Dirección de Seguridad y Medio Ambiente · 2011. 9. 27. · 8 Dirección de Seguridad y Medio...

1

Dirección de Seguridad yMedio Ambiente

Ley Orgánica de Protección de Datos de Carácter Personal y Reglamento de Medidas de Seguridad

FORMACIÓN

28 de Noviembre 2007

2


Índice

Introducción a la Ley de Protección de Datos.IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datos.n de Datos.

Medidas de seguridad en la gestión de archivos, informáticos y físicos.Medidas de seguridad en la gestiMedidas de seguridad en la gestióón de archivos, informn de archivos, informááticos y fticos y fíísicos.sicos.222

Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.333

Acceso a la información sobre LOPD y planes de actuación.Acceso a la informaciAcceso a la informacióón sobre LOPD y planes de actuacin sobre LOPD y planes de actuacióón.n.444

111

3


Introducción a la Ley de Protección de Datos.

4


IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos

CONCEPTOS BÁSICOS LOPD

¿Qué es la LOPD?

•La LOPD tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

•Se creó con el fin de dar cumplimiento al artículo 18.4 de la Constitución Española que establece la necesidad de limitar el uso de la informática para:

Garantizar la intimidad Personal y Familiar.

Proteger el legítimo ejercicio de las libertades públicas y los derechos fundamentales.

OBJETIVOOBJETIVO: Evitar que la información personal de los individuos sea divulgada y utilizada con fines no éticos.

• Garantizar la seguridad de los datos personales

5




Datos de carácter personal

•Se entiende por “datos de carácter personal” cualquier información concerniente a personas físicas identificadas o identificables: Nombre, apellidos, DNI, dirección, datos bancarios, fotografía, huellas, voz, dirección de e-mail.

•Entre los datos de carácter personal hay unos especialmente sensibles que tienen mayores restricciones según la LOPD: Ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual.

6




ALTODatos sensibles

Ideología, religión, creencias, origen racial, salud y vida sexual

MEDIODatos de comisión de infracciones penales y adm, hacienda pública,

servicios financieros

BÁSICOTodos los ficheros con datos de carácter personal

Niveles de Seguridad

7



Para garantizar la seguridad de los datos personales es necesario considerar:

INTEGRIDADDatos están seguros y son correctos

DISPONIBILIDADDatos están disponibles en el

momento necesario

CONFIDENCIALIDADDatos accesibles sólo para el personal

autorizado

SEGURIDAD


8



Calidad de los datos personales:

• Sólo pueden recogerse cuando sean pertinentes y no excesivos.• Sólo pueden usarse datos de carácter personal para la finalidad con la que fueron recogidos.• Los datos serán cancelados cuando dejen de ser necesarios para la finalidad con que fueron creados.• Los datos deben ser en todo momento exactos y reflejar fielmente la situación real del afectado.

Derecho de información en la recogida de datos:

• La existencia de un fichero que contendrá sus datos, finalidad de la recogida de datos y destinatario de la información.• La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.• La identidad y dirección del responsable del tratamiento.• Si los datos no han sido recabados directamente del afectado, el responsable del fichero debe informarle debidamente en el plazo de 3 meses.


9



Consentimiento del afectado:

• El tratamiento de datos personales requerirá el consentimiento inequívoco del afectado. Sin embargo, dicho consentimiento no es necesario, entre otros casos, cuando:

• Exista un contrato o precontrato referente a una relación de negocio, laboral o administrativa y los datos sean necesarios para su mantenimiento o cumplimiento.

• Los datos figuren en fuentes accesibles al público y cumplan unos requisitos adicionales.

• Hay datos especialmente protegidos (ideología, afiliación sindical, religión y creencias) que requieren consentimiento expreso y por escrito..

Deber de secreto:

• El responsable del fichero y quienes intervengan en su tratamiento están obligados a guardar secreto profesional.


10



Comunicación o cesión de datos:

• Los datos personales sólo podrán ser comunicados o cedidos a un tercero para el cumplimiento de los fines del cedente y del cesionario con el previo consentimiento del interesado, salvo en determinados casos.

• La prestación de servicios de outsourcing que involucren el tratamiento de los datos personales por un tercero no se considera una Cesión de Datos.


Acceso a datos por cuenta de terceros:

• Debe regularse en un contrato que establezca:- Que el encargado tratará los datos según las instrucciones del responsable

del tratamiento y no los utilizará para fines distintos ni los comunicará a otros.- Las medidas de seguridad que se deben cumplir. - Cumplida la prestación contractual, los datos deben ser destruidos o

devueltos al responsable del tratamiento.

• A diferencia de la cesión de datos, no es necesario el consentimiento del afectado para que sea posible el tratamiento de los datos por parte de un tercero.

