de acceso. OK o NOK y DCP accedidos
AI06 LOPD AI06 38 AI06.3 Medidas de seguridad Mecanismos de identificación y autenticación-B El RF mantiene relación de usuarios autorizados Identificación individual e inequívoca Proc. Asignación, distribución y almacenamiento de contraseñas garantizando CI y cambio al año (máx.) Calidad de contraseñas: formación, longitud, etc. M-Limitar número de acceso con error Recomendaciones para la creación y uso de contraseñas seguras - INTECO
AI06 LOPD AI06 39 AI06.3 Medidas de seguridad Gestión de soportes-B Procedimiento de gestión de soportes con DCP Inventario de soportes físicos Acceso restringido a los soportes Procedimiento formal de autorización de salida de soportes Destrucción o borrador seguro M-Registro de entrada y salida Ejemplo de registro A-Cifrado de información y etiquetas confidenciales
AI06 LOPD AI06 40 AI06.3 Medidas de seguridad Copias de respaldo-B Copia de ficheros con DCP al menos semanal Verificación al menos semestral de los procedimientos de recuperación y prueba A-Almacenar copias de seguridad en ubicación alternativa a donde se tratan los datos Criterios de archivo-NA Pautas básicas de orden, conservación, localización y consulta de la información
AI06 LOPD AI06 41 AI06.3 Medidas de seguridad Copias de respaldo-B Copia semanal de ficheros con DCP Verificación al menos semestral de los procedimientos de recuperación y prueba A-Almacenar copias de seguridad en ubicación alternativa a donde se tratan los datos Cifrado de comunicaciones-A Cifrado en la transmisión por redes públicas o inalámbricas
AI06 LOPD AI06 42 AI06.3 Medidas de seguridad – No automatizados Criterios de archivo-NA Pautas básicas de orden, conservación, localización y consulta de la información Control de acceso físico-NA Acceso a las instalaciones con DCP sólo autorizados Armarios o archivadores con mecanismos de cierre Custodia de documentos y responsables Control de acceso en el traslado Copia-NA Procedimientos de copia, reproducción y destrucción A-Personal autorizado en documento de seguridad
AI06 LOPD AI06 43 AI06.3 Medidas de seguridad – No automatizados Auditorías-M Bienal, interna o externa, de verificación de las medidas de seguridad (Título VIII del RD 1720/2007) Auditoría si hay cambios sustanciales en el SI Informe de auditoría analizado por el RS que elevará conclusiones al RF para que adopte medidas El informe debe de estar disponible si lo solicita la AEPD
AI06 LOPD AI06 44 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4.Caso práctico aplicación 5. Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
AI06 LOPD AI06 45 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Recientemente se ha creado una Agencia de titularidad pública dentro de la AGE cuya finalidad es gestionar subvenciones y ayudas a autónomos. Dentro de su plan estratégico de lanzamiento, ha decidido externalizar en una empresa de hosting la gestión de los sistemas de información utilizados para la gestión de las ayudas. El resto de la información gestionada por la Agencia se almacenará y tratará en sistemas propios Los solicitantes de ayudas deben aportar, entre otros, los siguientes datos: Nombre y apellidos, NIF, nº de afiliación a la seguridad social, últimos tres recibos abonados a la Seguridad Social como autónomos
AI06 LOPD AI06 46 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Para la gestión interna de su personal, la Agencia ha previsto la implantación de un sistema de fichaje mediante huella digital. En su sede, los empleados deberán portar una tarjeta identificativa con su fotografía La Agencia cuenta entre su personal con algunos empleados que tienen reconocido un cierto grado de minusvalía, aspecto que debe ser tenido en cuenta en la gestión de las nóminas a efectos de aplicación de las correspondientes deducciones en el tipo de IRPF aplicable. Parte de los empleados pagan las cuotas de sus sindicatos a través del servicio de nóminas. En este servicio se tiene constancia del grado de minusvalía de los empleados
AI06 LOPD AI06 47 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Por otra parte, la Agencia ha contratado la seguridad de sus instalaciones con una empresa privada. Se han instalado cámaras y un circuito cerrado de TV (CCTV) para el visionado de imágenes de dichas instalaciones. No está previsto el almacenamiento de dichas imágenes para su posterior reproducción. No obstante sí se almacenan las imágenes de las cámaras situadas en el CPD Esta empresa de seguridad tiene asignado el control de acceso físico a las instalaciones de la Agencia. Los datos identificativos de las visitas son registrados en una aplicación informática. En caso de que la aplicación no estuviese disponible, los datos se registran en un cuaderno de visitas
AI06 LOPD AI06 48 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Los únicos proveedores de la Agencia son empresas. Existe un fichero de proveedores en los que se almacenan los datos de contacto profesionales de sus representantes: teléfono, fax, email y dirección postal. Cuando asisten a reuniones en la sede de la Agencia, Seguridad recaba su DNI a efectos de control de visitas El acceso a las aplicaciones se realiza mediante código de usuario y contraseña Se mantiene copias de las salvaguardas de la información en una ubicación auxiliar distantes 50 kms de la sede central. Los soportes con las copias se trasladan de forma semanal
AI06 LOPD AI06 49 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas El servicio médico de la Agencia almacena un historial clínico de cada empleado, en formato papel que posteriormente se digitaliza. La información relativa a las enfermedades se introduce en la aplicación una vez que termina la consulta médica. Los responsables del servicio médico pueden acceder a los historiales médicos desde una ubicación remota utilizando internet Diseñar un plan de adecuación que resuma las acciones principales que deberá llevar a cabo la citada Agencia para cumplir la normativa de protección de datos (LOPD y RDLOPD) especificando las medidas de seguridad a implantar
AI06 LOPD AI06 50 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Ficheros con DCP I Fichero Nivel Observaciones Ayuda a autónomos Básico Proveedores Básico Sólo se almacenan datos de contacto profesionales (teléfono, email, puesto desempeñado), que están excluidos del ámbito de aplicación del RLOPD (art. 2.1). Si existieran proveedores que fueran personas físicas (autónomos) sí que se estaría dentro del ámbito del RLOPD Empleados Básico
AI06 LOPD AI06 51 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Ficheros con DCP II Fichero Nivel Observaciones Nóminas Básico Aunque el grado de minusvalía es un dato de salud, su uso en este caso constituye una de las excepciones previstas en el artículo 81.6 del RLOPD, por lo que sólo sería exigible el nivel de medidas de seguridad básico. Dato pago cuota sindicatos Gestión económico administrativa Básico Control de visitas Básico
AI06 LOPD AI06 52 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Ficheros con DCP III Fichero Nivel Observaciones Videovigilancia Básico Hay tratamiento de datos pero no existe fichero, puesto que las imágenes no se almacenan. No procede inscripción en RGPD. Persisten no obstante el resto de obligaciones Videovigilancia CPD Básico Hay tratamiento de datos y existe fichero, puesto que las imágenes sí se almacenan. Sí procede inscripción en RGPD Historiales clínicos empleados Alto Almacena datos de salud. Sistema de tratamiento mixto: automatizado y no automatizado
AI06 LOPD AI06 53 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Contratos con DCP I La empresa externa que realiza el hosting del sistema de información: gestiona las solicitudes de subvenciones y ayudas a autónomos La empresa de seguridad realiza tratamiento de datos personales, ya que tiene acceso a la base de datos del personal autorizado a entrar en las instalaciones, visiona las imágenes de las cámaras de seguridad, graba las imágenes de acceso al CPD y realiza toda la gestión asociada al control de visitas Estas dos empresas, hosting y vigilancia, actúan como encargados del tratamiento
