Rd 1720-2007 Transparencias (bueno)
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Rd 1720-2007 Transparencias (bueno) as PDF for free.
More details
- Words: 5,187
- Pages: 56
Reglamento RD-1720/2007, de desarrollo de la LOPD Medidas de seguridad y otros aspectos novedosos Pedro Alberto González Encargado del Registro de Ficheros y NNTT
Contenido del Reglamento RD-1720/2007 • • • • • • • • • •
Objeto, ámbito y definiciones Principios de Protección de Datos Derechos A.R.C.O Ficheros especiales Obligaciones previas al tratamiento de datos Transferencias internacionales Códigos tipo Medidas de Seguridad Procedimientos tramitados por la AEPD Plazos del Régimen transitorio
Pedro Alberto González
Reglamento RD.1720/2007
2
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
3
La cosa viene de lejos • •
"Juro que no he sido republicano, que no acepto la expulsión del Emperador ni su reemplazo por el Anticristo “Que no acepto el matrimonio civil ni la separación de la Iglesia del Estado ni el sistema métrico decimal.
• Que no responderé a las preguntas del censo. • •
Que nunca más robaré ni fumaré ni me emborracharé ni apostaré ni fornicaré por vicio. Y que daré mi vida por mi religión y el Buen Jesús“ [El Beatito, en “La Guerra del Fin del Mundo”] (Novela basada en hechos reales ocurridos en Brasil, 1897).
Pedro Alberto González
Reglamento RD.1720/2007
4
Intimidad / Privacidad •
•
La intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, … Delimitación de la intimidad:
•
– Ámbito espacial: • Mis cuatro paredes
– Ámbito subjetivo • Persona / personaje
•
– Yo decido lo que me atañe
– Ámbito objetivo • Conducta privada / pública
•
La privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado.” Delimitación de la privacidad:
•
“Mis datos son míos”
“Derecho a que me dejen en paz” -1890
Pedro Alberto González
Reglamento RD.1720/2007
5
El circulo de la privacidad
Pedro Alberto González
Reglamento RD.1720/2007
6
El temor al tratamiento masivo de datos personales • Constitución Portuguesa, 1976 – “se prohíbe atribuir un número nacional único a los ciudadanos”
• Constitución Española, 1978 – “la Ley limitará el uso de la informática para garantizar… la intimidad… de los ciudadanos”
• Sentencia del Tribunal Constitucional Alemán contra la Ley del Censo (1983) – Concepto de “Autodeterminación Informativa”
Pedro Alberto González
Reglamento RD.1720/2007
7
La base de la Autodeterminación Informativa • Consentimiento – Manifestación de la voluntad de forma libre, inequívoca, específica e informada – Ya sea para la captación, almacenamiento, tratamiento o cesión – Podrá revocarse con posterioridad
• Habilitación Legal, como excepción al consentimiento – Las generales, contenidas en la LOPD – Las sectoriales, contenidas en Leyes específicas
Pedro Alberto González
Reglamento RD.1720/2007
8
Los principios de la Protección de Datos en la Ley Orgánica 15/1999 (LOPD) • • • • • •
Calidad de los Datos Información previa Consentimiento del afectado Protección especial de ciertos datos Seguridad y deber de secreto Limitación de las cesiones de datos
Pedro Alberto González
Reglamento RD.1720/2007
9
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
10
Título VIII. Medidas de seguridad • • • •
Definiciones (art. 5 en el título I) Capítulo I. Disposiciones generales (arts. 79 - 87) Capítulo II. Del documento de seguridad (art. 88) Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos automatizados – Sección Primera. Medidas de seguridad de nivel básico (arts. 89 - 94) – Sección Segunda. Medidas de seguridad de nivel medio (arts. 95 - 100) – Sección Tercera. Medidas de seguridad de nivel alto (arts. 101 - 104)
•
Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos no automatizados – Sección Primera. Medidas de seguridad de nivel básico (arts. 105 - 108) – Sección Segunda. Medidas de seguridad de nivel medio (arts. 109 - 110) – Sección Tercera. Medidas de seguridad de nivel alto (arts. 111 - 114)
Pedro Alberto González
Reglamento RD.1720/2007
11
Definiciones a destacar (art. 5.1 en el título I) • Encargado del Tratamiento: También pueden serlo Órganos Administrativos (relación jurídica en vez de contrato) • Entes sin personalidad jurídica (UTEs): Pueden ser Responsables o encargados de tratamiento, cuando actúen como sujetos diferenciados • Fichero no automatizado: Conjunto de datos estructurado con criterios específicos que permitan acceder sin esfuerzos desproporcionados Pedro Alberto González
Reglamento RD.1720/2007
12
Definiciones a destacar (art. 5.2 en el título I) • Documento: Escrito, gráfico, etc., que pueda ser tratado como una unidad diferenciada • Ficheros temporales: Ficheros creados para un tratamiento ocasional o como paso intermedio • Perfil de Usuario Accesos autorizados a un grupo de usuarios • Sistema de tratamiento: Clasificación de los Sistemas en automatizados, no automatizados y parcialmente automatizados (o sea, mixtos) • Transmisión de documentos: Traslado, comunicación, envío, entrega o divulgación de información • Usuario: Sujeto o proceso que permite acceder a datos o recursos Pedro Alberto González
Reglamento RD.1720/2007
13
Disposiciones generales: Niveles de seguridad •
Básico – Cualquier otro fichero o tratamiento de datos de carácter personal
•
Medio – – – – – –
•
Infracciones administrativas o penales Servicios de información sobre solvencia patrimonial y crédito Administraciones Tributarias - potestades tributarias Entidades financieras - servicios financieros Seguridad Social, Mutuas Elaboración de perfiles
Medio (+ registro de accesos) – Operadores TELECO – tráfico y localización
•
Alto – Datos especialmente protegidos – Fines policiales sin consentimiento de las personas afectada – Violencia de género
Pedro Alberto González
Reglamento RD.1720/2007
14
Excepciones a la aplicación de medidas de Nivel Alto • Bastará con nivel básico en los siguientes casos: – Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, para: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento manual de forma incidental o accesoria, sin guardar relación con la finalidad
– Salud (grado o condición de discapacidad o invalidez), para: • cumplimiento de deberes públicos
Pedro Alberto González
Reglamento RD.1720/2007
15
Otras disposiciones generales • Encargado del tratamiento (art. 82) • Prestaciones de servicios sin acceso a datos personales (art. 83). • Delegación de autorizaciones (art. 84). • Acceso a datos a través de redes de comunicaciones (art. 85). • Trabajo fuera de los locales del responsable del fichero o encargado del tratamiento (art. 86). • Ficheros temporales o copias de trabajo de documentos (art. 87). Pedro Alberto González
Reglamento RD.1720/2007
16
Aplicación de las medidas, con independencia de… • QUIÉN realice el tratamiento – Encargado del tratamiento: Diferentes modos de prestación del servicio (local, remoto, externo) (art. 82) – Prestación de servicios sin acceso a datos personales: Cláusula en el contrato (limpieza, seguridad, …) (art. 83) – Posibilidad de delegación de autorizaciones (art. 84)
• DÓNDE (o desde donde) se realice – Acceso a datos a través de redes de comunicaciones, sean o no públicas (art. 85) – Régimen de trabajo fuera de los locales del responsable o encargado del tratamiento: Dispositivos portátiles (art. 86)
•
CÓMO se realice – Ficheros temporales o copias de documentos (art. 87)
Pedro Alberto González
Reglamento RD.1720/2007
17
Resumen medidas nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Art. 93. Identificación y autenticación Art. 94. Copias de respaldo y recuperación
Pedro Alberto González
Sólo no automatizados Art. 106. Criterios de archivo - posibilitar derechos ARCO Art. 107. Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación
Reglamento RD.1720/2007
18
Resumen medidas nivel Medio Ficheros automatizados y no automatizados Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: Auditoria Sólo automatizados
Sólo no automatizados
Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias
Pedro Alberto González
Reglamento RD.1720/2007
19
Resumen medidas nivel Alto Sólo automatizados Art. 101. Gestión y distribución de soportes –Cifrado de datos. Evitar dispositivos que no permitan el cifrado
Art. 102. Copias de respaldo y recuperación Art. 103. Registro de accesos –Excepción: Responsable persona física y único usuario
Art. 104. Telecomunicaciones
Sólo no automatizados Art. 111. Almacenamiento de la información –Archivadores, áreas restringidas
Art. 112. Copia o reproducción –Personal autorizado
Art. 113. Acceso a la documentación –Mecanismo identificación accesos por
diferentes usuarios
Art. 114. Traslado de documentación –Impedir acceso, manipulación
– Cifrado en redes públicas o inalámbricas
Pedro Alberto González
Reglamento RD.1720/2007
20
El Decálogo de las medidas de seguridad 1. Disponer de un Documento de Seguridad,… y aplicarlo!!! 2. Designar un Responsable de Seguridad 3. Efectuar Controles periódicos y Auditorías 4. Definir y documentar las funciones y obligaciones del personal 5. Identificar y autenticar a los usuarios 6. Disponer de controles y registros de accesos 7. Gestionar adecuadamente soportes y documentos 8. Procedimentar las copias de respaldo y recuperación 9. Prever y gestionar las incidencias de seguridad 10. Gestionar los accesos a través de la redes de comunicaciones
Pedro Alberto González
Reglamento RD.1720/2007
21
1.a- Documento de Seguridad: contenido Nivel Básico
Nivel Medio N. Alto
Establece y recopila: 9 9 9 9 9
Además debe contener: El Ámbito de aplicación. 9 La Identificación del Las medidas, normas, procedimientos y estándares responsable de de seguridad. seguridad. Las funciones y obligaciones del personal. 9 Los Controles La estructura de los ficheros y la descripción de los periódicos del sistemas de información. cumplimiento del Los procedimientos de gestión y respuesta ante documento. incidencias.
