LEY DE LEY DE LEY DE LEY DE PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE www.asalvo.net www.asalvo.net www.asalvo.net www.asalvo.net Enero 2010 DATOS PARA DATOS PARA DATOS PARA DATOS PARA CASAS RURALES CASAS RURALES CASAS RURALES CASAS RURALES
74
Embed
LEY DE PROTECCIÓN DE DATOS PARA CASAS RURALES · w w w . Asalvo.net 1111 NNNNORMATIVA VIGENTE LOPD LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Principios
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
LEY DE LEY DE LEY DE LEY DE PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE PROTECCIÓN DE
LEY DE PROTECCIÓN DE LEY DE PROTECCIÓN DE LEY DE PROTECCIÓN DE LEY DE PROTECCIÓN DE DATOS DE CARÁCTER DATOS DE CARÁCTER DATOS DE CARÁCTER DATOS DE CARÁCTER
Real Decreto 994/1999Real Decreto 994/1999Real Decreto 994/1999Real Decreto 994/1999, de 11 de junio de medidas de seguridad de los ficheros automatizados
Reglamento de Reglamento de Reglamento de Reglamento de desarrollo de la LOPD. desarrollo de la LOPD. desarrollo de la LOPD. desarrollo de la LOPD. R.D 1720/2007, de 21 R.D 1720/2007, de 21 R.D 1720/2007, de 21 R.D 1720/2007, de 21 de diciembre de diciembre de diciembre de diciembre (Entrada en vigor 19-04-08)
CÓDIGOS TIPOCÓDIGOS TIPOCÓDIGOS TIPOCÓDIGOS TIPO � 1 año desde la entrada en vigor.(19-04-08)FICHEROS AUTOMATIZADOS EXISTENTES.FICHEROS AUTOMATIZADOS EXISTENTES.FICHEROS AUTOMATIZADOS EXISTENTES.FICHEROS AUTOMATIZADOS EXISTENTES.a) Medidas de nivel básico y medio � 1 año
Plazos de implantación del nuevo Real Decreto de la LOPD
b) Medidas de nivel alto � 18 mesesFICHEROS NO AUTOMATIZADOS EXISTENTES.FICHEROS NO AUTOMATIZADOS EXISTENTES.FICHEROS NO AUTOMATIZADOS EXISTENTES.FICHEROS NO AUTOMATIZADOS EXISTENTES.a) Medidas de nivel básico � 1 añob) Medidas de nivel medio � 18 mesesc) Medidas de nivel alto � 2 años
� Función estadística pública (legislación propia)� Legislación del régimen del personal de las Fuerzas Armadas.� Registro Civil y Central de penados y rebeldes� Imágenes y sonidos obtenidos mediante videocámaras por las F.A y
Cuerpos de Seguridad.� Datos de personas jurídicas ni personas físicas que presten sus
servicio� Datos relativos a empresarios individuales.
>Art.3 LOPD, Art.5 RDLOPD: “Cualquier información, numérica alfabética, gráfica, fotográfica acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”
DATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONAL
No es aplicable a personas jurídicas, empresarios individuales, personas de contacto de las empresas, empresas con el nombres de personas si se utilizan con finalidades de mantener la relación empresarial. (B2B, nunca
Ejemplo: Nombre, DNI, profesión, aficiones, gustos, datos bancarios, talla ropa, huella, fotografía, radiografía, e-mail y cualquier otro tipo de información que esté vinculada a una persona física.
finalidades de mantener la relación empresarial. (B2B, nunca B2C)
> Art.3 LOPD, Art.5 RDLOPD: “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.
FICHEROFICHEROFICHEROFICHERO
Ejemplo: Un fichero es tanto el conjunto de fotocopias de DNI
Ejemplo: Un fichero es tanto el conjunto de fotocopias de DNI de los clientes de un hotel, como las más sofisticada base de datos de clientes de una empresa multinacional en forma automatizada.
