slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 PowerPoint Presentation
Download Presentation
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010

Loading in 2 Seconds...

play fullscreen
1 / 21

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 - PowerPoint PPT Presentation


  • 126 Views
  • Uploaded on

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010. Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría Agencia de Protección de Datos de la Comunidad de Madrid emilio.aced@madrid.org www.apdcm.es. Dos Definiciones Cruciales.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010' - juro


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Foro de Seguridad 2010

RedIRIS

Universidad Autónoma de Madrid

23 de abril de 2010

Emilio Aced Félez

Subdirector General de Registro de Ficheros y Consultoría

Agencia de Protección de Datos de la Comunidad de Madrid

emilio.aced@madrid.org

www.apdcm.es

dos definiciones cruciales
Dos Definiciones Cruciales

Dato Personal es CUALQUIER información concerniente a PERSONAS FÍSICAS identificadaso identificables

dos definiciones cruciales1
Dos Definiciones Cruciales
  • Se consideran datos personales
    • Direcciones IP
    • Cookies
    • Cualquier mecanismo de seguimiento cuya información pueda vincularse al usuario y, así, elaborar perfiles
dos definiciones cruciales2
Dos Definiciones Cruciales

Tratamiento de Datos son las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias

preguntas que deber a poder contestar
Preguntas que debería poder contestar
  • ¿Por qué puedo tratar datos personales?
  • ¿En qué condiciones?
  • ¿A quién debo informar y de qué?
  • ¿Qué medidas de seguridad debo adoptar?
  • ¿Cómo asegurar la confidencialidad?
  • ¿Cómo garantizo los derechos de las personas?
  • ¿Qué puede pasar si algo va mal?
  • ¿Quién me puede ayudar?
primeros pasos
Primeros Pasos
  • Debería de llevar aparejada una autoevaluación o “auditoría limitada”
  • Delimitar:
    • ¿Soy el responsable de todos los datos personales que trato?
    • Tratamientos (aplicaciones o sistemas de información)
    • Ficheros (bases de datos)
    • Tipos o categorías de datos (estructura de las bases de datos)
  • Si actúo como encargado de tratamiento
    • ¿tengo un contrato firmado?
    • ¿tengo las instrucciones necesarias?
    • ¿tengo especificadas las medidas de seguridad?
tratamientos
Tratamientos
  • ¿Por qué puedo tratar datos personales? (Legitimación)
  • ¿Para qué trato datos personales? (Finalidades)
  • ¿De dónde provienen los datos personales que trato?
  • Cómo informo a los interesados de:
    • Identidad y dirección del responsable del tratamiento
    • La existencia del tratamiento o fichero
    • Finalidades del tratamiento
    • Destinatarios de la información
    • Obligatoriedad o no de proporcionar datos
    • Consecuencias de suministrarlos o negarse a darlos
    • Derecho de acceso, rectificación, cancelación y oposición
  • ¿Cómo actualizo los datos personales? (Actualización)
  • ¿Durante cuanto tiempo los conservo? (Cancelación)
tratamientos1
Tratamientos
  • ¿Comunico datos a otros responsables?
    • ¿Para qué? (Finalidad)
    • ¿Qué datos? (Proporcionalidad)
    • ¿Por qué? (Legitimación)
      • Consentimiento (expreso para datos sensibles)
      • Autorizado en una Ley
      • Necesario para una relación jurídica
      • Disposiciones sectoriales (solvencia, seguros)
  • ¿Encargo tratamientos a terceros?
    • ¿He firmado los correspondientes contratos? (Encargado del tratamiento - Artículo 12)
    • ¿He incluido las medidas de seguridad que deben adoptarse?
tratamientos2
Tratamientos
  • ¿Realizo transferencias internacionales de datos?
    • ¿A países adecuados?
    • ¿En base a excepciones del artículo 34 LOPD?
    • ¿Necesito una autorización del Director de la APD?
      • ¿He redactado los contratos necesarios?
    • ¿Para encargar tratamientos a terceros?
      • ¿He redactado los contratos necesarios?
      • ¿Cumplo con los requisitos del artículo 12 LOPD?
  • ¿Hay alguna regulación sanitaria específica que deba tener en cuenta?
procedimientos
Procedimientos
  • ¿He puesto en marcha procedimientos para:
    • el ejercicio de sus derechos por parte de los ciudadanos
    • formación para mis empleados:
      • deber de secreto
      • información sobre sus obligaciones
      • derechos de los ciudadanos
    • la actualización de la información
    • la cancelación (bloqueo) de oficio de datos no necesarios
    • la revisión de los contratos con:
      • proveedores
      • clientes
      • encargados de tratamiento
  • y procedo a su revisión periódica?
tipos de datos
Tipos de Datos
  • Procedimiento(s) de recogida
  • ¿Qué categorías de datos trato? (Tipificación para la notificación)
  • ¿Trato más datos de los necesarios para mi actividad? (Proporcionalidad)
  • ¿Trato datos especialmente protegidos?
    • Consentimiento expreso (en algunos casos por escrito)
    • Legislación habilitante
  • ¿Trato un conjunto de datos tal que permite una evaluación de la personalidad del individuo?
qu medidas de seguridad debo adoptar
¿Qué medidas de seguridad debo adoptar?
  • Técnicas y organizativas para:
    • Garantizar seguridad datos personales
    • Evitar su alteración, pérdida, tratamiento o acceso no autorizado
    • Teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos
  • Real Decreto 1720/2007, de desarrollo LOPD
medidas de seguridad
Medidas de Seguridad
  • ¿Sólo para ficheros automatizados?
  • Determinación distintos niveles de seguridad
  • Documento de seguridad de obligado cumplimiento
medidas de seguridad1
Medidas de Seguridad
  • Actualización del documento si:
    • cambios organizativos
    • cambios tecnológicos
    • cambios legales
  • Funciones y obligaciones del personal
    • formación (y actualización)
    • responsabilidades
  • Establecimiento de los procedimientos necesarios
procedimientos1
Procedimientos
  • ¿Tengo establecidos procedimientos para:
    • Notificación de incidencias
    • Gestión de incidencias (incluye información sobre procesos de recuperación realizados y autorización escrita en nivel medio)
    • Pruebas
      • ¿utilizo datos reales?
procedimientos2
Procedimientos
  • ¿Tengo establecidos procedimientos para:
    • Gestión de soportes
      • Identificación de soportes
      • Almacenamiento y acceso a los soportes
      • Entrada/Salida de soportes
      • Registro de Entrada/Salida de soportes y medidas para su desecho (medio y alto)
      • Copias de salvaguardia y recuperación
      • Cifrado para la distribución de soportes (alto)
      • Registro de accesos, incluyendo retención y cancelación (alto)
miscel nea
Miscelánea
  • Y aunque la ley no lo establezca
    • Debería realizar periódicamente un análisis de riesgos (con la profundidad que sea posible)
  • Mantener actualizados los sistemas operativos y productos (notificación de actualizaciones)
  • Integrar verificaciones de protección de datos en gestión de control de cambios
  • Diseñar procesos de formación adaptados a los distintos grupos de personas
    • Cursos interactivos
    • Incentivos por formación (formalización título)
c mo asegurar la confidencialidad
¿Cómo asegurar la confidencialidad?
  • El responsable del fichero y cuantas personas intervienen en el tratamiento:
    • Están obligados al secreto profesional
    • Incluso tras finalizar su trabajo o sus relaciones con titular o responsable del fichero
qu derechos tienen las personas
¿Qué derechos tienenlas personas?
  • Impugnación
  • Transparencia
    • Derecho de Información
  • Acceso
  • Rectificación
  • Cancelación
  • Oposición
y si algo va mal
¿Y si algo va mal…?
  • Tutela e Indemnización
    • Si actuaciones contrarias a la ley:
      • Reclamación ante la autoridad de control competente
      • Sus resoluciones agotan la vía administrativa
      • Recurso contencioso-administrativo contra ellas
    • Derecho a indemnización:
      • Ficheros públicos: según legislación reguladora
      • Ficheros privados: jurisdicción ordinaria