Llei de Protecció de dades de caràcter personal (LOPD)

on

  • 806 views

Llei de protecció de dades de caràcter personal de l'Estat espanyol

Llei de protecció de dades de caràcter personal de l'Estat espanyol

Statistics

Views

Total Views
806
Views on SlideShare
806
Embed Views
0

Actions

Likes
0
Downloads
19
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Llei de Protecció de dades de caràcter personal (LOPD) Llei de Protecció de dades de caràcter personal (LOPD) Presentation Transcript

  • Seguretat Informàtica Legislació de seguretat i protecció de dadesLlei de protecció de dades decaràcter personal Xavier Sala Pujolar IES Cendrassos
  • LOPD● Lobjectiu daquesta llei és regular el tractament de dades personals per tal de garantir i protegir – Les llibertats públiques – Els drets fonamentals de les persones – Lhonor – La intimitat personal i familiar● Defineix – un marc per dir què sha de reglamentar – Defineix organismes reguladors i sancionadors Administració de Sistemes Informàtics i Xarxes
  • LOPD i el Reglament● La llei no defineix cap tipus de mesura que indiqui com han dactuar les empreses per complir els objectius previstos● Les mesures concretes a prendre apareixen en el Reglament de Desenvolupament de la LOPD que es va aprovar molt més tard Reglament LOPD de la LOPD Administració de Sistemes Informàtics i Xarxes
  • A què afecta la LOPD?● A les dades personals que estiguin registrades en qualsevol suport que en permeti el tractament i al seu ús posterior – Bases de dades, fitxers, ... – No només suports informàtics Administració de Sistemes Informàtics i Xarxes
  • A què NO afecta la LOPD?● No afecta als fitxers fets per ús domèstic o personal sempre que no siguin usats per activitats professionals – Llistats telefònics, etc.. Administració de Sistemes Informàtics i Xarxes
  • A qui afecta la LOPD?● A totes les empreses i organitzacions de lEstat espanyol que facin servir suports demmagatzematge de dades – Simplement tenint una senzilla base de dades de clients o de socis implica que sha de complir la LOPD Per tant són totes les empreses i organitzacions de lEstat Administració de Sistemes Informàtics i Xarxes
  • A qui afecta la LOPD?● Afecta tant a organismes privats com públics – Empreses – Organismes públics (Ajuntaments, etc...) ● També estan obligats a complir amb la Llei tot i que no poden ser multats Administració de Sistemes Informàtics i Xarxes
  • Què protegeix?“cualquier información concerniente a personas físicas identificadas o identificables” Article 3 Administració de Sistemes Informàtics i Xarxes
  • Dades de caràcter personal Nom Experiència professional DNI Adreça ideologia Estudis Rentes NSS Propietats Estat civil Dades bancaries religió correu electrònicMatricula del cotxe ideologia imatge professió ADN ingressos Administració de Sistemes Informàtics i Xarxes
  • Dades de caràcter personal● La imatge dun treballador (foto o gravació de vídeo): “…la grabación de la imagen de una persona, ya sea trabajador o no de la empresa, es un dato personal, siendo éste el criterio de la Agencia Española de Protección de Datos…” (Resolució R/00035/2006)● El correu electrònic ““…no existe duda de que la dirección decorreo electrónico identifica, incluso de forma directa, al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal” (Informe Jurídic 0391/2007) Administració de Sistemes Informàtics i Xarxes
  • Dades de caràcter personal● Dades de trànsit Informació sobre els llocs visitats, temps que hi ha estat, ordre en que sha visitat, forums en que sha participat, adreces de correu enviades o rebudes, ...● Ladreça IP● Les cookies del navegador● La gravació de veu● Dades biomètriques (empremtes digitals, iris, etc...)● La imatge dun client, amic o partidari● ... Administració de Sistemes Informàtics i Xarxes
  • Dades especialment protegides● Es consideren dades especialment protegides les que donin informació sobre: – Ideologia – Afiliaciósindical – Religió o creences – Origen racial – Vida sexual – Salud Administració de Sistemes Informàtics i Xarxes
  • LOPDRecollida de dades Administració de Sistemes Informàtics i Xarxes
  • Recollida Dades● En general: No es poden recollir dades de caràcter personal sense lautorització de lusuari Segons les dades lautorització pot haver de ser per escrit ? OK Administració de Sistemes Informàtics i Xarxes
  • Autorització● Hi ha excepcions conegudes com dades de caràcter públic – Cens promocional – Llistins telefònics – Llistes de persones de grups professionals si només tenen: ● nom, títol, professió, activitat, grau acadèmic, adreça i indicació de pertànyer al grup – Els diaris i butlletins oficials – Els medis de comunicació Administració de Sistemes Informàtics i Xarxes