> Art.3.LOPD, Art.5 RDLOPD : “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación y conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
TRATAMIENTO DE DATOSTRATAMIENTO DE DATOSTRATAMIENTO DE DATOSTRATAMIENTO DE DATOS
comunicaciones, consultas, interconexiones y transferencias.
Ejemplo: Cualquier tipo de operación con datos personales; el simple hecho de recoger datos de carácter personal, la generación de facturas de clientes, confección de nóminas de empleados…
> Art.3 LOPD, Art.5 RDLOPD: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamento con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados”.
RESPONSABLE DEL FICHERO O DEL TRATAMIENTORESPONSABLE DEL FICHERO O DEL TRATAMIENTORESPONSABLE DEL FICHERO O DEL TRATAMIENTORESPONSABLE DEL FICHERO O DEL TRATAMIENTO
> Art.3 LOPD: “Persona física o jurídica, pública o privada, u órgano administrativo que, sólo o conjuntamente con otros , trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio
Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el trófico como sujetos
ENCARGADO DE TRATAMIENTOENCARGADO DE TRATAMIENTOENCARGADO DE TRATAMIENTOENCARGADO DE TRATAMIENTO
personalidad jurídica que actúen en el trófico como sujetos diferenciados”.
Empresa
Gestoría
Alojamiento Web
Informática
Nóminas
Ejemplo: En ocasiones, la persona que efectúa el tratamiento de los datos no es el propio responsable del fichero, sino un tercero al que éste contrata para que realice una tarea en su nombre. Por ejemplo la externalización de la gestión de nóminas, contabilidad, servicio informático...
w w w . Asalv
o.net
AFECTADO O INTERESADOAFECTADO O INTERESADOAFECTADO O INTERESADOAFECTADO O INTERESADO
pueden obtener datos; cliente, empleado, proveedor…. Es importante aclarar que el titular de los datos no es quien los posee en un fichero sino la persona a la que se refieren esos datos.
w w w . Asalv
o.net
RESPONSABLE DE SEGURIDADRESPONSABLE DE SEGURIDADRESPONSABLE DE SEGURIDADRESPONSABLE DE SEGURIDAD
> Art.3.LOPD: “la persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.”
Ejemplo: Es la persona interna de la compañía, designada por el responsable del fichero, encargada de controlar y coordinar
el responsable del fichero, encargada de controlar y coordinar las medidas de seguridad que se hayan implementado en la compañía. Normalmente suele ser el responsable de informática. No tiene responsabilidad de cara al exterior.
w w w . Asalv
o.net
FUENTES ACCESIBLES AL PÚBLICOFUENTES ACCESIBLES AL PÚBLICOFUENTES ACCESIBLES AL PÚBLICOFUENTES ACCESIBLES AL PÚBLICO
> Art.3.J)LOPD: “Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección
título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo (nº de colegiado, fecha incorporación y situación del ej. Profesional).Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación social”
Si los datos no han sido recabados del propio interesado, datos no han sido recabados del propio interesado, datos no han sido recabados del propio interesado, datos no han sido recabados del propio interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero, dentro de los 3 meses siguientes al registro de los datos.
INFORMACIONINFORMACIONINFORMACIONINFORMACION
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
3. Cuando informar al interesado resulte imposible o exija esfuerzos desproporcionados.
4. Datos procedentes de fuentes accesibles al público y destinados a publicidad o prospección comercial. Aunque en cada comunicación dirigida al interesado deberá informar sobre el origen de los datos, identidad del responsable del fichero y los derechos del afectado..
w w w . Asalv
o.net
3333
El artículo 18 del RLOPD establece que el deber de informacióndeber de informacióndeber de informacióndeber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
Además indica que el responsable de tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar, permitiendo
INFORMACIONINFORMACIONINFORMACIONINFORMACION
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
soporte en el que conste el cumplimiento del deber de informar, permitiendo en almacenamiento en soportes informáticos o telemáticos. (ej. digitalización de originales.)
w w w . Asalv
o.net
CONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADO
3333
ExcepcionesExcepcionesExcepcionesExcepciones
1. Datos recogidos para el ejercicio de las funciones propias de las
El tratamiento de los datos requerirá el consentimiento inequívoco del afectado.
