SlideShare a Scribd company logo

Mesures de seguretat de la LOPD

Privadesa
Privadesa

Segons la LOPD, les empreses han d'adoptar les mesures de caràcter tècnic, organitzatiu i jurídic que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat.

Business
1 of 31
Segons la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal 03/09/2013 1Protectat Consultoria LOPD · www.protectat.es
Abast  Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb la LOPD. 03/09/2013 2Protectat Consultoria LOPD · www.protectat.es
Nivells de seguretat  Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt. 03/09/2013 3Protectat Consultoria LOPD · www.protectat.es
Aplicació dels nivells de seguretat  Tots els fitxers o tractaments de dades personals han d’adoptar les mesures de seguretat qualificades de nivell bàsic.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de comissió d’infraccions administratives o penals.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de les administracions tributàries. 03/09/2013 4Protectat Consultoria LOPD · www.protectat.es
Aplicació dels nivells de seguretat  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de les entitats financeres.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de les entitats gestores i Seguretat Social.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals que ofereixin una definició de la personalitat. 03/09/2013 5Protectat Consultoria LOPD · www.protectat.es
Aplicació dels nivells de seguretat  S’han d’implantar les mesures de nivell alt en els fitxers que es refereixin a dades d’ideologia, religió, creences, raça i salut.  S’han d’implantar les mesures de nivell alt en els fitxers que continguin o es refereixin a dades obtingudes per a fins policials.  S’han d’implantar les mesures de nivell alt en els fitxers que continguin dades derivades d’actes de violència de gènere. 03/09/2013 6Protectat Consultoria LOPD · www.protectat.es
Aplicació dels nivells de seguretat  S’han d’implantar les mesures de nivell alt en fitxers els responsables dels quals siguin els operadors de serveis de comunicacions.  S’han d’implantar mesures de seguretat de nivell b{sic quan les dades s’utilitzin amb l’única finalitat de realitzar una transferència dinerària.  S’han d’implantar mesures de seguretat de nivell b{sic quan es tracti de fitxers on de forma incidental s’incloguin dades personals. 03/09/2013 7Protectat Consultoria LOPD · www.protectat.es
Aplicació dels nivells de seguretat  S’han d’implantar mesures de seguretat de nivell b{sic en els fitxers referents exclusivament al grau de discapacitat.  Les mesures incloses en cadascun dels nivells tenen la condició de mínims exigibles.  És aplicable en cada cas el nivell de mesures de seguretat corresponent i sempre que es puguin delimitar les dades afectades i usuaris. 03/09/2013 8Protectat Consultoria LOPD · www.protectat.es
Encarregat del tractament  Si l’encarregat de tractament presta els seus serveis en els locals del responsable s’ha de fer constar en el document de seguretat.  Si l’encarregat de tractament presta els seus serveis en els locals del responsable el personal ha de complir les mesures de seguretat.  Quan l’accés sigui remot s’ha de fer constar aquesta circumstància en el document de seguretat del responsable. 03/09/2013 9Protectat Consultoria LOPD · www.protectat.es
Encarregat del tractament  Quan l’accés sigui remot el personal de l’encarregat s’ha de comprometre al compliment de les mesures de seguretat.  Si el servei el presta l’encarregat del tractament en els seus propis locals ha d’elaborar un document de seguretat.  L’accés a les dades per part de l’encarregat del tractament està sotmès a les mesures de seguretat de la LOPD. 03/09/2013 10Protectat Consultoria LOPD · www.protectat.es
Prestacions de serveis sense accés a dades personals  El responsable ha d’adoptar mesures per limitar accés del personal a dades personals per treballs sense tractament de dades personals.  Quan es tracti de personal aliè el contracte de prestació de serveis ha de recollir la prohibició d’accedir a dades personals. 03/09/2013 11Protectat Consultoria LOPD · www.protectat.es
Delegació d’autoritzacions  Les autoritzacions del responsable del fitxer o tractament poden ser delegades en les persones designades a aquest efecte. 03/09/2013 12Protectat Consultoria LOPD · www.protectat.es
Accés a dades a través de xarxes de comunicacions  Les mesures de seguretat als accessos a través de xarxes de comunicacions han de garantir un nivell de seguretat equivalent al local. 03/09/2013 13Protectat Consultoria LOPD · www.protectat.es
Règim de treball fora dels locals del responsable del fitxer o encarregat del tractament  Quan les dades personals s’emmagatzemin en dispositius portàtils o es tractin fora dels locals és necessària una autorització.  L’autorització ha de constar en el document de seguretat i es pot establir per a un usuari o per a un perfil d’usuaris. 03/09/2013 14Protectat Consultoria LOPD · www.protectat.es
Fitxers temporals o còpies de treball de documents  Els fitxers temporals o còpies de documents han de complir el nivell de seguretat que els correspongui.  Qualsevol fitxer temporal o còpia de treball creat s’ha d’esborrar o destruir una vegada deixi de ser necessari. 03/09/2013 15Protectat Consultoria LOPD · www.protectat.es