  • Recollida Dades● Sempre: Sha dinformar a lusuari del motiu pel que es recullen les seves dades – Qualsevol canvi en lobjectiu invalida el permís de lusuari – Si sarriba a lobjectiu les dades shan deliminar ? Bla, bla! Administració de Sistemes Informàtics i Xarxes
  • Recollida Dades● Sempre: Lusuari ha de disposar dun mecanisme per poder canviar o esborrar les seves dades ? OK NO OK Administració de Sistemes Informàtics i Xarxes
  • Informació a lafectat Administració de Sistemes Informàtics i Xarxes
  • Informació a lafectat Administració de Sistemes Informàtics i Xarxes
  • LOPDCessió o transferència de dades Administració de Sistemes Informàtics i Xarxes
  • Recollida Dades● En general: No es poden passar les dades recollides a cap altra empresa No tenen el permís de lusuari ? OK Administració de Sistemes Informàtics i Xarxes
  • Cessió de dades● Només es poden transferir dades en condicions restringides – Autorització per Llei o per un jutge – Si són dades de fonts públiques – Les Administracions públiques per fins estadístics, històrics o científics – Per urgències de salut – Si sha evitat que puguin ser reconegudes les persones Administració de Sistemes Informàtics i Xarxes
  • Accés per tercers● No es considera cessió quan laccés es faci per un tercer per la prestació dun servei al responsable – Agència: càlcul de nòmines duna empresa – Comunitat de veïns: Emissió de rebuts● Però: – Ha destar regulat per un contracte i shan de prendre les mesures de seguretat pertinents – Shan de destruir les dades un cop acabat el servei Administració de Sistemes Informàtics i Xarxes
  • Transferències internacionals● Saccepten les cessions a països que tinguin una protecció de dades semblant – Unió Europea, Argentina, Suïssa – Els Estats Units no!● Empreses amb un codi ètic acceptat – “Safe Harbor”● Pels altres cal permís del Director de lAPD Administració de Sistemes Informàtics i Xarxes
  • LOPDObligacions de les organitzacions Administració de Sistemes Informàtics i Xarxes
  • Registrar els fitxers● Sempre que es tingui un fitxer amb dades de caràcter personal sha de registrar● Sha de notificar al registre de lAgència de Protecció de Dades● Es pot fer per Internet Administració de Sistemes Informàtics i Xarxes
  • Inscripció al registre● Al registrar un fitxer shan despecificar els diferents responsables: – Responsable del fitxer (propietari) ● És qui nespecifica el contingut i en farà ús – Encarregat del tractament ● Qui se nencarregarà del tractament de les dades en nom del responsable – Responsable de seguretat ● Se nencarrega de controlar que es compleixen els mecanismes de seguretat implantats. ● No cal sempre Administració de Sistemes Informàtics i Xarxes
  • Obligacions del propietari del fitxer Informar als afectats i garantir lús adequat de les dadesDADES Prendre les mesures de seguretat adequades Declarar el fitxer en el Registre General Administració de Sistemes Informàtics i Xarxes
  • Lencarregat del tractament ● Ha de tenir en compte els principis de secret Fer el tractament de dades professional ● Té la obligació deTractament guardar-les correctament ● Les empreses han Resultats dinformar als empleats del deure de secret i de les conseqüències del seu incompliment Administració de Sistemes Informàtics i Xarxes
  • Mantenir la qualitat● El responsable del tractament ha de garantir la qualitat de les dades: – Les dades han de ser tractades de forma legal i lícita – Només es poden recollir per fins concrets i determinats – Les dades han de ser exactes i mantenir-se actualitzades – Només shan de conservar el temps estrictament necessari Administració de Sistemes Informàtics i Xarxes
  • El responsable de seguretatNo és obligatori sempre ● Definir el document de seguretat i controlar-ne les mesures ● Mantenir la llista dusuaris i permisos daccés ● Informar als usuaris ● Fer backups i registrar les incidències Administració de Sistemes Informàtics i Xarxes
  • Document de seguretat● Sempre sha de crear un document de seguretat on hi han dhaver: – Les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades i evitin la seva: ● Alteració, pèrdua i tractament o accés no autoritzat Administració de Sistemes Informàtics i Xarxes