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
1. Conceder al afectado un plazo prudencial (30 días) para que pueda tener pleno conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo.
2. Acreditar la recepción por parte del afectado de la comunicación para el tratamiento de sus datos personales. (Acuses de recibo)
3. Establecer una forma ágil y gratuito para que el afectado puede oponerse al tratamiento de sus datos de carácter personal. (Envío prefranqueado o número de teléfono gratuito)
w w w . Asalv
o.net
CONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADOCONSENTIMIENTO DEL AFECTADO
3333
1. Mayores de 14 años: Consentimiento del propio menor, sal voe en aquellos casos que la Ley exija para us prestación la asistencia de los titulares de la patria potestad o tutela.
2. Menores de 14 años: Consentimiento de los padres o tutores.
3. En ningún caso se podrán recabar datos que permitan obtener
(NUEVO)(NUEVO) Consentimiento para el tratamiento de datos de menores
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
3. En ningún caso se podrán recabar datos que permitan obtener información sobre los datos del grupo familiar. Características, profesión progenitores, actividad económica, sociológicos u otros datos sin consentimiento. (Sí, datos de identidad y dirección del padre, madre o tutor)
4. Cuando el tratamiento se refiera a menores de edad, la información dirigida a ellos debe ser fácilmente comprensible.
5. Será responsabilidad del responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado la edad del menor, autenticidad del consentimiento.
w w w . Asalv
o.net
DATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOSDATOS ESPECIALMENTE PROTEGIDOS
3333
Ideología, Religión o CreenciasIdeología, Religión o CreenciasIdeología, Religión o CreenciasIdeología, Religión o Creencias
� Cuando se proceda a recoger el consentimiento se deberá informar al interesado sobre su derecho a no prestarlo.
� Se requiere el consentimiento expreso y por escrito del afectado.
Excepto: Ficheros de partidos políticos, sindicatos, iglesias, confesiones…
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
Podrán ser tratados aquellos datos que siendo especialmente protegidos resulten necesarios para
� la prevención o diagnóstico médico.
� gestión de servicios sanitarios.
Siempre que sea realizado por un profesional sanitario u otra persona sujeta a secreto profesional.
w w w . Asalv
o.net
SEGURIDAD DE LOS DATOSSEGURIDAD DE LOS DATOSSEGURIDAD DE LOS DATOSSEGURIDAD DE LOS DATOS
3333
“ El responsable del fichero, y en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal ….”
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
Todas estas medidas se encuentran regladas y determinadas por:
� el REGLAMENTO DE MEDIDAS DE SEGURIDAD 994/1999. (actualmente)
� el REGLAMENTO DE DESARROLLO DE LA LOPD RD 1720/2007. (A partir del 19 de abril de 2007)
w w w . Asalv
o.net
3333
“ El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
DEBER DE SECRETODEBER DE SECRETODEBER DE SECRETODEBER DE SECRETO
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
• sólo se pueden realizar dicha cesión para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
• el cesionario debe contar con el previo consentimiento del interesado.
w w w . Asalv
o.net
CESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOS
3333
ExcepcionesExcepcionesExcepcionesExcepciones
> Cesión autorizada en una ley.
> Datos recogidos de fuentes accesibles al público.
> El tratamiento responde a una libre y legítima aceptación de una relación
No se necesitará el consentimientoNo se necesitará el consentimientoNo se necesitará el consentimientoNo se necesitará el consentimiento ….
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
> El tratamiento responde a una libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique la conexión de dicho tratamiento con fichero de terceros.
> Cesión al Defensor del Pueblo, Ministerio Fiscal, Jueces, Tribunales ó Tribunales de Cuentas, en el ejercicio de sus funciones.
> Cesión entre Administraciones públicas, y tenga por objeto fines históricos, estadísticos o científicos.
