Successfully reported this slideshow.

Llei de Protecció de dades de caràcter personal (LOPD)

2,074 views

Published on

Llei de protecció de dades de caràcter personal de l'Estat espanyol

Published in: Education
  • Be the first to comment

Llei de Protecció de dades de caràcter personal (LOPD)

  1. 1. Seguretat Informàtica Legislació de seguretat i protecció de dadesLlei de protecció de dades decaràcter personal Xavier Sala Pujolar IES Cendrassos
  2. 2. LOPD● Lobjectiu daquesta llei és regular el tractament de dades personals per tal de garantir i protegir – Les llibertats públiques – Els drets fonamentals de les persones – Lhonor – La intimitat personal i familiar● Defineix – un marc per dir què sha de reglamentar – Defineix organismes reguladors i sancionadors Administració de Sistemes Informàtics i Xarxes
  3. 3. LOPD i el Reglament● La llei no defineix cap tipus de mesura que indiqui com han dactuar les empreses per complir els objectius previstos● Les mesures concretes a prendre apareixen en el Reglament de Desenvolupament de la LOPD que es va aprovar molt més tard Reglament LOPD de la LOPD Administració de Sistemes Informàtics i Xarxes
  4. 4. A què afecta la LOPD?● A les dades personals que estiguin registrades en qualsevol suport que en permeti el tractament i al seu ús posterior – Bases de dades, fitxers, ... – No només suports informàtics Administració de Sistemes Informàtics i Xarxes
  5. 5. A què NO afecta la LOPD?● No afecta als fitxers fets per ús domèstic o personal sempre que no siguin usats per activitats professionals – Llistats telefònics, etc.. Administració de Sistemes Informàtics i Xarxes
  6. 6. A qui afecta la LOPD?● A totes les empreses i organitzacions de lEstat espanyol que facin servir suports demmagatzematge de dades – Simplement tenint una senzilla base de dades de clients o de socis implica que sha de complir la LOPD Per tant són totes les empreses i organitzacions de lEstat Administració de Sistemes Informàtics i Xarxes
  7. 7. A qui afecta la LOPD?● Afecta tant a organismes privats com públics – Empreses – Organismes públics (Ajuntaments, etc...) ● També estan obligats a complir amb la Llei tot i que no poden ser multats Administració de Sistemes Informàtics i Xarxes
  8. 8. Què protegeix?“cualquier información concerniente a personas físicas identificadas o identificables” Article 3 Administració de Sistemes Informàtics i Xarxes
  9. 9. Dades de caràcter personal Nom Experiència professional DNI Adreça ideologia Estudis Rentes NSS Propietats Estat civil Dades bancaries religió correu electrònicMatricula del cotxe ideologia imatge professió ADN ingressos Administració de Sistemes Informàtics i Xarxes
  10. 10. Dades de caràcter personal● La imatge dun treballador (foto o gravació de vídeo): “…la grabación de la imagen de una persona, ya sea trabajador o no de la empresa, es un dato personal, siendo éste el criterio de la Agencia Española de Protección de Datos…” (Resolució R/00035/2006)● El correu electrònic ““…no existe duda de que la dirección decorreo electrónico identifica, incluso de forma directa, al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal” (Informe Jurídic 0391/2007) Administració de Sistemes Informàtics i Xarxes
  11. 11. Dades de caràcter personal● Dades de trànsit Informació sobre els llocs visitats, temps que hi ha estat, ordre en que sha visitat, forums en que sha participat, adreces de correu enviades o rebudes, ...● Ladreça IP● Les cookies del navegador● La gravació de veu● Dades biomètriques (empremtes digitals, iris, etc...)● La imatge dun client, amic o partidari● ... Administració de Sistemes Informàtics i Xarxes
  12. 12. Dades especialment protegides● Es consideren dades especialment protegides les que donin informació sobre: – Ideologia – Afiliaciósindical – Religió o creences – Origen racial – Vida sexual – Salud Administració de Sistemes Informàtics i Xarxes
  13. 13. LOPDRecollida de dades Administració de Sistemes Informàtics i Xarxes
  14. 14. Recollida Dades● En general: No es poden recollir dades de caràcter personal sense lautorització de lusuari Segons les dades lautorització pot haver de ser per escrit ? OK Administració de Sistemes Informàtics i Xarxes
  15. 15. Autorització● Hi ha excepcions conegudes com dades de caràcter públic – Cens promocional – Llistins telefònics – Llistes de persones de grups professionals si només tenen: ● nom, títol, professió, activitat, grau acadèmic, adreça i indicació de pertànyer al grup – Els diaris i butlletins oficials – Els medis de comunicació Administració de Sistemes Informàtics i Xarxes
