Seguridad de la Información y Privacidad de Datos ...

12/11/2018

1

Seguridad de la Información y Privacidad de Datos Personales

en la Diputación de Almería

Manuel Soler Hernandez

Pilar Giménez Pizarro

Noviembre - 2018

1.- INTRODUCCION

Seguridad y Privacidad de la Información en la Admón Local (Nov – 2018)

12/11/2018

2

1.1.- ¿Por qué ESTE CURSO?

40/2015

LRJSP30/2007

LCSP11/2007 LAECSP

39/2015

LPACAP10/2013

LTBG

RD /2010 ENS

ENI

RGPD

26/5/2016

Legislación

Sectorial

58/2003

LGT

34/2002

LSSI


EL NUEVO REGIMEN JURIDICO NOS OBLIGA A REALIZAR CAMBIOS

TECNICOS Y ORGANIZATIVOS

1.2.- COMITÉ DE SEGURIDAD

EL COMITÉ DE SEGURIDAD HA VISTO LA NECESIDAD DE QUE LOS RESPOSNABLES

TECNICOS DE LAS AREAS, SERVICIOS Y DEPENDENCIAS DIRECTAS CONOZCAN LOS

CAMBIOS QUE SON NECESARIOS REALIZAR PARA LA IMPLNTACION DE LA

SEGURIDAD DE LA INFORMACION Y SOBRE TODO DE LA PRIVACIDAD DE DATOS

PERSONALES EN EL AMBITO DE LAS COMPETENCIAS DE DIPUTACION.

12/11/2018

3

1.3.- EJEMPLO DE SEGURIDAD vs PRIVACIDAD

Una ventana es un elemento arquitectónico que se ubica en un vano o hueco

elevado sobre el suelo, que se abre en una pared con la finalidad de proporcionar

luz y ventilación a la estancia correspondiente.

¿Cómo dar

Seguridad?¿Cómo dar

Privacidad?


• La seguridad informática o seguridad de tecnologías de la información es el área de lainformática que consiste en asegurar que los recursos del sistema de información (materialinformático o programas) de una organización, sean utilizados de manera correcta, y esténprotegidos.

• La seguridad de la información es el conjunto de medidas preventivas y reactivas de lasorganizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la informaciónbuscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

• La privacidad, derecho a la protección de los datos personales como uno de los derechos ylibertades fundamentales de las personas físicas.

1.4.- DEFINICIONES

La información requiere de medidas de protección adecuadas de acuerdo con

su importancia y criticidad, y éste es precisamente el ámbito de la seguridad de la información.

privacidad y seguridad de la información no son lo mismo, pero son necesarias,

complementarias e indispensables.


https://es.wikipedia.org/wiki/Vano

https://es.wikipedia.org/wiki/Vano

https://es.wikipedia.org/wiki/Pared

12/11/2018

4

1.5.- DEFINICION DE SISTEMA DE INFORMACION

Un sistema de información en sentido amplio, esto formado por el

equipamiento, las aplicaciones, los suministros, las comunicaciones, las

copias de seguridad, las propias instalaciones físicas y su ubicación, siempre

prestando una especial atención a la organización y al equipo humano que

tiene acceso a la información.


1.6.- ELEMENTOS Y CARACTERISTICAS - SEGURIDAD DE LA INFORMACION


12/11/2018

5

1.7.- CARACTERISTICAS - SEGURIDAD DE LA INFORMACION


1.8.- SEGURIDAD DE LA INFORMACION


La correcta Gestión de la Seguridad de la Información busca establecer

y mantener programas, controles y políticas, que tengan como finalidad

conservar la confidencialidad, integridad, disponibilidad, acceso,

trazabilidad, autenticidad y conservación de la información, si alguna

de estas características falla la información no esta segura.

12/11/2018

6

1.9.- EJEMPLO APLICACION CARACTERISTICAS DE SEGURIDAD DE LA INFORMACION


Las distintas características de la seguridad cobran una importancia según el tipo y tamaño

de la organización.

Ej:

En un banco es vital la integridad

En un entorno militar la confidencialidad

Para la Administración la Disponibilidad

La necesidad de disponibilidad del Servicio de Correo Electrónico, no será lo mismo para

Diputación que para un Ayuntamiento pequeño.

Un Sistema de Alertas de Carreteras la Disponibilidad no será lo mismo para Diputación que

para el Estado.

Un sistema de tele gestión de pozos y depósitos de abastecimiento, la integridad,

disponibilidad y acceso, no será lo mismo si el sistema es solo de Información y estadístico, a

si se realiza gestión de arranque y parada de bombas, gestión de PH y Cloro, etc..

1.10.- EJEMPLO APLICACION CARACTERISTICAS DE SEGURIDAD DE LA INFORMACION


Un SERVICIO de Firma Electrónica, indique de mayor a menor las dimensiones de las características de la seguridad:

Cuando definimos un SERVICIO para incluir en u Sistema de

Información, tenemos que definir las dimensiones de lascaracterísticas de la seguridad:

12/11/2018

7

1.11.- SEGURIDAD PARA PRIVACIDAD DE DATOS PERSONALES


Los datos personales serán tratados de tal manera que se garantice una seguridad

adecuada de los datos personales, incluida la protección contra el tratamiento no

autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la

aplicación de medidas técnicas u organizativas apropiadas («integridad y

confidencialidad»).

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la

naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de

probabilidad y gravedad variables para los derechos y libertades de las personas

físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y

organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo,

que en su caso incluya,

La Diputación para la implantación de una @Administración necesita de sistemas

de información con la seguridad y privacidad de la información adecuadas.

1.12.- SEGURIDAD vs PRIVACIDAD EN SI DE DIPUTACION

SEGURIDAD DE LA

INFORMACION

PRIVACIDAD DE

DATOS PERSONALES

- Que normativa se tiene que

cumplir.

- Que Sistemas de Información

están afectados.

- Que gestión de seguridad hay

que realizar.

- Que medidas y buenas practicas

hay que tener.

- Que normativa se tiene que

cumplir.

- Que tratamientos de datos

personales realizamos.

- Que gestión de los datos

personales hay que realizar.

- Que medidas y buenas practicas

hay que tener.


SISTEMAS DE INFORMACION DE

LA RPC

Esta acción formativa debe dar a conocer:

12/11/2018

8

2.- MARCO JURIDICO



LEY

39/2015

LPAC

LEY

40/2015

LRJSP

CIUDADANOS

EMPRESAS

2.1.- MARCO JURIDICO DE @ADMINISTRACION

12/11/2018

9


2.2.- Consecuencias de la @Administracion

La progresiva utilización de medios electrónicos suscita la cuestión de la privacidad de los datos que

se facilitan electrónicamente en relación con un expediente.

Los legitimados tienen derecho de acceso al estado de tramitación del procedimiento administrativo,

dicho expediente debe poder permitir el acceso en línea a los interesados para verificar la situación

del expediente, sin mengua de todas las garantías de la privacidad.

El reconocimiento del derecho a comunicarse electrónicamente con la Administración, hace necesario

no solo la adaptación de ésta -recursos humanos y materiales a una nueva forma de relacionarse con

los ciudadanos, sino también la manera de adaptar sus formas de actuación y tramitación de los

expedientes y en general racionalizar, simplificar y adaptar los procedimientos, aprovechando la

nueva realidad que imponen las TIC.

El hecho de reconocer el derecho (obligación, en algunos casos) de los ciudadanos a comunicarse

electrónicamente con la Administración plantea, en primer lugar, la necesidad de definir claramente la

sede administrativa electrónica con la que se establecen las relaciones, promoviendo un régimen de

identificación, autenticación, contenido mínimo, protección jurídica, accesibilidad, disponibilidad y

responsabilidad.

Todo ello comporta y exige SEGURIDAD, en todas sus

vertientes: administrativa, tecnológica y jurídica.


2.3.- @Administración TIENE QUE SER EN ENTORNO SEGURO

La Ley 39/2015 recoge entre los derechos de las personas en sus relaciones con

las Administraciones Públicas, el relativo “a la protección de datos de carácter

personal, y en particular a la seguridad y confidencialidad de los datos que

figuren en los ficheros, sistemas y aplicaciones de las Administraciones

Públicas”. Realiza, además, diversas menciones al cumplimiento de las garantías

y medidas de seguridad al referirse a registros, archivo de documentos y copias.

La Ley 40/2015, por su parte, recoge en su artículo 156 el Esquema Nacional de

Seguridad, así mismo menciona la seguridad al referirse a las relaciones de las

administraciones por medios electrónicos, la sede electrónica, el archivo

electrónico de documentos, los intercambios electrónicos en entornos cerrados

de comunicaciones y las transmisiones de datos entre Administraciones Públicas

La seguridad es un proceso transversal

12/11/2018

10


2.4.- LA LEY 39/2015 y sus referencia a la SEGURIDAD y PROVACIDAD

• Art. 13.- Derechos de las personas en su relación con las Admones. publicas: … protección de datos

de carácter personal y en particular a la seguridad y confidencialidad…

• Art. 16. Registro. ...cumplirán con las garantías y medidas de seguridad previstas…

• Art. 17.-Archivos de documentos. ……deberán contar con las medidas de seguridad de acuerdo a la

previsto en el ENS…..