AI06 LOPD AI06 54 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Contratos con DCP II De acuerdo con lo establecido en el artículo 12 de la LOPD, estos tratamientos de datos deberán estar regulados en un contrato escrito. En dichos contratos:  se establecerá expresamente que el encargado de tratamiento (la empresa de hosting y la empresa de seguridad) únicamente tratará los datos conforme a las instrucciones de la Agencia; que no los utilizará con un fin distinto al que figure en el contrato, ni los comunicará a otras personas  se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar
AI06 LOPD AI06 55 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Doc. Seguridad I  Ámbito de aplicación  Medidas, normas procedimientos para garantizar el nivel de seguridad preceptivo  Funciones y obligaciones del personal  Estructura de los ficheros de datos personales y de los SSII que los tratan  Procedimiento de notificación, gestión y respuesta a incidencias  Procedimientos de realización de copias de respaldo y recuperación de los datos  Medidas para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes
AI06 LOPD AI06 56 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Doc. Seguridad II Al existir tratamientos de datos por cuenta de terceros (hosting y videovigilancia), el DS debe identificar los ficheros/tratamientos que tratan los encargados e incluir referencias expresas a los contratos de prestación de servicios que los regulan Modelo documento seguridad AEPD Registro de ficheros Registro de ficheros en el RGPD de la AEPD o registros de CCAA (ficheros públicos CCAA o EELL) Publicación orden ministerial en el BOE (AGE)
AI06 LOPD AI06 57 AI06.4 Caso práctico aplicación Nombrar Responsable de Seguridad Obligatorio por haber ficheros de nivel medio y/o alto En el DS se identifica quién o que unidad actúa como RS Videovigilancia Distintivos informativos Guardar imágenes: máximo un mes Proporcional con el fin. No zonas públicas Derecho de información En los formularios de recogida de DCP (art. 5 LOPD)
AI06 LOPD AI06 58 AI06.4 Caso práctico aplicación Derechos ARCO Procedimiento para ejercitar derechos ARCO indicando la identificación jurídica del RF y la dirección ante la cual se puede hacer ejercicio de los derechos Implantar medidas de seguridad Nivel básico: para todos los ficheros Nivel medio: para el fichero de historias clínicas Nivel alto: para el fichero de historias clínicas Plan de auditorías: bienal o cambios sustanciales Guía de seguridad AGPD - Medidas de seguridad
AI06 LOPD AI06 59 AI06.4 Caso práctico aplicación A: Redacción del DS de la Agencia según el modelo de la AEPD B: Auditar las medidas de seguridad de la Agencia y redactar el Informe de Auditoría
AI06 LOPD AI06 60 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4. Caso práctico aplicación 5.Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
AI06 LOPD AI06 61 AI06.5 Proceso de auditoría Inspecciones de la AEPD RDLOPD Capítulo III Realizadas por funcionarios de la AEPD: inspectores Obtención de información de los fics y tratamientos Solicitar documentos y datos Inspeccionar equipos físicos y lógicos Solicitar la ejecución de procesos o procedimientos Acceder a los lugares donde estén instalados los ficheros y sean tratados por el RT o por el ET Resultado de la inspección: acta Si el inspector aprecia indicios de infracción se inicia el procedimiento sancionador (art. 127-128)
AI06 LOPD AI06 62 AI06.5 Proceso de auditoría Auditoría legal Adecuación según la LOPD Adecuación según el RDLOPD Titulo II: principios de protección de datos Título III: derechos ARCO Título IV: creación y tratamiento de ficheros de forma sectorial: sector público y sector privado Título V: transferencias internacionales
AI06 LOPD AI06 63 AI06.5 Proceso de auditoría Inspección o auditoría legal - I Registro del fichero ¿Se manejan DCP? ¿Fichero inscrito en la AEPD o agencias de CCAA? Fichero público: ¿publicada la resolución en BOE? ¿Nivel definido del fichero se corresponde con la naturaleza de los DCP que contiene? ¿Está disponible el informe de la última auditoría de medidas de seguridad recogidas en el título VIII? (a partir del nivel medio)
AI06 LOPD AI06 64 AI06.5 Proceso de auditoría Inspección o auditoría legal - I Ficheros inscritos Principios de protección de datos Derechos ARCO Relación terceros Encargado del tratamiento Medidas de seguridad
AI06 LOPD AI06 65 AI06.5 Proceso de auditoría Inspección o auditoría legal - II Principios ¿Están garantizados los principios de protección de datos (título II)?  Calidad de datos  Derecho de información  Consentimiento para el tratamiento  Datos especialmente protegidos  Datos relativos a la salud  Seguridad, secreto y confidencialidad  Tratamiento DCP por un tercero regulado
AI06 LOPD AI06 66 AI06.5 Proceso de auditoría Inspección o auditoría legal - III Derechos ARCO ¿Están garantizados los derechos ARCO (título III)? Procedimiento sencillo y gratuito Respuesta del RF al interesado Derecho de indemnización Relación con terceros Se ceden los datos: ¿Consentimiento? Movimiento internacional de datos
AI06 LOPD AI06 67 AI06.5 Proceso de auditoría Inspección o auditoría legal - IV ¿Hay tratamiento de DCP por un encargado del tratamiento (ET)? En el DS se referencia el tratamiento del ET y en el contrato se recoge: Instrucciones a las que se someterá el ET Prohibición de uso para fin distinto Prohibición de comunicar los DCP a otras personas Las medidas de seguridad Las condiciones de subcontratación de los servicios Condiciones de conservación de los DCP por el ET y las formas de destrucción o devolución de los datos como la entrega a un nuevo encargado
AI06 LOPD AI06 68 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad I Ficheros a partir del nivel medio: RDLOPD art. 96 Objetivo: cumplimiento del título VIII del RDLOPD Alcance: sistemas de información e instalaciones de tratamiento y almacenamiento de datos Referente: título VIII del RDLOPD Externa o interna Bienal o ante modificaciones sustanciales Metodología auditoría: ISO 19011 (por ejemplo) RS analiza informe de auditoría y eleva conclusiones al RF. El informe queda a disposición de la AEPD
AI06 LOPD AI06 69 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad II ¿Fichero inscrito en la AEPD o agencias de CCAA? Fichero público: ¿publicada la resolución en BOE? ¿Está disponible el informe de la última auditoría de medidas de seguridad recogidas en el título VIII? (a partir del nivel medio) Proceso de auditoría: ISO 19011 1 – Plan de auditoría 2 – Solicitar doc. y proc. 3 – Reunión de inicio 4 – Trabajo de campo 5 – Informe provisional 6 – Alegaciones 7 – Informe definitivo 8 – Plan de acción
AI06 LOPD AI06 70 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad III Encargado del tratamiento Prestación de servicios sin acceso a DCP Delegación de autorizaciones Acceso por redes comunicaciones Tratamiento fuera del local Ficheros temporales
AI06 LOPD AI06 71 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad IV Documento de seguridad Funciones y obligaciones Registro de incidencias Control de acceso Gestión soportes y documentac. Identificación y autenticación Copias de respaldo Responsable de seguridad Auditoría Control de acceso físico Registro de acceso Telecomuni- caciones
AI06 LOPD AI06 72 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4. Caso práctico aplicación 5. Proceso auditoría 6.Caso práctico auditoría 7. Bibliografía
AI06 LOPD AI06 73 AI06.6 Caso práctico auditoría - EVALUA A: Auditoría legal de la Agencia con EVALUA e informe de deficiencias y recomendaciones B: Auditoría según RDLOPD de la Agencia con EVALUA e informe de deficiencias y recomendaciones
AI06 LOPD AI06 74 AI06.6 Caso práctico auditoría Teniendo como referente de auditoría el RDLOPD, analizar para cada evidencia (AI06 Evidencias a analizar.pdf):  ¿Constituye HALLAZGO de auditoría?  En caso afirmativo: ¿con qué CRITERIO de auditoría se relaciona?  En caso negativo, ¿por qué no es hallazgo?  ¿Da lugar a una CONCLUSIÓN de auditoría?  En caso afirmativo, ¿qué se recomendaría?
AI06 LOPD AI06 75 7 Bibliografía www.boe.es www.agpd.es administracionelectronica.gob.es www.inteco.es www.youtube.com www.madrid.org/apdcm www.apd.cat www.avpd.euskadi.net
AI06 LOPD AI06 76 Dudas, preguntas y reflexiones MUCHAS GRACIAS ?

