El Reglamento de Proteccin de datos: Responsabilidades - PowerPoint PPT Presentation

1 / 36
About This Presentation
Title:

El Reglamento de Proteccin de datos: Responsabilidades

Description:

Objetivo: Establecer las medidas de ndole t cnica y organizativas necesarias ... personal autorizado para conceder, alterar o anular el acceso a los datos (art. ... – PowerPoint PPT presentation

Number of Views:61
Avg rating:3.0/5.0
Slides: 37
Provided by: aibauditor
Category:

less

Transcript and Presenter's Notes

Title: El Reglamento de Proteccin de datos: Responsabilidades


1
El Reglamento de Protección de datos
Responsabilidades
  • Ramón de la Iglesia Vidal
  • Alejandro Piqueras Sánchez

www.auditoriabalear.com
2
El Reglamento de Protección de datos
Responsabilidades
  • Introducción
  • Niveles de Seguridad
  • Documento de Seguridad
  • El Responsable de Seguridad
  • Sanciones Aplicables

3
El Reglamento de Protección de datos
Responsabilidades
  • Introducción
  • Objetivo Establecer las medidas de índole
    técnica y organizativas necesarias para
    garantizar la seguridad que deben reunir (art. 1
    RMS)
  • Los ficheros automatizados
  • Los centros de tratamiento locales
  • Equipos
  • Sistemas
  • Programas
  • Personas que intervengan en el proceso

4
El Reglamento de Protección de datos
Responsabilidades
  • Introducción

ltltDebemos de conocer la legislación vigente no
sólo para su obligado cumplimiento sino para
participar tanto en su desarrollo como en la
elaboración de nuestro propio deontológicogtgt.
  • Antecedentes legales. Internacionales.
  • La Organización de Naciones Unidas recoge hace
    tiempo una serie de principios rectores
    aplicables a los ficheros automatizados de datos
    personales que han sido la base de la actual
    legislación.

5
El Reglamento de Protección de datos
Responsabilidades
  • Introducción
  • Antecedentes legales Internacionales.
  • La Declaración Universal de los Derechos Humanos
    adoptada y proclamada por la ONU el 10 de
    diciembre de 1948.
  • Convenio Europeo para la Protección de los
    Derechos Humanos y Libertades Fundamentales de 4
    de noviembre de 1950.
  • Convenio nº 108 de 28 de Enero de 1.981, del
    Consejo de Europa para la protección de las
    personas con respecto al tratamiento automatizado
    de los datos de carácter personal. Donde al igual
    que en la ONU se establecen una serie de
    principios fundamentales referentes a la calidad
    de datos, la sensibilidad de los mismos, las
    medidas de seguridad, las sanciones y recursos y
    los flujos internacionales de datos.

6
El Reglamento de Protección de datos
Responsabilidades
  • Introducción
  • Antecedentes legales Europeos.
  • Resolución 721/80. Informática y protección de
    los derechos del hombre.
  • Recomendación 890/80. Protección de datos de
    carácter personal.
  • Recomendación 1037/86. Protección de datos y
    libertad de información.

7
El Reglamento de Protección de datos
Responsabilidades
  • Introducción

En España la primera norma que regula la
protección de datos es la Constitución Española
Artículo 18. Derecho al honor, a la intimidad y
a la propia imagen. 1. Se garantiza el derecho al
honor, a la intimidad personal y familiar y a la
propia imagen. 4. La ley limitará el uso de la
informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y
el pleno ejercicio de sus derechos.
8
El Reglamento de Protección de datos
Responsabilidades
  • Introducción
  • Es en la década de los 90 cuando en España cobra
    mayor auge la necesidad de legislar el tema que
    nos ocupa. En el año 1992 se aprueba la Ley
    Orgánica 5/1992, de 29 de octubre, de Regualación
    del Tratamiento Automatizado de Datos de Carácter
    Personal, más conocida como LORTAD, primera ley
    que regula la cuestión en profundidad.
  • El Reglamento que desarrollaba esta ley es el
    Real Decreto 994/1999, de 11 de junio, por el que
    se aprueba el Reglamento de medidas de seguridad
    de los ficheros automatizados que contengan datos
    de carácter personal.

9
El Reglamento de Protección de datos
Responsabilidades
  • Introducción
  • Ley Orgánica 15/1999 de 13 de diciembre de
    Protección de Datos de Carácter Personal.
  • La Ley Orgánica 15/1999 de 13 de Diciembre viene
    a renovar a la LORTAD. Evidentemente tiene por
    objeto el mismo que el mencionado artículo 18.4
    de nuestra Constitución y es de aplicación tanto
    a los ficheros públicos como privados que
    contengan datos de carácter personal.