El document de seguretat  El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’índole tècnica i organitzativa.  El document de seguretat és de compliment obligat per al personal amb accés als sistemes d’informació.  El document de seguretat pot ser únic i ha d’incloure tots els fitxers o bé individualitzat per a cada fitxer o tractament. 03/09/2013 16Protectat Consultoria LOPD · www.protectat.es
El document de seguretat  El document ha de contenir àmbit d’aplicació, mesures, normes, procediments d’actuació, regles i est{ndards.  Per al fitxers amb mesures de nivell mitjà o alt el document ha de contenir el responsable de seguretat i els controls periòdics.  Quan existeixi un tractament de dades per compte de tercers el document de seguretat ha de contenir la identificació dels seus fitxers. 03/09/2013 17Protectat Consultoria LOPD · www.protectat.es
El document de seguretat  En els casos en què dades personals d’un fitxer s’incorporin en sistemes de l’encarregat el responsable ho ha d’anotar en el document.  El document de seguretat s’ha de mantenir actualitzat en tot moment i s’ha de revisar sempre que es produeixin canvis.  El contingut del document de seguretat sempre s’ha d’adequar a les disposicions vigents en matèria de seguretat de dades personals. 03/09/2013 18Protectat Consultoria LOPD · www.protectat.es
Funcions i obligacions del personal  Les funcions i obligacions de cadascun dels usuaris o perfils d’usuaris han d’estar clarament definides i documentades.  S’han de definir les funcions de control o autoritzacions delegades pel responsable del fitxer o tractament.  El responsable del fitxer ha d’adoptar les mesures necessàries perquè el personal conegui les normes de seguretat que l’afectin. 03/09/2013 19Protectat Consultoria LOPD · www.protectat.es
Registre d’incidències  Hi ha d’haver un procediment de notificació i gestió d’incidències que afectin les dades personals i s’ha d’establir un registre. 03/09/2013 20Protectat Consultoria LOPD · www.protectat.es
Control d’accés  Els usuaris han de tenir accés només als recursos que necessitin per a l’exercici de les seves funcions.  El responsable del fitxer s’ha d’encarregar que hi hagi una relació actualitzada d’usuaris i perfils d’usuaris i accessos autoritzats.  El responsable del fitxer ha d’establir mecanismes per evitar l’accés d’un usuari a recursos amb drets diferents dels autoritzats. 03/09/2013 21Protectat Consultoria LOPD · www.protectat.es
Control d’accés  Exclusivament el personal autoritzat pot concedir, alterar o anul·lar l’accés autoritzat sobre els recursos.  En cas que existeixi personal aliè ha d’estar sotmès a les mateixes condicions i obligacions de seguretat que el personal propi. 03/09/2013 22Protectat Consultoria LOPD · www.protectat.es
Gestió de suports i documents  Els suports i documents que continguin dades personals han de permetre identificar el tipus d’informació que contenen.  La sortida de suports i documents que continguin dades personals l’ha d’autoritzar el responsable del fitxer.  En el trasllat de la documentació s’han d’adoptar mesures dirigides a evitar la sostracció o pèrdua de la informació o l’accés indegut. 03/09/2013 23Protectat Consultoria LOPD · www.protectat.es
Gestió de suports i documents  Sempre que s’hagi de rebutjar qualsevol document o suport que contingui dades personals s’ha de destruir o esborrar.  La identificació de suports que continguin dades personals sensibles es pot realitzar utilitzant sistemes d’etiquetatge comprensibles. 03/09/2013 24Protectat Consultoria LOPD · www.protectat.es
Identificació i autenticació  El responsable del fitxer o tractament ha d’adoptar les mesures que garanteixin la correcta identificació i autenticació dels usuaris.  El responsable del fitxer o tractament ha d’establir un mecanisme que permeti la identificació de forma inequívoca i personalitzada. 03/09/2013 25Protectat Consultoria LOPD · www.protectat.es
Identificació i autenticació  Quan el mecanisme d’autenticació es basi en contrasenyes hi ha d’haver un procediment que garanteixi la confidencialitat i integritat.  El document de seguretat ha d’establir la periodicitat amb què s’han de canviar les contrasenyes. 03/09/2013 26Protectat Consultoria LOPD · www.protectat.es
Còpies de seguretat i recuperació  S’han d’establir procediments d’actuació per fer com a mínim setmanalment còpies de seguretat.  S’han d’establir procediments per a la recuperació de les dades que garanteixin en tot moment la reconstrucció a l’estat previ. 03/09/2013 27Protectat Consultoria LOPD · www.protectat.es
Còpies de seguretat i recuperació  El responsable del fitxer s’ha d’encarregar de verificar cada sis mesos els procediments de còpies de seguretat i recuperació de dades.  Les proves anteriors a la implantació o modificació dels sistemes d’informació no s’han de fer amb dades reals. 03/09/2013 28Protectat Consultoria LOPD · www.protectat.es
Criteris d’arxivament  L’arxivament dels suports o documents s’ha de fer d’acord amb els criteris que preveu la seva respectiva legislació. 03/09/2013 29Protectat Consultoria LOPD · www.protectat.es
Dispositius d’emmagatzematge  Els dispositius d’emmagatzematge de documents que continguin dades personals han de disposar de mecanismes que obstaculitzin obertura. 03/09/2013 30Protectat Consultoria LOPD · www.protectat.es
Custòdia dels suports  Mentre la documentació amb dades personals no estigui arxivada en els dispositius d’emmagatzematge s’ha de custodiar. 03/09/2013 31Protectat Consultoria LOPD · www.protectat.es

Recommended

El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretat
joanbajb
 
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
Aurora Lara Marin
 
Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?
Joan Soler Jiménez
 
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Associació Catalana d'Entitats de Salut
 
Adequació a la LOPD
Adequació a la LOPDAdequació a la LOPD
Adequació a la LOPD
Privadesa
 
Què implica la protecció de dades
Què implica la protecció de dadesQuè implica la protecció de dades
Què implica la protecció de dades
Privadesa
 
Principis de la LOPD
Principis de la LOPDPrincipis de la LOPD
Principis de la LOPD
Privadesa
 
Seguretat
SeguretatSeguretat
Seguretat
Cati Oliver
 

Recommended

El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretat
joanbajb
 
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
Aurora Lara Marin
 
Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?
Joan Soler Jiménez
 
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Associació Catalana d'Entitats de Salut
 
Adequació a la LOPD
Adequació a la LOPDAdequació a la LOPD
Adequació a la LOPD
Privadesa
 
Què implica la protecció de dades
Què implica la protecció de dadesQuè implica la protecció de dades
Què implica la protecció de dades
Privadesa
 
Principis de la LOPD
Principis de la LOPDPrincipis de la LOPD
Principis de la LOPD
Privadesa
 
Seguretat
SeguretatSeguretat
Seguretat
Cati Oliver
 
Protecció de dades de carácter personal
Protecció de dades de carácter personalProtecció de dades de carácter personal
Protecció de dades de carácter personal
Laura GC
 
Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)
Xavier Sala Pujolar
 
RGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesRGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dades
TICAnoia
 
CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"
CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"
CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"
Consorci Administració Oberta de Catalunya
 
JornadesTAC
JornadesTACJornadesTAC
JornadesTAC
formaciotac
 
Certificat Govern de les Dades - Sessió 2
Certificat Govern de les Dades - Sessió 2Certificat Govern de les Dades - Sessió 2
Certificat Govern de les Dades - Sessió 2
Iniciativa Barcelona Open Data
 
Drets de la LOPD
Drets de la LOPDDrets de la LOPD
Drets de la LOPD
Privadesa
 
Protecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer SectorProtecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer Sector
m4Social
 
La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...
La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...
La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...
Empresa i Emprenedoria Granollers
 
Adaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de DadesAdaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de Dades
Privadesa
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informatica
guest4e2fc3
 
Adaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de DadesAdaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de Dades
Privadesa
 
Como se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y accesoComo se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y acceso
Radar Información y Conocimiento
 
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
UOC Estudios de Informática, Multimedia y Telecomunicación
 
Monogràfic protecció de dades. On està la frontera del legal i il·legal
Monogràfic protecció de dades. On està la frontera del legal i il·legalMonogràfic protecció de dades. On està la frontera del legal i il·legal
Monogràfic protecció de dades. On està la frontera del legal i il·legal
Nina Costas
 
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
Centre de Recursos per a Associacions Juvenils
 
La nova normativa europea de protecció de dades personals
La nova normativa europea de protecció de dades personalsLa nova normativa europea de protecció de dades personals
La nova normativa europea de protecció de dades personals
Privadesa
 
El Reglament General de Protecció de Dades
El Reglament General de Protecció de DadesEl Reglament General de Protecció de Dades
El Reglament General de Protecció de Dades
Privadesa
 
Nova normativa europea de protecció de dades
Nova normativa europea de protecció de dadesNova normativa europea de protecció de dades
Nova normativa europea de protecció de dades
Privadesa
 
El nou Reglament Europeu de Protecció de Dades
El nou Reglament Europeu de Protecció de DadesEl nou Reglament Europeu de Protecció de Dades
El nou Reglament Europeu de Protecció de Dades
Privadesa
 
La protecció de dades en l'era digital
La protecció de dades en l'era digitalLa protecció de dades en l'era digital
La protecció de dades en l'era digital
Privadesa
 
Les principals ciberamenaces
Les principals ciberamenacesLes principals ciberamenaces
Les principals ciberamenaces
Privadesa
 

More Related Content

Similar to Mesures de seguretat de la LOPD

Protecció de dades de carácter personal
Protecció de dades de carácter personalProtecció de dades de carácter personal
Protecció de dades de carácter personal
Laura GC
 

Similar to Mesures de seguretat de la LOPD (16)

Protecció de dades de carácter personal
Protecció de dades de carácter personalProtecció de dades de carácter personal
Protecció de dades de carácter personal
 
Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)
 
RGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesRGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dades
 
CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"
CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"
CGDL2018 - Sessió: "El repte del Reglament Europeu de Protecció de Dades"
 
JornadesTAC
JornadesTACJornadesTAC
JornadesTAC
 
Certificat Govern de les Dades - Sessió 2
Certificat Govern de les Dades - Sessió 2Certificat Govern de les Dades - Sessió 2
Certificat Govern de les Dades - Sessió 2
 
Drets de la LOPD
Drets de la LOPDDrets de la LOPD
Drets de la LOPD
 
Protecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer SectorProtecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer Sector
 
La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...
La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...
La gestió documental a l'empresa: Mòdul 1: Com i per què adaptar la teva empr...
 
Adaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de DadesAdaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de Dades
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informatica
 
Adaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de DadesAdaptació al Reglament General de Protecció de Dades
Adaptació al Reglament General de Protecció de Dades
 
Como se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y accesoComo se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y acceso
 
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
 
Monogràfic protecció de dades. On està la frontera del legal i il·legal
Monogràfic protecció de dades. On està la frontera del legal i il·legalMonogràfic protecció de dades. On està la frontera del legal i il·legal
Monogràfic protecció de dades. On està la frontera del legal i il·legal
 
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
 

More from Privadesa

Obligacions establertes per la LOPD
Obligacions establertes per la LOPDObligacions establertes per la LOPD
Obligacions establertes per la LOPD
Privadesa
 

More from Privadesa (20)

La nova normativa europea de protecció de dades personals
La nova normativa europea de protecció de dades personalsLa nova normativa europea de protecció de dades personals
La nova normativa europea de protecció de dades personals
 
El Reglament General de Protecció de Dades
El Reglament General de Protecció de DadesEl Reglament General de Protecció de Dades
El Reglament General de Protecció de Dades
 
Nova normativa europea de protecció de dades
Nova normativa europea de protecció de dadesNova normativa europea de protecció de dades
Nova normativa europea de protecció de dades
 
El nou Reglament Europeu de Protecció de Dades
El nou Reglament Europeu de Protecció de DadesEl nou Reglament Europeu de Protecció de Dades
El nou Reglament Europeu de Protecció de Dades
 
La protecció de dades en l'era digital
La protecció de dades en l'era digitalLa protecció de dades en l'era digital
La protecció de dades en l'era digital
 
Les principals ciberamenaces
Les principals ciberamenacesLes principals ciberamenaces
Les principals ciberamenaces
 
4 consells per protegir les teves dades personals
4 consells per protegir les teves dades personals4 consells per protegir les teves dades personals
4 consells per protegir les teves dades personals
 
4 consells per a la seguretat del teu ordinador
4 consells per a la seguretat del teu ordinador4 consells per a la seguretat del teu ordinador
4 consells per a la seguretat del teu ordinador
 
3 consells per navegar per Internet
3 consells per navegar per Internet3 consells per navegar per Internet
3 consells per navegar per Internet
 
3 consells per connectar-te a Internet
3 consells per connectar-te a Internet3 consells per connectar-te a Internet
3 consells per connectar-te a Internet
 
3 consells per a la teva presència a Internet
3 consells per a la teva presència a Internet3 consells per a la teva presència a Internet
3 consells per a la teva presència a Internet
 
Les AMPA han de complir la LOPD?
Les AMPA han de complir la LOPD?Les AMPA han de complir la LOPD?
Les AMPA han de complir la LOPD?
 
Les associacions han de complir la LOPD?
Les associacions han de complir la LOPD?Les associacions han de complir la LOPD?
Les associacions han de complir la LOPD?
 
El meu proveïdor ha de complir la LOPD?
El meu proveïdor ha de complir la LOPD?El meu proveïdor ha de complir la LOPD?
El meu proveïdor ha de complir la LOPD?
 
Si tinc videovigilància he de complir la LOPD?
Si tinc videovigilància he de complir la LOPD?Si tinc videovigilància he de complir la LOPD?
Si tinc videovigilància he de complir la LOPD?
 
Les Comunitats de Propietaris han de complir la LOPD?
Les Comunitats de Propietaris han de complir la LOPD?Les Comunitats de Propietaris han de complir la LOPD?
Les Comunitats de Propietaris han de complir la LOPD?
 
5 passos per complir la LOPD
5 passos per complir la LOPD5 passos per complir la LOPD
5 passos per complir la LOPD
 
Obligacions establertes per la LOPD
Obligacions establertes per la LOPDObligacions establertes per la LOPD
Obligacions establertes per la LOPD
 
Catàleg de Privadesa
Catàleg de PrivadesaCatàleg de Privadesa
Catàleg de Privadesa
 
Guia de 5 passos per complir la llei de protecció de dades
Guia de 5 passos per complir la llei de protecció de dadesGuia de 5 passos per complir la llei de protecció de dades
Guia de 5 passos per complir la llei de protecció de dades
 

Mesures de seguretat de la LOPD

  • 1. Segons la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal 03/09/2013 1Protectat Consultoria LOPD · www.protectat.es
  • 2. Abast  Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb la LOPD. 03/09/2013 2Protectat Consultoria LOPD · www.protectat.es
  • 3. Nivells de seguretat  Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt. 03/09/2013 3Protectat Consultoria LOPD · www.protectat.es
  • 4. Aplicació dels nivells de seguretat  Tots els fitxers o tractaments de dades personals han d’adoptar les mesures de seguretat qualificades de nivell bàsic.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de comissió d’infraccions administratives o penals.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de les administracions tributàries. 03/09/2013 4Protectat Consultoria LOPD · www.protectat.es
  • 5. Aplicació dels nivells de seguretat  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de les entitats financeres.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals de les entitats gestores i Seguretat Social.  S’han d’implantar les mesures de nivell mitj{ en els fitxers de dades personals que ofereixin una definició de la personalitat. 03/09/2013 5Protectat Consultoria LOPD · www.protectat.es
  • 6. Aplicació dels nivells de seguretat  S’han d’implantar les mesures de nivell alt en els fitxers que es refereixin a dades d’ideologia, religió, creences, raça i salut.  S’han d’implantar les mesures de nivell alt en els fitxers que continguin o es refereixin a dades obtingudes per a fins policials.  S’han d’implantar les mesures de nivell alt en els fitxers que continguin dades derivades d’actes de violència de gènere. 03/09/2013 6Protectat Consultoria LOPD · www.protectat.es
  • 7. Aplicació dels nivells de seguretat  S’han d’implantar les mesures de nivell alt en fitxers els responsables dels quals siguin els operadors de serveis de comunicacions.  S’han d’implantar mesures de seguretat de nivell b{sic quan les dades s’utilitzin amb l’única finalitat de realitzar una transferència dinerària.  S’han d’implantar mesures de seguretat de nivell b{sic quan es tracti de fitxers on de forma incidental s’incloguin dades personals. 03/09/2013 7Protectat Consultoria LOPD · www.protectat.es
  • 8. Aplicació dels nivells de seguretat  S’han d’implantar mesures de seguretat de nivell b{sic en els fitxers referents exclusivament al grau de discapacitat.  Les mesures incloses en cadascun dels nivells tenen la condició de mínims exigibles.  És aplicable en cada cas el nivell de mesures de seguretat corresponent i sempre que es puguin delimitar les dades afectades i usuaris. 03/09/2013 8Protectat Consultoria LOPD · www.protectat.es
  • 9. Encarregat del tractament  Si l’encarregat de tractament presta els seus serveis en els locals del responsable s’ha de fer constar en el document de seguretat.  Si l’encarregat de tractament presta els seus serveis en els locals del responsable el personal ha de complir les mesures de seguretat.  Quan l’accés sigui remot s’ha de fer constar aquesta circumstància en el document de seguretat del responsable. 03/09/2013 9Protectat Consultoria LOPD · www.protectat.es
  • 10. Encarregat del tractament  Quan l’accés sigui remot el personal de l’encarregat s’ha de comprometre al compliment de les mesures de seguretat.  Si el servei el presta l’encarregat del tractament en els seus propis locals ha d’elaborar un document de seguretat.  L’accés a les dades per part de l’encarregat del tractament està sotmès a les mesures de seguretat de la LOPD. 03/09/2013 10Protectat Consultoria LOPD · www.protectat.es
  • 11. Prestacions de serveis sense accés a dades personals  El responsable ha d’adoptar mesures per limitar accés del personal a dades personals per treballs sense tractament de dades personals.  Quan es tracti de personal aliè el contracte de prestació de serveis ha de recollir la prohibició d’accedir a dades personals. 03/09/2013 11Protectat Consultoria LOPD · www.protectat.es
  • 12. Delegació d’autoritzacions  Les autoritzacions del responsable del fitxer o tractament poden ser delegades en les persones designades a aquest efecte. 03/09/2013 12Protectat Consultoria LOPD · www.protectat.es
  • 13. Accés a dades a través de xarxes de comunicacions  Les mesures de seguretat als accessos a través de xarxes de comunicacions han de garantir un nivell de seguretat equivalent al local. 03/09/2013 13Protectat Consultoria LOPD · www.protectat.es
  • 14. Règim de treball fora dels locals del responsable del fitxer o encarregat del tractament  Quan les dades personals s’emmagatzemin en dispositius portàtils o es tractin fora dels locals és necessària una autorització.  L’autorització ha de constar en el document de seguretat i es pot establir per a un usuari o per a un perfil d’usuaris. 03/09/2013 14Protectat Consultoria LOPD · www.protectat.es
  • 15. Fitxers temporals o còpies de treball de documents  Els fitxers temporals o còpies de documents han de complir el nivell de seguretat que els correspongui.  Qualsevol fitxer temporal o còpia de treball creat s’ha d’esborrar o destruir una vegada deixi de ser necessari. 03/09/2013 15Protectat Consultoria LOPD · www.protectat.es
  • 16. El document de seguretat  El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’índole tècnica i organitzativa.  El document de seguretat és de compliment obligat per al personal amb accés als sistemes d’informació.  El document de seguretat pot ser únic i ha d’incloure tots els fitxers o bé individualitzat per a cada fitxer o tractament. 03/09/2013 16Protectat Consultoria LOPD · www.protectat.es
  • 17. El document de seguretat  El document ha de contenir àmbit d’aplicació, mesures, normes, procediments d’actuació, regles i est{ndards.  Per al fitxers amb mesures de nivell mitjà o alt el document ha de contenir el responsable de seguretat i els controls periòdics.  Quan existeixi un tractament de dades per compte de tercers el document de seguretat ha de contenir la identificació dels seus fitxers. 03/09/2013 17Protectat Consultoria LOPD · www.protectat.es
  • 18. El document de seguretat  En els casos en què dades personals d’un fitxer s’incorporin en sistemes de l’encarregat el responsable ho ha d’anotar en el document.  El document de seguretat s’ha de mantenir actualitzat en tot moment i s’ha de revisar sempre que es produeixin canvis.  El contingut del document de seguretat sempre s’ha d’adequar a les disposicions vigents en matèria de seguretat de dades personals. 03/09/2013 18Protectat Consultoria LOPD · www.protectat.es
  • 19. Funcions i obligacions del personal  Les funcions i obligacions de cadascun dels usuaris o perfils d’usuaris han d’estar clarament definides i documentades.  S’han de definir les funcions de control o autoritzacions delegades pel responsable del fitxer o tractament.  El responsable del fitxer ha d’adoptar les mesures necessàries perquè el personal conegui les normes de seguretat que l’afectin. 03/09/2013 19Protectat Consultoria LOPD · www.protectat.es
  • 20. Registre d’incidències  Hi ha d’haver un procediment de notificació i gestió d’incidències que afectin les dades personals i s’ha d’establir un registre. 03/09/2013 20Protectat Consultoria LOPD · www.protectat.es
  • 21. Control d’accés  Els usuaris han de tenir accés només als recursos que necessitin per a l’exercici de les seves funcions.  El responsable del fitxer s’ha d’encarregar que hi hagi una relació actualitzada d’usuaris i perfils d’usuaris i accessos autoritzats.  El responsable del fitxer ha d’establir mecanismes per evitar l’accés d’un usuari a recursos amb drets diferents dels autoritzats. 03/09/2013 21Protectat Consultoria LOPD · www.protectat.es
  • 22. Control d’accés  Exclusivament el personal autoritzat pot concedir, alterar o anul·lar l’accés autoritzat sobre els recursos.  En cas que existeixi personal aliè ha d’estar sotmès a les mateixes condicions i obligacions de seguretat que el personal propi. 03/09/2013 22Protectat Consultoria LOPD · www.protectat.es
  • 23. Gestió de suports i documents  Els suports i documents que continguin dades personals han de permetre identificar el tipus d’informació que contenen.  La sortida de suports i documents que continguin dades personals l’ha d’autoritzar el responsable del fitxer.  En el trasllat de la documentació s’han d’adoptar mesures dirigides a evitar la sostracció o pèrdua de la informació o l’accés indegut. 03/09/2013 23Protectat Consultoria LOPD · www.protectat.es
  • 24. Gestió de suports i documents  Sempre que s’hagi de rebutjar qualsevol document o suport que contingui dades personals s’ha de destruir o esborrar.  La identificació de suports que continguin dades personals sensibles es pot realitzar utilitzant sistemes d’etiquetatge comprensibles. 03/09/2013 24Protectat Consultoria LOPD · www.protectat.es
  • 25. Identificació i autenticació  El responsable del fitxer o tractament ha d’adoptar les mesures que garanteixin la correcta identificació i autenticació dels usuaris.  El responsable del fitxer o tractament ha d’establir un mecanisme que permeti la identificació de forma inequívoca i personalitzada. 03/09/2013 25Protectat Consultoria LOPD · www.protectat.es
  • 26. Identificació i autenticació  Quan el mecanisme d’autenticació es basi en contrasenyes hi ha d’haver un procediment que garanteixi la confidencialitat i integritat.  El document de seguretat ha d’establir la periodicitat amb què s’han de canviar les contrasenyes. 03/09/2013 26Protectat Consultoria LOPD · www.protectat.es
  • 27. Còpies de seguretat i recuperació  S’han d’establir procediments d’actuació per fer com a mínim setmanalment còpies de seguretat.  S’han d’establir procediments per a la recuperació de les dades que garanteixin en tot moment la reconstrucció a l’estat previ. 03/09/2013 27Protectat Consultoria LOPD · www.protectat.es
  • 28. Còpies de seguretat i recuperació  El responsable del fitxer s’ha d’encarregar de verificar cada sis mesos els procediments de còpies de seguretat i recuperació de dades.  Les proves anteriors a la implantació o modificació dels sistemes d’informació no s’han de fer amb dades reals. 03/09/2013 28Protectat Consultoria LOPD · www.protectat.es
  • 29. Criteris d’arxivament  L’arxivament dels suports o documents s’ha de fer d’acord amb els criteris que preveu la seva respectiva legislació. 03/09/2013 29Protectat Consultoria LOPD · www.protectat.es
  • 30. Dispositius d’emmagatzematge  Els dispositius d’emmagatzematge de documents que continguin dades personals han de disposar de mecanismes que obstaculitzin obertura. 03/09/2013 30Protectat Consultoria LOPD · www.protectat.es
  • 31. Custòdia dels suports  Mentre la documentació amb dades personals no estigui arxivada en els dispositius d’emmagatzematge s’ha de custodiar. 03/09/2013 31Protectat Consultoria LOPD · www.protectat.es