Recommended

Codigo de conducta de encargados de cumplir la ley
Codigo de conducta de encargados de cumplir la leyCodigo de conducta de encargados de cumplir la ley
Codigo de conducta de encargados de cumplir la leyJaime Cruz
 
Uso de la fuerza
Uso de la fuerzaUso de la fuerza
Uso de la fuerzaElizabeth Carlos Gomez
 
Policía Nacional del Perú
Policía Nacional del PerúPolicía Nacional del Perú
Policía Nacional del Perúkelvin bermudez
 
Acceso Ilícito - Ley especial de Delitos Informáticos del Perú
Acceso Ilícito - Ley especial de Delitos Informáticos del PerúAcceso Ilícito - Ley especial de Delitos Informáticos del Perú
Acceso Ilícito - Ley especial de Delitos Informáticos del PerúAlvaro J. Thais Rodríguez
 
Protección de Datos Personales en Internet
Protección de Datos Personales en InternetProtección de Datos Personales en Internet
Protección de Datos Personales en InternetCarlos Verano
 
Clase 3 jakubowicz-sistema interamericano de protección de derechos humanos
Clase 3 jakubowicz-sistema interamericano de protección de derechos humanosClase 3 jakubowicz-sistema interamericano de protección de derechos humanos
Clase 3 jakubowicz-sistema interamericano de protección de derechos humanossecedudis
 
Arreglo De Discos Raid
Arreglo De Discos RaidArreglo De Discos Raid
Arreglo De Discos RaidAlex Avila
 
Sistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDSistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDJonathan Fabrizzio Argüello Valle
 

Recommended

Codigo de conducta de encargados de cumplir la ley
Codigo de conducta de encargados de cumplir la leyCodigo de conducta de encargados de cumplir la ley
Codigo de conducta de encargados de cumplir la leyJaime Cruz
 
Uso de la fuerza
Uso de la fuerzaUso de la fuerza
Uso de la fuerzaElizabeth Carlos Gomez
 
Policía Nacional del Perú
Policía Nacional del PerúPolicía Nacional del Perú
Policía Nacional del Perúkelvin bermudez
 
Acceso Ilícito - Ley especial de Delitos Informáticos del Perú
Acceso Ilícito - Ley especial de Delitos Informáticos del PerúAcceso Ilícito - Ley especial de Delitos Informáticos del Perú
Acceso Ilícito - Ley especial de Delitos Informáticos del PerúAlvaro J. Thais Rodríguez
 
Protección de Datos Personales en Internet
Protección de Datos Personales en InternetProtección de Datos Personales en Internet
Protección de Datos Personales en InternetCarlos Verano
 
Clase 3 jakubowicz-sistema interamericano de protección de derechos humanos
Clase 3 jakubowicz-sistema interamericano de protección de derechos humanosClase 3 jakubowicz-sistema interamericano de protección de derechos humanos
Clase 3 jakubowicz-sistema interamericano de protección de derechos humanossecedudis
 
Arreglo De Discos Raid
Arreglo De Discos RaidArreglo De Discos Raid
Arreglo De Discos RaidAlex Avila
 
Sistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDSistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDJonathan Fabrizzio Argüello Valle
 
LOPD en el ámbito sanitario
LOPD en el ámbito sanitarioLOPD en el ámbito sanitario
LOPD en el ámbito sanitarioConversia
 
Conceptos básicos de LOPD
Conceptos básicos de LOPDConceptos básicos de LOPD
Conceptos básicos de LOPDruben157
 
Infográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdInfográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdformulalopd
 
Seguridad en gestion documental: LOPD
Seguridad en gestion documental: LOPDSeguridad en gestion documental: LOPD
Seguridad en gestion documental: LOPDUniversidad de Sevilla
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointAlvaroPalaciios
 
Leccion 3.1 gacela
Leccion 3.1 gacelaLeccion 3.1 gacela
Leccion 3.1 gacelaSergio Sanchez
 
Lopd en el sector de la farmacia
Lopd en el sector de la farmaciaLopd en el sector de la farmacia
Lopd en el sector de la farmaciaConversia
 
Historia clinica
Historia clinicaHistoria clinica
Historia clinicaUIGV
 
1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª partedataconsulting
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterasociacionadia
 
RGPD
RGPDRGPD
RGPDFranciscoManuelBueno
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en Españacarlcalde
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPDSage España
 
LOPD
LOPDLOPD
LOPDAvant-Garde Abogados
 
Practica Final Seguridad
Practica Final SeguridadPractica Final Seguridad
Practica Final SeguridadMarcosVC1994
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datossprewill
 
Legislacion
LegislacionLegislacion
LegislacionJuanma Ramos
 
PRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosPRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosFranciscoJavierRedon5
 
Asesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesAsesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesJuan Pedro Peña Piñón
 
RGPD (Alejandro Silva)
RGPD (Alejandro Silva)RGPD (Alejandro Silva)
RGPD (Alejandro Silva)FranciscoAlejandroSi1
 
Legislacion davidtorres
Legislacion davidtorresLegislacion davidtorres
Legislacion davidtorresDavidTorres536
 
Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosAntonioOrtigosa4
 

More Related Content

Viewers also liked

LOPD en el ámbito sanitario
LOPD en el ámbito sanitarioLOPD en el ámbito sanitario
LOPD en el ámbito sanitarioConversia
 