9 Los procedimientos de realización de las copias de respaldo y recuperación de datos. 9 Las Medidas para el transporte, destrucción y reutilización de soportes. Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
22
1.b- Documento de Seguridad: cambios que mejoran su utilización Nivel Básico
• • • •
N. Alto
Segregación de ficheros por niveles (art. 81.8) Único, para todos los ficheros, agrupado o individualizado por cada fichero, en función de sistemas de tratamiento u otros criterios Carácter Interno. Controlado y actualizado periódicamente Recogerá las situaciones excepcionales: – – – –
• •
Nivel Medio
Prestaciones de servicios, uso de dispositivos portátiles, Medidas compensatorias, imposibilidad aplicación medidas previstas Delegación de autorizaciones (art. 84) Ficheros externalizados completamente
Ficheros gestionados como Encargado de Tratamiento Puede delegarse la llevanza del Documento de Seguridad en el Encargado de Tratamiento Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
23
2.- Responsable de Seguridad Nivel Básico
Nivel Medio
Nivel Alto
9 Debe existir uno o varios, designados por el responsable del fichero. 9 Es el encargado de coordinar y controlar las medidas del documento de seguridad. 9 En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero
Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
24
3.- Controles periódicos del Documento de Seguridad y Auditorías Nivel Básico
Nivel Medio
Nivel Alto
9 Realizar controles periódicos 9 Mantener actualizado el Documento de Seguridad 9 9 9 9
Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: 9 Adecuación de medidas y controles. 9 Deficiencias identificadas 9 Medidas correctoras necesarias.
9 El responsable de seguridad debe: 9 Analizar el informe de Auditoría 9 Elevar sus conclusiones al responsable del fichero
9 A disposición de la AVPD Aplicable a ficheros automatizados y manuales Pedro Alberto González
Reglamento RD.1720/2007
25
4.- Funciones y obligaciones del Personal Nivel Básico
Nivel Medio
Nivel Alto
9 Las funciones y obligaciones relacionadas con el acceso a datos personales habrán de estar claramente definidas y documentadas. 9 Deben definirse las funciones de control y autorizaciones delegadas 9 El personal debe conocer las normas que les afecten 9 El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
26
5.- Identificación y Autenticación Nivel Básico 9 Se identificará univoca y personalmente a cada usuario 9 Procedimiento de asignación y gestión de contraseñas 9 Periodo de caducidad para las contraseñas inferior a un año. 9 Se almacenarán de forma ininteligible.
Nivel Medio
Nivel Alto
9 Existirá un límite al número de intentos reiterados de acceso no autorizado.
Aplicable solo a ficheros automatizados
Pedro Alberto González
Reglamento RD.1720/2007
27
6.a- Controles y Registros de Accesos para ficheros automatizados Nivel Básico
Nivel Medio
Nivel Alto
9 Existirá un Registro de 9 Existirán 9 Acceso únicamente a Accesos donde figurará: controles de los datos y recursos 9 usuario, hora, acceso necesarios para sus 9 fichero, tipo acceso físico a los funciones. 9 registro accedido. locales 9 Relación actualizada 9 Bajo el control del donde se de usuarios y perfiles y responsable de encuentren sus accesos seguridad. ubicados los 9 Se hará un informe autorizados. sistemas de 9 Mecanismos para mensual. información. 9 Se conservará al menos evitar el acceso con distintos derechos. durante 2 años. 9 Concesión de 9 Excepción: derechos por personal 9 Accede una única persona física autorizado. Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales Pedro Alberto González Reglamento RD.1720/2007
28
6.b- Controles y Registros de Accesos para ficheros manuales Nivel Básico
Nivel Medio
9 Acceso únicamente a los datos y recursos necesarios para sus funciones. 9 Relación actualizada de usuarios y perfiles y sus accesos autorizados. 9 Mecanismos para evitar el acceso con distintos derechos. 9 Concesión de derechos por personal autorizado. Aplicable a ficheros automatizados y manuales Pedro Alberto González
Nivel Alto 9 El acceso se limitará al personal autorizado. 9 Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuarios 9 Procedimiento en el Documento de Seguridad para registrar los accesos de otras personas
Aplicable solo a ficheros manuales
Reglamento RD.1720/2007
29
7.a- Gestión de Soportes para ficheros automatizados Nivel Básico
Nivel Medio
9 Inventario de soportes 9 Acceso restringido. 9 Salida autorizada de soportes, incluso eMail. 9 Medidas en el traslado para impedir pérdidas, … 9 Medidas para impedir la recuperación de datos de soportes desechados o reutilizado. 9 Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y manuales
Pedro Alberto González
9 Habrá un registro de entrada y salida de soportes.
Nivel Alto 9 “Cripto-Etiquetado” 9 Distribuir soportes cifrando los datos u otro mecanismo que impida el acceso. 9 Cifrado de dispositivos portátiles. 9 Excepciones, al DS
Aplicable solo a ficheros automatizados
Reglamento RD.1720/2007
30
7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico
Nivel Medio
9 Se aplicarán criterios de archivo que permitan la conservación, localización y consulta 9 Los dispositivos de almacenamiento tendrán mecanismos que obstaculicen su apertura 9 Cuando la documentación no se encuentre archivada, su depositario deberá custodiarla e impedir accesos no autorizados
Nivel Alto 9 El acceso a armarios, archivadores, etc. estará protegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas. 9 Soluciones alternativas, motivadas en el Documento de Seguridad 9 Siempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación
Aplicable solo a ficheros manuales
Pedro Alberto González
Reglamento RD.1720/2007
31
8.- Procedimientos de Respaldo y Recuperación Nivel Básico
Nivel Medio
Nivel Alto
9 Las copias de 9 Procedimientos de copia para respaldo y respaldo y los recuperación, al menos semanalmente procedimientos 9 Garantizar la reconstrucción de los datos al de recuperación mismo estado en que se encontraban en el se conservarán momento de la pérdida o destrucción. en un lugar 9 Verificación semestral de su definición, diferente de funcionamiento y aplicación donde se 9 Pruebas con datos reales con mismo nivel encuentren los de seguridad y con copia de seguridad equipos. Aplicable solo a ficheros automatizados
Pedro Alberto González
Reglamento RD.1720/2007
32
9.- Procedimiento de Gestión de Incidencias Nivel Básico
Nivel Medio
9 Debe existir un Registro de Incidencias con:
9 Además, debe contener:
9 tipo de incidencia, 9 cuándo se ha producido, 9 persona que la notificia, 9 persona a quien se comunica 9 efectos derivados. Aplicable a ficheros automatizados y manuales Pedro Alberto González
Nivel Alto
9 Procedimientos efectuados para recuperación de los datos, 9 persona que lo ejecuta, 9 datos restaurados 9 datos grabados manualmente.