> Necesarios para solucionar una urgencia de salud ó estudios epidemiológicos.
w w w . Asalv
o.net
CESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOSCESION O COMUNICACIÓN DE DATOS
3333
Se considera consentimiento nulo cuando no consta la finalidad a la que se destinarán los datos o la actividad de aquel a quien se pretenden comunicar.
> El consentimiento para la comunicación de datos tiene carácter revocable.
> El cesionario debe también cumplir con los preceptos de la Ley.
> Si previo a la comunicación se produce disociación no es aplicable lo establecido para la cesión ó comunicación de datos.
w w w . Asalv
o.net
ACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROS
3333
Se produce cuando es necesario acceder a los datos por parte de un tercero para la prestación de un servicio, que deberá estar regulada por un contrato.
ESTA ACCION NO SE CONSIDERA CESION O COMUNICACIÓN DE DATOS, y por tanto no requerirá del consentimiento del afectado, aunque no nos
Acceso de un tercero a datosAcceso de un tercero a datosAcceso de un tercero a datosAcceso de un tercero a datos
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
y por tanto no requerirá del consentimiento del afectado, aunque no nos exime del deber de informarle.
Nuevos elementosNuevos elementosNuevos elementosNuevos elementos
> Encargado del tratamiento. Encargado del tratamiento. Encargado del tratamiento. Encargado del tratamiento. Se encargará de tratar datos por cuenta del responsable del fichero, deberá cumplir con las medidas establecidas en el Reglamento 994/1999.
> Contrato de prestación de Servicios. Contrato de prestación de Servicios. Contrato de prestación de Servicios. Contrato de prestación de Servicios. Contrato de Outsourcing en el que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.
w w w . Asalv
o.net
ACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROS
3333
Novedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPD
> Relaciones entre partes. Relaciones entre partes. Relaciones entre partes. Relaciones entre partes. Se habla del carácter remunerado o no del servicio, de fijar la duración del encargo y la obligación del responsable del fichero de velar por el cumplimiento de las garantías de lo dispuesto en la LOPD.
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
>Conservación de datos por el encargado tratamiento. Conservación de datos por el encargado tratamiento. Conservación de datos por el encargado tratamiento. Conservación de datos por el encargado tratamiento.
> No se destruirán los datos por parte del encargado si legalmente se exige su conservación.
> Autoriza a conservar datos al encargado siempre que otras responsabilidades relaciones con la relación negocial o contractual puedan exigirlo.
w w w . Asalv
o.net
ACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROSACCESO A DATOS POR CUENTA DE TERCEROS
3333
Novedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPDNovedades en el RLOPD
> Subcontratación. Subcontratación. Subcontratación. Subcontratación. El encargado de tratamiento podrá subcontratar siempre que existan garantías del cumplimiento de la LOPD por el subcontratista, se informe al responsable de fichero y además se firme un contrato entre encargado de tratamiento y subcontratista.
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
> Otras cuestiones. Otras cuestiones. Otras cuestiones. Otras cuestiones.
> Ejercicio de derechos.Ejercicio de derechos.Ejercicio de derechos.Ejercicio de derechos. Puede pactarse entre el responsable de fichero y el encargado de tratamiento que sea este último quién resuelva las peticiones de ejercicio de derecho.
w w w . Asalv
o.net
3333
CCCCesiónesiónesiónesión AAAAcceso de un cceso de un cceso de un cceso de un ttttercero a ercero a ercero a ercero a ddddatosatosatosatos
FINALIDAD Comunicar los datos a una persona distinta del interesado
Externalizar servicios. Se encarga un tratamiento específico a un tercero.
REQUISITOS SIEMPRE. Se realiza por parte del Resp. Del Fichero en la
SIEMPRE. Además si es posible hacerlo
CESION vs ACCESO POR CUENTA DE TERCEROSCESION vs ACCESO POR CUENTA DE TERCEROSCESION vs ACCESO POR CUENTA DE TERCEROSCESION vs ACCESO POR CUENTA DE TERCEROS
PPPPRINCIPIOS RINCIPIOS RINCIPIOS RINCIPIOS DDDDE E E E LLLLA A A A PPPP....DDDD....
fallecidos por parte de familiares o el ejercicio del derecho de acceso en caso de defunción del interesado.
> La tendencia a que el interesado no deba soportar coste alguno a la hora de ejercer sus derechos. (Las empresas deben poner especial precaución en estos procedimientos para garantizar la seguridad jurídica)
> La posibilidad de ejercitar los derechos ante un encargado de tratamiento, siempre bajo un pacto. En caso contrario, el encargado de tratamiento deberá poner en conocimiento del responsable de fichero la petición para que éste pueda gestionarlar.
según según según según niveles de niveles de niveles de niveles de seguridadseguridadseguridadseguridad....
�Medio
�Alto
Inscripción de los Inscripción de los Inscripción de los Inscripción de los ficheros en la AEPD.ficheros en la AEPD.ficheros en la AEPD.ficheros en la AEPD.
�NONONONO datos, SISISISI tipología
�Responsable del fichero
�Encargado de tratamiento
�Dirección para ejercitar derechos
�Finalidad del fichero
w w w . Asalv
o.net
NIVELES DE SEGURIDADNIVELES DE SEGURIDADNIVELES DE SEGURIDADNIVELES DE SEGURIDAD
5555
�Identificativos
�Características personales.
�Circunstancias sociales
�Académicos y profesionalesNIVELNIVELNIVELNIVEL BÁSICOBÁSICOBÁSICOBÁSICO
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.
NIVELNIVELNIVELNIVEL BÁSICOBÁSICOBÁSICOBÁSICOentidades a las que los afectados sean asociados/miembros. 2) Tratamiento no automatizado en los que de forma incidental se contengan aquellos datos sin guardar relación con su finalidad.
� Datos de salud referentes exclusivamente al grado de discapacidad, declaración de la cóndición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
w w w . Asalv
o.net
NIVELES DE SEGURIDADNIVELES DE SEGURIDADNIVELES DE SEGURIDADNIVELES DE SEGURIDAD
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
�Hacienda Pública.
�Servicios Financieros.
�Solvencia patrimonial y crédito.
�Infracciones penales y administrativas.
�Evaluación de la personalidad del individuo.NIVELNIVELNIVELNIVEL MEDIOMEDIOMEDIOMEDIO
�Datos de tráfico y localización de operadoras de comunicaciones.Art. 81 RDLOPD
EJEMPLO:EJEMPLO:EJEMPLO:EJEMPLO: Fichero de acogida a mujeres maltratadas.
w w w . Asalv
o.net
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
MEDIDAS ORGANIZATIVAS IMEDIDAS ORGANIZATIVAS IMEDIDAS ORGANIZATIVAS IMEDIDAS ORGANIZATIVAS I
• Documento de seguridad:Documento de seguridad:Documento de seguridad:Documento de seguridad: Recoge medidas técnicas y organizativas. Formalizar delegaciones de funciones, autorizaciones por escrito para el tratamiento de datos fuera de los locales.
•Funciones y obligaciones de todo el personal: Funciones y obligaciones de todo el personal: Funciones y obligaciones de todo el personal: Funciones y obligaciones de todo el personal: informar, confidencialidad, deber de secreto, destrucción ficheros temporales... Definirlas por usuario o por perfiles. Reflejar funciones y obligaciones de terceros con acceso a datos.
•Responsable de seguridad y Responsable de ficheroResponsable de seguridad y Responsable de ficheroResponsable de seguridad y Responsable de ficheroResponsable de seguridad y Responsable de fichero: Describir estructura y características de ficheros, asegurar registro en APD, asegurar cumplimiento de documento de seguridad...
w w w . Asalv
o.net
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
MEDIDAS ORGANIZATIVAS IIMEDIDAS ORGANIZATIVAS IIMEDIDAS ORGANIZATIVAS IIMEDIDAS ORGANIZATIVAS II
•Notificación y gestión de incidencias. Notificación y gestión de incidencias. Notificación y gestión de incidencias. Notificación y gestión de incidencias. Establecer y documentar un procedimiento de notificación y gestión de incidencias, incluyéndolo en el D.S. y habilitando un registro de las mismas.
