AGENCIA ESPA

1
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Y
MEDIDAS DE SEGURIDAD
María José Blanco Antón Subdirectora
General Registro General de Protección de Datos
2

• AGENCIA ESPAÑOLA DE
• PROTECCIÓN DE DATOS

3
Qué es la AEPD- Breve descripción

• Ente de Derecho Público con personalidad jurídica
  propia y plena capacidad pública y privada.
• Actúa con independencia de las Administraciones
  Públicas en el ejercicio de sus funciones.
• Dirigida por un Director elegido entre los
  miembros del Consejo Consultivo para un periodo
  de cuatro años.
• Amplios poderes de supervisión.
• Atiende y resuelve todas las denuncias de los
  ciudadanos
• Presentación anual de una memoria.
• Sus decisiones sólo pueden ser recurridas ante la
  vía contencioso-administrativa.

4
Funciones

• En General
• Velar por el cumplimiento de la legislación sobre
  protección de datos y controlar su aplicación, en
  especial en lo relativo a los derechos de
  información, acceso, rectificación, oposición y
  cancelación de datos.
• En relación con los afectados
• Atender sus peticiones y reclamaciones.
• Información de los derechos reconocidos en la
  Ley.
• Promover campañas de difusión a través de los
  medios.
• En relación con quienes tratan datos
• Emitir autorizaciones previstas en la Ley.
• Requerir medidas de corrección.
• Ordenar, en caso de ilegalidad, el cese en el
  tratamiento y la cancelación de los datos.
• Ejercer la potestad sancionadora.
• Recabar ayuda e información que precise.
• Autorizar las transferencias internacionales de
  datos.

5
Otras funciones

• En la elaboración de normas
• Informar los Proyectos de normas de desarrollo de
  la LOPD y sobre los Proyectos de normas que
  incidan en materias de protección de datos.
• Dictar Instrucciones y recomendaciones de
  adecuación de los tratamientos a la LOPD y en
  materia de seguridad y control de acceso a los
  ficheros.
• En materia de telecomunicaciones
• Tutelar los derechos y garantías de los abonados
  y usuarios en el ámbito de las comunicaciones
  electrónicas. (Competencias atribuidas por la LGT
  y la LSSI.
•  Además
• Velar por la publicidad de los ficheros
  (www.agpd.es)
• Cooperación Internacional. 
• Representación de España en los foros
  internacionales en la materia.
• Control y observancia de lo dispuesto en la Ley
  reguladora de la Función Estadística Pública.
• Elaboración de una Memoria Anual, presentada por
  conducto del Ministro de Justicia a las Cortes
  Generales.

6
Estructura de la AEPD

• (Consejo Consultivo)
• Un Diputado
• Un Senador
• Un representante de la AGE
• Un representante de la A. Local
• Un miembro de la R.A. Historia
• Un experto (Universidades)
• Un representante de Consumidores y Usuarios
• Un representante de cada CCAA con Agencia de
  Protección de Datos
• Un representante del sector de ficheros privados

• Director
• Director
• Unidad de Apoyo
• (Adjunto al Director)
• (Jefe de Gabinete)
• (Gabinete Jurídico)
• (Área de Documentación)
• (Área Internacional)
• Registro General de Protección de Datos (RGPD)
• (Inspección de Datos)
• (Secretaría General)

7
Estructura de la AEPD

• Director
• Ostenta la representación de la Agencia
• Sus actos se considerarán como propios de la
  Agencia
• Nombrado por Real Decreto de entre los miembros
  del Consejo Consultivo a propuesta del Ministro
  de Justicia
• Independiente y no sometido a mandato imperativo
  alguno
• Mandato de cuatro años
• Causas de cese  
• A petición propia
• Por separación en caso de incumplimiento grave,
  incapacidad, incompatibilidad o comisión de
  delito doloso
• Funciones del Director
• Resoluciones (ponen fin a la vía administrativa
  recurribles ante la Sala de lo Contencioso de la
  Audiencia Nacional)
• Coordinación con las autoridades autonómicas
• Funciones de gestión