  • Document de seguretat● El document ha de tenir com a mínim: – Àmbit dactuació (fitxers, sistemes, persones) – Mesures, normes i procediments per garantir el nivell de seguretat – Funcions i obligacions del personal amb les dades – Estructura dels fitxers amb dades de caràcter personal – Procediment de notificació, gestió i resposta als incidents – Mesures a adoptar pel transport de suports i documents i com es farà per destruir-los Administració de Sistemes Informàtics i Xarxes
  • Auditoria de seguretat● La auditoria de la LOPD se nencarrega de revisar: – En quin entorn es troben els fitxers – De la existència de controls adequats per garantir el tractament segur de les dades ● Quins usuaris tenen accés ● Polítiques de renovació dusuaris ● Accessos remots a la empresa ● Control dels accessos ● Fitxers temporals – Controlar els procediments que es segueixen per garantir els mecanismes de seguretat Administració de Sistemes Informàtics i Xarxes
  • Mesures de seguretat● El Reglament defineix quines són les mesures de seguretat a aplicar segons siguin les dades● Es defineixen tres nivells de mesures segons el tipus de dades que semmagatzemin – Nivell bàsic – Nivell mig – Nivell alt Administració de Sistemes Informàtics i Xarxes
  • Dades protegidesDades de nivell bàsicNom, cognoms, dades de contacte (qualsevol), altres dades que no siguin denivell mig o altDades de nivell migDades sobre infraccions penals o administratives, que ofereixin definició decaracterístiques de personalitat o característiques i permetin avaluar la sevapersonalitat o comportament , dades responsabilitat dHisenda, dadesresponsabilitat dels bancs, dades responsabilitat de la Seguretat Social,Dades de proveïdors de TelecomunicacionsDades de nivell altIdeologia, afiliació sindical, religió i creences, origen racial, salut, vida sexual,dades per fins policials sense consentiment, dades derivades de la violènciade gènere Administració de Sistemes Informàtics i Xarxes
  • Classificació de les mesures● Es defineixen les mesures a prendre en funció del nivell de seguretat de les dades que continguin● Són acumulatives: Mesures Mesures Mesures nivell bàsic nivell mig nivell alt Administració de Sistemes Informàtics i Xarxes
  • Mesures de nivell bàsicMesures de nivell bàsic ● Creació dun document de seguretat dobligat compliment pel personal que tingui accés a les dades ●Adopció de mesures perquè el personal conegui les normes de seguretat ● Creació dun registre dincidències ●Creació duna relació dusuaris (processos o persones) que tinguin accés al sistema dinformació ● Establir mecanismes de control daccés ●Establir mecanismes de control dels suports i de les còpies de seguretat Administració de Sistemes Informàtics i Xarxes
  • Mesures de nivell migMesures de nivell mig ● Totes les de nivell bàsic ● Identificació del responsable de seguretat ●Control periòdic per verificar el compliment del document de seguretat ●Definir les mesures per eliminar els suports de còpies de seguretat ● Auditoria interna o externa almenys cada 2 anys ● Mecanismes per identificar a tots els usuaris que intentin accedir al sistema i limitar el número dintents ● Normes de gestió de suports de còpies Administració de Sistemes Informàtics i Xarxes
  • Mesures de nivell altMesures de nivell alt ●Shan de complir totes les normes dels nivells bàsic i mig ● Hi ha una sèrie de mesures extres en ● Distribució i gestió de suports de còpies de seguretat ● Registres daccés lògics (usuari, hora, tipus) ● Control i registre daccessos físics ● Còpies de seguretat i recuperació ● Les comunicacions de dades han destar xifrades Administració de Sistemes Informàtics i Xarxes
  • Resum de mesures Bàsic Mig AltDisposar dun document de seguretat X X XNomenar un responsable de seguretat X XExplicar les funcions de seguretat al personal X X XPortar un registre dincidències (restauracions, etc..) X X XImplementar mecanismes didentificació i autentificació X X XSistemes de control daccés lògic X X XSistemes de control daccés físic X XGestió i control dels suports i documents. Registre entrada/sortida X X XFer i controlar les còpies de seguretat (1 fora del lloc) X X XFer una auditoria cada dos anys X XNo fer proves amb dades reals X XDistribuir els suports demmagatzematge XTenir un registre daccés XXifrat de les telecomunicacions X Administració de Sistemes Informàtics i Xarxes
  • LOPDDrets de les persones Administració de Sistemes Informàtics i Xarxes
  • Drets ARCO● Els ciutadans continuen tenint una sèrie de drets sobre les dades que shagin cedit a una organització● Es coneixen com drets ARCO (accés, rectificació, cancel·lació i oposició)● El seu objectiu segons el tribunal Constitucional és: “Garantir a la persona un poder de control sobre les seves dadespersonals, cosa que només és possible i efectiu imposant a tercers els drets mencionats” Administració de Sistemes Informàtics i Xarxes
