Protección de datos personales. Lecciones aprendidas en el ... · LECCIONES APRENDIDAS (1992-2012)...

Conferencia InauguralConferencia Inaugural

Protección de datos personales. Lecciones

aprendidas en el contexto aprendidas en el contexto español

Arturo Ribagorda GarnachoUniversidad Carlos III de Madrid

(www.seg.inf.uc3m.es)1

ÍNDICE

1. Desarrollo legal en España y en la1. Desarrollo legal en España y en la U.E.

Leyes, Directivas y Reglamentos

2. Privacidad. Problemas actuales2. Privacidad. Problemas actuales3. España. Lecciones aprendidas

(1992-2012)4 Futuro Marco legal europeo4. Futuro Marco legal europeo

DESARROLLO LEGAL EN ESPAÑA

L O 5/1992 de Regulación del TratamientoL. O. 5/1992, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal

• R. D. 994/1999, Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal

Directiva 95/46/CE del Parlamento Europeo yDirectiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta alpersonas físicas en lo que respecta al tratamiento de datos personales y a la libre i l ió d t d tcirculación de estos datos

L. O. 15/1999, de Protección de datos de ,Carácter Personal (LOPD)

• R.D. 1720/2007 por el que se aprueba el Reglamento de desarrollo de la L. O. 15/1999 de

t ió d d t d á t lprotección de datos de carácter personal

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOSDESARROLLO LEGAL EN ESPAÑA

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Algunas Instrucciones

1/2006 b l t t i t d d t1/2006, sobre el tratamiento de datos personales con fines de vigilancia a través de i t d á id ásistemas de cámaras o videocámaras

1/1996, sobre ficheros automatizados ,establecidos con la finalidad de controlar el acceso a los edificios

2/1996 sobre ficheros automatizados establecidos con la finalidad de controlar elestablecidos con la finalidad de controlar el acceso a los casinos y salas de bingo 6

ÍNDICE

2. Privacidad. Problemas actuales2. Privacidad. Problemas actuales

PRIVACIDAD. PROBLEMAS ACTUALES

• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)( )• Redes sociales

R d P2P• Redes P2P• Datos personales en Diarios Oficiales• Etiquetas RFID

Menores de edad• Menores de edad8

Diapositiva 8

A4 You TubeARTURO, 02/06/2012

• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)

Diapositiva 10

VIDEOVIGILANCIA

In London […] there are 10,000 cameras in the one square mile "City of London" financialone-square mile "City of London" financial district alone. Across Britain, there are 2.5 million cameras By some estimatesmillion cameras. By some estimates, Londoners are caught on film 300 times per dayday.

http://www.businessweek.com/bwdaily/dnflash/aug2002/nf20020815_7186.htm 11

PRIVACIDAD. PROBLEMAS ACTUALES00

• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)

Diapositiva 13

El País. 7 Ene 201114

17El País, 20 de mayo de 2010

R d P2P• Redes P2P

El País 25 Abr 08 19

• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)• Redes sociales• Redes P2P• Datos personales en Diarios Oficialesp

El País. 7 de Julio de 2011 21

• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)• Redes sociales• Redes P2P• Datos personales en Diarios Oficialesp• Etiquetas RFID

El País. 29 de Julio de 2010 23

• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)• Redes sociales• Redes P2P• Datos personales en Diarios Oficialesp• Etiquetas RFID

M d d d• Menores de edad25

ÍNDICE

(1992-2012)

LECCIONES APRENDIDAS (1992-2012)

• Equilibrios: Privacidad-Seguridad-Flujo de información-Costo

PRIVACIDAD COSTO

SEGURIDAD S. INFORMACIÓN

PRIVACIDAD vs. SOCIEDAD DE LA INFORMACIÓN

Debemos ser cuidadosos de no emplear métodos tan toscos de protección que priven a nuestra sociedad de datos que precisa para comprender su propio proceso social y analizar sus problemas

Herbert A. Simon (Premio Nobel, 1978)30

Diapositiva 30

C3 Herbert Alexander Simon, premio Nobel de Economía en 1978. Despues en el Depto de C Computación y Psicología (CMU) fue uno de los creadores dela IACASA, 17/12/2005

PRIVACIDAD vs. SEGURIDAD

LEY 25/2007 de 18 de octubre deLEY 25/2007, de 18 de octubre, de

conservación de datos relativos a las

comunicaciones electrónicas y a las redes

úbli d i ipúblicas de comunicaciones.