8
Estructura de la AEPD

• Consejo Consultivo
• Órgano Colegiado de asesoramiento del Director
• Emitirá informe en todas las cuestiones que le
  solicite el Director 
• Formulará propuestas en materia de protección de
  datos
• Se reunirá al menos una vez cada seis meses
• El Director será elegido de entre sus miembros
• Unidad de Apoyo
• El Gabinete Jurídico asesora verbalmente y por
  escrito al Director y las distintas
  subdirecciones y a otras Administraciones
  Públicas.
• Resuelve informes (planteados por los ciudadanos,
  por las Administraciones Públicas, Disposiciones
  de carácter general.
• Actividades divulgativas (conferencias y
  presentaciones en foros nacionales e
  internacionales)

9
Subdirecciones de la AEPD

• Registro General de Protección de Datos
• Función Velar por la publicidad de los ficheros
  y tratamientos de datos
• Inscripción de ficheros notificados
• Autorización de transferencias internacionales de
  datos
• Inscripción de Códigos Tipo
• Subdirección de Inspección de Datos
• Comprobación de la legalidad de los tratamientos
• Inspectores de datos
• Instrucción de procedimientos (Tutelas de
  derechos, Procedimientos sancionadores,
  Procedimientos de infracción por las
  Administraciones Públicas)
• Planes de Oficio Finalidad 'preventiva'.
• La Secretaría General de la Agencia
• Apoyo al adecuado funcionamiento de la Agencia
• Funciones de gestión, por Delegación del Director
  
• Otras complementarias Fondo de documentación,
  edición de repertorios, Memoria y publicaciones y
  preparación de conferencias
• Atención al ciudadano en las cuestiones que
  plantee, relacionadas con la protección de datos

10
Recursos de la AEPD (Art. 35 LOPD)

• Asignaciones anuales con cargo a los Presupuestos
  Generales del Estado.
• Bienes y valores que constituyan su patrimonio, y
  los productos y rentas del mismo.
• Cualesquiera otros que puedan serle legalmente
  atribuidos.

11
Cifras de interés

• A 31 de diciembre de 2008
• 167 personas
• 1.267.579 ficheros registrados 31-03-09
  1.376.085
• 1.509.392 consultas al Catálogo de ficheros del
  RGPD 31-03-09 621.743
• 277 autorizaciones de transferencias
  internacionales 31-03-09 298
• 12 codigos tipo
• 72.650 consultas en atención al ciudadano
• 690 informes de Gabinete Jurídico
• 79 informes preceptivos sobre proyectos
  normativos
• 2.362 hechos denunciados e investigaciones de
  oficio
• 22.625.839 importe de sanciones declaradas
• 2.277.065 accesos a la página web

12
Prioridades I

• Normalización de la Cultura de Protección de
  Datos
• Potenciación de las acciones preventivas
• Cooperación con las Agencias Autonómicas
• Intensificación de las actividades
  internacionales

13
Prioridades II

• NORMALIZACIÓN DE LA CULTURA DE PROTECCIÓN DE
  DATOS
• Servicio de Atención al Ciudadano
• Página web
• Acciones de difusión (Seminarios, Congresos,
  Cursos de formación)
• Colaboración institucional Protocolos de
  Colaboración con otras instituciones
  (Universidades, Consejo de Cámaras de Comercio,
  Colegios Profesionales, Fundaciones)
• Política de Comunicación Transparencia y
  accesibilidad
• Publicación de las Resoluciones de la AEPD.

14
(No Transcript)
15
Prioridades III

• APLICACIÓN DEL REGLAMENTO DE DESARROLLO DE LA
  LOPD
• Principio de Seguridad Jurídica
• Vigencia de las normas de desarrollo de la LORTAD
• Dispersión normativa
• Ausencia de Exposición de Motivos en la LOPD
• Principales aspectos
• Consolidación de la Jurisprudencia del Tribunal
  Supremo y la Audiencia Nacional y de la doctrina
  de la AEPD
• Delimitación clara del ámbito de aplicación
• Incorporación de determinados conceptos
• Regulación detallada de ciertos aspectos
• Subcontratación de servicios y encargado del
  tratamiento. Medidas de Seguridad. Deber de
  información y obtención del consentimiento.
  Derecho de oposición. Transferencias
  Internacionales.