11



PROCESO DE SELECCIÓN

1.1 RECEPCIÓN DE CURRÍCULOSCláusula a enviar en caso de recepción

de Currículum Vitae (por cualquier vía)

•Deber de información•Recabar consentimiento tácito.•Cesión de datos resto entidades MAPFRE•Información de los derechos ARCO.

•Se deben almacenar estos envíos.•Esta documentación debe estar accesible y bien organizada.

12



1.2. DECLARACIÓN DE DATOS PERSONALES

Firma de la cláusula:

• Deber de información• Recabar consentimiento expreso.• Cesión de datos resto entidades

MAPFRE• Información de los derechos

ARCO.

•Los currículos que no interesen se deben destruir en destructora.•Los currículos se deben almacenar en armarios con llave.

PROCESO DE SELECCIÓN

13



Infracciones y sanciones:

Incumplimiento de las Medidas de Seguridad

El responsable del fichero esta sujeto al régimen sancionador dispuesto en la ley 15 de 1999 (LOPD).

SANCIONESLevesEntre

600 y 60.000 euros.

GravesEntre

60.000 y 300.000 euros.

Muy GravesEntre

300.000 y 600.000 euros.

La cuantía de las infracciones depende:• Del volumen de los tratamientos efectuados.• Del grado de intencionalidad.• De los daños causados.

Las multas se aplican por fichero

14


LEVES:

No atender las solicitudes de rectificación o cancelación de los datos personales.

No proporcionar la información que solicite la agencia de protección de datos.

Recoger datos de carácter personal de los afectados sin comunicarles la finalidad deltratamiento ni el responsable de los datos.

Incumplir con el deber de secreto.



15




GRAVES:

Recoger datos de carácter personal sin el consentimiento del afectado.

Mantener datos personales inexactos o no efectuar actualizaciones o cancelaciones cuando procedan, afectando los derechos de las personas.

Obstaculizar o impedir el derecho de acceso y oposición a proporcionar información de carácter personal.

Mantener ficheros, programas o equipos que contengan datos personales sin las Medidas de Seguridad adecuadas (según Real Decreto).

16




MUY GRAVES:

La recogida de datos de forma engañosa o fraudulenta.

La comunicación o cesión de datos personales fuera de los casos en los que estén permitidas.

Recabar datos de nivel alto sin el consentimiento del afectado.

Tratar con menosprecio los datos personales o de forma ilegitima, atentando contra los derechos fundamentales.

Incumplir el deber de secreto con datos de nivel alto.

Obstaculizar reiteradamente el derecho de acceso, rectificación o cancelación.

17


Medidas de seguridad en la gestión de archivos informáticos y físicos.

18


Medidas de seguridad en la gestiMedidas de seguridad en la gestióón de archivos informn de archivos informááticos y fticos y fíísicos.sicos.

DOCUMENTO DE SEGURIDAD:

Para todos los niveles se requiere un documento de seguridad que describa:

• Ámbito de aplicación del Documento y descripción de los ficheros protegidos

• Funciones y Obligaciones del personal con acceso a los datos de carácter personal.

• Estructura de los ficheros de carácter personal y descripción de los sistemas de información.

• Procedimiento de notificación, gestión y resolución de incidencias.

• Procedimientos de realización de copias de seguridad y recuperación de datos.

19



REGLAMENTO DE MEDIDAS DE SEGURIDAD (RMS)

El Reglamento, que entró en vigor el 26/06/99, determina las medidas de seguridad técnicas y organizativas que garanticen la integridad y confidencialidad de la información de carácter personal.

Disposiciones generales:Independientemente del nivel de los datos tratados, el reglamento establece que:

– Las medidas de seguridad para el tratamiento de datos a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente a los accesos en modo local.

– Cuando se trabaje con los ficheros fuera de los locales en los que se ha declarado que se realiza su tratamiento, éste deberá ser autorizado y llevarse a cabo garantizando los mismos niveles de seguridad.

– Cuando se trabaje con ficheros temporales, éstos deberán ser borrados una vez finalizada su utilidad y durante su existencia deberán tener las mimas medidas de seguridad que los originales de los que han sido extraídos.