• Art.27.- Validez y eficacia de las copias realizadas por las Admones. Publicas. …deberán ajustarse a

lo previsto en el ENI, el ENS y sus normas técnicas de desarrollo.

• Art.28.- Documentos aportados por el interesado al procedimiento administrativo. ….debe ser

informado de sus derechos en materia de protección de datos personales.

• Art. 31.- Computo en los plazos en los registros. ……. Por la fecha y la hora oficial de la sede

electrónica que deberá contar con las medidas de seguridad necesarias…

• Art.40.- Notificaciones. Las Admones. Publicas podrán adoptar las medidas que consideren

necesarias para la protección de los datos personales que consten …

• Disposición adicional segunda. Adhesión de las Comunidades Autónomas y Entidades Locales a las

plataformas y registros de la Administración General del Estado. ….. Administraciones deberán

garantizar que éste cumple con los requisitos del ENI, el ENS, y sus normas técnicas de

desarrollo.


2.5.- LA LEY 40/2015 y sus referencia a la SEGURIDAD y PROVACIDAD

• Art. 38. Sede electrónica. ….. sede electrónica conlleva la responsabilidad del titular respecto de la

integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a

través de la misma.

• Art. 44. Intercambio electrónico de datos en entornos cerrados de comunicación. En todo caso deberá

garantizarse la seguridad del entorno cerrado de comunicaciones y la protección de los datos que

se transmitan.

• Art. 46. Archivo electrónico de documentos. …deberán contar con medidas de seguridad, de acuerdo

con lo previsto en el ENS, que garanticen la integridad, autenticidad, confidencialidad, calidad,

protección y conservación de los documentos almacenados. En particular, asegurarán la

identificación de los usuarios y el control de acceso…..

• Art. 155. Transmisiones de datos entre Administraciones Públicas. … de Protección de Datos de

Carácter Personal y su normativa de desarrollo, cada Administración deberá facilitar el acceso de las

restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder,

especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a

dichos datos con las máximas garantías de seguridad, integridad y disponibilidad.

12/11/2018

11


LEY

39/2015

LPAC

LEY

40/2015

LRJSP

CIUDADANOS

EMPRESAS

2.6.- MARCO JURIDICO

Sistema de Seguridad

Información según RD/2010 ENS

Sistema de Gestión de

la Privacidad que

cumpla con RGPD-UE

LEY 13/2015 DE TRANSPARENCIA Y BUEN GOBIERNO y LEY 1/2014 DE TRANPARENCIA EN ANDALUCIA

RD 4/2010 ENI

3.- OBLIGACIONES


12/11/2018

12


3.1.- INFRAESTRUCTURAS DE LA RPC


3.2.- SISTEMAS DE INFORMACION DE LA RPC

12/11/2018

13


3.3.- OBLIGACION DE CUMPLIR CON EL ENS

Todo ello comporta y

exige SEGURIDAD, en

todas sus vertientes:

administrativa,

tecnológica y jurídica.

3.4.- OBLIGACION DE CUMPLIR CON EL RGPD


Todo ello comporta y

exige SEGURIDAD, en

todas sus vertientes:

administrativa,

tecnológica y jurídica.

12/11/2018

14

Los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder

de la Adminitracion u organismos publicos y que hayan sido elaborados o adquiridos en el

ejercicio de sus funciones son INFORMACION PUBLICA y estaran a disposion de cualquier

ciudadano.

¿Cómo OFRECER EL ACCESO A LA INFORMACION PUBLICA?

PUBLICIDAD ACTIVA (Art. 5): La información sujeta a las obligaciones

de transparencia será publicada en las

correspondientes sedes electrónicas o

páginas web

PROCESO SOLICITUD ACCESO (Art. 17):

El procedimiento para el ejercicio del derecho de

acceso se iniciará con la presentación de la

correspondiente solicitud, que deberá dirigirse al

titular del órgano administrativo o entidad que

posea la información.


3.5.- OBLIGACION DE CUMPLIR CON LEY 1/2014 TRANPARENCIA ANDALUCIA

Ley 1/2014 Artículo 35. Integración de la transparencia en la gestión.

2. Las entidades establecerán medidas para facilitar la transversalidad de la transparencia en la

actividad general de la organización.

3.6.- ALCANCE DE CADA MATERIA


12/11/2018

15

3.7.- QUE OBLIGACIONES TIENEN LAS DEPENDENCIAS

Seguridad y Privacidad de la Información en la Admón. Local (Nov – 2018)

LAS DEPENDENCIAS (AREAS Y SERVICIOS) SON LAS RESPONSABLES DE LA

GESTION ADMINISTRATIVA DE LOS EXPEDIENTES Y PROCESOS QUE SE REALIZAN

EN SU DEPENDENCIA, Y POR TANTO TIENEN COMPETENCIAS Y OBLIGACIONES EN

LA GESTION DE LOS MISMOS, ENTRE LAS QUE DESTACAREMOS:

• Proponer y adoptar los cambios organizativos necesarios.

• Colaborar y coordinarse con el resto de la organización en la gestión de

estas materias que son transversales a toda la Diputación.

• Definición, mejora y optimización de los procesos de trabajos y los

correspondientes procedimientos. (ver mapa de procesos)

• Adoptar y Controlar el cumplimiento de Normas, procedimientos y

recomendaciones

• Gestionar los permisos y roles de los usuarios en los distintos sistemas de

información que se utilicen.

• Controlar y hacer cumplir los protocolos y métodos que se implanten.

• Colaborar en la mejora .

4.- NIVEL DE CUMPLIMIENTO DE

DIPUTACION


Mapa de Procesos_V7.pdf

12/11/2018

16


4.1.- CUMPLIMIENTO EN Admón. ELECTRONICA

AMBITO % CUMPLIMIENTO

NORMATIVO 61

ORGANIZATIVO 41

DOCUMENTAL 21

TECNOLOGICO 62

SERVICIOS AL CIUDADANO 60

SERVICIOS A LAS EELL 70

TOTAL 50

Auditoria realizada a final de 2017


4.2.- CUMPLIMIENTO EN ENS

AMBITO % MADUREZ

MARCO ORGANIZATIVO 77,50

MARCO OPERACIONAL 74,67

MEDIDAS DE PROTECCION 72,50

TOTAL 74,89

Datos de INES realizada a final de 2017

12/11/2018

17


4.3.- CUMPLIMIENTO EN RGPDNum AMBITO % MADUREZ

1 PRINCIPIOS RELATIVOS AL TRATAMIENTO 6

2 LICITUD DEL TRATAMIENTO 7

3 CONDICIONES PARA EL CONSENTIMIENTO 7

4 CONSENTIMIENTO DE NIÑOS EN RELACIÓN CON LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 5

5 TRATAMIENTO DE CATEGORIAS ESPECIALES DE DATO 6

6 TRATAMIENTOS RELATIVOS A CONDENAS E INFRACCIONES PENALES 5

7 TRATAMIENTOS QUE NO REQUIEREN IDENTIFICACIÓN 5

8 DERECHOS DEL INTERESADO. TRANSPARENCIA DE LA INFORMACIÓN 4

9 DERECHOS DEL INTERESADO. INFORMACIÓN A FACILITAR CUANDO LOS DATOS SE OBTIENEN DEL INTERESADO 6

10 DERECHOS DEL INTERESADO. INFORMACIÓN A FACILITAR CUANDO LOS DATOS NO SE OBTIENEN DEL INTERESADO 4

11 DERECHOS DEL INTERESADO. ACCESO, RECTIFICACION, SUPRESION, LIMITACION, PORTABILIDAD Y OPOSICION 5

12 DERECHOS DEL INTERESADO. DECISIONES INDIVIDUALES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES 0

13 RESPONSABILIDAD DEL RESPONSABLE DEL TRATAMIENTO 6

14 PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO 6

15 CORRESPONSABLES DEL TRATAMIENTO 0

16 ENCARGADO DEL TRATAMIENTO 2

17 REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO 7

18 SEGURIDAD DEL TRATAMIENTO 3

19 NOTIFICACIÓN DE BRECHAS DE LA SEGURIDAD DE LOS DATOS PERSONALES A LA AUTORIDAD DE CONTROL 0

20 COMUNICACIÓN DE UNA BRECHA AL INTERESADO 0

21 EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS 0

22 DELEGADO DE PROTECCIÓN DE DATOS 9

23 TRANSFERENCIAS A PAÍSES TERCEROS U ORGANIZACIONES INTERNACIONALES 3

TOTAL 4,17

Es una evaluación poco objetiva realizada por Manuel Soler el 10/11/2018


4.4.- CUMPLIMIENTO EN TRANSPARENCIA

AMBITO % CUMPLIMIENTO

INSTITUCIONAL 84,62

COMUNICACIÓN PUBLICA 73,91

ECONOMICO FINANCIERA 100

CONTRATACIONES DE SERVICIOS 100

SERVICIO APOYO A MUNICIPIOS 100

TOTAL 86,99

SE CUMPLEN 107 INDICADORES DE 123 DE PUBLICIDAD ACTIVA

DE ORDENANZA DE TRANSPARENCIA DE DIPUTACION

AUDITORIA REALIZADA POR DYNTRA EN SEPTIEMBRE DE 2018

12/11/2018

18

5.- ESQUEMA NACIONAL DE SEGURIDAD


5.1.- FINALIDAD DEL ENS

• La necesaria generalización de la sociedad de la información en las

Administraciones Publicas dependerá, en gran medida, de la confianza que

genere en los ciudadanos la relación a través de medios electrónicos.