PRIVACIDAD vs. COSTO

Personal (Responsable de seguridad)( p g )

Auditoría bienal

Mecanismos específicos de protección

Formación, concienciación

• Formar (usuarios) y concienciar (sociedad)( ) y ( )

FORMACIÓN Y CONCIENCIACIÓN A iFORMACIÓN Y CONCIENCIACIÓN. Acciones

• Jornadas• Jornadas

CiberPaís. 3 Jun 2010 35

• Jornadas• Jornadas• Premios

• Jornadas• Jornadas• Premios• Folletos empresariales• Códigos de buenas prácticas• Códigos de buenas prácticas• Cursos de acogida

FORMACIÓN Y CONCIENCIACIÓN. Resultados

DATOS PERSONALES PreocupaciónDATOS PERSONALES. Preocupación

CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 200941

DATOS PERSONALES ¿Existen leyes de protección de datos personales?de datos personales?

DATOS PERSONALES ¿Conoce la Agencia Española de protección de datos?Española de protección de datos?

• Legislar el cómo proteger (no sólo el qué)g p g ( q )

DESARROLLO DEL ART. 9 de la LOPD

R.D. 1720/2007 por el que se aprueba el R l t d d ll d l L OReglamento de desarrollo de la L. O. 15/1999 de protección de datos de carácter personal

REGLAMENTO DE LA LOPD

Título I. Disposiciones generales.Título II. Principios de protección de datos.Título III Derechos de acceso rectificaciónTítulo III. Derechos de acceso, rectificación, cancelación y oposición.Título IV. Disposiciones aplicables a determinados ficheros de titularidad privada.determinados ficheros de titularidad privada.

Título V. Obligaciones previas al tratamiento de l d tlos datosTítulo VI. Transferencias internacionales de datosTítulo VII. Códigos tipoTítulo VIII De las medidas de seguridad en elTítulo VIII. De las medidas de seguridad en el tratamiento de datos de carácter personalTít l IX P di i t t it d l A EPDTítulo IX. Procedimientos tramitados por la A EPD

REGLAMENTO DE LA LOPD: Título VIIIREGLAMENTO DE LA LOPD: Título VIII

Capítulo I: Disposiciones generalesCapítulo II. Del documento de seguridadCapítulo III Medidas de seguridad aplicables aCapítulo III. Medidas de seguridad aplicables a ficheros y tratamientos automatizadosCapítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos no automatizadosficheros y tratamientos no automatizados

ARTÍCULO 5 Definiciones

REGLAMENTO DE LA LOPD: Título I

ARTÍCULO 5. Definiciones

b) Cancelación)e) Dato disociadog) Datos de carácter personal relacionados con lag) Datos de carácter personal relacionados con la salud

) P id tifi blo) Persona identificablep) Procedimiento de disociación…

REGLAMENTO DE LA LOPD: Título VIII. Capítulo I

Artículo 81. Aplicación de los niveles de seguridad

• Básico

• Medio

• Alto• Alto

ARTÍCULO 81. Nivel medio

• Infracciones penales y administrativas• Los que se rijen por el art 29 de la LOPD• Los que se rijen por el art. 29 de la LOPD• Administraciones Tributarias (en el ejercicio de sus potestades)• Entidades financieras (para finalidades de (pprestación de servicios financieros)

ARTÍCULO 81. Nivel medio

S id d S i l ( l i d l j i i• Seguridad Social (relacionados con el ejercicio de sus competencias). Ídem mutuas