10
El Reglamento de Protección de datos
Responsabilidades
  • Introducción
  • Principios reguladores de la protección de datos
  • 1. Sólo podrán recogerse aquellos datos de
    carácter personal que sean adecuados, pertinentes
    y no excesivos en relación con el ámbito y las
    finalidades determinadas, explícitas y legítimas
    para las que se hayan obtenido.
  • 2. Dichos datos no podrán usarse para finalidades
    incompatibles con aquellas para las que los datos
    hubieran sido recogidos.
  • 3. Los datos deben ser exactos y el responsable
    del fichero deberá actualizarlos de oficio en
    caso de ser inexactos.
  • 4. Los datos de carácter personal serán
    cancelados cuando hayan dejado de ser necesarios
    o pertinentes para la finalidad para la cual
    hubieran sido recabados o registrados.

11
El Reglamento de Protección de datos
Responsabilidades
  • Derechos de los particulares
  • Derecho a la información Consentimiento
    inequívoco del afectado.
  • Derecho de acceso Derecho a obtener información
    de los datos de carácter personal sometidos a
    tratamiento.
  • Derecho de rectificación.
  • Derecho de cancelación.
  • Deber de secreto.

12
El Reglamento de Protección de datos
Responsabilidades
  • Introducción ?
  • Niveles de Seguridad
  • Documento de Seguridad
  • El Responsable de Seguridad
  • Sanciones Aplicables

13
El Reglamento de Protección de datos
Responsabilidades
2. Niveles de Seguridad
  • Los Niveles de seguridad posibles son los
    siguientes
  • Nivel Básico
  • Nivel Medio
  • Nivel Alto

14
El Reglamento de Protección de datos
Responsabilidades
2. Niveles de Seguridad
  • Existen Medidas de Seguridad a tomar según
    clasificación de nivel de seguridad anterior
  • Medidas de seguridad de nivel básico
  • Sistema de Registro de incidencias.
  • Relación actualizada usuarios/recursos
    autorizados. (art. 11.1 y art. 12.3 RMS)
  • Existencia de mecanismos de identificación y
    autenticación de los accesos autorizados. (art.
    11 RMS)
  • Restricción solo a los datos necesarios para
    cumplir cada funcion (art 12.1 RMS)

15
El Reglamento de Protección de datos
Responsabilidades
2. Niveles de Seguridad
  • Medidas de seguridad de nivel básico
  • Gestión de Soportes informáticoscon datos de
    carácter personal (art. 12.1 RMS)
  • Inventariados
  • Acceso restringido
  • Copias de seguridad semanalmente.

16
El Reglamento de Protección de datos
Responsabilidades
2. Niveles de Seguridad
  • Medidas de seguridad de nivel medio, además de lo
    estipulado para nivel bajo
  • Designación de uno o varios responsables de
    seguridad (art. 16 RMS).
  • Auditoría al menos una vez cada dos años.
  • Mecanismos para identificación inequívoca y
    personalizada de los usuarios (art. 18.1 RMS).
  • Limitación de los intentos de acceso no
    autorizados (art. 18.2 RMS)

17
El Reglamento de Protección de datos
Responsabilidades
2. Niveles de Seguridad
  • Medidas de seguridad de nivel medio, además de lo
    estipulado para nivel bajo
  • Medidas de control de acceso físico a los locales
    (art. 19 RMS)
  • Establecimiento de un registro de entradas y
    salidas de soportes informáticos (art. 20.1 y 2
    RMS)
  • Establecimiento de medidas para impedir la
    recuperación indebida de información contenida en
    soportes desechados o ubicados fuera de su lugar
    habitual (art. 20.3 y 4 RMS)
  • Consignación en el registro de incidencias de las
    operaciones de recuperación de datos, que deberán
    ser autorizados por escrito por el responsable
    del fichero (art. 21 RMS)

18
El Reglamento de Protección de datos
Responsabilidades
2. Niveles de Seguridad
  • Medidas de seguridad de nivel alto, además de lo
    estipulado para nivel medio
  • Los soportes para distribución deberán tener la
    información cifrada (art. 23 RMS).
  • Registro de accesos, autorizados y denegados
    (art. 24 RMS).
  • Guardar estos registros durante 2 años.
  • Copias de seguridad guardadas en sitio diferente
    (art. 25 RMS).
  • Transmisiones cifradas (art. 26 RMS).

19
El Reglamento de Protección de datos
Responsabilidades
2. Niveles de Seguridad
  • Otras medidas de seguridad exigibles a todos los
    ficheros
  • Los accesos por red están sujetas las mismas
    medidas de seguridad exigibles del nivel de
    seguridad en moo local (art. 5 RMS).
  • El tratamiento de los datos fuera del local será
    autorizado expresamente por el responsable del
    fichero.
  • Los ficheros temporales se borrarán una vez
    usados, tambien se le aplicará el nivel de
    seguridad pertinente.
  • El responsable del fichero elaborará el documento
    de seguridad (art. 8.1 RMS).
  • Las pruebas con datos reales seguirán las medidas
    de seguridad pertinentes (art. 22 RMS).