• La finalidad del Esquema Nacional de Seguridad es la creación de las

condiciones necesarias de confianza en el uso de los medios electrónicos, a

través de medidas para garantizar la seguridad de los sistemas, los datos, las

comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a

las Administraciones públicas, el ejercicio de derechos y el cumplimiento de

deberes a través de estos medios.


12/11/2018

19

5.2.- CONCEPTOS - ENS

• Información es el conjunto de datos organizados y procesados que

constituyen mensajes, instrucciones, operaciones, funciones y cualquier tipo

de actividad que tenga lugar en relación con un ordenador.

• Servicios acreditados. por un sistema con autorización concedida por la

autoridad responsable, para tratar un tipo de información determinada, en

unas condiciones precisas de las dimensiones de seguridad, con arreglo a su

concepto de operación.

• Sistema de información. Conjunto organizado de recursos para que la

información se pueda recoger, almacenar, procesar o tratar, mantener, usar,

compartir, distribuir, poner a disposición, presentar o transmitir.


5.3.- ADECUACION AL ENS


Hay que definir un sistema de gestión integral y continuo de la seguridad de

la información

12/11/2018

20

5.4.- PLAN DE ADECUACION AL ENS


5.5.- ROLES A DEFINIR EN LA POLITICA DE SEGURIDAD


12/11/2018

21

5.6.- EJEMPLO DE VALORACION DE SERVICIOS


[D]-Disponibilidad, [I]-Integridad, [C}-Confidencialidad,[A]-Autenticidad, [T]-Trazabilidad

5.7.- PLAN DE ACCION - ENS


12/11/2018

22

5.8.- MEDIDAS DE SEGURIDAD - ENS


Las medidas de en el Marco Operacional y de Protección son las que mas

existen en Diputación

5.9.- MEDIDAS USO DE CONTRASEÑAS


12/11/2018

23

5.10.- MEDIDAS USO NAVEGACION INTERNET


5.11.- MEDIDAS USO MEMORIAS USB


12/11/2018

24

5.12.- CONFORMIDAD AL ENS


5.13.- INFORME DE CUMPLIMIENTO DEL ENS


12/11/2018

25

5.14.- CCN-CERT


5.14.- QUE TIENEN QUE HACER LAS DEPENDENCIAS PARA CUMPLIR ENS

Seguridad y Privacidad de la Información en la Admón. Local (Nov – 2018)

LAS DEPENDENCIAS (AREAS Y SERVICIOS) SON LAS RESPONSABLES DELEGADAS

DE LOS SERVICIOS E INFORMACION QUE GESTIONAN, Y POR TANTO TIENEN

COMPETENCIAS Y OBLIGACIONES EN LA GESTION DEL CUMPLIMIENTO DEL ENS,

ENTRE LAS QUE DESTACAREMOS:

• Proponer y adoptar los cambios organizativos necesarios.

• Categorizar el nivel de Servicios e Información (Baja, Media, Alta)

• Controlar el cumplimiento de Normas, procedimientos y recomendaciones

• Coordinarse con el resto de Dependencias para una gestión homogenea

de la seguridad de la información.

• Gestionar los permisos y roles de los usuarios en los distintos sistemas de

información que se utilicen.

• Controlar y hacer cumplir las medidas de seguridad que se establezcan.

• Colaborar en la gestión continua de la Seguridad de la Información para

cumplir con el ENS.

12/11/2018

26

6.- REGLAMENTO GENERAL DE

PROTECCION DE DATOS

RGPD-UE



12/11/2018

27


6.-DOCUMENTACION INTERESANTE – DATOS PERSONALES

Guía para responsables de tratamiento https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf

Guía practica de análisis de riesgos para el tratamiento de datos personales

https://www.aepd.es/media/guias/guia-analisis-de-riesgos-rgpd.pdf

Guía practica para las evaluaciones de impacto en la protección de datos personales

https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf

Guía para el cumplimiento del deber de informar https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf

Directrices para la elaboración de contratos entre responsables y encargados del tratamiento

https://www.aepd.es/media/guias/guia-directrices-contratos.pdf

Guía para la Gestión de Notificaciones de brechas de seguridad https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf

Protección de datos en la Administración Local https://www.aepd.es/media/guias/guia-proteccion-datos-administracion-local.pdf

Guía para videovigilancia https://www.aepd.es/media/guias/guia-videovigilancia.pdf

Reglamento General de Protección de Datos – UE http://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

6.1Base Legal


https://www.aepd.es/media/guias/guia-analisis-de-riesgos-rgpd.pdf

https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf

https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf


https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf

https://www.aepd.es/media/guias/guia-proteccion-datos-administracion-local.pdf

https://www.aepd.es/media/guias/guia-videovigilancia.pdf

http://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

12/11/2018

28


6.1- BASE LEGAL

- Antes de 25 de Mayo de 2018

• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa

a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y

a la libre circulación de estos datos.

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

(LOPD)

• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter

personal. (RDLOPD)

- Desde de 25 de Mayo de 2018

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de

abril de 2016 relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos. (RGPD)


6.1- BASE LEGAL

- ¿Qué pasa con la LOPD y RLOPD

• El RGPD desde el 25 de Mayo de 2018 desplaza a la LOPD y RLOPD, que no serán de

aplicación, salvo en los temas que el RGPD no regule o deje la competencia de regulación a

normas de los estado miembros, y en tanto no se apruebe la nueva LOPD Española.

• Un ejemplo es la edad mínima para poder dar consentimiento, el RGPD dice que a partir de

16 años, pero deja a los estado miembros para que regulen hasta un mínimo de 13 años. El

RLOPD regula la edad ahora en 14 años.

12/11/2018

29


6.1- BASE LEGAL

- Pendiente aprobar:

PROYECTO DE LEY ORGÁNICA DE

PROTECCIÓN DE DATOS PERSONALES Y

GARANTÍA DE LOS DERECHOS DIGITALES


6.1.- BASE LEGAL

RGPD: Articulo 1- Objeto

1. El presente Reglamento establece las normas relativas a la protección de las

personas físicas en lo que respecta al tratamiento de los datos personales y las

normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las

personas físicas y, en particular, su derecho a la protección de los datos

personales.

3. La libre circulación de los datos personales en la Unión no podrá ser restringida

ni prohibida por motivos relacionados con la protección de las personas físicas en lo

que respecta al tratamiento de datos personales.

12/11/2018

30


6.1- BASE LEGAL

RGPD: Articulo 2- Ámbito de aplicación.

1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de

datos personales, así como al tratamiento no automatizado de datos personales

contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente

personales o domésticas;

IMPORTANTE:

• Las Personas Jurídicas no están en el ámbito de aplicación

• Los representante de las personas Jurídicas si están en el ámbito de aplicación y con la

LOPD no estaban.


6.1- BASE LEGAL

RGPD: En el ámbito domestico.

1. La tratamiento de datos personales en el ámbito domestico no esta en el ámbito de

aplicación del RGPD, como es para:

• Correspondencia

• Libreta personal de direcciones

• Perfiles de las redes sociales

IMPORTANTE:

• Si el tratamiento de datos se convierte en numeroso se sale del ámbito domestico.

• Un numero elevado de contacto en la libretas de dirección

• Un numero elevado de contactos en los perfiles de redes sociales

• Etc..

• Mas de 200 se considera elevado.

12/11/2018

31


6.1- BASE LEGAL

¿Quién vela por el cumplimento del RGPD?

«autoridad de control»: la autoridad pública independiente establecida por un Estado miembro

con arreglo a lo dispuesto en el artículo 51;

“Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades

públicas independientes (en adelante «autoridad de control») supervisar la aplicación del

presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de

las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos

personales en la Unión.”

- Agencia Española de protección de Datos. www.eapd.es- Consejo de Transparencia y Protección de Datos de Andalucía. www.consejodetransparencia.es

6.2Conceptos Básicos sobre

Privacidad de la Información en la Admón Local


http://www.eapd.es/

12/11/2018

32


6.2- CONCEPTOS BASICOS

¿Qué son datos personales?

toda información sobre una persona

física identificada o identificable («el

interesado o afectado»);



¿Cuándo es una persona física identificada?