16
POTENCIACIÓN DE LAS ACCIONES PREVENTIVAS
Prioridades IV

• Acuerdos de la cooperación con diversos agentes
  en el área de protección de datos
• Grupos de trabajo para estudiar y encontrar
  soluciones amistosas en protección de datos
  respecto a los problemas sectoriales
• Planeamiento y puesta en marcha de intervenciones
  sectoriales anuales
• Publicación de Recomendaciones para ayudar a los
  responsables a cumplir con la legislación de
  protección de datos en areas determinadas.

• Estudio preliminar del sector
• Plan de Auditoría
• Estudio del sector
• Hechos encontrados
• Informe final del inspector
• Conclusiones
• Recomendaciones
• Puesta en práctica

17
INTENSIFICACIÓN DE LA ACTIVIDAD INTERNACIONAL

Prioridades V

• Relaciones con Europa
• Relaciones con Iberoamerica
• Relaciones con Estados Unidos
• 31 Conferencia Internacional de Protección de
  Datos
• Madrid, 3-5 noviembre 2009

18
Relaciones con Europa
Área Internacional

• Grupo del Artículo 29
• ACC en Europol
• ACC en Schengen
• ACC en el Sistema de Información Aduanero
• ACC Eurojust
• Consejo de Europa
• Conferencias, Grupos de Trabajo y Cooperación
• Conferencia de Primavera de las Autoridades
  europeas de Protección de Datos
• El Grupo de Telecomunicaciones de Berlín
• Conferencia Internacional de Autoridades de
  Protección de Datos y Privacidad

19
Área Internacional

• Relaciones con Iberoamérica
• Promover la adopción de medidas legislativas para
  garantizar la protección de Datos.
• Asesorar en los proyectos legislativos de
• Colombia - Costa Rica
• El Salvador - Mexico
• Nicaragua - Uruguay
• Venezuela
• Presidencia y Secretaría permanente de la Red
  Iberoamericana de Protección de Datos.
• Encuentros Iberoamericanos

20

• REAL DECRETO 1720/2007, de 21 de diciembre, por
  el que se aprueba el REGLAMENTO DE DESARROLLO DE
  LA LOPD
• - MEDIDAS DE SEGURIDAD-

21
ACTUAL MARCO NORMATIVO-PROTECCIÓN DE DATOS
1992 1995 1999 2007
2008 2009
RD 994/1999 Reglamento de medidas de seguridad
ficheros automatizados
LORTAD aplicación a tratamientos automatizados
DIRECTIVA 95/46/CE tratamientos automatizados y
no automatizados
LOPD
Reglamento de desarrollo LOPD (RLOPD) RD 1720/2007
19-4-2008 entrada en vigor RLOPD

19-4-2009 Fin primer plazo DT 2ª RD 1720/2007
Instrucción 1/2006 Videovigilancia
22

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• - NOVEDADES -
• Aplicación a ficheros manuales
• Sistematización de los niveles básico, medio y
  alto
• Aclaraciones con el objeto de facilitar el
  cumplimiento de las medidas de seguridad
• Flexibilidad

23

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Artículo 5.2. Definiciones
• Título VIII. MEDIDAS DE SEGURIDAD en el
  tratamiento de datos de carácter personal
• Capítulo I. Disposiciones generales (arts. 79 -
  87)
• Capítulo II. Del documento de seguridad (art. 88)
• Capítulo III. Medidas de seguridad aplicables a
  ficheros y tratamientos AUTOMATIZADOS
• Sección Primera. Medidas de seguridad de nivel
  básico (arts. 89 - 94)
• Sección Segunda. Medidas de seguridad de nivel
  medio (arts. 95 - 100)
• Sección Tercera. Medidas de seguridad de nivel
  alto (arts. 101 - 104)
• Capítulo IV. Medidas de seguridad aplicables a
  ficheros y tratamientos NO AUTOMATIZADOS

24

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Definiciones (art. 5.2)
• Documento
• Unidad diferenciada de información
• Ficheros manuales
• Ficheros temporales
• Tratamiento ocasional, paso intermedio en un
  tratamiento de datos
• Perfil de usuario
• Grupos de usuarios
• Sistema de tratamiento
• Modo de organización automatizado, no
  automatizado
• o parcialmente automatizado