20



MEDIDAS DE SEGURIDAD SEGÚN EL RMS:

NIVEL BÁSICO

Documento de Seguridad (1)

- Registro de incidencias

- Identificación y Autenticación

- Control de Acceso

- Gestión de soportes

- Copias de Respaldo y recuperación


- Nivel Básico

- Responsable de Seguridad

- Auditorias Bianuales

- Identificación y Autenticación

- Control de Acceso Físico

- Gestión de soportes

- Registro de Incidencias

- Pruebas con datos reales


- Nivel Básico y Medio

- Distribución de soportes

- Registro de Accesos

- Copias de respaldo y

recuperación

- Telecomunicaciones

NIVEL MEDIO NIVEL ALTO

21



Normativa MAPFRE:Identificador de usuario NUUMA

Personalización de privilegios Sí, según funciones

Usuarios genéricos NO, salvo circunstancias especiales

Longitud de contraseñas 6 para usuarios/ 8 para administradores (incluyendo al menos 2 numéricos

y dos alfanuméricos)

Histórico de contraseñas si, con un tamaño de 6

Cambio obligatorio de contraseña como máximo 40 días

Periodo mínimo de vida como mínimo 1 día

Cambio obligatorio de contraseña en primer acceso Si

Bloqueo de usuarios por inactividad Si, a los 40 días

Bloqueo de usuarios por reintento Si, a los 5 intentos

Recomendables Aviso antes de caducidad al menos 6 días

Obligatorias

22


Procedimientos de seguridad de acuerdo con la LOPD.

23


Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.

• SDSI. Sistema Documental de Seguridad de la Información

– El SDSI, en lo concerniente a protección de datos de carácter personal, recoge el cumplimiento de la normativa legal vigente a través de diferentes Normas y Estándares.

– Aprobado por la Dirección de Seguridad y Medio Ambiente.– Disponible en el Portal Interno de MAPFRE.– Cada Entidad puede definir sus propios procedimientos, siempre en cumplimiento de la

normativa aprobada en el SDSI.

• Procedimientos propios:

– Gestión de incidencias– Gestión de soportes– Ficheros temporales– Gestión del papel

24



• GESTIÓN DE INCIDENCIAS

– Cualquier persona que sea conocedora de una incidencia tiene la obligación de comunicarlo al Responsable de Seguridad. Para ello cumplimentará los siguientes datos en el formulario de notificación de incidencias:

◦ Tipo de incidencia: Descripción del hecho observado.◦ Día y hora en que se ha producido: ◦ Persona que notifica la incidencia: Nombre y apellidos ◦ Persona destinataria de la notificación: Responsable Seguridad del fichero◦ Efectos derivados de la incidencia: Consecuencias que ha provocado el hecho

Observado, en caso de existir y conocerlas.◦ Procedimientos realizados de recuperación de los datos: Se indicará además la

persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

25



• GESTIÓN DE INCIDENCIAS– Detección. Directamente por el usuario:

Concepto de incidencia LOPD: El RMS define “Incidencia” como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”. Deberá entenderse como “incidencia”:

- Los accesos no autorizados: intrusión en salas restringidas, acceso a datos por usuarios no autorizados, divulgación, pérdida o no modificación de las contraseñas de acceso, etc.

- La pérdida de datos: extravío de soportes físicos, borrado injustificado de datos del fichero, defectos detectados en el procedimiento de realización de copias de respaldo, etc.

- La incorrecta gestión de soportes: no identificación del contenido de los mismos, existencia de soportes no inventariados, deficiente control de las entradas y salidas de soportes, etc.

- Las averías de equipos: averías en discos, en robots, en unidades de cinta, etc.- El funcionamiento incorrecto de programas.- El defectuoso funcionamiento del procedimiento de notificación y gestión de

incidencias: no comunicación de las incidencias por la persona que la detecta, - Cualquier otra irregularidad, defecto o fallo que pudiera afectar a la seguridad de los

datos de carácter personal contenidos en los ficheros de la entidad.

26



• GESTIÓN DE INCIDENCIAS

– Notificación:Una vez ha detectado la incidencia y cumplimentado el modelo de comunicación, se enviará al Responsable de Seguridad del Fichero por correo electrónico con acuse de recibo o bien a la dirección:

Dirección de Seguridad y Medio AmbienteElena Mora 91581 [email protected]

Katsuko Saito 91581 [email protected]. Pozuelo, 52 28220, Majadahonda

27



• GESTIÓN DE SOPORTES

– ENTRADA DE SOPORTES:• Una vez recepcionado el fichero, la persona correspondiente se pondrá en contacto

con Responsable Seguridad al que hay que suministrarle la siguiente información:- Descripción del fichero recibido.- Tipo de soporte.- Fecha y hora de entrada o recepción.- Emisor del fichero.- Número de soportes.- Tipo de información.- Persona responsable de la recepción.- Tratamiento y fin del fichero.

• El Responsable de Seguridad de Ficheros procederá a registrar el fichero correspondiente, dándolo de alta en el inventario de soportes.