Cuando los datos personales identifican directamente a una persona sin tener que realizar

ninguna averiguación posterior.

¿Cuándo es una persona física identificable?

Cuando los datos personales a priori no nos aporta información suficiente para poder

identificar a la persona directamente, pero puede determinarse mediante un identificador,

como por ejemplo un nombre, un número de identificación, datos de localización, un

identificador en línea o uno o varios elementos propios de la identidad física, fisiológica,

genética, psíquica, económica, cultural o social de dicha persona. Siempre que no se

necesiten plazos o actividades desproporcionadas para su identificación.

12/11/2018

33



Datos especialmente protegidos

• Sobre la Salud

• Que revelen ideología, afiliación sindical, religión y creencias.

• Que hagan referencia al origen racial, o a la vida sexual.

• Que se refieran a la comisión de infracciones penales o

administrativas.

• Datos biométricos que permitan o confirmen la identificación única

de dicha persona,



12/11/2018

34



Tipo de Dato ¿Es Datos de carácter Personal?

• Una dirección de email

• Fotos, imágenes, videos

• Una matrícula de un coche

• Un nº de teléfono móvil

• Una dirección IP de internet

Ejemplos de datos personales:



¿Qué es tratamiento de datos personales?

«tratamiento»: cualquier operación o conjunto de operaciones realizadas

sobre datos personales o conjuntos de datos personales, ya sea por

procedimientos automatizados o no, como la recogida, registro, organización,

estructuración, conservación, adaptación o modificación, extracción, consulta,

utilización, comunicación por transmisión, difusión o cualquier otra forma de

habilitación de acceso, cotejo o interconexión, limitación, supresión o

destrucción;

12/11/2018

35



LOPD Fichero <> RGPD Tratamiento

LOPD RGPD

Videovigilancia con grabación de imágenes

SI SI

Videovigilancia sin grabación de imagenes

NO SI



¿Quién es responsable del tratamiento de datos personales?

El responsable del tratamiento o responsable es la persona física o jurídica, autoridad pública,

servicio u otro organismo que, solo o junto con otros, determine los fines y medios del

tratamiento.

Los Ayuntamientos, Diputaciones y cabildos son responsables del tratamiento de datos

personales que efectúen. Si cuentan con Entes Institucionales, será responsable cada uno de

los entes que formen parte de la misma respecto a los tratamientos que lleven a cabo.

¿Quién es encargado del tratamiento de datos personales?

Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por

cuenta del responsable del tratamiento.

Las Diputaciones respecto a aquellos tratamientos de datos derivados de la prestación de

asistencia en favor de los municipios, serán encargados de tratamiento.

12/11/2018

36



RESPONSABLE

ENCARGADO

EMPRESAS y/o

Admón.PUBLICASREALIZA ENCARGOS

TRATAMIENTO

Admón.PUBLICAS

(Ayuntamientos, etc..)

REALIZA ENCARGOS TRATAMIENTO

Diputación de AlmeríaEncargados Tratamiento

Responsables Tratamiento

La relación entre responsable y encargado deberá estar regulada en un contrato o instrumento jurídico, Ver el apartado 3.8 de la Guía, titulado “Administración Local y sus encargados de tratamiento”.



ENCARGO DE TRATAMIENTO El encargado debe tratar los dato según las indicaciones del Responsable.LA responsabilidad del Tratamiento, es del Responsable

CESION O COMUNICACION LA cesión o comunicación se debe realizar cumpliendo con el RGPD.El cesionario de los datos se convierte en responsable del tratamiento que realice de los mismos.

12/11/2018

37



• El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del responsable.

• Para demostrar que el encargado ofrece garantías suficientes, el RGPD prevé que la adhesión a códigos de conducta o la posesión de un certificado de protección de datos pueden servir como mecanismos de prueba

• La relación entre responsable y encargado deberá estar regulada en un contrato o instrumento jurídico, Ver el apartado 3.8 de la Guía, titulado “Administración Local y sus encargados de tratamiento”.

Encargos de tratamiento de datos personales




Ejemplo de Tratamiento entre Ayuntamiento y Diputación

Tratamiento Datos del Ayuntamiento Ayuntamiento Diputación

La elaboración de las nóminas de su personal

Gestión del cobro de impuestos

Mantenimiento de Aplicaciones los equipos informáticos

Gestión económica y contables

Gestión de Residuos

12/11/2018

38



Principios del tratamiento de datos personales:



Responsabilidad proactiva:

La responsabilidad proactiva es una de las obligaciones del responsable del tratamiento en

relación a los principios del tratamiento de los datos personales. Por lo tanto, es una de las

nuevas obligaciones que se establecen en el RGPD para asegurar el cumplimiento de

dichos principios, y que consiste en la capacidad del responsable, es decir, de la

organización, de demostrar y proporcionar evidencias de dicho cumplimiento.

12/11/2018

39



Legitimación en el tratamiento de datos personales:• el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;CONSENTIMIENTO:

• el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

EJECUCION DE CONTRATO

• el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

OBLIGACION LEGAL

• el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

INTERES VITAL

• el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable tratamiento;

INTERES PUBLICO o PODER PUBLICO

• el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

INTERES LEGITIMO



Consentimiento:

• Este consentimiento debe ser “inequívoco”, lo que supone que se preste mediante una manifestación del afectado o mediante una clara acción afirmativa.

• Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción.

• En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de Internet.

• Consentimiento DEMOSTRABLE. El responsable del tratamiento tiene la carga de probar el consentimiento

Ejemplo: www.dipalme.org/Servicios/cmsdipro/index.nsf/formulario_contacto.xsp?p=dipalme

http://www.dipalme.org/Servicios/cmsdipro/index.nsf/formulario_contacto.xsp?p=dipalme

12/11/2018

40



Registro de actividades de tratamiento:Los responsables y encargados de tratamientos de la Administración Local deben mantener un Registro de Actividades de Tratamiento por escrito, incluso en formato electrónico, que estará a disposición de la Autoridad de Control, en el que se incluya una descripción de los tratamientos de datos que realicen con la siguiente información:

• Desaparece la obligación de inscribir ficheros.

• La implementación de este registro obliga a inventariar todos los tratamientos que esté realizando cada entidad local.

• Como hemos visto, se establece un contenido mínimo para este registro, por lo que esa tarea de inventario debe incluir la identificación de todos los elementos que deben incorporarse en relación con cada tratamiento.



Contenido mínimo del registro de actividades de tratamiento:

Ej: GESTION DE TERCEROS https://app.dipalme.org/proDatos/registros/registrosActRespConsulta.zul?id=13

Informacion a desarrollar Concepto y/o Principio RGPD

¿Quien es el responsable del tratamiento de los datos personales? RESPONSABLE DE TRATAMIENTO

¿Cuál es la actividad de tratamiento? ACTIVIDAD DE TRATAMIENTO

¿Por qué motivo podemos tratar sus datos personales? LIGITIMACION DEL TRATAMIENTO

¿Para qué tratamos los datos personales? FINES DEL TRATAMIENTO

¿Cómo se han obtenido los datos de carácter personal? ORIGEN DE LOS DATOS PERSONALES

¿Cómo se puede contactar con el Delegado de Protección de

Datos?DELEGADO DE PROTECCION DE DATOS

¿Qué datos personales tratamos? CATEGORIAS DE LOS DATOS PERSONALES

¿Qué tipo de personas físicas son las afectadas por este

tratamiento de datos?CATEGORIAS AFECTADOS

¿A quién se comunica o cede la información? CATEGORIAS DESTINATARIOS

¿Realizamos transferencia internacional de datos? TRANSFERENCIA INTERNACIONAL DE DATOS

¿Qué medidas de seguridad hemos adoptado para cumplir con el

RGPD?MEDIDAS TECNICA Y ORGANIZATIVAS DE SEGURIDAD

¿Durante cuanto tiempo guardamos los datos en esta actividad de

tratamiento?PLAZOS PREVISTOS PARA LA SUPRESION DE DATOS

¿Cómo y dónde pueden ejercer sus derechos los afectados EJERCICIO DE DERECHOS

https://app.dipalme.org/proDatos/registros/registrosActRespConsulta.zul?id=13

12/11/2018

41



Ejemplo de Registro de actividades de tratamiento: Gestión de Terceros (I)



Ejemplo de Registro de actividades de tratamiento: Gestión de Terceros (II)

12/11/2018

42



Seguridad en el tratamiento de datos personales:

La protección de los derechos y libertades de los ciudadanos en relación con el tratamiento de sus datospersonales que lleven a cabo los entes de la Administración Local exige la adopción de medidas técnicas yorganizativas con la finalidad de garantizar el cumplimiento de lo dispuesto en el RGPD.

El RGPD introduce el análisis de riesgo con la finalidad de evaluar el riesgo que puede producir el tratamiento de datos de datos personales.