  16. 16. Recollida Dades● Sempre: Sha dinformar a lusuari del motiu pel que es recullen les seves dades – Qualsevol canvi en lobjectiu invalida el permís de lusuari – Si sarriba a lobjectiu les dades shan deliminar ? Bla, bla! Administració de Sistemes Informàtics i Xarxes
  17. 17. Recollida Dades● Sempre: Lusuari ha de disposar dun mecanisme per poder canviar o esborrar les seves dades ? OK NO OK Administració de Sistemes Informàtics i Xarxes
  18. 18. Informació a lafectat Administració de Sistemes Informàtics i Xarxes
  19. 19. Informació a lafectat Administració de Sistemes Informàtics i Xarxes
  20. 20. LOPDCessió o transferència de dades Administració de Sistemes Informàtics i Xarxes
  21. 21. Recollida Dades● En general: No es poden passar les dades recollides a cap altra empresa No tenen el permís de lusuari ? OK Administració de Sistemes Informàtics i Xarxes
  22. 22. Cessió de dades● Només es poden transferir dades en condicions restringides – Autorització per Llei o per un jutge – Si són dades de fonts públiques – Les Administracions públiques per fins estadístics, històrics o científics – Per urgències de salut – Si sha evitat que puguin ser reconegudes les persones Administració de Sistemes Informàtics i Xarxes
  23. 23. Accés per tercers● No es considera cessió quan laccés es faci per un tercer per la prestació dun servei al responsable – Agència: càlcul de nòmines duna empresa – Comunitat de veïns: Emissió de rebuts● Però: – Ha destar regulat per un contracte i shan de prendre les mesures de seguretat pertinents – Shan de destruir les dades un cop acabat el servei Administració de Sistemes Informàtics i Xarxes
  24. 24. Transferències internacionals● Saccepten les cessions a països que tinguin una protecció de dades semblant – Unió Europea, Argentina, Suïssa – Els Estats Units no!● Empreses amb un codi ètic acceptat – “Safe Harbor”● Pels altres cal permís del Director de lAPD Administració de Sistemes Informàtics i Xarxes
  25. 25. LOPDObligacions de les organitzacions Administració de Sistemes Informàtics i Xarxes
  26. 26. Registrar els fitxers● Sempre que es tingui un fitxer amb dades de caràcter personal sha de registrar● Sha de notificar al registre de lAgència de Protecció de Dades● Es pot fer per Internet Administració de Sistemes Informàtics i Xarxes
  27. 27. Inscripció al registre● Al registrar un fitxer shan despecificar els diferents responsables: – Responsable del fitxer (propietari) ● És qui nespecifica el contingut i en farà ús – Encarregat del tractament ● Qui se nencarregarà del tractament de les dades en nom del responsable – Responsable de seguretat ● Se nencarrega de controlar que es compleixen els mecanismes de seguretat implantats. ● No cal sempre Administració de Sistemes Informàtics i Xarxes
  28. 28. Obligacions del propietari del fitxer Informar als afectats i garantir lús adequat de les dadesDADES Prendre les mesures de seguretat adequades Declarar el fitxer en el Registre General Administració de Sistemes Informàtics i Xarxes
  29. 29. Lencarregat del tractament ● Ha de tenir en compte els principis de secret Fer el tractament de dades professional ● Té la obligació deTractament guardar-les correctament ● Les empreses han Resultats dinformar als empleats del deure de secret i de les conseqüències del seu incompliment Administració de Sistemes Informàtics i Xarxes
  30. 30. Mantenir la qualitat● El responsable del tractament ha de garantir la qualitat de les dades: – Les dades han de ser tractades de forma legal i lícita – Només es poden recollir per fins concrets i determinats – Les dades han de ser exactes i mantenir-se actualitzades – Només shan de conservar el temps estrictament necessari Administració de Sistemes Informàtics i Xarxes
  31. 31. El responsable de seguretatNo és obligatori sempre ● Definir el document de seguretat i controlar-ne les mesures ● Mantenir la llista dusuaris i permisos daccés ● Informar als usuaris ● Fer backups i registrar les incidències Administració de Sistemes Informàtics i Xarxes
  32. 32. Document de seguretat● Sempre sha de crear un document de seguretat on hi han dhaver: – Les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades i evitin la seva: ● Alteració, pèrdua i tractament o accés no autoritzat Administració de Sistemes Informàtics i Xarxes