28



• GESTIÓN DE SOPORTES

– SALIDA DE SOPORTES:• Siempre que sea necesario enviar soportes con datos de carácter personal fuera de

las instalaciones de MAPFRE, deberá indicarse al Responsable de Seguridad de MAPFRE con el objetivo de:

• Asegurar el cumplimiento de las medidas de seguridad necesarias.• Proceder al etiquetado e inventariado del soporte. • Definir las medidas que se van a exigir al destinatario relativas a ese soporte. • Tomar las medidas contractuales que garanticen que quien recibe el soporte va

a proceder conforme a la LOPD. • Proceder a registrar el envío de información.

• El Responsable de Seguridad procederá al registro del mismo.• Mensualmente, el Responsable de Seguridad hará un control de la recepción de

soportes y verificará la destrucción de los datos.

29



• FICHEROS TEMPORALES

– Se entiende por fichero temporal aquel fichero distinto del original cuya finalidad es un procesamiento paralelo de los datos originales sin afectar al fichero original:

• Ficheros temporales generados automáticamente por sistemas o aplicaciones necesarios para su funcionamiento.

• Ficheros temporales obtenidos por usuarios a partir de los datos contenidos en los sistemas o aplicaciones con objeto de utilizarlos para una finalidad específica durante un período de tiempo limitado.

• Información recabada directamente del interesado por parte de usuario y almacenada en ficheros temporales.

30



• FICHEROS TEMPORALES

– Ficheros temporales de usuarios:

• Si es posible, deberán eliminarse del fichero aquellos datos que pudieran identificara cualquier persona física.

• En el caso de que los usuarios generen ficheros temporales que con motivo de sus funciones y obligaciones contengan datos de carácter personal, será responsabilidad de los mismos el borrado de estos ficheros una vez que no sean necesarios.

• Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a la calificación de los datos personales orígenes.

• Todo fichero temporal será borrado una vez haya dejado de ser necesario para los fines que motivaron su creación.

31



– Se recomienda la centralización de los currículum vitae que se reciban en un único lugar.– La información sólo se podrá mantener durante el tiempo que se estime conveniente y

necesario.– Destrucción de la documentación que contenga datos de carácter personal en

contenedores de destrucción confidencial habilitados para tal fin.– No reutilizar papel con información confidencial.– Controlar la impresión de papel que contenga datos de carácter personal.– Establecer un procedimiento seguro para la recepción de faxes.– No mantener documentación sensible al alcance de la vista.

– Futuro RMS afectará a la gestión del papel: procedimientos de gestión de incidencias, entrada/salida de información en papel, registro de accesos a la sala,…

GESTIÓN DEL PAPEL

32


Conclusiones

33


Conclusiones.Conclusiones.

¿Qué debo hacer?:

Te mostramos una pequeña serie de cosas que puedes hacer para colaborar

• Las contraseñas son la mejor forma de impedir que alguien acceda a tus datos.¡Utilízalas!. Cámbialas periódicamente.

• Si detectas que alguien ha accedido a tu usuario o conoce tu contraseña, comunícalo al responsable de seguridad LOPD.

• Almacena la información en la red. De esta forma no perderás datos si ocurre algún problema y estará protegida.

• Sigue las normas de uso de los Sistemas de Información y comunicaciones y telefonía.

34



¿Qué no debo hacer?:

• Comunicar a otros tu contraseña de acceso.

• Permitir el uso de tu ordenador a personas no autorizadas.

• Usar la información irresponsablemente transmitiéndola o facilitando el acceso a personas ajenas a tu trabajo.

• Si tienes dudas sobre una determinada conducta en relación con el uso de datos personales, no actúes, pregunta.

35



Contraseñas:• Utiliza una contraseña para impedir el acceso a tu ordenador y a las

aplicaciones.

• Tú eres el responsable de la confidencialidad de tu contraseña.

• Utiliza contraseñas de al menos 7 caracteres y que sean difíciles de adivinar (p.e. combina letras y número, mayúsculas y minúsculas).

• No utilices una contraseña que sea igual que tu identificador, nombre, apellido, fecha de nacimiento, o cualquier otro valor que sea fácilmente asociable a tu persona.

• No la anotes en lugares visibles ni la compartas con los demás.

• Cambia de contraseña la primera vez que accedas al sistema y periódicamente, según lo estipulado por el sistema que utilices.

36


Ley Orgánica de Protección de Datos de Carácter Personal y Reglamento de Medidas de Seguridad

Muchas Gracias

28 de Noviembre 2007

Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.

Dirección de Seguridad y Medio Ambiente · 2011. 9. 27. · 8 Dirección de Seguridad y Medio...

Documents

Transcript of Dirección de Seguridad y Medio Ambiente · 2011. 9. 27. · 8 Dirección de Seguridad y Medio...