Por otra parte, el RGPD regula lo referente a las comunicaciones de quiebras de seguridad, tanto respecto a los ciudadanos afectados como a la Autoridad de Control de Protección de Datos correspondiente.

El RGPD no establece medidas de seguridad estáticas, por lo que corresponderá al responsable determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.



Seudonimización:

«seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

Un caso de seudonimización , sería sustituir el nombre de una persona, o cualquier otro componente identificador, por un código, de manera que no fuera posible atribuir ese código a ninguna persona, salvo que se cuente con información adicional que permita establecer dicha vinculación

12/11/2018

43



¿Qué es una evaluación de impacto en la protección de datos?

La evaluación de impacto en protección de datos (EIPD) es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

El RGPD señala también que cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entraña un alto riesgo para los derechos y libertades, el responsable realizará, antes del tratamiento, una evaluación de impacto.



Privacidad desde el diseño y por defecto

El principio de protección de datos desde el diseño supone que la protección de datos ha de estar presente en las primeras fases de concepción de un proyecto y formar parte de la lista de elementos a considerar antes de iniciar las sucesivas etapas de desarrollo.

Por su parte, la protección de datos por defecto estriba en que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento

12/11/2018

44



Ej: Privacidad por defecto y minimización de los datos personales:



El derecho de información en el recogida de datos personales:

¿Quién y cuándo debe informar?

• La obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el Responsable del Tratamiento.

• La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.

• En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:

• antes de un mes desde que se obtuvieron los datos personales,• antes o en la primera comunicación con el interesado,• antes de que los datos, en su caso, se hayan comunicado a otros destinatarios

• Esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

12/11/2018

45




¿Cuándo NO es preciso informar?

Únicamente no será necesario informar cuando el interesado ya disponga de la información, ni tampoco, en el caso de que los datos no procedan del interesado, cuando:

• la comunicación resulte imposible o suponga un esfuerzo desproporcionado,• el registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los

Estados miembros,• cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.




¿Dónde y cómo informar?

Los procedimientos de recogida de información pueden ser muy variados y, en consecuencia, los modos de informar a las personas interesadas deben adaptarse a las circunstancias de cada uno de los medios empleados para la recopilación o registro de los datos. Por ejemplo, algunas de las formas más habituales de recogida de datos y, enconsecuencia, a través de los cuales hay que informar, pueden ser:

Formularios en papel, Entrevista telefónicaNavegación o formularios Web, Registro de aplicaciones móvilesEntrevistas personales Datos de sensores (IoT)

Por otra parte, las comunicaciones al interesado sobre datos ya disponibles, o tratamientos adicionales, pueden hacerse llegar, entre otros, por medio de:

Correo postal y/o Mensajería electrónicaNotificaciones emergentes en servicios y aplicaciones

La información a las personas interesadas debe proporcionarse: con un lenguaje claro y sencillo, de forma concisa, transparente, inteligible y de fácil acceso.

12/11/2018

46



Informar por capas:



Ejemplo Información básica para formularios papel:De conformidad con la normativa de protección de datos personales, le informamos que los datos que se recogen en este formulario serán objeto de tratamiento en la actividad SUSCRIPCIONES A ACTIVIDADES Y EVENTOS responsabilidad de DIPUTACIÓN DE ALMERÍA con la finalidad de GESTIONAR LAS SOLICITUDES RELATIVAS A INFORMACIÓN, ACTIVIDADES Y EVENTOS, en base a la legitimación de CONSENTIMIENTO. Mas informacion sobre Proteccion de Datos personales en este enlace, en el apartado de privacidad de www.dipalme.org o bien en la oficina de información o dependencia donde realice su gestión.

Puede ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, siguiendo las indicaciones facilitadas, previa acreditación de su identidad.

Con la firma de este formulario, confirmo que he leído y acepto el tratamiento de mis datos personales para la actividad SUSCRIPCIONES A ACTIVIDADES Y EVENTOS .


12/11/2018

47



Delegado de Protección de Datos:El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de

su función judicial;

Delegado de Protección de Datos será una persona con conocimiento especializado en Derecho y en la práctica en materia de protección de datos. Estos conocimientos serán exigibles en relación con los tratamientos que se realicen, así como las medidas que deban adoptarse para garantizar un tratamiento adecuado de los datos personales objeto de esos tratamientos.

En los Ayuntamientos con población inferior a 20.000 habitantes, podrían designar su Delegado de Protección de Datos, o articularlo a través de las Diputaciones Provinciales o Comunidad Autónoma respectiva.

También cabe la posibilidad de que se pueda prestar por entidades privadas especializadas.



Funciones del Delegado de Protección de Datos:• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del

tratamiento de las obligaciones del RPGD y demás normativa aplicable en protección de datos.

• Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.

• Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.

• Cooperar con la Autoridad de control.

• Actuar como punto de contacto de la Autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

12/11/2018

48



Tratamiento Internacional de Datos Personales:

• Cuando los datos personales se envían fuera del ámbito del Espacio Económico Europeo, que comprende todos los Estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein, se produce una transferencia internacional de datos.

• Aunque podría parecer que las transferencias internacionales son poco habituales en el ámbito de los Entes dela Administración Local, el uso cada vez más frecuente de tecnologías de la información y la comunicación ola generalización de servicios “en nube” (“cloud computing”), supone que aumenten las posibilidades de que se transfieran estos datos fuera del Espacio Económico Europeo.

• Ojo con las redes sociales, Gmail, yahoo, Dropbox, etc.



Derechos de los afectados:Los afectados, como titulares de sus datos, pueden ejercitar ante el Responsable que trate sus datos de carácter personal, los derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición, portabilidad y limitación al tratamiento de los mismos:

Los entes de la Administración Local deben establecer mecanismos visibles, accesibles y sencillos, incluidos medios electrónicos, para el ejercicio de derechos.

12/11/2018

49



Declaraciones sobre Confidencialidad:

Tanto los responsables como los encargados del tratamiento de datos personales tienen que garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria

6.3¿Cómo se esta adaptando la

Diputación de Almería al RGPD?


12/11/2018

50


6.3- HOJA DE RUTA PARA ADECUARSE AL RGPD

HOJA DE RUTA EN PARALELO


6.3- ¿Cómo se esta adaptando la Diputación de Almería al RGPD?

Organización de la gestión de la protección de datos personales

12/11/2018

51



La Diputación de Almería esta diseñando e implantado un sistema que cumpla con el principio de RESPONSABILIDA PROACTIVA con medidas que aseguren razonablemente que está en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece, planificando:

• Nombramiento de un delegado de protección de datos

• Establecer una política de privacidad y definir los roles.

• Implantar un sistema para gestión y mantenimiento de registro de actividades de tratamiento

• Gestionar la Protección de Datos personales desde el Diseño y por Defecto.

• Seleccionar e implantar un sistema para realizar Análisis de Riesgos.

• Implantar medidas de seguridad.

• Implantar procedimiento para la realización de Evaluación de Impacto.

• Establecer protocolo para la gestión y notificación en su caso de las quiebras de seguridad.

Implantar sistema que cumpla RESPONSABILIDAD PROACTIVA

IMPLICAR A LAS DEPENDENCIAS EN LA GESTION ADECUADA DE LOS DATOS PERSONALES

DE LOS QUE SON RESPONSABLES



Nombramiento del Delegado de Protección de Datos

La Diputación de Almería en Resolución de Presidencia de 23/05/2018 aprobó el nombramiento de Delegado de Protección de Datos, asignando al Comité de Seguridad de la Información las funciones de Delegado de Protección de Datos Personales recogidas en el artículo 39 del Reglamento (UE) 2016/679:

Designa a D. Manuel Soler Hernández, Jefe del Servicio de Organización e Información y Secretario del Comité de Seguridad de la Información de esta Diputación, como interlocutor para la Agencia de Protección de Datos Personales y/u otras autoridades de control y como persona de contacto para la ciudadanía, en lo que respecta al ejercicio de sus derechos en materia de protección de datos personales.

Ver resolución de nombramiento del DPD

https://app.dipalme.org/alfresco_frontend/rest/manager/pdatos/v6yb5byKMvF32F9cvdzJ/getDocumentById/i/workspace:/SpacesStore/4b3d57a5-2ee5-4b86-8716-3c8421532d48;1.0

12/11/2018

52



DEFINIR LOS ROLES:

RESPONSABLE DE TRATAMIENTO

DELEGADO DE PROTECCION DE DATOS

RESPOSNABLES DELEGADOS (Delegados de las Áreas)

RESPONSABLES TECNICOS (Directores de Área, Jefes de Servicio y Jefes Dependencias directas)

Propuesta de Comité de seguridad de Funciones de responsables técnicos en estas materias:

" Adoptar las medidas técnicas y organizativas para velar por el cumplimiento de la legislación vigente en materia de protección de datos personales, en el Servicio“

EMPLEADO DE DIPUTACION

USUARIO DE LOS SISTEMAS DE INFORMACION

PRESTADORES DE SERVICIOS (ENCARGADOS DE TRATAMIENTO)



Pagina en la Intranet sobre Protección de Datos Personales

12/11/2018

53



Registro de Actividades de Tratamiento de Datos Personales



Registro de Actividades de Tratamiento de Datos Personales

12/11/2018

54



Mantenimiento registro de Actividades de Tratamiento de Datos Personales



Mantenimiento registro de Actividades de Tratamiento de Datos Personales

12/11/2018

55



Política de Privacidad de la Pagina Web:

6.4¿Qué tienen que hacer las

Dependencias?