20
El Reglamento de Protección de datos
Responsabilidades
  • Introducción ?
  • Niveles de Seguridad ?
  • Documento de Seguridad
  • El Responsable de Seguridad
  • Sanciones Aplicables

21
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 1. Introducción
  • En el reglamento no se indica la forma sino el
    contenido.
  • Está destinado al personal con acceso a los datos
    automatizados.
  • Redactado por el responsable del fichero.
  • Es un documento dinámico

22
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 2. Contenido del documento de seguridad.
  • Ámbito de aplicación del documento, con
    especificación detallada de los recursos
    protegidos.
  • Medidas, normas procedimientos, reglas y
    estándares encaminados a garantizar el nivel de
    seguridad exigido en el
  • Reglamento de medidas de seguridad.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter
    personal y descripción de los sistemas de
    información que los tratan.
  • Procedimiento de notificación, gestión y
    respuesta ante las incidencias.

23
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 2. Contenido del documento de seguridad.
  • Procedimientos de realización de copias de
    seguridad y recuperación de datos.
  • Identificación del personal autorizado para
    conceder, alterar o anular el acceso a los datos
    (art. 12.4 RMS) .
  • Identificación del responsable o responsables de
    seguridad (art. 15 RMS).
  • Calendario de auditorías (art. 15 RMS).
  • Procedimiento de eliminación de datos cuando un
    soporte vaya a ser desechado o reutilizado (art.
    15 RMS).
  • Identificación del personal con acceso a los
    locales donde se encuentran los sistemas de
    información (art. 19 RMS).

24
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 3. Medidas de índole técnica y de índole
    organizativa.
  • Las medidas de seguridad deben responder según el
    art. 17 de la Directiva 95/46/CE
  • A los conocimientos técnicos existentes
  • Al coste de su aplicación
  • A los riesgos que presente el tratamiento de los
    datos
  • A la naturaleza de estos
  • En la transposición de la Directiva de la LOPD se
    omite la referencia al coste de la adopción.

25
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 4. Medidas de índole técnica y de índole
    organizativa en el documento de seguridad.

26
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 4. Medidas de índole técnica y de índole
    organizativa en el documento de seguridad.

27
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 4. Medidas de índole técnica y de índole
    organizativa en el documento de seguridad.

28
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 4. Medidas de índole técnica y de índole
    organizativa en el documento de seguridad.

29
El Reglamento de Protección de datos
Responsabilidades
3. Documento de Seguridad
  • 5. Funciones y obligaciones del personal.
  • Funciones de los usuarios
  • Root
  • Administradores
  • Usuarios
  • Procedimiento de acceso.

30
El Reglamento de Protección de datos
Responsabilidades
  • Introducción ?
  • Niveles de Seguridad ?
  • Documento de Seguridad ?
  • El Responsable de Seguridad
  • Sanciones Aplicables

31
El Reglamento de Protección de datos
Responsabilidades
4. El Responsable de Seguridad
  • Nivel Medio y alto.
  • Coordinar y controlar las medidas definidas en el
    documento de seguridad.
  • Analizar informes de auditoría.
  • Control de los mecanismos de acceso del art. 24
  • Informes de los registros.
  • No tiene las responsabilidades del responsable de
    fichero.

32
El Reglamento de Protección de datos
Responsabilidades
  • Introducción ?
  • Niveles de Seguridad ?
  • Documento de Seguridad ?
  • El Responsable de Seguridad ?
  • Sanciones Aplicables

33
El Reglamento de Protección de datos
Responsabilidades
5. Sanciones Aplicables
  • Responsabilidades
  • Art 9.2 El responsable del fichero adoptará las
    medidas necesarias para que el personal conozca
    las normas de seguridad que afecten al desarrollo
    de sus funciones así como las consecuencias en
    que pudiera incurrir en caso de incumplimiento.
     
  • Art 16 El responsable del fichero designará uno
    o varios responsables de seguridad encargados de
    coordinar y controlar las medidas definidas en el
    documento de seguridad.  En ningún caso esta
    designación supone una delegación de la
    responsabilidad que corresponde al responsable
    del fichero de acuerdo con este Reglamento.

34
El Reglamento de Protección de datos
Responsabilidades
5. Sanciones Aplicables
  • Sanciones (LOPD)
  • Leves (601,01 a 60.101,21 Euros)
  • Graves (60.101,21 a 300.506,05 Euros)
  • Muy graves (300.506,05 a 601.012,10 Euros)
  • La cuantía de las sanciones se graduará
    atendiendo a la naturaleza de los derechos
    personales afectados, al volumen de los
    tratamientos efectuados, a los beneficios
    obtenidos, al grado de intencionalidad, a la
    reincidencia, a los daños y perjuicios causados a
    las personas interesadas y a terceras personas, y
    a cualquier otra circunstancia que sea relevante
    para determinar el grado de anti juridicidad y de
    culpabilidad presentes en la concreta actuación
    infractora.

35
El Reglamento de Protección de datos
Responsabilidades
  • Conclusiones
  • No es económicamente viable para Pymes, aunque
    si puede servir de guía.
  • Invertir en un responsable o equipo de
    seguridad.
  • Gran importancia del Documento de Seguridad.
  • Multas/Auditorias/Consultorías.

36
El Reglamento de Protección de datos
Responsabilidades
Auditoría Informática Balear
www.auditoriabalear.com
Write a Comment
User Comments (0)
About PowerShow.com