9 Es necesaria la autorización por escrito del responsable del fichero para su recuperación. Aplicable solo a ficheros automatizados
Reglamento RD.1720/2007
33
10.- Acceso y transmisión mediante Telecomunicaciones Nivel Básico
Nivel Medio
Nivel Alto
9 La transmisión de datos a 9 Las medidas de seguridad través de redes de exigibles a los accesos telecomunicaciones mediante redes de 9 Públicas comunicaciones, sean 9 Inalámbricas públicas o privadas, se realizará cifrando los datos deberán de garantizar un nivel o mediante cualquier otro de seguridad equivalente al mecanismo que garantice los accesos en modo local que la información no sea inteligible ni manipulada por terceros Aplicable solo a ficheros automatizados
Pedro Alberto González
Reglamento RD.1720/2007
34
Resumen de novedades • •
Se incluye el concepto de tratamiento no automatizado (ficheros manuales) Niveles de seguridad de los ficheros – – –
•
Documento de Seguridad – – –
•
Nivel básico: queda igual Nivel medio: se incluyen los ficheros de perfiles Nivel alto: violencia de género Puede ser único para toda la organización, individual para cada fichero o tratamiento o agrupado por sistema de tratamiento. Art 5: identificación de los ficheros tratados por cuenta de terceros Art 6: delegación del Documento de Seguridad al encargado del tratamiento
Identificación y autenticación –
La identificación inequívoca y personalizada de todo usuario pasa del nivel medio al básico. Art 93.1
•
Control de acceso
•
Gestión y distribución de soportes y documentos
– – – –
•
Las medidas para impedir la recuperación de datos en caso de desecho de bajan del nivel medio al básico. Se incluye el concepto de “etiquetado inteligente” para el nivel alto (art 101.1) Se incluye el concepto de documento además del de soporte
Copias de respaldo y recuperación – –
•
Se incluye el concepto de usuario, perfil de usuario y acceso autorizado.
Se incluye una verificación semestral de los procedimientos de copia Se incluye la cláusula de las pruebas con datos reales
Registro de accesos – –
Se incluye una excepción (art 103.6) a la existencia de este registro Además de lo anterior se añade toda la parte de las medidas de seguridad para los tratamientos no automatizados
Pedro Alberto González
Reglamento RD.1720/2007
35
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
36
Plazos del régimen transitorio • •
Entrada en vigor: 2008-04-19 (tres meses tras su publicación) Ficheros nuevos (sean manuales o automatizados) – Aplicación de las medidas correspondientes a su nivel desde su creación
•
Ficheros Automatizados preexistentes – Medidas adicionales: 2009-04-19 (1 año tras entrada en vigor) • • • •
Art. 93: personalización de usuarios, de medio a básico Art. 94: pruebas con datos reales, de medio a básico Art. 101: cifrado de dispositivos y soportes portátiles fuera de instalaciones Art. 104: cifrado redes inalámbricas
– Nivel medio:
2009-04-19 (1 año tras entrada en vigor)
• Seguridad Social, Mutuas, Perfiles personalidad, Telecos (tráfico, localización) medidas de nivel medio
– Nivel alto:
2009-10-19 (18 meses tras entrada en vigor)
• Violencia de género, Telecos (tráfico, localización) art. 103, Registro de accesos)
•
No automatizados preexistentes – Nivel Básico: 2009-04-19 (1 año tras entrada en vigor) – Nivel Medio: 2009-10-19 (18 meses tras entrada en vigor) – Nivel Alto: 2010-04-19 (2 años tras entrada en vigor)
Pedro Alberto González
Reglamento RD.1720/2007
37
Plazos del régimen transitorio •
2008-04-19 – Entrada en vigor: (tres meses tras su publicación) – Ficheros nuevos (sean manuales o automatizados) • Aplicación de las medidas correspondientes a su nivel desde su creación
•
2009-04-19 (1 año tras entrada en vigor) – Medidas adicionales Ficheros Automatizados preexistentes : • • • •
Art. 93: personalización de usuarios, de medio a básico Art. 94: pruebas con datos reales, de medio a básico Art. 101: cifrado de dispositivos y soportes portátiles fuera de instalaciones Art. 104: cifrado redes inalámbricas
– Nivel medio Ficheros Automatizados preexistentes • Seguridad Social, Mutuas, Perfiles personalidad, Telecos (tráfico, localización) medidas de nivel medio
– Nivel Básico Ficheros NO Automatizados preexistentes
•
2009-10-19 (18 meses tras entrada en vigor) – Nivel alto Ficheros Automatizados preexistentes : • Violencia de género, Telecos (tráfico, localización) art. 103, Registro de accesos)
– Nivel Medio Ficheros NO Automatizados preexistentes
•
2010-04-19 (2 años tras entrada en vigor) – Nivel Alto Ficheros NO Automatizados preexistentes
Pedro Alberto González
Reglamento RD.1720/2007
38
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
39
El cumplimiento de la LOPD, paso a paso 1. Documéntese 2. Cumpla con los requisitos formales 3. Cumpla con las obligaciones materiales 4. Vigile y haga vigilar las medidas de seguridad
Pedro Alberto González
Reglamento RD.1720/2007
40
Documentándose sobre la LOPD 1. Como punto de partida, examine nuestra página web (www.avpd.es). 2. Lea la Ley Orgánica de Protección de Datos (LOPD, Ley 15/1999), 3. Lea la Ley Autonómica de Creación de la Agencia Vasca de Protección de Datos (LAVPD, Ley 2/2004), 4. Lea el nuevo Reglamento (RD-1720/2007), de Desarrollo de la LOPD
Pedro Alberto González
Reglamento RD.1720/2007
41
Cumplimiento de los requisitos formales: 1. Efectuar el inventario más completo posible de los posibles ficheros de datos personales 2. Identificar las características necesarias para su declaración, recogidas en el artículo 20 de la LOPD y desarrolladas en el artículo 54 del RD-1720/2007 3. Cumplimentar, a modo de borrador, el Programa de Autodeclaración que facilita la AVPD en su página web www.avpd.es 4. Confeccionar la disposición de regulación de ficheros 5. Aprobar dicha disposición y publicarla en el Boletín Oficial que corresponda 6. Cumplimentar definitivamente el Programa de Autodeclaración y remitir la declaración a la AVPD
Pedro Alberto González
Reglamento RD.1720/2007
42
Cumplimiento de las obligaciones materiales 1. Tratar adecuadamente los Datos Personales – Recogida de datos – Mantenimiento y actualización. – Secreto Profesional
2. Facilitar a quienes figuren en los ficheros el ejercicio de sus derechos A.R.C.O. – (Acceso, Rectificación, Cancelación y Oposición)
3. Otras Recomendaciones: – Adopción de Códigos Tipo o Manuales de Buenas Prácticas – Prestar atención a los contratos con terceros – Proporcionar apoyo y formación al personal
Pedro Alberto González
Reglamento RD.1720/2007
43
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
44
AVPD: Quienes somos … • Naturaleza – La AVPD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada. – Actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.