12/11/2018

56


6.4- PAPEL DE LAS DEPENDENCIAS EN CUMPLIMIENTO DEL RGPD

Las dependencias tratan datos personales de los que la Diputación es responsable, y

ellas son responsables delegadas, y además realizan encargos de tratamiento con

terceros de los que Diputación es responsables y ellas son responsables delegadas. Y

además realizan encargos de tratamiento de otras Admon, Así por tanto es

responsabilidad de las Dependencias cumplir con las exigencias del RGPD en el:

• Tratamiento de datos personales como responsables,

• Encargo de tratamiento de datos personales con terceros.

• Encargo del tratamiento de datos personales que otras entidades (Junta,

Ayuntamientos, etc.) les haya encomendado.

Entre las responsabilidades de las Dependencias en lo que respecta a protección de

datos personales, esta la de elaboran y mantener el Registros de Actividades de

Tratamiento de datos personales:

• Que se realicen como responsable.

• Que se realicen como encargado.

SE ADJUNTA DOCUMENTO DE REGISTRO ACTIVIDADES COMO RESPONSABLES


6.4- DEPENDENCIAS EN LA HOJA DE RUTA PARA ADECUARSE AL RGPD

HOJA DE RUTA EN PARALELO

Colaborar

Elabora y

Mantener

Realizar

Colaborar

Colaborar

Y cumplir

Realizar Colaborar

y formarse

Colaborar y

cumplir

Realizar

Realizar

Realizar

Revisar,

Realizar

12/11/2018

57


6.4- ¿Qué AYUDA tienen las Dependencias para hacer clausulas?


6.4- ¿Qué CLAUSULAS TIENEN QUE REVISAR LAS DEPENDENCIAS?

Las Dependencias tienen que revisar las Clausulas de información

del tratamiento de datos personales

- Formularios:- Impresos y formularios en papel- Formularios WEB

- Avisos, comunicaciones y notificaciones- Envió avisos por Email- Informar e aplicaciones Web- Notificaciones Papel o Electrónicas

- Carteles- En formato A4- En formato A3

VER en INTRANET, en el Apartado Protección de Datos, Reg.Activ.Tratamiento

https://app.dipalme.org/proDatos/inicio.jsp?entidad=400000

12/11/2018

58



¿Cómo usar una clausula para informar en un formulario en

papel que trata datos de empleados?

1. Identificar el tratamiento de empleados

2. Copiar la clausula

3. Poner la clausula en el formulario.

De conformidad con la normativa de protección de datos personales, le informamos que los datos que se recogen en este formulario serán objeto de tratamiento en la actividad RECURSOS HUMANOS responsabilidad de DIPUTACIÓN DE ALMERÍA con la finalidad de GESTIÓN INTEGRAL PARA NOMINAS, SEGUROS SOCIALES , DERECHOS Y OBLIGACIONES DERIVADAS DE LA RELACIÓN LABORAL, FUNCIONARIAL O POLITICA., en base a la legitimación de EJECUCION DE CONTRATO, OBLIGACION LEGAL. Mas informacion sobre Proteccion de Datos personales en este enlace, en el apartado de privacidad de www.dipalme.org o bien en la oficina de información o dependencia donde realice su gestión.Puede ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, siguiendo las indicaciones facilitadas, previa acreditación de su identidad.Con la firma de este formulario, confirmo que he leído y acepto el tratamiento de mis datos personales para la actividad RECURSOS HUMANOS.



¿Cómo usar una clausula para informar en un formulario Web?

Ejemplos:


http://www.dipalme.org/Servicios/Suscripciones/suscripciones.nsf/boletin?OpenForm

https://app.dipalme.org/portaldomi/portalsoli/loginSoli.zul



http://www.dipalme.org/Servicios/Suscripciones/suscripciones.nsf/boletin?OpenForm

https://app.dipalme.org/portaldomi/portalsoli/loginSoli.zul

12/11/2018

59



¿Cómo usar clausula para informar por Email de Cultura?

Y poner fija la clausula en el correo departamental.

1. Identificar el tratamiento de Cultura


3. Poner la clausula en el pie de firma de correo Departamental.

Le informamos que los datos personales contenidos en este email son tratados bajo la responsabilidad de DIPUTACIÓN DE ALMERÍA con la finalidad de DESARROLLO Y DIFUSIÓN DE ACTIVIDADES CULTURALES ORGANIZADAS POR DIPUTACIÓN DE ALMERIA, Y ELABORACIÓN DE GUÍA PROVINCIAL DE PROFESIONAL DE LA CULTURA, en base a la legitimación de CONSENTIMIENTO, OBLIGACION LEGAL, INTERES PUBLICO. Mas informacion sobre Proteccionde Datos personales en este enlace. Puede ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad acreditando su identidad, tal como se indica en la información del enlace.Si el Email no ha sido enviado por un sistema automatizado puede que los datos personales procedan también de los contactos de la libretas de direcciones Personales. O de otras finalidades de tratamientos distinta de la arriba indicada, puede ver Informacion de todos los tratamientos en este enlace.




https://app.dipalme.org/proDatos/listaRegActividadesResponsables2.jsp?entidad=400000

12/11/2018

60



¿Cómo usar clausula de información para notificar en papel un

acuerdos de un expediente?

1. Identificar el tratamiento de Expedientes


3. Poner la clausula en el pie de la Notificación.

Le informamos que los datos personales contenidos en este documento son tratados bajo la responsabilidad de DIPUTACIÓN DE ALMERÍA con la finalidad de GESTIONAR LA DOCUMENTACIÓN CON DATOS DE PERSONAS FÍSICAS Y REPRESENTANTES DE PERSONAS JURÍDICAS QUE TIENEN ENTRADA/SALIDA EN LA DIPUTACIÓN DE ALMERIA, PARA SU INTRODUCCIÓN EN EL EXPEDIENTES QUE CORRESPONDA O TRAMITACIÓN QUE PROCEDA., en base a la legitimación de OBLIGACION LEGAL. Mas informacion sobre Proteccion de Datos personales en este enlace, o bien puede solicitar presencialmente en soporte papel en la oficina de información o dependencia donde realice su gestión. Puede ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad acreditando su identidad, tal como se indica en la información del enlace.



¿Cómo notificar en el usos de las aplicaciones?


12/11/2018

61



¿Cómo imprimir un cartel para tratamiento de datos personales

de servicios sociales?

1. Identificar el tratamiento de Servicios Sociales

2. Seleccionar e imprimir el cartel en formato deseado


6.4- ¿Cómo afecta el RGPD a los Contratos?

• TODOS LOS TIPOS DE LICITACIONES DE CONTRATOS Y HOJAS DE ENCARGO:

• Informar del tratamiento de datos personales.

• LICITACIONES DE CONTRATOS CON ENCARGOS DE TRATAMIENTO DE DATOS

PERSONALES:

• Ser diligente en seleccionar Proveedores que cumplan con las exigencias del

RGPD.

• Establecer las condiciones e instrucciones que debe cumplir el licitador como

encargado de tratamiento de datos personales.

Es necesario que los pliegos tengan en cuenta las clausulas necesarias para indicar

tanto la información del tratamiento, como de las condiciones e instrucciones para el

encargo del tratamiento, para ello en:

12/11/2018

62



¿Cómo cumplir con la obligación de informar en los Pliegos de Contratación?

EN TODOS LOS PLIEGOS Y HOJAS DE ENCARGO:

En el proceso de contratación se recaban datos personales, por lo tanto hay que cumplir con el RGPD y hay

que informar que se van a tratar datos personales, por lo tanto hay que poner una clausula en el pliego para

cumplir con la Obligación de Informar, un modelo puede ser:

INFORMACION SOBRE TRATAMIENTO DE DATOS PERSONALES:De conformidad con la normativa de protección de datos personales, le informamos que los datos personales que se recogen en este procedimiento serán objeto de tratamiento en la actividad CONTRATACIÓN responsabilidad de DIPUTACIÓN DE ALMERÍA con la finalidad de GESTIÓN DE DATOS DE CONTACTOS DE INTERESADOS Y REPRESENTANTES EN LOS EXPEDIENTES DE CONTRATACIÓN TRAMITADOS EN LA DIPUTACIÓN PROVINCIAL DE ALMERÍA, en base a la legitimación de CONSENTIMIENTO, EJECUCION DE CONTRATO, OBLIGACION LEGAL. Mas informacion sobre Proteccion de Datos personales en este enlace, en el apartado de privacidad de www.dipalme.org o bien en la oficina de información o dependencia donde realice su gestión.Puede ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, siguiendo las indicaciones facilitadas, previa acreditación de su identidad.