  • Dret dinformació● Quan es demani una dada per emmagatzemar sha de dir de forma clara perquè es demana i perquè es farà servir● Sha dinformar a lindividu dels seus drets i la identitat del responsable del tractament DADES Administració de Sistemes Informàtics i Xarxes
  • Dret dinformació● Qualsevol ciutadà té dret a saber les dades que emmagatzema lempresa consultant el registre Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita. Article 14 Administració de Sistemes Informàtics i Xarxes
  • Dret dinformació● El ciutadà té dret a consultar el Registre General de Protecció de Dades Quines dades emmagatzema Lempresa? COMUNICACIÓ DEL FITXER DADES Empresa Administració de Sistemes Informàtics i Xarxes
  • Dret daccés● Permet al ciutadà dirigir-se al responsable del fitxer i demanar-li gratuïtament: ? – Quines dades tenen sobre ell – Quina és la finalitat del tractament – Informació sobre lorigen de les dades – Comunicacions de dades que shan fet o que es volen fer Administració de Sistemes Informàtics i Xarxes
  • Dret de rectificació i cancel·lació● Pot demanar que es modifiquin les dades inexactes, inadequades, excessives o incompletes cancel·lar / modificar FET● Pot demanar que les dades siguin esborrades – Excepcions en administracions, jutges o tribunals però han destar bloquejades Administració de Sistemes Informàtics i Xarxes
  • Dret doposició● El ciutadà es pot dirigir al responsable per demanar-li que deixi de treballar amb les seves dades: No vull que es facin servir OK – Si no hi ha consentiment (encara que sigui permès legalment) – Si es fa per publicitat o prospecció comercial – En base al tractament automatitzat Administració de Sistemes Informàtics i Xarxes
  • Tutela de dret● Si a un ciutadà se li denegen els seus drets pot interposar una denuncia a la AGPD Possible indemnització Multa Petició NO Administració de Sistemes Informàtics i Xarxes
  • LOPDAgència de protecció de dades Administració de Sistemes Informàtics i Xarxes
  • Agència de Protecció de Dades● La llei defineix la creació de lAgencia Española de Protección de Datos (AEPD) que se nencarrega de : – Regular el compliment de la normativa – Sancionar els incompliments – Gestionar el Registre de fitxers Administració de Sistemes Informàtics i Xarxes
  • Agència Catalana de Protecció de Dades● En algunes comunitats les tasques han estat transferides i tenen la seva pròpia agència: – Catalunya, Madrid i Euskadi● A Catalunya hi ha lAgència Catalana de Protecció de dades http://www.apdcat.net/ Administració de Sistemes Informàtics i Xarxes
  • Agència de Protecció de Dades● També es crea el Registre General de Protecció de Dades● Els fitxers hi han destar inscrits i registrats – Es pot fer a través de formularis electrònics en la web de lAEPD – A Catalunya a través de la web de lACPD Administració de Sistemes Informàtics i Xarxes
  • Infraccions● Una altra de les funcions de lAgència és imposar multes pels incompliments de la llei● Les sancions poden ser: – Lleus – Greus – Molt greus Administració de Sistemes Informàtics i Xarxes
  • Dades de caràcter personal● Segons lagència les denuncies més fetes durant el 2009 han estat: – Eliminació de dades de pàgines web – Inclusions errònies a Llistes de morosos – Problemes amb la Videovigilància Administració de Sistemes Informàtics i Xarxes
  • Infraccions i sancionsInfraccions lleusde 600 fins a 60.101€ ● No inscriure el fitxer en el registre ● Recollir dades sense informar al titular de: - Lexistència del fitxer - De perquè es faran servir - Dels drets de lusuari - De qui és el responsable del fitxer ● No atendre a les sol·licituds dels afectats Administració de Sistemes Informàtics i Xarxes
  • Infraccions greusInfraccions greusFins a 300.506 € ● Recollir dades sense el consentiment de lafectat ● Destinar dades a una finalitat diferent a la per la que es va demanar ● Crear un fitxer públic sense autorització especial ● No adoptar les mesures de seguretat estipulades ● Mantenir dades inexactes i no fer les correccions o cancel·lacions Administració de Sistemes Informàtics i Xarxes
  • Infraccions molt greusInfraccions molt greusFins a 601.102 € ● No atendre als drets dels usuaris sistemàticament ● Recollida de dades de forma enganyosa o fraudulenta ● Comunicar o cedir dades il·legalment Administració de Sistemes Informàtics i Xarxes