•Gestión de soportesGestión de soportesGestión de soportesGestión de soportes: Los soportes (CD, disquetes, papel, discos duros...) deben estar identificados y se registrará su entrada y salida. Las salidas
deben estar identificados y se registrará su entrada y salida. Las salidas deberán estar autorizadas por el Responsable de ficheros. También se registrará la E/S y se autorizará la salida de documentos en papel y los correos electrónicos con datos de carácter personal. Archivo de soportes o documentos no automatizados garantizando su conservación, localización y fácil consulta
w w w . Asalv
o.net
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
MEDIDAS ORGANIZATIVAS IIIMEDIDAS ORGANIZATIVAS IIIMEDIDAS ORGANIZATIVAS IIIMEDIDAS ORGANIZATIVAS III
•Control de acceso físico: Control de acceso físico: Control de acceso físico: Control de acceso físico: Restringir y controlar acceso a estancias con soportes que contengan datos especialmente protegidos para personal propio y ajeno. Control de acceso a lugares donde se ubiquen los servidores. Limitación de acceso y medidas de identificación a dispositivos no automatizados.
•Auditoría: Auditoría: Auditoría: Auditoría: Periodicidad Bianual.Detección de desviaciones. Auditoría extraordinaria si existen modificaciones sustanciales en el S.I.
•Copias de documentos o soportes no automatizados:Copias de documentos o soportes no automatizados:Copias de documentos o soportes no automatizados:Copias de documentos o soportes no automatizados: Control por personal autorizado.
•Registro de accesos a información no automatizada Registro de accesos a información no automatizada Registro de accesos a información no automatizada Registro de accesos a información no automatizada (N. Alto)
w w w . Asalv
o.net
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
MEDIDAS TÉCNICAS IMEDIDAS TÉCNICAS IMEDIDAS TÉCNICAS IMEDIDAS TÉCNICAS I
•Identificación y autenticación:Identificación y autenticación:Identificación y autenticación:Identificación y autenticación: Mecanismo de seguridad que asigna una identidad única a cada usuario (identificación) y la comprueba (autenticación). Incluye el procedimiento de gestión, comunicación confidencial, almacenamiento inteligible y validez de las contraseñas (no superior a un año).Medidas de identificación para acceso a información no automatizada. Reflejar en el D.S el usuario o perfil que puede modificar los
automatizada. Reflejar en el D.S el usuario o perfil que puede modificar los accesos sobre los recursos.
•Control de acceso lógico:Control de acceso lógico:Control de acceso lógico:Control de acceso lógico: Cada usuario debe tener acceso sólo a la información que necesita para su trabajo. Medidas de identificación de accesos a documentos (cuando accedan varios usuarios)
w w w . Asalv
o.net
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
MEDIDAS TÉCNICAS IIMEDIDAS TÉCNICAS IIMEDIDAS TÉCNICAS IIMEDIDAS TÉCNICAS II
•Copias de respaldo y recuperación: Copias de respaldo y recuperación: Copias de respaldo y recuperación: Copias de respaldo y recuperación: Realizar copias de seguridad que aseguren la recuperación de la información si fuera necesario.Verificación semestral de las copias y recuperación.
•Gestión de soportes. Gestión de soportes. Gestión de soportes. Gestión de soportes. Impedir el acceso, pérdida o robo de
•Gestión de soportes. Gestión de soportes. Gestión de soportes. Gestión de soportes. Impedir el acceso, pérdida o robo de soportes en su traslado y distribución. Impedir acceso o recuperación da datos de soportes reutilizados o desechados. Identificación de soportes y tipo de información que contiene de forma incomprensible para el personal no autorizado. Cifrado de dispositivos portátiles para el tratamiento de datos fuera de las instalaciones.
w w w . Asalv
o.net
MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
MEDIDAS TÉCNICAS IIIMEDIDAS TÉCNICAS IIIMEDIDAS TÉCNICAS IIIMEDIDAS TÉCNICAS III
•Registro de accesos: Registro de accesos: Registro de accesos: Registro de accesos: Para datos de nivel alto, se registrará a que información se accede, quien accede , cuando y cómo. Conservación de 2 años de los registros.