Para los contratos de encargos de Tratamiento de Datos personales, para

cualquier tipo de licitación:

RGPD. Art. 28.1: Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento,

este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y

organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente

Reglamento y garantice la protección de los derechos del interesado.

Para ello se debe solicitar a todos los licitadores que cumplan con el Art.28.1, como solvencia técnica,

para ello se puede exigir:

• Una certificación oficial sobre complimiento de normativa de protección de datos personales.

• Una declaración responsable.

• Informe u auditoria de una empresa especializada acreditada en la gestión de la protección de

datos personales.

• Realizar una auditoria por parte de la Diputación.

Ej: DECLARACION RESPOSNABLE: Don: __________ DECLARO BAJO MI RESPONSABILIDAD

ofrecer suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas

y organizativas que cumplan los requisitos del Reglamento (UE) 2016/679 de 27 de abril de 2016 (Reglamento general de protección de datos),

incluida la seguridad del tratamiento.

Ejemplo: clausula para informar en los pliegos


ANEXO PROTECCION DE DATOS PARA PLIEGOS.docx

12/11/2018

63



Para los contratos de encargos de Tratamiento de Datos personales, para

cualquier tipo de licitación:

RGPD. Art. 28.3: El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con

arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del

responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de

datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho

contrato o acto jurídico estipulará, en particular, que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable.

b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a

respetar la confidencialidad.

c) tomará todas las medidas de seguridad necesarias.

d) Si recure a otro encargado este tendrá que respetará las condiciones del tratamiento.

e) asistirá al responsable para que este pueda cumplir con su obligaciones.

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones.

g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la

prestación.

h) pondrá a disposición del responsable toda la información necesaria para demostrar el

cumplimiento.



Ejemplos de clausulas para contratos de encargos, e instrucciones para

encargados de contratos:

Documento de instrucciones del tratamiento (Modelo clausulas de la AEPD).

Mantenimiento de la Pagina Web de Diputación.

Proyecto de premios a Empresas (Proyectos Europeos)

Def Cláusulas encargado de tratamiento segun Modelo AEPD.pdf

Instrucciones sobre de encargo Mantenimiento web.docx

Instrucciones encargo Tratamiento eUropa.docx

12/11/2018

64


6.4- ¿Cómo afecta el RGPD al consentimiento?

Como recabar el consentimiento:

RGPD. Art. 4.11 «consentimiento del interesado»: toda manifestación de voluntad libre,

específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una

declaración o una clara acción afirmativa, el tratamiento de datos personales que le

conciernen.

RGPD. Art. 7.1 Cuando el tratamiento se base en el consentimiento del interesado, el

responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos

personales.

El RGPD establece una serie de condiciones para legitimar el consentimiento recogido:

• DEMOSTRACION.

• DISTINCION.

• REVOCACION.

• LIBERTAD.



Con obtener el consentimiento en procedimientos Web:

12/11/2018

65



Con obtener el consentimiento en papel:


6.4- ¿Cómo afecta l el RGPD al consentimiento?

Con obtener el consentimiento en papel:

12/11/2018

66


6.4- ¿Cómo afecta el RGPD a la confidencialidad?

Tanto los responsables como los encargados del tratamiento de datos personales tienen que

garantizar que las personas autorizadas para tratar datos personales se hayan comprometido

a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de

naturaleza estatutaria.

Ejemplos de declaraciones de confidencialidad:

- Personal de la organización.- Tribunales de Oposiciones- Tribunales o jurados- Usuarios de la RPC- Usuarios Externos (Becarios, etc.)


6.4- ¿Cómo afecta el RGPD a la cesión de datos?

La cesión o comunicación se debe realizar cumpliendo con el RGPD. El cesionario de

los datos se convierte en responsable del tratamiento que realice de los mismos.

Ejemplo de contrato con consentimiento para cesión de datos personales:

• Contrato residencia asistida

Ejemplo de cesión de datos personales y médicos para especialidades medicas para servicios

de salud laboral de Diputación.

• Clausulas para contratar con Especialistas médicos

• Consentimientos de los empleados e interesados en la salud laboral

Ejemplo de comunicación de datos con información tributaria y de recaudación:

• Ver documento de autorización (consentimiento de interesado) para ceder

información a una persona autorizada.

ficha declaración trabajadores Diputacion y confidencialidad.pdf

ficha declaración + confidencialidad Tribunal Oposiciones.pdf

acuerdo confidencialidad EXTERNOS - cambios premios FICAL y Pro Europeo.pdf

Acreditacion usuario RPC.pdf

acuerdo confidencialidad EXTERNOS.pdf

CONTRATO Res Asistida.doc

salud laboral/Cláusulas para contratar servicios de profesionales de la Salud .doc

salud laboral/ficha consentimiento informado servicio prevención.doc

Autorizacion para dar información SAT.doc

12/11/2018

67


6.4- Otros temas a los que afecta el RGPD

Siempre que hay tratamiento de datos personales, hay que cumplir con el RGPD. Veamos los siguientes ejemplos:

• Decretos en los que aparecen datos Personales:Ejemplo de una Resolución de adjudicación de Contrato menor (hay que suprimir datos personales o no hay que suprimirlos)

• Publicación en memoria de FICAL agradecimiento a los colaboradores.¿Es necesario el consentimiento de los interesados?

• En unas jornadas se va a realizar la Grabación en video de la Jornada, y se van a realizar fotos y puede que se publiquen en redes sociales.

¿Es necesario informar?



Las paginas Web de Dependencias, deben de hacer referencia a la política de privacidad de la Diputación y si son exclusivas de un tratamiento de datos personales la política debe apuntar a los datos de su actividad concreta.

- Paginas gestionadas por personal de Diputación:- Web de Cultura- Web hacienda- Web emprendedores de Almería

- Paginas gestionadas por Empresas de Servicios (en este caso se trata de una prestación de encargo de tratamiento que debe regularse):

- Web de Diputación- Web REDEA

Decreto adjudicacion contrato.pdf

CONSENTIMIENTO PARA TOMAR FOTOS.jpg

http://www.dipalme.org/Servicios/cmsdipro/index.nsf/index.xsp?p=cultura

http://www.dipalme.org/Servicios/cmsdipro/index.nsf/index.xsp?p=hacienda

http://www.emprender.almeria.es/Servicios/cmsdipro/index.nsf/empleo_bajas.xsp?p=parnettic

http://www.dipalme.org/Servicios/cmsdipro/index.nsf/index.xsp?p=hacienda

http://www.redea.org/

12/11/2018

68



El DNI o NIF de las personas físicas es un dato personal, y por tanto su tratamiento tiene que cumplir con las exigencias del RGPD. Para ello podemos utilizar los siguientes criterios en la publicación o comunicación de la identificación de personas personales, con nombre y NIF.

- Cuando se publique información de identificación de personas físicas, para que los interesados se identifiquen:

- Sera mas aconsejable publicar el NIF y no el nombre y apellidos. (Ej. Notas de exámenes de universidad, Publicación en BOE de multas no pagadas)

- Nombre y no NIF en listas de firmas de asistencia de cursos y eventos. (Ej: Listado de firma del curso)

- Cuando la finalidad de la publicación sea que terceros puedan conocer la identidad de la persona:- El criterio se publicar el Nombre y parte del NIF, (ej: últimos dígitos).(Ej: Lista de admitidos y

no admitidos en pruebas selectivas)


6.4- Como afecta el RGPD a los acuerdos con datos personales.

Publicación de resoluciones con datos personales en Transparencia:

Ej: Resoluciones sobre derecho de acceso a información publica.

https://www.dipalme.org/Servicios/Anexos/Anexos.nsf/DB843E091A2CD546C125821D002E4CA0/$file/Contestación%202016_D22600_800-201_00001.pdf

https://www.dipalme.org/Servicios/Anexos/Anexos.nsf/6D94F415365B279DC125821D0030D303/$file/Contestación%202016_D22600_800-201_00004.pdf

http://www.dipalme.org/Servicios/Anexos/Anexos.nsf/CC6AEC96AD6D9FF2C125821D00430BDD/$file/Contestación%202017_D22600_800-201_00002.pdf

http://www.dipalme.org/Servicios/Anexos/Anexos.nsf/4C6E21BE80327166C125821D0043B88E/$file/Contestación%202017_D27100_800-201_00003.pdf

http://www.dipalme.org/Servicios/Anexos/Anexos.nsf/86FE050FCE2CF476C125830700375BBE/$file/Contestacion%20Informacion%202018_D22600_800-201_00003.pdf

https://www.dipalme.org/Servicios/Anexos/Anexos.nsf/DB843E091A2CD546C125821D002E4CA0/$file/Contestación 2016_D22600_800-201_00001.pdf

https://www.dipalme.org/Servicios/Anexos/Anexos.nsf/6D94F415365B279DC125821D0030D303/$file/Contestación 2016_D22600_800-201_00004.pdf

http://www.dipalme.org/Servicios/Anexos/Anexos.nsf/CC6AEC96AD6D9FF2C125821D00430BDD/$file/Contestación 2017_D22600_800-201_00002.pdf

http://www.dipalme.org/Servicios/Anexos/Anexos.nsf/4C6E21BE80327166C125821D0043B88E/$file/Contestación 2017_D27100_800-201_00003.pdf

http://www.dipalme.org/Servicios/Anexos/Anexos.nsf/86FE050FCE2CF476C125830700375BBE/$file/Contestacion Informacion 2018_D22600_800-201_00003.pdf

12/11/2018

69

7Medidas de Seguridad



7- Medidas de Seguridad

Seguridad en el tratamiento de datos personales:

La protección de los derechos y libertades de los ciudadanos en relación con el tratamiento de sus datospersonales que lleven a cabo los entes de la Administración Local exige la adopción de medidas técnicas yorganizativas con la finalidad de garantizar el cumplimiento de lo dispuesto en el RGPD.

