1 / 21

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010. Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría Agencia de Protección de Datos de la Comunidad de Madrid emilio.aced@madrid.org www.apdcm.es. Dos Definiciones Cruciales.

juro
Download Presentation

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría Agencia de Protección de Datos de la Comunidad de Madrid emilio.aced@madrid.org www.apdcm.es

  2. Dos Definiciones Cruciales Dato Personal es CUALQUIER información concerniente a PERSONAS FÍSICAS identificadaso identificables

  3. Dos Definiciones Cruciales • Se consideran datos personales • Direcciones IP • Cookies • Cualquier mecanismo de seguimiento cuya información pueda vincularse al usuario y, así, elaborar perfiles

  4. Dos Definiciones Cruciales Tratamiento de Datos son las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias

  5. Preguntas que debería poder contestar • ¿Por qué puedo tratar datos personales? • ¿En qué condiciones? • ¿A quién debo informar y de qué? • ¿Qué medidas de seguridad debo adoptar? • ¿Cómo asegurar la confidencialidad? • ¿Cómo garantizo los derechos de las personas? • ¿Qué puede pasar si algo va mal? • ¿Quién me puede ayudar?

  6. Primeros Pasos • Debería de llevar aparejada una autoevaluación o “auditoría limitada” • Delimitar: • ¿Soy el responsable de todos los datos personales que trato? • Tratamientos (aplicaciones o sistemas de información) • Ficheros (bases de datos) • Tipos o categorías de datos (estructura de las bases de datos) • Si actúo como encargado de tratamiento • ¿tengo un contrato firmado? • ¿tengo las instrucciones necesarias? • ¿tengo especificadas las medidas de seguridad?

  7. Tratamientos • ¿Por qué puedo tratar datos personales? (Legitimación) • ¿Para qué trato datos personales? (Finalidades) • ¿De dónde provienen los datos personales que trato? • Cómo informo a los interesados de: • Identidad y dirección del responsable del tratamiento • La existencia del tratamiento o fichero • Finalidades del tratamiento • Destinatarios de la información • Obligatoriedad o no de proporcionar datos • Consecuencias de suministrarlos o negarse a darlos • Derecho de acceso, rectificación, cancelación y oposición • ¿Cómo actualizo los datos personales? (Actualización) • ¿Durante cuanto tiempo los conservo? (Cancelación)

  8. Tratamientos • ¿Comunico datos a otros responsables? • ¿Para qué? (Finalidad) • ¿Qué datos? (Proporcionalidad) • ¿Por qué? (Legitimación) • Consentimiento (expreso para datos sensibles) • Autorizado en una Ley • Necesario para una relación jurídica • Disposiciones sectoriales (solvencia, seguros) • ¿Encargo tratamientos a terceros? • ¿He firmado los correspondientes contratos? (Encargado del tratamiento - Artículo 12) • ¿He incluido las medidas de seguridad que deben adoptarse?

  9. Tratamientos • ¿Realizo transferencias internacionales de datos? • ¿A países adecuados? • ¿En base a excepciones del artículo 34 LOPD? • ¿Necesito una autorización del Director de la APD? • ¿He redactado los contratos necesarios? • ¿Para encargar tratamientos a terceros? • ¿He redactado los contratos necesarios? • ¿Cumplo con los requisitos del artículo 12 LOPD? • ¿Hay alguna regulación sanitaria específica que deba tener en cuenta?

  10. Procedimientos • ¿He puesto en marcha procedimientos para: • el ejercicio de sus derechos por parte de los ciudadanos • formación para mis empleados: • deber de secreto • información sobre sus obligaciones • derechos de los ciudadanos • la actualización de la información • la cancelación (bloqueo) de oficio de datos no necesarios • la revisión de los contratos con: • proveedores • clientes • encargados de tratamiento • y procedo a su revisión periódica?

  11. Tipos de Datos • Procedimiento(s) de recogida • ¿Qué categorías de datos trato? (Tipificación para la notificación) • ¿Trato más datos de los necesarios para mi actividad? (Proporcionalidad) • ¿Trato datos especialmente protegidos? • Consentimiento expreso (en algunos casos por escrito) • Legislación habilitante • ¿Trato un conjunto de datos tal que permite una evaluación de la personalidad del individuo?

  12. ¿Qué medidas de seguridad debo adoptar? • Técnicas y organizativas para: • Garantizar seguridad datos personales • Evitar su alteración, pérdida, tratamiento o acceso no autorizado • Teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos • Real Decreto 1720/2007, de desarrollo LOPD

  13. Medidas de Seguridad • ¿Sólo para ficheros automatizados? • Determinación distintos niveles de seguridad • Documento de seguridad de obligado cumplimiento

  14. Medidas de Seguridad • Actualización del documento si: • cambios organizativos • cambios tecnológicos • cambios legales • Funciones y obligaciones del personal • formación (y actualización) • responsabilidades • Establecimiento de los procedimientos necesarios

  15. Procedimientos • ¿Tengo establecidos procedimientos para: • Notificación de incidencias • Gestión de incidencias (incluye información sobre procesos de recuperación realizados y autorización escrita en nivel medio) • Pruebas • ¿utilizo datos reales?

  16. Procedimientos • ¿Tengo establecidos procedimientos para: • Gestión de soportes • Identificación de soportes • Almacenamiento y acceso a los soportes • Entrada/Salida de soportes • Registro de Entrada/Salida de soportes y medidas para su desecho (medio y alto) • Copias de salvaguardia y recuperación • Cifrado para la distribución de soportes (alto) • Registro de accesos, incluyendo retención y cancelación (alto)

  17. Miscelánea • Y aunque la ley no lo establezca • Debería realizar periódicamente un análisis de riesgos (con la profundidad que sea posible) • Mantener actualizados los sistemas operativos y productos (notificación de actualizaciones) • Integrar verificaciones de protección de datos en gestión de control de cambios • Diseñar procesos de formación adaptados a los distintos grupos de personas • Cursos interactivos • Incentivos por formación (formalización título)

  18. ¿Cómo asegurar la confidencialidad? • El responsable del fichero y cuantas personas intervienen en el tratamiento: • Están obligados al secreto profesional • Incluso tras finalizar su trabajo o sus relaciones con titular o responsable del fichero

  19. ¿Qué derechos tienenlas personas? • Impugnación • Transparencia • Derecho de Información • Acceso • Rectificación • Cancelación • Oposición

  20. ¿Y si algo va mal…? • Tutela e Indemnización • Si actuaciones contrarias a la ley: • Reclamación ante la autoridad de control competente • Sus resoluciones agotan la vía administrativa • Recurso contencioso-administrativo contra ellas • Derecho a indemnización: • Ficheros públicos: según legislación reguladora • Ficheros privados: jurisdicción ordinaria

More Related