  33. 33. Document de seguretat● El document ha de tenir com a mínim: – Àmbit dactuació (fitxers, sistemes, persones) – Mesures, normes i procediments per garantir el nivell de seguretat – Funcions i obligacions del personal amb les dades – Estructura dels fitxers amb dades de caràcter personal – Procediment de notificació, gestió i resposta als incidents – Mesures a adoptar pel transport de suports i documents i com es farà per destruir-los Administració de Sistemes Informàtics i Xarxes
  34. 34. Auditoria de seguretat● La auditoria de la LOPD se nencarrega de revisar: – En quin entorn es troben els fitxers – De la existència de controls adequats per garantir el tractament segur de les dades ● Quins usuaris tenen accés ● Polítiques de renovació dusuaris ● Accessos remots a la empresa ● Control dels accessos ● Fitxers temporals – Controlar els procediments que es segueixen per garantir els mecanismes de seguretat Administració de Sistemes Informàtics i Xarxes
  35. 35. Mesures de seguretat● El Reglament defineix quines són les mesures de seguretat a aplicar segons siguin les dades● Es defineixen tres nivells de mesures segons el tipus de dades que semmagatzemin – Nivell bàsic – Nivell mig – Nivell alt Administració de Sistemes Informàtics i Xarxes
  36. 36. Dades protegidesDades de nivell bàsicNom, cognoms, dades de contacte (qualsevol), altres dades que no siguin denivell mig o altDades de nivell migDades sobre infraccions penals o administratives, que ofereixin definició decaracterístiques de personalitat o característiques i permetin avaluar la sevapersonalitat o comportament , dades responsabilitat dHisenda, dadesresponsabilitat dels bancs, dades responsabilitat de la Seguretat Social,Dades de proveïdors de TelecomunicacionsDades de nivell altIdeologia, afiliació sindical, religió i creences, origen racial, salut, vida sexual,dades per fins policials sense consentiment, dades derivades de la violènciade gènere Administració de Sistemes Informàtics i Xarxes
  37. 37. Classificació de les mesures● Es defineixen les mesures a prendre en funció del nivell de seguretat de les dades que continguin● Són acumulatives: Mesures Mesures Mesures nivell bàsic nivell mig nivell alt Administració de Sistemes Informàtics i Xarxes
  38. 38. Mesures de nivell bàsicMesures de nivell bàsic ● Creació dun document de seguretat dobligat compliment pel personal que tingui accés a les dades ●Adopció de mesures perquè el personal conegui les normes de seguretat ● Creació dun registre dincidències ●Creació duna relació dusuaris (processos o persones) que tinguin accés al sistema dinformació ● Establir mecanismes de control daccés ●Establir mecanismes de control dels suports i de les còpies de seguretat Administració de Sistemes Informàtics i Xarxes
  39. 39. Mesures de nivell migMesures de nivell mig ● Totes les de nivell bàsic ● Identificació del responsable de seguretat ●Control periòdic per verificar el compliment del document de seguretat ●Definir les mesures per eliminar els suports de còpies de seguretat ● Auditoria interna o externa almenys cada 2 anys ● Mecanismes per identificar a tots els usuaris que intentin accedir al sistema i limitar el número dintents ● Normes de gestió de suports de còpies Administració de Sistemes Informàtics i Xarxes
  40. 40. Mesures de nivell altMesures de nivell alt ●Shan de complir totes les normes dels nivells bàsic i mig ● Hi ha una sèrie de mesures extres en ● Distribució i gestió de suports de còpies de seguretat ● Registres daccés lògics (usuari, hora, tipus) ● Control i registre daccessos físics ● Còpies de seguretat i recuperació ● Les comunicacions de dades han destar xifrades Administració de Sistemes Informàtics i Xarxes
  41. 41. Resum de mesures Bàsic Mig AltDisposar dun document de seguretat X X XNomenar un responsable de seguretat X XExplicar les funcions de seguretat al personal X X XPortar un registre dincidències (restauracions, etc..) X X XImplementar mecanismes didentificació i autentificació X X XSistemes de control daccés lògic X X XSistemes de control daccés físic X XGestió i control dels suports i documents. Registre entrada/sortida X X XFer i controlar les còpies de seguretat (1 fora del lloc) X X XFer una auditoria cada dos anys X XNo fer proves amb dades reals X XDistribuir els suports demmagatzematge XTenir un registre daccés XXifrat de les telecomunicacions X Administració de Sistemes Informàtics i Xarxes
  42. 42. LOPDDrets de les persones Administració de Sistemes Informàtics i Xarxes
  43. 43. Drets ARCO● Els ciutadans continuen tenint una sèrie de drets sobre les dades que shagin cedit a una organització● Es coneixen com drets ARCO (accés, rectificació, cancel·lació i oposició)● El seu objectiu segons el tribunal Constitucional és: “Garantir a la persona un poder de control sobre les seves dadespersonals, cosa que només és possible i efectiu imposant a tercers els drets mencionats” Administració de Sistemes Informàtics i Xarxes