El RGPD introduce el análisis de riesgo con la finalidad de evaluar el riesgo que puede producir el tratamiento de datos de datos personales.

Por otra parte, el RGPD regula lo referente a las comunicaciones de quiebras de seguridad, tanto respecto a los ciudadanos afectados como a la Autoridad de Control de Protección de Datos correspondiente.

El RGPD no establece medidas de seguridad estáticas, por lo que corresponderá al responsable determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.

12/11/2018

70



Medidas de seguridad según ENS:

Las administraciones publicas tienen que implantar las medidas de seguridad de acuerdo al ENS



A diferencia de la LOPD, que imponía una serie de medidas de seguridad estándar en función a la clasificación de los ficheros (bajo, medio o alto), el nuevo reglamento parte de otro enfoque de la seguridad.

Ya no ofrece un repertorio de medidas de seguridad predefinidas que debemos aplicar, lo que plantea el nuevo reglamento es que esas medidas se establezcan en función al riesgo detectado.

Básicamente se trata de un enfoque proactivo en lo que respecta a la seguridad que exige no solo la existencia de esas medidas en un papel sino la aplicación efectiva de esas medidas.

12/11/2018

71



El artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) determina la necesidad de establecer garantías de seguridad adecuadas que eviten, fundamentalmente, dos cosas:• El tratamiento no autorizado o ilícito de datos personales.• La pérdida de los datos personales, la destrucción o el daño accidental.

Para poder evitar ambos riesgos, se exige a las empresas y profesionales que gestionen información personal que establezcan medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales y la de demostrar que estas medidas se han llevado a la práctica (lo que conocemos como responsabilidad proactiva).

¿Qué riesgos tenemos que controlar con las medidas de seguridad?



MEDIDAS ORGANIZATIVAS:• Deber de confidencialidad y secreto• Garantizar los derechos de los titulares de los datos• Gestión de la violaciones de seguridad de datos personales

MEDIDAS TECNICAS:• Identificación de usuarios• Salvaguardas

¿Qué medidas hay que aplicar?

12/11/2018

72



• Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.

• Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.

• No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.

• No se comunicarán datos personales o cualquier información personal a terceros, se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.

• El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa

ORGANIZATIVAS: Confidencialidad y secreto



• Se informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.) teniendo en cuenta lo siguiente:

• Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión y oposición. El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida.

ORGANIZATIVAS: Garantizar los derechos de los titulares de los datos

12/11/2018

73



Cuando se produzcan violaciones de seguridad DE DATOS DE CARÁCTER PERSONAL, como por ejemplo, el robo o acceso indebido a los datos personales se notificará a la Agencia Española de Protección de Datos en término de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es

ORGANIZATIVAS: Gestión de la violaciones de seguridad de datos personales



• Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.

• Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.

• Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras.

• Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).

• Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.

TECNICAS: Identificación de usuarios

https://sedeagpd.gob.es/

12/11/2018

74



Actualización de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.Malware: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.Cortafuegos o firewall: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.Cifrado de datos: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.Copia de seguridad: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.

TECNICAS: Salvaguarda de la información

7Obligaciones con la Seguridad


12/11/2018

75


7- Obligaciones con la Seguridad

Figuras implicadas en el cumplimiento de las Obligaciones de Seguridad la LOPD:

• Responsable del Fichero y Tratamiento• Encargado del Tratamiento• Responsable de Seguridad• Responsables Delegados (Dependencias)• Comité de Seguridad• Usuario Administradores de los Sistemas• Usuarios y/o Empleados



Usuario es todo el personal autorizado que accede a los datos de carácter personal para el desempeño de las funciones propias de su puesto de trabajo.

Todos los usuarios tienen la obligación de colaborar con el Responsable del Fichero para velar por el cumplimiento de la legislación vigente sobre Protección de Datos de Carácter Personal.

Los usuarios deben respetar los procedimientos definidos para gestionar la seguridad de la información que se detallan a continuación.

12/11/2018

76



OBLIGACIONES GENERALES



OBLIGACIONES GENERALES SOBRE DEBER INFORMAR

• Facilitar el derecho de información a los titulares de los datos personales, que se traten, según los requisitos previstos en la normativa vigente.

• Velar por el cumplimiento de la obligación de información sobre los datos personales, en la confección y uso de formularios de recogida y modificación de datos.

• Valar por el uso adecuado delos carteles para cumplir con la obligación de informar sobre tratamiento de datos personales.

12/11/2018

77



CESION Y COMUNICACIÓN DE DATOS

• Recuerde que la cesión o comunicación de datos personales se pueden realizar: Con el consentimiento de propietario de los datos.• Cuando exista una Ley o norma que lo habilite. • Cuando se ceda a otra Administración para la misma finalidad para la que se

recogieron. • Cuando que se haga para el cumplimiento de fines directamente relacionados con

las funciones legítimas del cedente y del cesionario

• No se pueden comunicar a una persona distinta del propietario si no tenemos su consentimiento o el tercero acredita dicho consentimiento. (Representante o Administrador)



PUESTOS DE TRABAJO (Credenciales y Contraseñas)

• Cada usuario tiene que tener credenciales personales para acceso a puesto de trabajo y sistemas. No se utilizaran credenciales genéricas.

• Cada usuario deberá custodiar de forma confidencial las contraseñas de los códigos de usuarios que se le asigne.

• Si tiene sospechas de que la conocen terceros deberá cambiarla

• En el primer acceso al sistema deber cambiarla.

• La longitud de la contraseña debe ser mínimo de 8 caracteres, y debe contener letras y números, no debe coincidir con el código de usuario.

• Deberá cambiar la contraseña al menos cada 6 meses.

12/11/2018

78



PUESTOS DE TRABAJO (Uso de puesto)

• Los Usuarios utilizaran el puesto de trabajo debe ser utilizado solo para los trabajos y tratamiento de información dentro sus funciones.

• El uso personal solo se realizara si existen garantías de que no afecten a la seguridad y previa autorización del responsable.

• La ubicación del puesto de trabajo se realizara de forma que se garantice la confidencialidad siempre que se trate datos personales.

• Durante la ausencia del usuario el equipo de trabajo deberá estar apagado o bloqueado (utilizar bloqueo de pantalla o suspensión)

• No se debe cambiar la configuración del puesto si la previa autorización de los administradores.

• Los antivirus, antispam, etc.. no se manipularan, respetando las configuraciones de los administradores.



IMPRESIÓN

• La impresión de documentos con datos personales se realizara garantizando la confidencialidad.• Se utilizaran preferentemente impresoras que no impriman si la presencia del usuario, y que

borren los trabajos si nadie demanda la impresión (sistema de impresión con identificación usuario).

• Solo se imprimirá lo que sea estrictamente necesario.• Se debe imprimir rentabilizando al máximo el papel.• Se utilizaran las marcas de agua para indicar si el documento, es borrador, confidencial, etc..• Las impresoras individuales serán utilizadas solo para casos muy específicos y con autorización.• Se deben evitar las impresiones en la nube, quedando prohibidas para datos personales.• Se comprobara que no queden documentos en las bandejas de salida.• Se deben Impresoras con Identificación de Usuarios

12/11/2018

79



ALMACENAMIENTO DE INFORMACION

• Se evitara guardar información en los Puestos de trabajo, si no se garantiza la confidencialidad, integridad y disponibilidad.(Si no se realizan copias de seguridad con garantias).

• Para guardar la información se utilizaran los sistemas de almacenamientos en red que tengan garantizadas los controles de acceso y la gestión de copias de seguridad.

• La utilización y generación de documentos de trabajo se almacenaran en espacios de almacenamiento temporales y se borraran una vez no sean necesarios.

• Se vaciara la papelera de reciclaje del puesto de trabajo diariamente.



USO DE PORTATILES, TABLES, MOVILES, ETC..

• Se evitara el uso de Portatiles, Tables, Moviles, etc..

• