Retos de la seguridad. Pedro Alberto González

1,314 views

Published on

Presentación realizada dentro del marco de la jornada. Internet de las cosas. Todos los agentes del entorno empresarial, social y de la administración implicados en el progreso de este nuevo fenómeno que está siendo el Internet de las cosas, reunidos en una jornada celebrada el 22 de mayo y organizada por Gobierno Vasco a través de SPRI.
Todos los contenidos de la jornada en: http://www.spri.es/actualidad/contenidos-jornadas/internet-de-las-cosas-oportunidades-y-retos-de-la-banda-ancha-en-movilidad

Published in: Social Media
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,314
On SlideShare
0
From Embeds
0
Number of Embeds
669
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Retos de la seguridad. Pedro Alberto González

  1. 1. Privacidad en laPrivacidad en laPrivacidad en laPrivacidad en la “Internet de las cosas”“Internet de las cosas” •• Iñaki Pariente de PradaIñaki Pariente de Prada •• Pedro Alberto GonzálezPedro Alberto González tt // ett // ehttp://www.avpd.eshttp://www.avpd.es
  2. 2. http://www.avpd.es Privacy by Design 2
  3. 3. http://www.avpd.es Privacy by Design 3
  4. 4. Preocupación por la Privacidad y la Seguridad http://www.avpd.es Privacy by Design 4
  5. 5. Luddism!! http://www.avpd.es Privacy by Design 5
  6. 6. S ≠PSeguridad ≠Privacidad • Adjetivo (un medio) – Protección de activos • Sustantivo (un fin) – Derecho • Evitar riesgo • Mitigar impacto • Fundamental • ConstitucionalMitigar impacto Constitucional “Security by Design” “Privacy by Design” http://www.avpd.es Privacy by Design 6
  7. 7. 1.- La privacidad, desde el diseño http://www.avpd.es Privacy by Design 7
  8. 8. http://www.avpd.es Privacy by Design 8
  9. 9. 7 Principios fundamentales de la Privacidad desde el Diseño 1. Diseño Proactivo, no Reactivo; • Preventivo, no Correctivo 2. Privacidad como configuración por defecto 3. Privacidad incrustada en el diseño3. Privacidad incrustada en el diseño 4. Funcionalidad total: “S P iti ” “S Z ”• “Suma-Positiva”, no “Suma-Zero” 5. Seguridad en todo el ciclo de vida (“end-to-end”) 6. Visibilidad y transparencia – “Keep it Open” 7. Respeto a la privacidad personal (“User-centric”)7. Respeto a la privacidad personal ( User centric ) http://www.avpd.es Privacy by Design 9
  10. 10. PbD en el “Reglamento Europeo de Protección de Datos” A t 23 P t ió d d t d d l di ñ• Art. 23.- Protección de datos desde el diseño y por defecto ( ) L t ió d l d t d d l– (…) La protección de los datos desde el diseño prestará especial atención a toda la gestión del ciclo de vida de los datosgestión del ciclo de vida de los datos personales desde su recogida hasta su tratamiento y supresión, centrándose i t áti t i lisistemáticamente en proporcionar amplias garantías procesales respecto de la exactitud, la confidencialidad, la integridad, la seguridadla confidencialidad, la integridad, la seguridad física y la supresión de los datos personales. – (…) http://www.avpd.es Privacy by Design 10 ( )
  11. 11. 2.- Evaluación del Impacto sobre la Privacidad http://www.avpd.es Privacy by Design 11
  12. 12. Reglamento Europeo de Protección de Datos A t 33 E l ió d i t l ti l• Art. 33.- Evaluación de impacto relativa a los datos C d i d f id d l– Cuando sea necesario de conformidad con el artículo 32 bis, apartado 3, letra c), el responsable o el encargado del tratamiento queresponsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones d t t i t i t l d h lde tratamiento previstas en los derechos y las libertades de los interesados, en especial su derecho a la protección de datos personales. .derecho a la protección de datos personales. . – (…) http://www.avpd.es Privacy by Design 12