•Pruebas con datos reales:Pruebas con datos reales:Pruebas con datos reales:Pruebas con datos reales: Si se realizan pruebas de los sistemas con datos reales, se deben asegurar el nivel de seguridad del fichero tratado. Realizar copias de seguridad de pruebas con datos reales.
•Telecomunicaciones:Telecomunicaciones:Telecomunicaciones:Telecomunicaciones: Para datos de nivel alto trasmitidos a través de la red se debe cifrar la información.
w w w . Asalv
o.net
OOOOBLIGACIONES BLIGACIONES BLIGACIONES BLIGACIONES DDDDE E E E LLLLA A A A EEEEMPRESA.MPRESA.MPRESA.MPRESA.5555
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
QQQQué es?ué es?ué es?ué es?
• Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada.
• Actúa con independencia de las Administraciones Públicas en el
• Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.
SSSSede:ede:ede:ede: • Agencia Española de Protección de datos Agencia Española de Protección de datos Agencia Española de Protección de datos Agencia Española de Protección de datos C/ Jorge Juan, 6C/ Jorge Juan, 6C/ Jorge Juan, 6C/ Jorge Juan, 628004280042800428004----MadridMadridMadridMadrid
w w w . Asalv
o.net
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
CCCCompetencias ompetencias ompetencias ompetencias y Fy Fy Fy Funciones :::unciones :::unciones :::unciones ::: Potestad para inmovilizar ficheros
Potestad sancionadora
Potestad para atender y facilitar los derechos de los afectados
w w w . Asalv
o.net
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
TTTTutela de utela de utela de utela de dddderechoserechoserechoserechos
Titular de los datos:Titular de los datos:Titular de los datos:Titular de los datos: APD:APD:APD:APD: Director de la APDDirector de la APDDirector de la APDDirector de la APD
PROCEDIMIENTO . TUTELA DE DERECHOSPROCEDIMIENTO . TUTELA DE DERECHOSPROCEDIMIENTO . TUTELA DE DERECHOSPROCEDIMIENTO . TUTELA DE DERECHOS
“Se produce cuando un ciudadano requiere a la APD su amparo y protección porque opina que se ha vulnerado alguno de sus derechos”
Titular de los datos:Titular de los datos:Titular de los datos:Titular de los datos:
Redacta un escrito de reclamación a la APD indicando:
�Contenido de la reclamación.
�Artículos de la Ley vulnerados.
APD:APD:APD:APD:
Traslado de la reclamación al Responsable del Fichero para su alegación en el plazo de 15 días.
Director de la APDDirector de la APDDirector de la APDDirector de la APD
Resolución de la reclamación, en el plazo máximo de 6 meses.
“Sí ha lugar la resolución”,“Sí ha lugar la resolución”,“Sí ha lugar la resolución”,“Sí ha lugar la resolución”,se tutela el derecho vulnerado y se decide si se abre PROCEDIMIENTO PROCEDIMIENTO PROCEDIMIENTO PROCEDIMIENTO SANCIONADORSANCIONADORSANCIONADORSANCIONADOR.
w w w . Asalv
o.net
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
SSSSancionadorancionadorancionadorancionador
“Se inicia como consecuencia de una denuncia y puede desembocar en sanciones.”
Previo a la inspecciónse notifica a la
Para realizar la inspecciónse presentarán dos
Al finalizar, redactaran un Acta de Inspección que la
�Deben acreditar su identidad y mostrar su autorización.
�Inspeccionaran equipos físicos y lógicos.
Acta de Inspección que la firmará el Responsable del Fichero.