• Datos que permitan definir la personalidad o l é t l t i t d levaluar ésta o el comportamiento de los

ciudadanos

ARTÍCULO 81 Ni l lt

ARTÍCULO 81. Nivel alto

Id l í fili ió i di l li ió i• Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual • Recabados para fines policiales (sin consentimiento))• Actos de violencia de genero• Datos de localización y tráfico (parcialmente)• Datos de localización y tráfico (parcialmente)

REGLAMENTO DE LA LOPD: Título VIII Capítulo ILECCIONES APRENDIDAS (1992-2012)

Artículo 81. Aplicación de los niveles de seguridadREGLAMENTO DE LA LOPD: Título VIII. Capítulo I

MedioAlto

Básico

ARTÍCULO 83. Prestaciones de servicios sin acceso a datos personalesARTÍCULO 85. Acceso a datos a través de redes de comunicaciones.comunicaciones.ARTÍCULO 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamientodel responsable del fichero o encargado del tratamientoARTÍCULO 87. Ficheros temporales o copias de trabajo de documentos

D t d id d

REGLAMENTO DE LA LOPD: Título VIII. Capítulo III

• Documento de seguridad• Registro de incidencias (notificación, gestión, g ( grespuesta, etc.)

G tió d t (b d d d t )• Gestión de soportes (borrado de datos)• Copias de respaldo y recuperación (periodicidad, ubicación, etc.)• Auditoría (bienal)• Auditoría (bienal)

REGLAMENTO: Título VIII. Capítulo III. Sección 1

Artículo 89. Funciones y obligaciones del personal

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso alos usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas d i f ió t á l t d fi idde información estarán claramente definidas y documentadas en el documento de seguridad.

Artículo 89. Funciones y obligaciones del personal

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten aldesarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento

ARTÍCULO 95 R bl d id d

ARTÍCULO 95. Responsable de seguridad

En el documento de seguridad deberán gdesignarse uno o varios responsables de seguridad encargados de coordinar y controlarg g ylas medidas definidas en el mismo […].En ningún caso esta designación supone una g gexoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento […]

REGLAMENTO LOPD: Título VIII. Capítulo III

• Autenticación de usuarios (intentos de

acceso, cambios de contraseñas, etc.)acceso, cambios de contraseñas, etc.)

• Control de accesos (need-to-know)

• Cifrado de información (distribución de

soportes redes públicas o inalámbricas etc )soportes, redes públicas o inalámbricas, etc.)

• Registros de auditoria (datos a registrar,

tiempo de custodia, etc.)60

Disposición adicional única. Productos de software.

Los productos de software destinados alLos productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el niveldeberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en elalcanzar de acuerdo con lo establecido en el título VIII de este reglamento

• Legislar el cómo proteger (no sólo el qué)g p g ( q )

• Potenciar el Organismo de Controlg

ÍNDICE

(1992-2012)4 Futuro Marco legal europeo4. Futuro Marco legal europeo

FUTURO MARCO LEGAL EUROPEO

COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL , ,

COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES

La protección de la privacidad en un mundo interconectado

Un marco europeo de protección de datos para el siglo XXI

COM(2012) 9 finalBruselas 25.1.2012

DIRECTIVA DEL P. E Y DEL CONSEJO (PROPUESTA) l ti l t ió d l fí irelativa a la protección de las personas físicas

en lo que respecta al tratamiento de datos l [ ] fi d iópersonales […] para fines de prevención,

investigación, detección o enjuiciamiento de i f i l d j ió dinfracciones penales o de ejecución de sanciones penales, y la libre circulación de di h d tdichos datos

REGLAMENTO DEL P. E. Y DEL CONSEJO (PROPUESTA )relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

REGLAMENTO P. E. y CONSEJO (PROPUESTA )

Introducir la privacidad desde el diseñoIntroducir la privacidad desde el diseñoIntroducir la privacidad por defectoE l l i t d l i t dEvaluar el impacto de los sistemas de tratamiento sobre los datos personalesEstablecer sistemas de certificación de la privacidadprivacidadUsar tecnologías PET (Privacy enhancedt l )tecnology)… 67

Conferencia InauguralConferencia Inaugural

Protección de datos personales. Lecciones

aprendidas en el contexto aprendidas en el contexto español

Arturo Ribagorda GarnachoUniversidad Carlos III de Madrid

(www.seg.inf.uc3m.es)68

ARTÍCULO 83. Prestaciones de servicios sin acceso a REGLAMENTO DE LA LOPD: Título VIII. Capítulo I

datos personales

El responsable [ ] adoptará las medidasEl responsable […] adoptará las medidas adecuadas para limitar el acceso del personal a datos personales […], para la realización de p [ ], ptrabajos que no impliquen el tratamiento de datos personales.Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto […] 69

ARTÍCULO 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del gtratamiento

1. Cuando los datos personales se almacenen1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales […] será preciso que exista unade los locales […] será preciso que exista una autorización previa del responsable y en todo caso deberá garantizarse el nivel de seguridadcaso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado

ARTÍCULO 87. Ficheros temporales o copias de trabajo de documentosj

2. Todo fichero temporal o copia de trabajoí d á b d d t idasí creado será borrado o destruido una vez

que haya dejado de ser necesario para los fines ti ióque motivaron su creación

REGLAMENTO. Título VIII. Capítulo III. Sección 1

Artículo 91. Control de accesos1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones2 […]

Artículo 101. Distribución de soportesREGLAMENTO. Título VIII. Capítulo III. Sección 3

2. La distribución de los soportes […] se realizará cifrando dichos datos […]. Asimismo, se cifrarán[ ]los datos que contengan los dispositivos portátilescuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario […] 73

REGLAMENTO. Título VIII. Capítulo III. Sección 3

Artículo 104. TelecomunicacionesCuando, […] deban implantarse las medidas de , [ ] pseguridad de nivel alto, la transmisión de datos de carácter personal a través de redes ppúblicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos […]

ARTÍCULO 96. AUDITORÍA.

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y yalmacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o ,externa que verifique el cumplimiento del presente título.p[…]

ARTÍCULO 96. AUDITORÍA.1 [ ]1. […]Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicendicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en elinformación que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar laimplantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años

Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

ARTÍCULO 96. AUDITORÍA.2 El i f d dit í d b á di t i2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a l L d ll l t i id tifila Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas

t l t i icorrectoras o complementarias necesarias.Deberá, igualmente, incluir los datos, hechos y b i b l di táobservaciones en que se basen los dictámenes

alcanzados y las recomendaciones propuestas.

ARTÍCULO 96. AUDITORÍA.3 Los informes de auditoría serán analizados por3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable delelevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán amedidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o en su caso de las autoridades dede Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

BIBLIOGRAFÍABIBLIOGRAFÍA

A. Ribagorda. Las medidas de seguridad en el Reglamento de desarrollo de la Ley OrgánicaReglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal .Comentario Ley Orgánica de protección depersonal .Comentario Ley Orgánica de protección de datos de carácter personal. Cívitas. Thomson Reuters. España. 2010, pp. 736-761.

A. Ribagorda. La dimensión técnica de la protección de datos personales. Estudios en

p pHomenaje al Profesor Gregorio Peces-Barba. Editorial Dykinson. Madrid. 2008, pp. 1127-1142.