• Régimen jurídico – Se crea por la Ley 2/2004 del Parlamento Vasco (LAVPD) – Actúa como Autoridad de Control en la aplicación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). – En tanto que Administración Pública, se rige por la Ley 30/1992, de Régimen Jurídico de las AAPP y del Procedimiento Administrativo Común. – Sus bienes y derechos pertenecen al patrimonio de la Comunidad Autónoma del País Vasco.
Pedro Alberto González
Reglamento RD.1720/2007
45
Donde estamos … •
Dirección de la Agencia Vasca de Protección de Datos: – C/ Beato Tomás de Zumárraga, 71, 3ª Planta 01008 Vitoria - Gasteiz – Tel. + (34) 945 016 230- Fax. + (34) 945 016 231 e-Mail: [email protected]
•
Como llegar: – La sede de la AVPD se encuentra en el ala oeste del antiguo Seminario de Vitoria-Gasteiz – En el mismo edificio tienen también su sede el Tribunal Vasco de Cuentas e Izenpe, la entidad de certificación de las Administraciones Vascas
•
En internet: – http://www.avpd.es
Pedro Alberto González
Reglamento RD.1720/2007
46
Ámbito de actuación de la AVPD •
Ficheros de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por: – La Administración General de la Comunidad Autónoma, – Los Órganos Forales de los Territorios Históricos – Las Administraciones Locales del ámbito territorial de la Comunidad Autónoma del País Vasco, – Los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público. – El Parlamento Vasco, El Tribunal Vasco de Cuentas Públicas, El Ararteko, El Consejo de Relaciones Laborales, El Consejo Económico y Social, El Consejo Superior de Cooperativas, La Agencia Vasca de Protección de Datos. La Comisión Arbitral, – Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco. – Cualesquiera otros organismos o instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario.
Pedro Alberto González
Reglamento RD.1720/2007
47
Excepciones • No obstante, la Agencia Vasca de Protección de Datos NO incluye en su ámbito de actuación a los ficheros: – Sometidos a la normativa sobre protección de materias clasificadas. – Establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. – Regulados por la legislación de régimen electoral. – Procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por los cuerpos de Policía del País Vasco, de conformidad con la legislación sobre la materia. Pedro Alberto González
Reglamento RD.1720/2007
48
Funciones Ejecutivas de la AVPD •
Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación • Emitir las autorizaciones previstas en las leyes y reglamentos. • Atender las peticiones y reclamaciones formuladas por los afectados • Requerir a los responsables y a los encargados de los tratamientos la adopción de las medidas necesarias para la adecuación del tratamiento • Ordenar la cesación de los tratamientos y la cancelación de los ficheros no ajustados a derecho. Inmovilizar ficheros • Ejercer la potestad sancionadora y proponer la iniciación de procedimientos disciplinarios • Velar por la publicidad de la existencia de los ficheros de datos con carácter personal
Pedro Alberto González
Reglamento RD.1720/2007
49
Otras Funciones de la AVPD •
Funciones Normativas – Dictar instrucciones para adecuación de los tratamientos – Regular el procedimiento de inscripción en el Registro de Ficheros – Desarrollo legislativo de la LAVPD • Estatuto de la AVPD • Reglamento de tutela de derechos y de control de los ficheros de datos de carácter personal. • Norma de organización y funcionamiento del Consejo Consultivo
•
Consultivas – Proporcionar información a las personas acerca de sus derechos – Atender a las consultas que formulen las administraciones públicas, así como otras personas físicas o jurídicas – Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen la LAVPD.
Pedro Alberto González
Reglamento RD.1720/2007
50
Estructura de la AVPD
Director
Asesoría Jurídica e Inspección
Pedro Alberto González
Registro de P.D. y Nuevas Tecnologías
Reglamento RD.1720/2007
Consejo Consultivo
Secretaría General
51
El Consejo Consultivo •
El director de la Agencia Vasca de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros: – Un representante del Parlamento Vasco, designado por éste. – Un representante de la Administración de la Comunidad Autónoma del País Vasco, designado por el Consejo de Gobierno. – Un representante de los territorios históricos, designado por éstos de común acuerdo. – Un representante de las entidades locales del ámbito territorial de la Comunidad Autónoma del País Vasco, designado por la asociación más representativa de las mismas en el citado ámbito territorial. – Dos expertos, uno en informática y otro en el ámbito de los derechos fundamentales, designados por la Universidad del País Vasco previa consulta a las corporaciones de derecho público de la Comunidad Autónoma del País Vasco.
Pedro Alberto González
Reglamento RD.1720/2007
52
Asesoría Jurídica e Inspección •
Funciones de Instrucción. – instrucción de los procedimientos de tutela de derechos a que den lugar las reclamaciones de los ciudadanos – instrucción de los procedimientos sancionadores y de infracción incoados a las Administraciones Públicas, Instituciones, Entidades y Corporaciones
•
Funciones de Inspección. – Efectuar inspecciones probatorias o circunstanciales, relacionadas con la instrucción de expedientes, de cualesquiera de los ficheros a comprendidos en el ámbito de la AVPD, se hallen o no inscritos en el Registro de Protección de Datos – Colaborar con el Registro de Protección de Datos en las Inspecciones Sectoriales
•
Funciones de Informe, Resolución de Consultas y Asesoría Jurídica. – Elaboración de informes jurídicos sobre disposiciones relacionadas con la Protección de Datos – Responder a consultas planteadas por ciudadanos o Administraciones – Asesoramiento jurídico a la Agencia Vasca de Protección de Datos
Pedro Alberto González
Reglamento RD.1720/2007
53
Unidad de Registro de Protección de Datos y Nuevas Tecnologías •
Funciones relacionadas con el Registro de Protección de Datos. – Gestión del Registro de Protección de Datos previsto en el artículo 18 de la Ley 2/2004 – Promover la publicidad de la existencia de ficheros de datos de carácter personal.
•
Funciones relacionadas con la Inspección: – Efectuar Inspecciones sectoriales – Colaborar con la Asesoría Jurídica en las Inspecciones Probatorias
•
Otras Funciones: – Realización de estudios relacionados con las nuevas tecnologías – Planificación de Sistemas de la propia Agencia. – Coordinación de la red de colaboradores en materia de protección de datos
Pedro Alberto González
Reglamento RD.1720/2007
54
Secretaría General •
Funciones de Gestión. – Gestión de los recursos humanos y materiales de la Agencia. – Gestión económico-administrativa de su presupuesto – Instrucción de los procedimientos relacionados con lo anterior
•
Funciones de información general, formación y documentación. – Informar al ciudadano de los derechos que la Ley le reconoce – Organizar eventos sobre protección de datos.
•
Funciones instrumentales para el resto de la Agencia. – Notificar las resoluciones del Director o Directora de la Agencia. – Coordinar las relaciones con los medios de comunicación.
•
Ejercer la Secretaría del Consejo Consultivo.
Pedro Alberto González
Reglamento RD.1720/2007
55
Los Colaboradores en Protección de Datos •
Como apoyo al Responsable del Fichero: – Consultores de su propia organización en P.D. – Dinamizar y controlar los aspectos formales de los propios ficheros (registro y seguridad) – Integrados en la política de seguridad de la Organización – Canalizar el ejercicio de derechos por los ciudadanos
•
Como colaboradores de la AVPD: – Relación directa con la A.V.P.D. – Receptores de información especializada – Formación orientada a su perfil
•
Como miembros de la Red: – Intercambio de experiencias entre las diversas administraciones
•
¿Una Red de Colaboradores en Protección de Datos en el Gobierno Vasco?