Si se detecta alguna infracción, se abrirá procedimiento sancionador por acuerdo del Director de la APD. Notificándose al impugnado y denunciante para la toma de medidas
w w w . Asalv
o.net
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
• Impedimento de los ejercicios de acceso y oposición
• Mantener datos inexactos
• No modificar o cancelar datos cuando proceda
• Vulnerar deber de secreto para el nivel medio
• Mantener ficheros sin medidas de seguridad
• Obstrucción de la acción inspectora de la APD
• No inscribir ficheros bajo requerimiento
• Incumplimiento deber información cuando se recaben datos de terceros
w w w . Asalv
o.net
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
IIIInfracciones. nfracciones. nfracciones. nfracciones. MMMMUY UY UY UY GGGGRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPD) ) ) ) ::::::::::::
• Recogida de datos fraudulenta o engañosa
• Cesión de datos ilegal
• Recabar datos especialmente protegidos de manera ilegal
• No cesar en el uso de datos ilegítimos bajo requerimiento APD
• No cesar en el uso de datos ilegítimos bajo requerimiento APD
• No atender de forma reiterada los derechos de acceso, rectificación,
cancelación y oposición
• No atender de forma sistemática el deber de notificación de ficheros a la
APD
w w w . Asalv
o.net
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
IIIInfracciones. nfracciones. nfracciones. nfracciones. MMMMUY UY UY UY GGGGRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPDRAVES (Art. 44.4 LOPD) ) ) ) ::::::::::::
•Transferencia de datos a países que no proporcionen un nivel de
protección equiparable sin autorización del Director de la Agencia de
Protección de Datos
• Tratamiento de datos de forma ilegítima o con menosprecio de los
• Tratamiento de datos de forma ilegítima o con menosprecio de los
principios y garantías aplicables
• Vulneración del deber de secreto de los datos especialmente protegidos
w w w . Asalv
o.net
AAAAGENCIA GENCIA GENCIA GENCIA EEEESPAÑOLA DE SPAÑOLA DE SPAÑOLA DE SPAÑOLA DE PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE DDDDATOSATOSATOSATOS6666
I. InformarInformarInformarInformar al titular de los datos, antes de la recogida de información.
II. Ante la duda, pedir el consentimientoconsentimientoconsentimientoconsentimiento para el tratamiento de los datos
y cesiones previstas.
III. Prestar especial atención a datos especialmente protegidos datos especialmente protegidos datos especialmente protegidos datos especialmente protegidos y datos datos datos datos
de menoresde menoresde menoresde menores.
IV. Recordar la importancia de mantener la confidencialidadla confidencialidadla confidencialidadla confidencialidad en el
IV. Recordar la importancia de mantener la confidencialidadla confidencialidadla confidencialidadla confidencialidad en el
tratamiento de datos para preservar la intimidad de los titulares.
V. Facilitar el ejercicio de los derechos de los afectadosderechos de los afectadosderechos de los afectadosderechos de los afectados.
VI. Asegurarnos de la identidad de los interlocutoresidentidad de los interlocutoresidentidad de los interlocutoresidentidad de los interlocutores antes de facilitar
datos de carácter personal.
VII. Regular a través de contratos contratos contratos contratos el acceso a datos por cuenta de
VIII. Eliminar listados temporalesEliminar listados temporalesEliminar listados temporalesEliminar listados temporales tanto informatizados como en papel
cuando dejen de necesitarse.
IX. Controlar la identificación y autentificación de los usuarios en los
sistemas mediante utilización de usuario y contraseñausuario y contraseñausuario y contraseñausuario y contraseña.
X. Las contraseñas son de uso personal e intransferiblepersonal e intransferiblepersonal e intransferiblepersonal e intransferible.
XI. Los usuarios deberán tener el accesoaccesoaccesoacceso a los sistemas restringidorestringidorestringidorestringido
Asalvo consultores S.LAsalvo consultores S.LAsalvo consultores S.LAsalvo consultores S.L[protección de datos y seguridad informática][protección de datos y seguridad informática][protección de datos y seguridad informática][protección de datos y seguridad informática]