BIBLIOGRAFÍABIBLIOGRAFÍA

A. Ribagorda. La protección de datos personales y la seguridad de la información Revista Jurídica dela seguridad de la información. Revista Jurídica de Castilla y León., vol. 16. pp. 1127-1142. (2008)

A. Ribagorda. Las medidas de seguridad en el borrador del nuevo Reglamento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Revista Española de Protección de Datos,

l 2 41 62 (2007)81

vol. 2. pp. 41-62. (2007)

PROBLEMAS IMPLANTACIÓN. Medidas organizativas

BIBLIOGRAFÍA

PROBLEMAS IMPLANTACIÓN. Medidas organizativas

BIBLIOGRAFÍA

Acevedo López, M. C.; Ribagorda Garnacho, A. Dificultades y obstáculos en la aplicación delDificultades y obstáculos en la aplicación del Reglamento de medidas de seguridad. I+S, Informática y salud. Nº 57, junio 2006. Revista de laInformática y salud. N 57, junio 2006. Revista de la Sociedad Española de Informática y Salud.

La Comisión propone nuevas normas que:

Reforzarán la seguridad de los datos:[…][ ]− fomentando el uso de tecnologías que protejan la privacidad (tecnologías que, al minimizar la conservación de datos personales, resguardan la privacidad de la información), configuraciones por defecto respetuosas de configuraciones por defecto respetuosas de la privacidad y regímenes de certificación de la privacidad;de la privacidad;[…]

La Comisión propone nuevas normas que:a Co s ó p opo e ue as o as que

Acrecentará la responsabilidad de quienes tratan datos concretamente:tratan datos, concretamente:−[…]−introduciendo el principio de «privacidad p p pdesde el diseño» a fin de asegurar que las garantías de protección de los datos se i l f d l ifi ió d l incorporan ya en la fase de planificación de los procedimientos y sistemas;−[ ]−[…]

La Comisión propone nuevas normas que:

Acrecentará la responsabilidad de quienes tratan datos, concretamente:− […]

i i d l i i ll b− imponiendo a las organizaciones que lleven a cabo operaciones de tratamiento que entrañen cierto riesgo la obligación de llevar a cabo evaluaciones dela obligación de llevar a cabo evaluaciones de impacto sobre la protección de los datos.

ARTÍCULO 92. Gestión de soportes y documentos4. Siempre que vaya a desecharse cualquier4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a sucarácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a lade medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posteriorrecuperación posterior

Protección de datos personales. Lecciones aprendidas en el ... · LECCIONES APRENDIDAS (1992-2012)...

Documents

Transcript of Protección de datos personales. Lecciones aprendidas en el ... · LECCIONES APRENDIDAS (1992-2012)...

Lecciones Aprendidas - Presentación

TALLER LECCIONES APRENDIDAS

LECCIONES APRENDIDAS - Biblioteca

Lecciones Aprendidas - Gob

Innovación 11+1 lecciones aprendidas

LECCIONES APRENDIDAS

Lecciones Aprendidas Final correcciones2

Lecciones Aprendidas - FISAmerisfisameris.cl/.../08/FIS_Ameris_Lecciones-Aprendidas... · Lecciones Aprendidas l 6 ----- I. El roadshow Los siguientes temas detallan las lecciones

12.- Lecciones aprendidas - Alfonso Lópezcuadrodemando.unizar.es/casosbsc/docs/12.- Lecciones aprendidas... · Lecciones Aprendidas Alfonso López Viñegla Profesor Titular Universidad

Lecciones Aprendidas A Golpes

Lecciones aprendidas mediante el involucramiento de ...awsassets.panda.org/.../02_lecciones_aprendidas...3. Lecciones Aprendidas. 19 3.1. Lecciones aprendidas en las comunidades. 19

Lecciones aprendidas en proyectos 1

AlwaysON Lecciones Aprendidas

Lecciones aprendidas de experiencias de restauración en el Perú · 2017-12-18 · Lecciones aprendidas de experiencias de restauración en el Perú Agosto, 2017 Lecciones aprendidas

Lecciones Aprendidas rev1

Lecciones aprendidas con appium

Lecciones Aprendidas en Reformas Electorales

Lecciones aprendidas mc

Amazon y GeneXus: Lecciones Aprendidas

Como Identificar Lecciones Aprendidas