Conceptos básicos de LOPD
Conceptos básicos de LOPDConceptos básicos de LOPD
Conceptos básicos de LOPDruben157
 
Infográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdInfográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdformulalopd
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointAlvaroPalaciios
 
Lopd en el sector de la farmacia
Lopd en el sector de la farmaciaLopd en el sector de la farmacia
Lopd en el sector de la farmaciaConversia
 
Historia clinica
Historia clinicaHistoria clinica
Historia clinicaUIGV
 

Viewers also liked (8)

LOPD en el ámbito sanitario
LOPD en el ámbito sanitarioLOPD en el ámbito sanitario
LOPD en el ámbito sanitario
 
Conceptos básicos de LOPD
Conceptos básicos de LOPDConceptos básicos de LOPD
Conceptos básicos de LOPD
 
Infográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdInfográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopd
 
Seguridad en gestion documental: LOPD
Seguridad en gestion documental: LOPDSeguridad en gestion documental: LOPD
Seguridad en gestion documental: LOPD
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpoint
 
Leccion 3.1 gacela
Leccion 3.1 gacelaLeccion 3.1 gacela
Leccion 3.1 gacela
 
Lopd en el sector de la farmacia
Lopd en el sector de la farmaciaLopd en el sector de la farmacia
Lopd en el sector de la farmacia
 
Historia clinica
Historia clinicaHistoria clinica
Historia clinica
 

Similar to LOPD ficheros datos protección

1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª partedataconsulting
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterasociacionadia
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en Españacarlcalde
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPDSage España
 
Practica Final Seguridad
Practica Final SeguridadPractica Final Seguridad
Practica Final SeguridadMarcosVC1994
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datossprewill
 
PRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosPRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosFranciscoJavierRedon5
 
Asesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesAsesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesJuan Pedro Peña Piñón
 
Legislacion davidtorres
Legislacion davidtorresLegislacion davidtorres
Legislacion davidtorresDavidTorres536
 
Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosAntonioOrtigosa4
 
Protección de datos
Protección de datosProtección de datos
Protección de datosManu Ortiz
 

Similar to LOPD ficheros datos protección (20)

1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte1ª sesión preguntas 2ª parte
1ª sesión preguntas 2ª parte
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
RGPD
RGPDRGPD
RGPD
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en España
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD
 
LOPD
LOPDLOPD
LOPD
 
Practica Final Seguridad
Practica Final SeguridadPractica Final Seguridad
Practica Final Seguridad
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
Legislacion
LegislacionLegislacion
Legislacion
 
PRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosPRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datos
 
Asesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesAsesoría en Protección de Datos Personales
Asesoría en Protección de Datos Personales
 
RGPD (Alejandro Silva)
RGPD (Alejandro Silva)RGPD (Alejandro Silva)
RGPD (Alejandro Silva)
 
Legislacion davidtorres
Legislacion davidtorresLegislacion davidtorres
Legislacion davidtorres
 
Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datos
 
Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)
 
Manuel zearoldan
Manuel zearoldanManuel zearoldan
Manuel zearoldan
 
Protección de datos
Protección de datosProtección de datos
Protección de datos
 
Legislacion
LegislacionLegislacion
Legislacion
 
Legislacion Victor Molina
Legislacion Victor MolinaLegislacion Victor Molina
Legislacion Victor Molina
 
Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoya
 

More from Pedro Garcia Repetto

Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwarePedro Garcia Repetto
 
AI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaAI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaPedro Garcia Repetto
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaPedro Garcia Repetto
 

More from Pedro Garcia Repetto (10)

Cobit 5 introduction plgr
Cobit 5 introduction plgrCobit 5 introduction plgr
Cobit 5 introduction plgr
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto software
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo software
 
AI05 Analisis forense de sistemas
AI05 Analisis forense de sistemasAI05 Analisis forense de sistemas
AI05 Analisis forense de sistemas
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgos
 
AI02 Proceso de auditoría
AI02 Proceso de auditoríaAI02 Proceso de auditoría
AI02 Proceso de auditoría
 
AI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaAI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria Informatica
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria Informatica
 

Recently uploaded

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Recently uploaded (10)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

LOPD ficheros datos protección

  • 1. AI06 LOPD AI06 1 Ley Orgánica 15/99 de Protección de Datos de Carácter Personal Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
  • 2. AI06 LOPD AI06 2 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4. Caso práctico aplicación 5. Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
  • 3. AI06 LOPD AI06 3 AI06.1 Introducción 1. Dato de carácter personal (dcp) 2. ¿Por qué es necesario proteger los dcp? 3. Antecedentes LOPD 4. Conceptos y agentes
  • 4. AI06 LOPD AI06 4 AI06.1.1 Introducción - DCP Dato de Carácter Personal (DCP) Cualquier información concerniente a personas físicas identificadas o identificables” (art. 3 LOPD) Identificable Toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. (Directiva 95/46 CE)
  • 5. AI06 LOPD AI06 5 AI06.1.1 Introducción - DCP Ejemplo (DCP)
  • 6. AI06 LOPD AI06 6 AI06.1.1 Introducción - DCP Ejemplo (DCP) DNI/NIF email Fotografías Imágenes Huella dactilar Voz Nº Teléfono Dirección Matrícula Nº Seguridad Social Datos sociales Nombre y apellidos Estado civil Sexo Deudas Religión Enfermedades Datos sociales Datos sindicales Datos comerciales Deudas
  • 7. AI06 LOPD AI06 7 AI06.1.2 Introducción - ¿Por qué es necesario proteger los DCP? DCP son información valiosa para las empresas Cumplir LOPD aumenta la calidad de los procesos Mayor confianza para los clientes: imagen ¿Activo? Responsabilidad social corporativa Derecho fundamental de las personas Orientación hacia la gestión integral de la seguridad Porque es sencillo: apoyo de la AEPD.
  • 8. AI06 LOPD AI06 8 AI06.1.3 Introducción – Antecedentes LOPD 1978 Constitución española. Art. 18.4 «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derecho» Ley Orgánica 1/1982 Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen Ley Orgánica 5/92 – LORTAD Da cobertura al art. 18.4 de la Constitución Aplica a DCP en ficheros automatizados
  • 9. AI06 LOPD AI06 9 AI06.1.3 Introducción – Antecedentes LOPD Directiva europea 95/46 CE Los Estados miembros garantizarán la protección … del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales Ley Orgánica 15/1999 – LOPD DCP en ficheros automatizados + no automatizados RMS – RD 994/1999 Medidas de seguridad Reglamento de medidas de seguridad de la LORTAD Medidas técnicas y organizativas a aplicar a los SI que manejen DCP
  • 10. AI06 LOPD AI06 10 AI06.1.3 Introducción – Antecedentes LOPD Sentencia 292/2000 del Tribunal constitucional Diferencia el derecho a la protección de los DCP respecto al derecho a la intimidad (Constitución art. 18.1) RDLOPD – RD 1720/2007 Reglamento de desarrollo LOPD. Deroga al RMS de la LORTAD Medidas de seguridad a aplicar a ficheros automatizados y no automatizados
  • 11. AI06 LOPD AI06 11 AI06.1.3 Introducción – Antecedentes LOPD RDLOPD – RD 1720/2007 Cambia niveles de seguridad a aplicar a tipologías de datos. Transferencias internacional de datos Establece normas, medidas, procedimientos y mecanismos para garantizar la seguridad de: ficheros, centros de tratamientos, locales, equipos, sistemas, programas y personas que intervienen en el tratamiento de DCP
  • 12. AI06 LOPD AI06 12 AI06.1.4 Introducción – Conceptos y agentes Fichero Conjunto organizado de DCP en soporte físico, automatizado o no automatizado o mixto Fichero automatizado Datos en soportes informáticos que requieren herramientas informáticas para su tratamiento Fichero no automatizado Datos en soportes que no requieren herramientas informáticas para su tratamiento
  • 13. AI06 LOPD AI06 13 AI06.1.4 Introducción – Conceptos y agentes Tratamiento de datos Operación o tratamiento técnico que permita la recogida, grabación, conservación, modificación, consulta, utilización, cancelación, bloqueo o supresión o cesión de DCP Cesión o comunicación Tratamiento de datos que consiste en revelar DCP a una persona distinta del interesado. La organización que maneja DCP de un titular, afectado o interesado los «entrega» a otra organización sin la autorización del titular  Solicitar autorización
  • 14. AI06 LOPD AI06 14 AI06.1.4 Introducción – Conceptos y agentes Afectado o interesado Persona física (en contraposición a jurídica) titular de los DCP. Responsable del fichero (RF) o del tratamiento Persona física o jurídica, pública o privada que decide sobre la finalidad, contenido y uso del tratamiento de los DCP
  • 15. AI06 LOPD AI06 15 AI06.1.4 Introducción – Conceptos y agentes Encargado del tratamiento (ET) Persona física o jurídica, pública o privada que trata DCP por encargo o cuenta del Responsable del fichero o del tratamiento Responsable de seguridad (RS) Persona o personas a las que el RF asigna formalmente la función de coordinar y controlar las medidas de seguridad Usuario Persona que trata o utiliza los DCP
  • 16. AI06 LOPD AI06 16 AI06.1.4 Introducción – Conceptos y agentes Agencia Española de Protección de Datos Informar sobre todo lo relativo de la protección DCP Ayudar al ciudadano a ejercitar sus derechos Ayudar a organizaciones a cumplir sus obligaciones Garantizar el derecho a la protección de DCP Investigar actuaciones contrarias a los principios y garantías de la LOPD. Imponer sanciones Referente: LOPD y RDLOPD
  • 17. AI06 LOPD AI06 17 Índice 1. Introducción 2.Proceso adaptación 3. Medidas de seguridad 4. Proceso auditoría 5. Caso práctico aplicación 6. Caso práctico auditoría 7. Bibliografía
  • 18. AI06 LOPD AI06 18 AI06.2 Proceso adaptación Fase I Adaptación de ficheros Fase II Legitimación de datos Fase III Política de seguridad de datos Identificación Ficheros Notificación y hoja de solicitud Notificar ficheros ante el RGPD Recogida de información Consentimiento del afectado Derechos ciudadano: ARCO Documento de seguridad Responsable de seguridad Medidas de seguridad B/M/A
  • 19. AI06 LOPD AI06 19 AI06.2.1 Proceso adaptación – Fase I - Ficheros Identificar ficheros con DCP DCP de proveedores, clientes, empleados, candidatos, deudas, sanidad, etc. Ficheros: BD de clientes y/o proveedores, relaciones de empleados, facturas de proveedores, albaranes de clientes, CV de candidatos, etc. Determinar soporte Automatizado, no automatizado o mixto
  • 20. AI06 LOPD AI06 20 AI06.2.1 Proceso adaptación – Fase I - Ficheros Notificar a la AEPD Notificaciones se deben hacer con carácter previo a la creación del fichero NOTA: Notificaciones telemáticas a la AEPD Fichero normal: formulario vacío Ficheros TIPO: Nóminas, clientes/proveedores, comunidades, videovigilancia, pacientes, gestión escolar, etc. Ficheros Inscritos RGPD
  • 21. AI06 LOPD AI06 21 AI06.2.1 Proceso adaptación – Fase I - Ficheros Consulta de ficheros inscritos Ficheros de titularidad pública Ficheros de titularidad privada Primer paso auditoría LOPD: consultar en la AEPD los ficheros inscritos por la organización pública o privada (CIF/NIF) Ej. IBERDROLA – IBERDROLA S A - PERSONAL Ejercicio: buscar ficheros registrados en la AEPD de por la UCM y analizar sus propiedades
  • 22. AI06 LOPD AI06 22 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Principios a seguir por el RF con los DCP Se tratan de manera leal y lícita Se recogen con fines determinados, explícitos y legítimos Deben ser exactos y estar actualizados Se conservan sólo durante el tiempo necesario para las finalidades del tratamiento para el que se han recogido
  • 23. AI06 LOPD AI06 23 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Informar (quedando registrado el hecho) de: Existencia de un fichero, su finalidad y destinatario Si las preguntas son obligatorias o facultativas. De las consecuencias de la obtención o negativa Identidad y dirección del RF De los derechos ARCO (acceso, rectificación, cancelación y oposición)