Pedro Alberto González
Reglamento RD.1720/2007
56
Contenido del Reglamento RD-1720/2007 • • • • • • • • • •
Objeto, ámbito y definiciones Principios de Protección de Datos Derechos A.R.C.O Ficheros especiales Obligaciones previas al tratamiento de datos Transferencias internacionales Códigos tipo Medidas de Seguridad Procedimientos tramitados por la AEPD Plazos del Régimen transitorio
Pedro Alberto González
Reglamento RD.1720/2007
2
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
3
La cosa viene de lejos • •
"Juro que no he sido republicano, que no acepto la expulsión del Emperador ni su reemplazo por el Anticristo “Que no acepto el matrimonio civil ni la separación de la Iglesia del Estado ni el sistema métrico decimal.
• Que no responderé a las preguntas del censo. • •
Que nunca más robaré ni fumaré ni me emborracharé ni apostaré ni fornicaré por vicio. Y que daré mi vida por mi religión y el Buen Jesús“ [El Beatito, en “La Guerra del Fin del Mundo”] (Novela basada en hechos reales ocurridos en Brasil, 1897).
Pedro Alberto González
Reglamento RD.1720/2007
4
Intimidad / Privacidad •
•
La intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, … Delimitación de la intimidad:
•
– Ámbito espacial: • Mis cuatro paredes
– Ámbito subjetivo • Persona / personaje
•
– Yo decido lo que me atañe
– Ámbito objetivo • Conducta privada / pública
•
La privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado.” Delimitación de la privacidad:
•
“Mis datos son míos”
“Derecho a que me dejen en paz” -1890
Pedro Alberto González
Reglamento RD.1720/2007
5
El circulo de la privacidad
Pedro Alberto González
Reglamento RD.1720/2007
6
El temor al tratamiento masivo de datos personales • Constitución Portuguesa, 1976 – “se prohíbe atribuir un número nacional único a los ciudadanos”
• Constitución Española, 1978 – “la Ley limitará el uso de la informática para garantizar… la intimidad… de los ciudadanos”
• Sentencia del Tribunal Constitucional Alemán contra la Ley del Censo (1983) – Concepto de “Autodeterminación Informativa”
Pedro Alberto González
Reglamento RD.1720/2007
7
La base de la Autodeterminación Informativa • Consentimiento – Manifestación de la voluntad de forma libre, inequívoca, específica e informada – Ya sea para la captación, almacenamiento, tratamiento o cesión – Podrá revocarse con posterioridad
• Habilitación Legal, como excepción al consentimiento – Las generales, contenidas en la LOPD – Las sectoriales, contenidas en Leyes específicas
Pedro Alberto González
Reglamento RD.1720/2007
8
Los principios de la Protección de Datos en la Ley Orgánica 15/1999 (LOPD) • • • • • •
Calidad de los Datos Información previa Consentimiento del afectado Protección especial de ciertos datos Seguridad y deber de secreto Limitación de las cesiones de datos
Pedro Alberto González
Reglamento RD.1720/2007
9
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
10
Título VIII. Medidas de seguridad • • • •
Definiciones (art. 5 en el título I) Capítulo I. Disposiciones generales (arts. 79 - 87) Capítulo II. Del documento de seguridad (art. 88) Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos automatizados – Sección Primera. Medidas de seguridad de nivel básico (arts. 89 - 94) – Sección Segunda. Medidas de seguridad de nivel medio (arts. 95 - 100) – Sección Tercera. Medidas de seguridad de nivel alto (arts. 101 - 104)
•
Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos no automatizados – Sección Primera. Medidas de seguridad de nivel básico (arts. 105 - 108) – Sección Segunda. Medidas de seguridad de nivel medio (arts. 109 - 110) – Sección Tercera. Medidas de seguridad de nivel alto (arts. 111 - 114)
Pedro Alberto González
Reglamento RD.1720/2007
11
Definiciones a destacar (art. 5.1 en el título I) • Encargado del Tratamiento: También pueden serlo Órganos Administrativos (relación jurídica en vez de contrato) • Entes sin personalidad jurídica (UTEs): Pueden ser Responsables o encargados de tratamiento, cuando actúen como sujetos diferenciados • Fichero no automatizado: Conjunto de datos estructurado con criterios específicos que permitan acceder sin esfuerzos desproporcionados Pedro Alberto González
Reglamento RD.1720/2007
12
Definiciones a destacar (art. 5.2 en el título I) • Documento: Escrito, gráfico, etc., que pueda ser tratado como una unidad diferenciada • Ficheros temporales: Ficheros creados para un tratamiento ocasional o como paso intermedio • Perfil de Usuario Accesos autorizados a un grupo de usuarios • Sistema de tratamiento: Clasificación de los Sistemas en automatizados, no automatizados y parcialmente automatizados (o sea, mixtos) • Transmisión de documentos: Traslado, comunicación, envío, entrega o divulgación de información • Usuario: Sujeto o proceso que permite acceder a datos o recursos Pedro Alberto González
Reglamento RD.1720/2007
13
Disposiciones generales: Niveles de seguridad •
Básico – Cualquier otro fichero o tratamiento de datos de carácter personal
•
Medio – – – – – –
•
Infracciones administrativas o penales Servicios de información sobre solvencia patrimonial y crédito Administraciones Tributarias - potestades tributarias Entidades financieras - servicios financieros Seguridad Social, Mutuas Elaboración de perfiles
Medio (+ registro de accesos) – Operadores TELECO – tráfico y localización
•
Alto – Datos especialmente protegidos – Fines policiales sin consentimiento de las personas afectada – Violencia de género
Pedro Alberto González
Reglamento RD.1720/2007
14
Excepciones a la aplicación de medidas de Nivel Alto • Bastará con nivel básico en los siguientes casos: – Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, para: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento manual de forma incidental o accesoria, sin guardar relación con la finalidad
– Salud (grado o condición de discapacidad o invalidez), para: • cumplimiento de deberes públicos
Pedro Alberto González
Reglamento RD.1720/2007
15
Otras disposiciones generales • Encargado del tratamiento (art. 82) • Prestaciones de servicios sin acceso a datos personales (art. 83). • Delegación de autorizaciones (art. 84). • Acceso a datos a través de redes de comunicaciones (art. 85). • Trabajo fuera de los locales del responsable del fichero o encargado del tratamiento (art. 86). • Ficheros temporales o copias de trabajo de documentos (art. 87). Pedro Alberto González
Reglamento RD.1720/2007
16
Aplicación de las medidas, con independencia de… • QUIÉN realice el tratamiento – Encargado del tratamiento: Diferentes modos de prestación del servicio (local, remoto, externo) (art. 82) – Prestación de servicios sin acceso a datos personales: Cláusula en el contrato (limpieza, seguridad, …) (art. 83) – Posibilidad de delegación de autorizaciones (art. 84)
• DÓNDE (o desde donde) se realice – Acceso a datos a través de redes de comunicaciones, sean o no públicas (art. 85) – Régimen de trabajo fuera de los locales del responsable o encargado del tratamiento: Dispositivos portátiles (art. 86)
•
CÓMO se realice – Ficheros temporales o copias de documentos (art. 87)
Pedro Alberto González
Reglamento RD.1720/2007
17
Resumen medidas nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Art. 93. Identificación y autenticación Art. 94. Copias de respaldo y recuperación
Pedro Alberto González
Sólo no automatizados Art. 106. Criterios de archivo - posibilitar derechos ARCO Art. 107. Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación
Reglamento RD.1720/2007
18
Resumen medidas nivel Medio Ficheros automatizados y no automatizados Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: Auditoria Sólo automatizados
Sólo no automatizados
Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias
Pedro Alberto González
Reglamento RD.1720/2007
19
Resumen medidas nivel Alto Sólo automatizados Art. 101. Gestión y distribución de soportes –Cifrado de datos. Evitar dispositivos que no permitan el cifrado
Art. 102. Copias de respaldo y recuperación Art. 103. Registro de accesos –Excepción: Responsable persona física y único usuario
Art. 104. Telecomunicaciones
Sólo no automatizados Art. 111. Almacenamiento de la información –Archivadores, áreas restringidas
Art. 112. Copia o reproducción –Personal autorizado
Art. 113. Acceso a la documentación –Mecanismo identificación accesos por
diferentes usuarios
Art. 114. Traslado de documentación –Impedir acceso, manipulación
– Cifrado en redes públicas o inalámbricas
Pedro Alberto González
Reglamento RD.1720/2007
20
El Decálogo de las medidas de seguridad 1. Disponer de un Documento de Seguridad,… y aplicarlo!!! 2. Designar un Responsable de Seguridad 3. Efectuar Controles periódicos y Auditorías 4. Definir y documentar las funciones y obligaciones del personal 5. Identificar y autenticar a los usuarios 6. Disponer de controles y registros de accesos 7. Gestionar adecuadamente soportes y documentos 8. Procedimentar las copias de respaldo y recuperación 9. Prever y gestionar las incidencias de seguridad 10. Gestionar los accesos a través de la redes de comunicaciones
Pedro Alberto González
Reglamento RD.1720/2007
21
1.a- Documento de Seguridad: contenido Nivel Básico
Nivel Medio N. Alto
Establece y recopila: 9 9 9 9 9
Además debe contener: El Ámbito de aplicación. 9 La Identificación del Las medidas, normas, procedimientos y estándares responsable de de seguridad. seguridad. Las funciones y obligaciones del personal. 9 Los Controles La estructura de los ficheros y la descripción de los periódicos del sistemas de información. cumplimiento del Los procedimientos de gestión y respuesta ante documento. incidencias.
9 Los procedimientos de realización de las copias de respaldo y recuperación de datos. 9 Las Medidas para el transporte, destrucción y reutilización de soportes. Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
22
1.b- Documento de Seguridad: cambios que mejoran su utilización Nivel Básico
• • • •
N. Alto
Segregación de ficheros por niveles (art. 81.8) Único, para todos los ficheros, agrupado o individualizado por cada fichero, en función de sistemas de tratamiento u otros criterios Carácter Interno. Controlado y actualizado periódicamente Recogerá las situaciones excepcionales: – – – –
• •
Nivel Medio
Prestaciones de servicios, uso de dispositivos portátiles, Medidas compensatorias, imposibilidad aplicación medidas previstas Delegación de autorizaciones (art. 84) Ficheros externalizados completamente
Ficheros gestionados como Encargado de Tratamiento Puede delegarse la llevanza del Documento de Seguridad en el Encargado de Tratamiento Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
23
2.- Responsable de Seguridad Nivel Básico
Nivel Medio
Nivel Alto
9 Debe existir uno o varios, designados por el responsable del fichero. 9 Es el encargado de coordinar y controlar las medidas del documento de seguridad. 9 En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero
Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
24
3.- Controles periódicos del Documento de Seguridad y Auditorías Nivel Básico
Nivel Medio
Nivel Alto
9 Realizar controles periódicos 9 Mantener actualizado el Documento de Seguridad 9 9 9 9
Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: 9 Adecuación de medidas y controles. 9 Deficiencias identificadas 9 Medidas correctoras necesarias.
9 El responsable de seguridad debe: 9 Analizar el informe de Auditoría 9 Elevar sus conclusiones al responsable del fichero
9 A disposición de la AVPD Aplicable a ficheros automatizados y manuales Pedro Alberto González
Reglamento RD.1720/2007
25
4.- Funciones y obligaciones del Personal Nivel Básico
Nivel Medio
Nivel Alto
9 Las funciones y obligaciones relacionadas con el acceso a datos personales habrán de estar claramente definidas y documentadas. 9 Deben definirse las funciones de control y autorizaciones delegadas 9 El personal debe conocer las normas que les afecten 9 El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales
Pedro Alberto González
Reglamento RD.1720/2007
26
5.- Identificación y Autenticación Nivel Básico 9 Se identificará univoca y personalmente a cada usuario 9 Procedimiento de asignación y gestión de contraseñas 9 Periodo de caducidad para las contraseñas inferior a un año. 9 Se almacenarán de forma ininteligible.
Nivel Medio
Nivel Alto
9 Existirá un límite al número de intentos reiterados de acceso no autorizado.
Aplicable solo a ficheros automatizados
Pedro Alberto González
Reglamento RD.1720/2007
27
6.a- Controles y Registros de Accesos para ficheros automatizados Nivel Básico
Nivel Medio
Nivel Alto
9 Existirá un Registro de 9 Existirán 9 Acceso únicamente a Accesos donde figurará: controles de los datos y recursos 9 usuario, hora, acceso necesarios para sus 9 fichero, tipo acceso físico a los funciones. 9 registro accedido. locales 9 Relación actualizada 9 Bajo el control del donde se de usuarios y perfiles y responsable de encuentren sus accesos seguridad. ubicados los 9 Se hará un informe autorizados. sistemas de 9 Mecanismos para mensual. información. 9 Se conservará al menos evitar el acceso con distintos derechos. durante 2 años. 9 Concesión de 9 Excepción: derechos por personal 9 Accede una única persona física autorizado. Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales Pedro Alberto González Reglamento RD.1720/2007
28
6.b- Controles y Registros de Accesos para ficheros manuales Nivel Básico
Nivel Medio
9 Acceso únicamente a los datos y recursos necesarios para sus funciones. 9 Relación actualizada de usuarios y perfiles y sus accesos autorizados. 9 Mecanismos para evitar el acceso con distintos derechos. 9 Concesión de derechos por personal autorizado. Aplicable a ficheros automatizados y manuales Pedro Alberto González
Nivel Alto 9 El acceso se limitará al personal autorizado. 9 Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuarios 9 Procedimiento en el Documento de Seguridad para registrar los accesos de otras personas
Aplicable solo a ficheros manuales
Reglamento RD.1720/2007
29
7.a- Gestión de Soportes para ficheros automatizados Nivel Básico
Nivel Medio
9 Inventario de soportes 9 Acceso restringido. 9 Salida autorizada de soportes, incluso eMail. 9 Medidas en el traslado para impedir pérdidas, … 9 Medidas para impedir la recuperación de datos de soportes desechados o reutilizado. 9 Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y manuales
Pedro Alberto González
9 Habrá un registro de entrada y salida de soportes.
Nivel Alto 9 “Cripto-Etiquetado” 9 Distribuir soportes cifrando los datos u otro mecanismo que impida el acceso. 9 Cifrado de dispositivos portátiles. 9 Excepciones, al DS
Aplicable solo a ficheros automatizados
Reglamento RD.1720/2007
30
7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico
Nivel Medio
9 Se aplicarán criterios de archivo que permitan la conservación, localización y consulta 9 Los dispositivos de almacenamiento tendrán mecanismos que obstaculicen su apertura 9 Cuando la documentación no se encuentre archivada, su depositario deberá custodiarla e impedir accesos no autorizados
Nivel Alto 9 El acceso a armarios, archivadores, etc. estará protegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas. 9 Soluciones alternativas, motivadas en el Documento de Seguridad 9 Siempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación
Aplicable solo a ficheros manuales
Pedro Alberto González
Reglamento RD.1720/2007
31
8.- Procedimientos de Respaldo y Recuperación Nivel Básico
Nivel Medio
Nivel Alto
9 Las copias de 9 Procedimientos de copia para respaldo y respaldo y los recuperación, al menos semanalmente procedimientos 9 Garantizar la reconstrucción de los datos al de recuperación mismo estado en que se encontraban en el se conservarán momento de la pérdida o destrucción. en un lugar 9 Verificación semestral de su definición, diferente de funcionamiento y aplicación donde se 9 Pruebas con datos reales con mismo nivel encuentren los de seguridad y con copia de seguridad equipos. Aplicable solo a ficheros automatizados
Pedro Alberto González
Reglamento RD.1720/2007
32
9.- Procedimiento de Gestión de Incidencias Nivel Básico
Nivel Medio
9 Debe existir un Registro de Incidencias con:
9 Además, debe contener:
9 tipo de incidencia, 9 cuándo se ha producido, 9 persona que la notificia, 9 persona a quien se comunica 9 efectos derivados. Aplicable a ficheros automatizados y manuales Pedro Alberto González
Nivel Alto
9 Procedimientos efectuados para recuperación de los datos, 9 persona que lo ejecuta, 9 datos restaurados 9 datos grabados manualmente.
9 Es necesaria la autorización por escrito del responsable del fichero para su recuperación. Aplicable solo a ficheros automatizados
Reglamento RD.1720/2007
33
10.- Acceso y transmisión mediante Telecomunicaciones Nivel Básico
Nivel Medio
Nivel Alto
9 La transmisión de datos a 9 Las medidas de seguridad través de redes de exigibles a los accesos telecomunicaciones mediante redes de 9 Públicas comunicaciones, sean 9 Inalámbricas públicas o privadas, se realizará cifrando los datos deberán de garantizar un nivel o mediante cualquier otro de seguridad equivalente al mecanismo que garantice los accesos en modo local que la información no sea inteligible ni manipulada por terceros Aplicable solo a ficheros automatizados
Pedro Alberto González
Reglamento RD.1720/2007
34
Resumen de novedades • •
Se incluye el concepto de tratamiento no automatizado (ficheros manuales) Niveles de seguridad de los ficheros – – –
•
Documento de Seguridad – – –
•
Nivel básico: queda igual Nivel medio: se incluyen los ficheros de perfiles Nivel alto: violencia de género Puede ser único para toda la organización, individual para cada fichero o tratamiento o agrupado por sistema de tratamiento. Art 5: identificación de los ficheros tratados por cuenta de terceros Art 6: delegación del Documento de Seguridad al encargado del tratamiento
Identificación y autenticación –
La identificación inequívoca y personalizada de todo usuario pasa del nivel medio al básico. Art 93.1
•
Control de acceso
•
Gestión y distribución de soportes y documentos
– – – –
•
Las medidas para impedir la recuperación de datos en caso de desecho de bajan del nivel medio al básico. Se incluye el concepto de “etiquetado inteligente” para el nivel alto (art 101.1) Se incluye el concepto de documento además del de soporte
Copias de respaldo y recuperación – –
•
Se incluye el concepto de usuario, perfil de usuario y acceso autorizado.
Se incluye una verificación semestral de los procedimientos de copia Se incluye la cláusula de las pruebas con datos reales
Registro de accesos – –
Se incluye una excepción (art 103.6) a la existencia de este registro Además de lo anterior se añade toda la parte de las medidas de seguridad para los tratamientos no automatizados
Pedro Alberto González
Reglamento RD.1720/2007
35
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
36
Plazos del régimen transitorio • •
Entrada en vigor: 2008-04-19 (tres meses tras su publicación) Ficheros nuevos (sean manuales o automatizados) – Aplicación de las medidas correspondientes a su nivel desde su creación
•
Ficheros Automatizados preexistentes – Medidas adicionales: 2009-04-19 (1 año tras entrada en vigor) • • • •
Art. 93: personalización de usuarios, de medio a básico Art. 94: pruebas con datos reales, de medio a básico Art. 101: cifrado de dispositivos y soportes portátiles fuera de instalaciones Art. 104: cifrado redes inalámbricas
– Nivel medio:
2009-04-19 (1 año tras entrada en vigor)
• Seguridad Social, Mutuas, Perfiles personalidad, Telecos (tráfico, localización) medidas de nivel medio
– Nivel alto:
2009-10-19 (18 meses tras entrada en vigor)
• Violencia de género, Telecos (tráfico, localización) art. 103, Registro de accesos)
•
No automatizados preexistentes – Nivel Básico: 2009-04-19 (1 año tras entrada en vigor) – Nivel Medio: 2009-10-19 (18 meses tras entrada en vigor) – Nivel Alto: 2010-04-19 (2 años tras entrada en vigor)
Pedro Alberto González
Reglamento RD.1720/2007
37
Plazos del régimen transitorio •
2008-04-19 – Entrada en vigor: (tres meses tras su publicación) – Ficheros nuevos (sean manuales o automatizados) • Aplicación de las medidas correspondientes a su nivel desde su creación
•
2009-04-19 (1 año tras entrada en vigor) – Medidas adicionales Ficheros Automatizados preexistentes : • • • •
Art. 93: personalización de usuarios, de medio a básico Art. 94: pruebas con datos reales, de medio a básico Art. 101: cifrado de dispositivos y soportes portátiles fuera de instalaciones Art. 104: cifrado redes inalámbricas
– Nivel medio Ficheros Automatizados preexistentes • Seguridad Social, Mutuas, Perfiles personalidad, Telecos (tráfico, localización) medidas de nivel medio
– Nivel Básico Ficheros NO Automatizados preexistentes
•
2009-10-19 (18 meses tras entrada en vigor) – Nivel alto Ficheros Automatizados preexistentes : • Violencia de género, Telecos (tráfico, localización) art. 103, Registro de accesos)
– Nivel Medio Ficheros NO Automatizados preexistentes
•
2010-04-19 (2 años tras entrada en vigor) – Nivel Alto Ficheros NO Automatizados preexistentes
Pedro Alberto González
Reglamento RD.1720/2007
38
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
39
El cumplimiento de la LOPD, paso a paso 1. Documéntese 2. Cumpla con los requisitos formales 3. Cumpla con las obligaciones materiales 4. Vigile y haga vigilar las medidas de seguridad
Pedro Alberto González
Reglamento RD.1720/2007
40
Documentándose sobre la LOPD 1. Como punto de partida, examine nuestra página web (www.avpd.es). 2. Lea la Ley Orgánica de Protección de Datos (LOPD, Ley 15/1999), 3. Lea la Ley Autonómica de Creación de la Agencia Vasca de Protección de Datos (LAVPD, Ley 2/2004), 4. Lea el nuevo Reglamento (RD-1720/2007), de Desarrollo de la LOPD
Pedro Alberto González
Reglamento RD.1720/2007
41
Cumplimiento de los requisitos formales: 1. Efectuar el inventario más completo posible de los posibles ficheros de datos personales 2. Identificar las características necesarias para su declaración, recogidas en el artículo 20 de la LOPD y desarrolladas en el artículo 54 del RD-1720/2007 3. Cumplimentar, a modo de borrador, el Programa de Autodeclaración que facilita la AVPD en su página web www.avpd.es 4. Confeccionar la disposición de regulación de ficheros 5. Aprobar dicha disposición y publicarla en el Boletín Oficial que corresponda 6. Cumplimentar definitivamente el Programa de Autodeclaración y remitir la declaración a la AVPD
Pedro Alberto González
Reglamento RD.1720/2007
42
Cumplimiento de las obligaciones materiales 1. Tratar adecuadamente los Datos Personales – Recogida de datos – Mantenimiento y actualización. – Secreto Profesional
2. Facilitar a quienes figuren en los ficheros el ejercicio de sus derechos A.R.C.O. – (Acceso, Rectificación, Cancelación y Oposición)
3. Otras Recomendaciones: – Adopción de Códigos Tipo o Manuales de Buenas Prácticas – Prestar atención a los contratos con terceros – Proporcionar apoyo y formación al personal
Pedro Alberto González
Reglamento RD.1720/2007
43
Índice de la presentación • Principios de Protección de Datos • Medidas de Seguridad en el Reglamento • Plazos del Régimen transitorio • Obligaciones previas al tratamiento de datos • La AVPD Pedro Alberto González
Reglamento RD.1720/2007
44
AVPD: Quienes somos … • Naturaleza – La AVPD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada. – Actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.