  44. 44. Dret dinformació● Quan es demani una dada per emmagatzemar sha de dir de forma clara perquè es demana i perquè es farà servir● Sha dinformar a lindividu dels seus drets i la identitat del responsable del tractament DADES Administració de Sistemes Informàtics i Xarxes
  45. 45. Dret dinformació● Qualsevol ciutadà té dret a saber les dades que emmagatzema lempresa consultant el registre Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita. Article 14 Administració de Sistemes Informàtics i Xarxes
  46. 46. Dret dinformació● El ciutadà té dret a consultar el Registre General de Protecció de Dades Quines dades emmagatzema Lempresa? COMUNICACIÓ DEL FITXER DADES Empresa Administració de Sistemes Informàtics i Xarxes
  47. 47. Dret daccés● Permet al ciutadà dirigir-se al responsable del fitxer i demanar-li gratuïtament: ? – Quines dades tenen sobre ell – Quina és la finalitat del tractament – Informació sobre lorigen de les dades – Comunicacions de dades que shan fet o que es volen fer Administració de Sistemes Informàtics i Xarxes
  48. 48. Dret de rectificació i cancel·lació● Pot demanar que es modifiquin les dades inexactes, inadequades, excessives o incompletes cancel·lar / modificar FET● Pot demanar que les dades siguin esborrades – Excepcions en administracions, jutges o tribunals però han destar bloquejades Administració de Sistemes Informàtics i Xarxes
  49. 49. Dret doposició● El ciutadà es pot dirigir al responsable per demanar-li que deixi de treballar amb les seves dades: No vull que es facin servir OK – Si no hi ha consentiment (encara que sigui permès legalment) – Si es fa per publicitat o prospecció comercial – En base al tractament automatitzat Administració de Sistemes Informàtics i Xarxes
  50. 50. Tutela de dret● Si a un ciutadà se li denegen els seus drets pot interposar una denuncia a la AGPD Possible indemnització Multa Petició NO Administració de Sistemes Informàtics i Xarxes
  51. 51. LOPDAgència de protecció de dades Administració de Sistemes Informàtics i Xarxes
  52. 52. Agència de Protecció de Dades● La llei defineix la creació de lAgencia Española de Protección de Datos (AEPD) que se nencarrega de : – Regular el compliment de la normativa – Sancionar els incompliments – Gestionar el Registre de fitxers Administració de Sistemes Informàtics i Xarxes
  53. 53. Agència Catalana de Protecció de Dades● En algunes comunitats les tasques han estat transferides i tenen la seva pròpia agència: – Catalunya, Madrid i Euskadi● A Catalunya hi ha lAgència Catalana de Protecció de dades http://www.apdcat.net/ Administració de Sistemes Informàtics i Xarxes
  54. 54. Agència de Protecció de Dades● També es crea el Registre General de Protecció de Dades● Els fitxers hi han destar inscrits i registrats – Es pot fer a través de formularis electrònics en la web de lAEPD – A Catalunya a través de la web de lACPD Administració de Sistemes Informàtics i Xarxes
  55. 55. Infraccions● Una altra de les funcions de lAgència és imposar multes pels incompliments de la llei● Les sancions poden ser: – Lleus – Greus – Molt greus Administració de Sistemes Informàtics i Xarxes
  56. 56. Dades de caràcter personal● Segons lagència les denuncies més fetes durant el 2009 han estat: – Eliminació de dades de pàgines web – Inclusions errònies a Llistes de morosos – Problemes amb la Videovigilància Administració de Sistemes Informàtics i Xarxes
  57. 57. Infraccions i sancionsInfraccions lleusde 600 fins a 60.101€ ● No inscriure el fitxer en el registre ● Recollir dades sense informar al titular de: - Lexistència del fitxer - De perquè es faran servir - Dels drets de lusuari - De qui és el responsable del fitxer ● No atendre a les sol·licituds dels afectats Administració de Sistemes Informàtics i Xarxes
  58. 58. Infraccions greusInfraccions greusFins a 300.506 € ● Recollir dades sense el consentiment de lafectat ● Destinar dades a una finalitat diferent a la per la que es va demanar ● Crear un fitxer públic sense autorització especial ● No adoptar les mesures de seguretat estipulades ● Mantenir dades inexactes i no fer les correccions o cancel·lacions Administració de Sistemes Informàtics i Xarxes
  59. 59. Infraccions molt greusInfraccions molt greusFins a 601.102 € ● No atendre als drets dels usuaris sistemàticament ● Recollida de dades de forma enganyosa o fraudulenta ● Comunicar o cedir dades il·legalment Administració de Sistemes Informàtics i Xarxes

×