  • 24. AI06 LOPD AI06 24 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Ejemplo general clausula LOPD art. 5 – Información En cumplimiento con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informamos que sus datos personales serán tratados y quedarán incorporados en ficheros responsabilidad de MI EMPRESA registrados en la Agencia Española de Protección de Datos, con la finalidad de GESTIÓN ALQUILER. De igual forma, autoriza la comunicación de sus datos de carácter personal a la entidad SU EMPRESA TURÍSTICA para la finalidad PUBLICIDAD TURISMO NACIONAL, realizándose la comunicación únicamente para este fin. CESIÓN
  • 25. AI06 LOPD AI06 25 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Ejemplo general clausula LOPD art. 5 – Información En todo caso, puede ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiéndose a la sede social, sita en GRAN VÍA 1, 31 DCHA, MADRID o en la dirección de correo LOPD@MIEMPRESA.ES. Le rogamos que en el supuesto de producirse alguna modificación en sus datos de carácter personal, nos lo comunique con el fin de mantener actualizados los mimos.
  • 26. AI06 LOPD AI06 26 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado Voluntad, libre, inequívoca, especifica e informada Consentimiento tácito: en la mayoría de los casos Consentimiento expreso: datos de salud Consentimiento expreso por escrito: ideología, afiliación sindical, religión y creencias Menores 14 años: consentimiento padre, madre o tutor
  • 27. AI06 LOPD AI06 27 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado (ejemplo) D. PEDRO PÉREZ LÓPEZ mayor de edad, con domicilio en la c/MI CALLE nº 999, Localidad WARNER Provincia MADRID, Código Postal 29999 con D.N.I. 99.999.99, por medio del presente escrito manifiesta que: Por la presente autoriza el tratamiento de sus datos de carácter personal y su inclusión en el fichero de ASTRONAUTAS de la UCM, cuya finalidad es SELECCIÓN DE VIAJEROS POR EL ESPACIO, de acuerdo con lo dispuesto en la Declaración de ficheros de la UCM publicada en el nº 69 del BOUC de 11 de abril de 2007. Firma del interesado
  • 28. AI06 LOPD AI06 28 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Informar al interesado antes del registro y tratamiento de los DCP por parte del RF Gestionar derechos (ARCO) del interesado Acceso: qué datos tiene el RF del interesado Rectificar: corregir los datos erróneos o incompletos Cancelar: borrador de datos inexactos o erróneos Oposición: a que se traten sus datos
  • 29. AI06 LOPD AI06 29 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado si hay cesión RF informa al interesado en la primera cesión: Finalidad, naturaleza de los DCP y cesionario No es necesario el consentimiento para la cesión si: Autorizado por Ley Datos recogidos de fuentes accesibles al público Destinatario: Justicia, Defensor del Pueblo o TC Urgencia relativa de salud
  • 30. AI06 LOPD AI06 30 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Consentimiento del interesado si hay cesión (ej) De igual forma, autoriza la comunicación de sus datos de carácter personal a la entidad SU EMPRESA TURÍSTICA para la finalidad PUBLICIDAD TURISMO NACIONAL, realizándose la comunicación únicamente para este fin. Consiento que la CVSS comunique mis datos personales a mis parientes ( hasta el segundo grado de consanguinidad o afinidad ) en aras a que éstos puedan justificar su ausencia laboral en la pertinente empresa. No consiento que Clínica V. San Sebastián comunique mis datos personales a mis familiares y allegados.
  • 31. AI06 LOPD AI06 31 AI06.2.1 Proceso adaptación – Fase II – Legitimación de datos Obligaciones del RF con los DCP Transferencia internacional de datos Autorización de la AEPD en general, salvo si el destino es UE o país «adecuado» (notificación AEPD) Excepciones: art. 34 Convenios internacionales Consentimiento inequívoco Auxilio judicial Estado UE o de confianza Asistencia sanitaria Petición desde registro público
  • 32. AI06 LOPD AI06 32 AI06.2.1 Proceso adaptación – Fase III – Medidas de seguridad ¿Qué medidas de seguridad se implantan? Depende • Nombre y apellidos • Datos contacto (dirección, teléfono, email, etc.) Básico • Infracciones administrativas o penales • Financieros, seguridad social y e- comunicaciones • Personalidad o comportamiento Medio • Ideología, religión y creencias • Salud y vida sexual • Afiliación sindical • Violencia de género Alto
  • 33. AI06 LOPD AI06 33 Índice 1. Introducción 2. Proceso adaptación 3.Medidas de seguridad 4. Caso práctico aplicación 5. Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
  • 34. AI06 LOPD AI06 34 AI06.3 Medidas de seguridad – Documento de seguridad Guía de seguridad de datos (14) – AEPD Descripción de ficheros con DCP y de los S.I. Tratamientos, personas y locales Estándares y procedimientos según el nivel de DCP Funciones y obligaciones del personal Responsable del fichero Encargado del tratamiento Usuario final
  • 35. AI06 LOPD AI06 35 AI06.3 Medidas de seguridad – Documento de seguridad Procedimiento de notificación, gestión y respuesta ante incidencias Procedimientos de copias de respaldo y recuperación Transporte de DCP y destrucción de soportes Nivel medio Responsable de seguridad: funciones y obligaciones Controles periódicos de verificación del cumplimiento
  • 36. AI06 LOPD AI06 36 AI06.3 Medidas de seguridad Guía de seguridad de datos (10) – AEPD Responsable de seguridad-M Coordina y controla las medidas de seguridad Divulgar normativa de seguridad al personal-B Formación y concienciación en seguridad Funciones y obligaciones. Manual de bienvenida Difusión de la estándares y procedimientos Aceptación formal de la normativa de seguridad Acceso a la información: aceptación verificable de la responsabilidad del usuario
  • 37. AI06 LOPD AI06 37 AI06.3 Medidas de seguridad Gestión de incidencias-B Incidencia: anomalía que afecta a la seguridad y CID Procedimiento notificación, gestión y respuesta Registro de incidencias M: Registro de recuperación de datos Procedimiento de control de acceso-B Personal sólo accede a lo que necesite conocer según las funciones que tenga asignadas Control de acceso físico (DCP no automatizado, instalaciones y lógico (aplicaciones) A: Registro de acceso. OK o NOK y DCP accedidos
  • 38. AI06 LOPD AI06 38 AI06.3 Medidas de seguridad Mecanismos de identificación y autenticación-B El RF mantiene relación de usuarios autorizados Identificación individual e inequívoca Proc. Asignación, distribución y almacenamiento de contraseñas garantizando CI y cambio al año (máx.) Calidad de contraseñas: formación, longitud, etc. M-Limitar número de acceso con error Recomendaciones para la creación y uso de contraseñas seguras - INTECO
  • 39. AI06 LOPD AI06 39 AI06.3 Medidas de seguridad Gestión de soportes-B Procedimiento de gestión de soportes con DCP Inventario de soportes físicos Acceso restringido a los soportes Procedimiento formal de autorización de salida de soportes Destrucción o borrador seguro M-Registro de entrada y salida Ejemplo de registro A-Cifrado de información y etiquetas confidenciales
  • 40. AI06 LOPD AI06 40 AI06.3 Medidas de seguridad Copias de respaldo-B Copia de ficheros con DCP al menos semanal Verificación al menos semestral de los procedimientos de recuperación y prueba A-Almacenar copias de seguridad en ubicación alternativa a donde se tratan los datos Criterios de archivo-NA Pautas básicas de orden, conservación, localización y consulta de la información
  • 41. AI06 LOPD AI06 41 AI06.3 Medidas de seguridad Copias de respaldo-B Copia semanal de ficheros con DCP Verificación al menos semestral de los procedimientos de recuperación y prueba A-Almacenar copias de seguridad en ubicación alternativa a donde se tratan los datos Cifrado de comunicaciones-A Cifrado en la transmisión por redes públicas o inalámbricas
  • 42. AI06 LOPD AI06 42 AI06.3 Medidas de seguridad – No automatizados Criterios de archivo-NA Pautas básicas de orden, conservación, localización y consulta de la información Control de acceso físico-NA Acceso a las instalaciones con DCP sólo autorizados Armarios o archivadores con mecanismos de cierre Custodia de documentos y responsables Control de acceso en el traslado Copia-NA Procedimientos de copia, reproducción y destrucción A-Personal autorizado en documento de seguridad
  • 43. AI06 LOPD AI06 43 AI06.3 Medidas de seguridad – No automatizados Auditorías-M Bienal, interna o externa, de verificación de las medidas de seguridad (Título VIII del RD 1720/2007) Auditoría si hay cambios sustanciales en el SI Informe de auditoría analizado por el RS que elevará conclusiones al RF para que adopte medidas El informe debe de estar disponible si lo solicita la AEPD
  • 44. AI06 LOPD AI06 44 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4.Caso práctico aplicación 5. Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
  • 45. AI06 LOPD AI06 45 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Recientemente se ha creado una Agencia de titularidad pública dentro de la AGE cuya finalidad es gestionar subvenciones y ayudas a autónomos. Dentro de su plan estratégico de lanzamiento, ha decidido externalizar en una empresa de hosting la gestión de los sistemas de información utilizados para la gestión de las ayudas. El resto de la información gestionada por la Agencia se almacenará y tratará en sistemas propios Los solicitantes de ayudas deben aportar, entre otros, los siguientes datos: Nombre y apellidos, NIF, nº de afiliación a la seguridad social, últimos tres recibos abonados a la Seguridad Social como autónomos
  • 46. AI06 LOPD AI06 46 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Para la gestión interna de su personal, la Agencia ha previsto la implantación de un sistema de fichaje mediante huella digital. En su sede, los empleados deberán portar una tarjeta identificativa con su fotografía La Agencia cuenta entre su personal con algunos empleados que tienen reconocido un cierto grado de minusvalía, aspecto que debe ser tenido en cuenta en la gestión de las nóminas a efectos de aplicación de las correspondientes deducciones en el tipo de IRPF aplicable. Parte de los empleados pagan las cuotas de sus sindicatos a través del servicio de nóminas. En este servicio se tiene constancia del grado de minusvalía de los empleados
  • 47. AI06 LOPD AI06 47 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Por otra parte, la Agencia ha contratado la seguridad de sus instalaciones con una empresa privada. Se han instalado cámaras y un circuito cerrado de TV (CCTV) para el visionado de imágenes de dichas instalaciones. No está previsto el almacenamiento de dichas imágenes para su posterior reproducción. No obstante sí se almacenan las imágenes de las cámaras situadas en el CPD Esta empresa de seguridad tiene asignado el control de acceso físico a las instalaciones de la Agencia. Los datos identificativos de las visitas son registrados en una aplicación informática. En caso de que la aplicación no estuviese disponible, los datos se registran en un cuaderno de visitas
  • 48. AI06 LOPD AI06 48 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas Los únicos proveedores de la Agencia son empresas. Existe un fichero de proveedores en los que se almacenan los datos de contacto profesionales de sus representantes: teléfono, fax, email y dirección postal. Cuando asisten a reuniones en la sede de la Agencia, Seguridad recaba su DNI a efectos de control de visitas El acceso a las aplicaciones se realiza mediante código de usuario y contraseña Se mantiene copias de las salvaguardas de la información en una ubicación auxiliar distantes 50 kms de la sede central. Los soportes con las copias se trasladan de forma semanal
  • 49. AI06 LOPD AI06 49 AI06.4 Caso práctico aplicación Agencia Pública de gestión de ayudas El servicio médico de la Agencia almacena un historial clínico de cada empleado, en formato papel que posteriormente se digitaliza. La información relativa a las enfermedades se introduce en la aplicación una vez que termina la consulta médica. Los responsables del servicio médico pueden acceder a los historiales médicos desde una ubicación remota utilizando internet Diseñar un plan de adecuación que resuma las acciones principales que deberá llevar a cabo la citada Agencia para cumplir la normativa de protección de datos (LOPD y RDLOPD) especificando las medidas de seguridad a implantar
  • 50. AI06 LOPD AI06 50 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Ficheros con DCP I Fichero Nivel Observaciones Ayuda a autónomos Básico Proveedores Básico Sólo se almacenan datos de contacto profesionales (teléfono, email, puesto desempeñado), que están excluidos del ámbito de aplicación del RLOPD (art. 2.1). Si existieran proveedores que fueran personas físicas (autónomos) sí que se estaría dentro del ámbito del RLOPD Empleados Básico
  • 51. AI06 LOPD AI06 51 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Ficheros con DCP II Fichero Nivel Observaciones Nóminas Básico Aunque el grado de minusvalía es un dato de salud, su uso en este caso constituye una de las excepciones previstas en el artículo 81.6 del RLOPD, por lo que sólo sería exigible el nivel de medidas de seguridad básico. Dato pago cuota sindicatos Gestión económico administrativa Básico Control de visitas Básico
  • 52. AI06 LOPD AI06 52 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Ficheros con DCP III Fichero Nivel Observaciones Videovigilancia Básico Hay tratamiento de datos pero no existe fichero, puesto que las imágenes no se almacenan. No procede inscripción en RGPD. Persisten no obstante el resto de obligaciones Videovigilancia CPD Básico Hay tratamiento de datos y existe fichero, puesto que las imágenes sí se almacenan. Sí procede inscripción en RGPD Historiales clínicos empleados Alto Almacena datos de salud. Sistema de tratamiento mixto: automatizado y no automatizado
  • 53. AI06 LOPD AI06 53 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Contratos con DCP I La empresa externa que realiza el hosting del sistema de información: gestiona las solicitudes de subvenciones y ayudas a autónomos La empresa de seguridad realiza tratamiento de datos personales, ya que tiene acceso a la base de datos del personal autorizado a entrar en las instalaciones, visiona las imágenes de las cámaras de seguridad, graba las imágenes de acceso al CPD y realiza toda la gestión asociada al control de visitas Estas dos empresas, hosting y vigilancia, actúan como encargados del tratamiento
  • 54. AI06 LOPD AI06 54 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Contratos con DCP II De acuerdo con lo establecido en el artículo 12 de la LOPD, estos tratamientos de datos deberán estar regulados en un contrato escrito. En dichos contratos:  se establecerá expresamente que el encargado de tratamiento (la empresa de hosting y la empresa de seguridad) únicamente tratará los datos conforme a las instrucciones de la Agencia; que no los utilizará con un fin distinto al que figure en el contrato, ni los comunicará a otras personas  se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar
  • 55. AI06 LOPD AI06 55 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Doc. Seguridad I  Ámbito de aplicación  Medidas, normas procedimientos para garantizar el nivel de seguridad preceptivo  Funciones y obligaciones del personal  Estructura de los ficheros de datos personales y de los SSII que los tratan  Procedimiento de notificación, gestión y respuesta a incidencias  Procedimientos de realización de copias de respaldo y recuperación de los datos  Medidas para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes
  • 56. AI06 LOPD AI06 56 AI06.4 Caso práctico aplicación Plan de adecuación a la LOPD – Doc. Seguridad II Al existir tratamientos de datos por cuenta de terceros (hosting y videovigilancia), el DS debe identificar los ficheros/tratamientos que tratan los encargados e incluir referencias expresas a los contratos de prestación de servicios que los regulan Modelo documento seguridad AEPD Registro de ficheros Registro de ficheros en el RGPD de la AEPD o registros de CCAA (ficheros públicos CCAA o EELL) Publicación orden ministerial en el BOE (AGE)
  • 57. AI06 LOPD AI06 57 AI06.4 Caso práctico aplicación Nombrar Responsable de Seguridad Obligatorio por haber ficheros de nivel medio y/o alto En el DS se identifica quién o que unidad actúa como RS Videovigilancia Distintivos informativos Guardar imágenes: máximo un mes Proporcional con el fin. No zonas públicas Derecho de información En los formularios de recogida de DCP (art. 5 LOPD)
  • 58. AI06 LOPD AI06 58 AI06.4 Caso práctico aplicación Derechos ARCO Procedimiento para ejercitar derechos ARCO indicando la identificación jurídica del RF y la dirección ante la cual se puede hacer ejercicio de los derechos Implantar medidas de seguridad Nivel básico: para todos los ficheros Nivel medio: para el fichero de historias clínicas Nivel alto: para el fichero de historias clínicas Plan de auditorías: bienal o cambios sustanciales Guía de seguridad AGPD - Medidas de seguridad
  • 59. AI06 LOPD AI06 59 AI06.4 Caso práctico aplicación A: Redacción del DS de la Agencia según el modelo de la AEPD B: Auditar las medidas de seguridad de la Agencia y redactar el Informe de Auditoría
  • 60. AI06 LOPD AI06 60 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4. Caso práctico aplicación 5.Proceso auditoría 6. Caso práctico auditoría 7. Bibliografía
  • 61. AI06 LOPD AI06 61 AI06.5 Proceso de auditoría Inspecciones de la AEPD RDLOPD Capítulo III Realizadas por funcionarios de la AEPD: inspectores Obtención de información de los fics y tratamientos Solicitar documentos y datos Inspeccionar equipos físicos y lógicos Solicitar la ejecución de procesos o procedimientos Acceder a los lugares donde estén instalados los ficheros y sean tratados por el RT o por el ET Resultado de la inspección: acta Si el inspector aprecia indicios de infracción se inicia el procedimiento sancionador (art. 127-128)
  • 62. AI06 LOPD AI06 62 AI06.5 Proceso de auditoría Auditoría legal Adecuación según la LOPD Adecuación según el RDLOPD Titulo II: principios de protección de datos Título III: derechos ARCO Título IV: creación y tratamiento de ficheros de forma sectorial: sector público y sector privado Título V: transferencias internacionales
  • 63. AI06 LOPD AI06 63 AI06.5 Proceso de auditoría Inspección o auditoría legal - I Registro del fichero ¿Se manejan DCP? ¿Fichero inscrito en la AEPD o agencias de CCAA? Fichero público: ¿publicada la resolución en BOE? ¿Nivel definido del fichero se corresponde con la naturaleza de los DCP que contiene? ¿Está disponible el informe de la última auditoría de medidas de seguridad recogidas en el título VIII? (a partir del nivel medio)
  • 64. AI06 LOPD AI06 64 AI06.5 Proceso de auditoría Inspección o auditoría legal - I Ficheros inscritos Principios de protección de datos Derechos ARCO Relación terceros Encargado del tratamiento Medidas de seguridad
  • 65. AI06 LOPD AI06 65 AI06.5 Proceso de auditoría Inspección o auditoría legal - II Principios ¿Están garantizados los principios de protección de datos (título II)?  Calidad de datos  Derecho de información  Consentimiento para el tratamiento  Datos especialmente protegidos  Datos relativos a la salud  Seguridad, secreto y confidencialidad  Tratamiento DCP por un tercero regulado
  • 66. AI06 LOPD AI06 66 AI06.5 Proceso de auditoría Inspección o auditoría legal - III Derechos ARCO ¿Están garantizados los derechos ARCO (título III)? Procedimiento sencillo y gratuito Respuesta del RF al interesado Derecho de indemnización Relación con terceros Se ceden los datos: ¿Consentimiento? Movimiento internacional de datos
  • 67. AI06 LOPD AI06 67 AI06.5 Proceso de auditoría Inspección o auditoría legal - IV ¿Hay tratamiento de DCP por un encargado del tratamiento (ET)? En el DS se referencia el tratamiento del ET y en el contrato se recoge: Instrucciones a las que se someterá el ET Prohibición de uso para fin distinto Prohibición de comunicar los DCP a otras personas Las medidas de seguridad Las condiciones de subcontratación de los servicios Condiciones de conservación de los DCP por el ET y las formas de destrucción o devolución de los datos como la entrega a un nuevo encargado
  • 68. AI06 LOPD AI06 68 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad I Ficheros a partir del nivel medio: RDLOPD art. 96 Objetivo: cumplimiento del título VIII del RDLOPD Alcance: sistemas de información e instalaciones de tratamiento y almacenamiento de datos Referente: título VIII del RDLOPD Externa o interna Bienal o ante modificaciones sustanciales Metodología auditoría: ISO 19011 (por ejemplo) RS analiza informe de auditoría y eleva conclusiones al RF. El informe queda a disposición de la AEPD
  • 69. AI06 LOPD AI06 69 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad II ¿Fichero inscrito en la AEPD o agencias de CCAA? Fichero público: ¿publicada la resolución en BOE? ¿Está disponible el informe de la última auditoría de medidas de seguridad recogidas en el título VIII? (a partir del nivel medio) Proceso de auditoría: ISO 19011 1 – Plan de auditoría 2 – Solicitar doc. y proc. 3 – Reunión de inicio 4 – Trabajo de campo 5 – Informe provisional 6 – Alegaciones 7 – Informe definitivo 8 – Plan de acción
  • 70. AI06 LOPD AI06 70 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad III Encargado del tratamiento Prestación de servicios sin acceso a DCP Delegación de autorizaciones Acceso por redes comunicaciones Tratamiento fuera del local Ficheros temporales
  • 71. AI06 LOPD AI06 71 AI06.5 Proceso de auditoría Auditoría de medidas de seguridad IV Documento de seguridad Funciones y obligaciones Registro de incidencias Control de acceso Gestión soportes y documentac. Identificación y autenticación Copias de respaldo Responsable de seguridad Auditoría Control de acceso físico Registro de acceso Telecomuni- caciones
  • 72. AI06 LOPD AI06 72 Índice 1. Introducción 2. Proceso adaptación 3. Medidas de seguridad 4. Caso práctico aplicación 5. Proceso auditoría 6.Caso práctico auditoría 7. Bibliografía
  • 73. AI06 LOPD AI06 73 AI06.6 Caso práctico auditoría - EVALUA A: Auditoría legal de la Agencia con EVALUA e informe de deficiencias y recomendaciones B: Auditoría según RDLOPD de la Agencia con EVALUA e informe de deficiencias y recomendaciones
  • 74. AI06 LOPD AI06 74 AI06.6 Caso práctico auditoría Teniendo como referente de auditoría el RDLOPD, analizar para cada evidencia (AI06 Evidencias a analizar.pdf):  ¿Constituye HALLAZGO de auditoría?  En caso afirmativo: ¿con qué CRITERIO de auditoría se relaciona?  En caso negativo, ¿por qué no es hallazgo?  ¿Da lugar a una CONCLUSIÓN de auditoría?  En caso afirmativo, ¿qué se recomendaría?
  • 75. AI06 LOPD AI06 75 7 Bibliografía www.boe.es www.agpd.es administracionelectronica.gob.es www.inteco.es www.youtube.com www.madrid.org/apdcm www.apd.cat www.avpd.euskadi.net
  • 76. AI06 LOPD AI06 76 Dudas, preguntas y reflexiones MUCHAS GRACIAS ?