• Régimen jurídico – Se crea por la Ley 2/2004 del Parlamento Vasco (LAVPD) – Actúa como Autoridad de Control en la aplicación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). – En tanto que Administración Pública, se rige por la Ley 30/1992, de Régimen Jurídico de las AAPP y del Procedimiento Administrativo Común. – Sus bienes y derechos pertenecen al patrimonio de la Comunidad Autónoma del País Vasco.
Pedro Alberto González
Reglamento RD.1720/2007
45
Donde estamos … •
Dirección de la Agencia Vasca de Protección de Datos: – C/ Beato Tomás de Zumárraga, 71, 3ª Planta 01008 Vitoria - Gasteiz – Tel. + (34) 945 016 230- Fax. + (34) 945 016 231 e-Mail: [email protected]
•
Como llegar: – La sede de la AVPD se encuentra en el ala oeste del antiguo Seminario de Vitoria-Gasteiz – En el mismo edificio tienen también su sede el Tribunal Vasco de Cuentas e Izenpe, la entidad de certificación de las Administraciones Vascas
•
En internet: – http://www.avpd.es
Pedro Alberto González
Reglamento RD.1720/2007
46
Ámbito de actuación de la AVPD •
Ficheros de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por: – La Administración General de la Comunidad Autónoma, – Los Órganos Forales de los Territorios Históricos – Las Administraciones Locales del ámbito territorial de la Comunidad Autónoma del País Vasco, – Los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público. – El Parlamento Vasco, El Tribunal Vasco de Cuentas Públicas, El Ararteko, El Consejo de Relaciones Laborales, El Consejo Económico y Social, El Consejo Superior de Cooperativas, La Agencia Vasca de Protección de Datos. La Comisión Arbitral, – Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco. – Cualesquiera otros organismos o instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario.
Pedro Alberto González
Reglamento RD.1720/2007
47
Excepciones • No obstante, la Agencia Vasca de Protección de Datos NO incluye en su ámbito de actuación a los ficheros: – Sometidos a la normativa sobre protección de materias clasificadas. – Establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. – Regulados por la legislación de régimen electoral. – Procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por los cuerpos de Policía del País Vasco, de conformidad con la legislación sobre la materia. Pedro Alberto González
Reglamento RD.1720/2007
48
Funciones Ejecutivas de la AVPD •
Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación • Emitir las autorizaciones previstas en las leyes y reglamentos. • Atender las peticiones y reclamaciones formuladas por los afectados • Requerir a los responsables y a los encargados de los tratamientos la adopción de las medidas necesarias para la adecuación del tratamiento • Ordenar la cesación de los tratamientos y la cancelación de los ficheros no ajustados a derecho. Inmovilizar ficheros • Ejercer la potestad sancionadora y proponer la iniciación de procedimientos disciplinarios • Velar por la publicidad de la existencia de los ficheros de datos con carácter personal
Pedro Alberto González
Reglamento RD.1720/2007
49
Otras Funciones de la AVPD •
Funciones Normativas – Dictar instrucciones para adecuación de los tratamientos – Regular el procedimiento de inscripción en el Registro de Ficheros – Desarrollo legislativo de la LAVPD • Estatuto de la AVPD • Reglamento de tutela de derechos y de control de los ficheros de datos de carácter personal. • Norma de organización y funcionamiento del Consejo Consultivo
•
Consultivas – Proporcionar información a las personas acerca de sus derechos – Atender a las consultas que formulen las administraciones públicas, así como otras personas físicas o jurídicas – Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen la LAVPD.
Pedro Alberto González
Reglamento RD.1720/2007
50
Estructura de la AVPD
Director
Asesoría Jurídica e Inspección
Pedro Alberto González
Registro de P.D. y Nuevas Tecnologías
Reglamento RD.1720/2007
Consejo Consultivo
Secretaría General
51
El Consejo Consultivo •
El director de la Agencia Vasca de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros: – Un representante del Parlamento Vasco, designado por éste. – Un representante de la Administración de la Comunidad Autónoma del País Vasco, designado por el Consejo de Gobierno. – Un representante de los territorios históricos, designado por éstos de común acuerdo. – Un representante de las entidades locales del ámbito territorial de la Comunidad Autónoma del País Vasco, designado por la asociación más representativa de las mismas en el citado ámbito territorial. – Dos expertos, uno en informática y otro en el ámbito de los derechos fundamentales, designados por la Universidad del País Vasco previa consulta a las corporaciones de derecho público de la Comunidad Autónoma del País Vasco.
Pedro Alberto González
Reglamento RD.1720/2007
52
Asesoría Jurídica e Inspección •
Funciones de Instrucción. – instrucción de los procedimientos de tutela de derechos a que den lugar las reclamaciones de los ciudadanos – instrucción de los procedimientos sancionadores y de infracción incoados a las Administraciones Públicas, Instituciones, Entidades y Corporaciones
•
Funciones de Inspección. – Efectuar inspecciones probatorias o circunstanciales, relacionadas con la instrucción de expedientes, de cualesquiera de los ficheros a comprendidos en el ámbito de la AVPD, se hallen o no inscritos en el Registro de Protección de Datos – Colaborar con el Registro de Protección de Datos en las Inspecciones Sectoriales
•
Funciones de Informe, Resolución de Consultas y Asesoría Jurídica. – Elaboración de informes jurídicos sobre disposiciones relacionadas con la Protección de Datos – Responder a consultas planteadas por ciudadanos o Administraciones – Asesoramiento jurídico a la Agencia Vasca de Protección de Datos
Pedro Alberto González
Reglamento RD.1720/2007
53
Unidad de Registro de Protección de Datos y Nuevas Tecnologías •
Funciones relacionadas con el Registro de Protección de Datos. – Gestión del Registro de Protección de Datos previsto en el artículo 18 de la Ley 2/2004 – Promover la publicidad de la existencia de ficheros de datos de carácter personal.
•
Funciones relacionadas con la Inspección: – Efectuar Inspecciones sectoriales – Colaborar con la Asesoría Jurídica en las Inspecciones Probatorias
•
Otras Funciones: – Realización de estudios relacionados con las nuevas tecnologías – Planificación de Sistemas de la propia Agencia. – Coordinación de la red de colaboradores en materia de protección de datos
Pedro Alberto González
Reglamento RD.1720/2007
54
Secretaría General •
Funciones de Gestión. – Gestión de los recursos humanos y materiales de la Agencia. – Gestión económico-administrativa de su presupuesto – Instrucción de los procedimientos relacionados con lo anterior
•
Funciones de información general, formación y documentación. – Informar al ciudadano de los derechos que la Ley le reconoce – Organizar eventos sobre protección de datos.
•
Funciones instrumentales para el resto de la Agencia. – Notificar las resoluciones del Director o Directora de la Agencia. – Coordinar las relaciones con los medios de comunicación.
•
Ejercer la Secretaría del Consejo Consultivo.
Pedro Alberto González
Reglamento RD.1720/2007
55
Los Colaboradores en Protección de Datos •
Como apoyo al Responsable del Fichero: – Consultores de su propia organización en P.D. – Dinamizar y controlar los aspectos formales de los propios ficheros (registro y seguridad) – Integrados en la política de seguridad de la Organización – Canalizar el ejercicio de derechos por los ciudadanos
•
Como colaboradores de la AVPD: – Relación directa con la A.V.P.D. – Receptores de información especializada – Formación orientada a su perfil
•
Como miembros de la Red: – Intercambio de experiencias entre las diversas administraciones
•
¿Una Red de Colaboradores en Protección de Datos en el Gobierno Vasco?
Pedro Alberto González
Reglamento RD.1720/2007
56
Related Documents
Rd 1720-2007 Transparencias (bueno)
December 2019 2
Transparencias
November 2019 25
Bueno
November 2019 39
Bueno
November 2019 44
Transparencias-leccion20
October 2019 27