  13. 13. Reglamento Europeo de Protección de Datos A t 33 E l ió d i t l ti l• Art. 33.- Evaluación de impacto relativa a los datos - Deberá incluir, como mínimo: – a) una descripción sistemática de las operaciones de tratamiento previstas los fines del tratamiento y cuando proceda ela) una descripción sistemática de las operaciones de tratamiento previstas, los fines del tratamiento y, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento; – b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; – c) una evaluación de riesgos para los derechos y las libertades de los interesados, incluido el riesgo de que la discriminación se integre en las operaciones o se refuerce con estas; – d) una descripción de las medidas contempladas para hacer frente a los riesgos y reducir al mínimo el volumen de datos personales tratados; – e) una lista de las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales, como la seudonimización, y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas; – f) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos; – g) una explicación de qué prácticas de protección de datos desde el diseño y por defecto de conformidad con el artículo 23 se han aplicado; – h) una lista de los destinatarios o las categorías de destinatarios de los datos personales; i) en su caso una lista de las transferencias de datos previstas a un tercer país o a una organización internacional incluido el– i) en su caso, una lista de las transferencias de datos previstas a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas; – j) una evaluación del contexto del tratamiento de datos. http://www.avpd.es Privacy by Design 13
  14. 14. Metodologías PIA (Privacy Impact Assessment) http://www.avpd.es Privacy by Design 14
  15. 15. Evaluaciones de impacto sobre la Privacidad http://www.avpd.es Privacy by Design 15
  16. 16. ReferenciasReferencias • AEPD: Guía para una evaluación del Impacto en la Protección de Datos Personales http://www agpd es/portalwebAGPD/canaldocumentacion/public– http://www.agpd.es/portalwebAGPD/canaldocumentacion/public aciones/common/Guias/GuiaEIPDPBorrador.pdf • CN-RFID: Évaluation de l’impact des applications RFIDp pp sur la vie privée – http://www.centrenational- fid /d / /fil /Li %202013%20 5%20 b(2) dfrfid.com/docs/users/file/Livret%202013%20v5%20web(2).pdf • INTECO: Guía sobre seguridad y privacidad de la tecnología RFIDtecnología RFID – http://www.inteco.es/guias_estudios/guias/guia_RFID http://www.avpd.es Privacy by Design 16
  17. 17. 3.- Respertar la “expectativa de privacidad” • Minimizar la información recolectada • Obtener consentimiento de los afectadosObtener consentimiento de los afectados • Informar claramente de los fines y usos • No utilizar para fines no declarados • No ceder datos a terceros• No ceder datos a terceros • Garantizar la seguridad de los datos • Limitar el plazo de conservación http://www.avpd.es Privacy by Design 17
  18. 18. Gadgetmanía: “Wearable devices” http://www.avpd.es Privacy by Design 18
  19. 19. “Grupo de Berlín”: Working Paper on PrivacyWorking Paper on Privacy and Wearable Computing Devices • Aplicaciones: – Estilo de vida (ejercicio, alimentación,( j , , hjábitos…) – Info-entretenimiento (gafas relojes pulserasInfo entretenimiento (gafas, relojes, pulseras, kinect…) Salud (monitor de sueño de glucemia ritmo– Salud (monitor de sueño, de glucemia, ritmo cardiaco…) I d t i d f li i– Industria, defensa, policia… http://www.avpd.es Privacy by Design 19
  20. 20. “Grupo de Berlín”: Working Paper on PrivacyWorking Paper on Privacy and Wearable Computing Devices • Precauciones: Difícil gestión del consentimiento–Difícil gestión del consentimiento –Recolección inconscienteRecolección inconsciente –Sobrevigilancia pasiva –Exceso de datos recogidos / almacenadosalmacenados http://www.avpd.es Privacy by Design 20
  21. 21. Derecho al “silencio de los chips” http://www.avpd.es Privacy by Design 21
  22. 22. En resumen:En resumen: 1. Respetar las expectativas de privacidad de los usuarios de soluciones IoT 2. Evaluar anticipadamente el impacto de las soluciones IoT en la privacidad delas soluciones IoT en la privacidad de las personas. 3. Incluir la gestión de la privacidad en el diseño de las soluciones IoT desde eldiseño de las soluciones IoT desde el primer momento http://www.avpd.es Privacy by Design 22
  23. 23. http://www.flickr.com/photos/rosino/3658259716/ http://www.avpd.es Privacy by Design 23

×