25

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Disposiciones generales
• Niveles de seguridad Básico, Medio y Alto
• Aplicación de los niveles de seguridad
• ALTO Datos especialmente protegidos
• Fines policiales sin consentimiento de las
  personas afectada
• Violencia de género
• MEDIO Infracciones administrativas o penales
• Servicios de información sobre solvencia
  patrimonial y crédito
• Administraciones Tributarias - potestades
  tributarias
• Entidades financieras - servicios financieros

26

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Las medidas de seguridad tienen que aplicarse a
  cualquier fichero o tratamiento de datos de
  carácter personal, con independencia
• de quién realice el tratamiento
• Encargado del tratamiento
• Diferentes modos de prestación del servicio (art.
  82)
• Prestación de servicios sin acceso a datos
  personales
• Cláusula informativa en el contrato (art. 83)
• desde dónde se realice
• Acceso a datos a través de redes de
  comunicaciones, sean o no públicas (art. 85)
• Régimen de trabajo fuera de los locales del
  responsable del fichero o encargado del
  tratamiento
• Dispositivos portátiles (art. 86)
• cómo se realice

27

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• El Reglamento aporta aclaraciones y flexibilidad
  para cumplir las medidas de seguridad
• Segregación de ficheros por niveles (art. 81.8)
• Delegación de autorizaciones (art. 84)
• Perfiles de usuario (art. 5.2.j)
• Documento de seguridad (art. 88)
• Único o individualizado, en función de sistemas
  de tratamiento, otros criterios del responsable
• Recogerá las delegaciones de autorizaciones
• Recogerá las situaciones excepcionales
• Prestaciones de servicios, uso de dispositivos
  portátiles,
• Medidas compensatorias, imposibilidad aplicación
  medidas previstas
• Interno, actualizado

28

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Nivel Básico

Ficheros automatizados y no automatizados Ficheros automatizados y no automatizados
Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos
Sólo automatizados Sólo no automatizados
Art. 93. Identificación y autenticación - personalizada Art. 94. Copias de respaldo y recuperación - verificación - pruebas datos reales. Medidas correspondientes Art. 106. Criterios de archivo - posibilitar derechos ARCO Art. 107. Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación
29

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Nivel Medio

Ficheros automatizados y no automatizados
Responsable de seguridad (art. 95, art. 109) Auditoria ( art. 96, art. 110)
Sólo automatizados
Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias
30

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Nivel Alto

Ficheros automatizados Ficheros no automatizados
Art. 101. Gestión y distribución de soportes Art. 102. Copias de respaldo y recuperación Art. 103. Registro de accesos Excepción - Responsable persona física único usuario Art. 104. Telecomunicaciones - Cifrado en redes públicas o inalámbricas Art. 111. Almacenamiento de la información - Archivadores, áreas restringidas Art. 112. Copia o reproducción - Personal autorizado Art. 113. Acceso a la documentación - Mecanismo identificación accesos por diferentes usuarios Art. 114. Traslado de documentación - Impedir acceso, manipulación
31

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Disposición adicional única
• Los productos de software destinados al
  tratamiento automatizado de datos personales
  deberán incluir en su descripción técnica el
  nivel de seguridad, básico, medio o alto

32

• Reglamento LOPD. MEDIDAS DE SEGURIDAD
• Disposición transitoria segunda. Plazos de
  implementación
• Ficheros nuevos manuales y/o automatizados
• Aplicación del nivel básico, medio o alto
  correspondiente desde su creación
• Ficheros existentes

Automatizados Seguridad Social, Mutuas, Perfiles ? 1 año (Medio) Violencia de género ? 1 año (Medio) ? 18 meses (Alto) Teleco (tráfico, localización) ? 1 año (Medio) ? 18 meses (Registro de accesos) Adaptación resto de ficheros ? 1 año (arts. 93, 94, 101, 104)
No automatizados - Básico (1 año) - Medio (18 meses) - Alto ( 2 años)
33
(No Transcript)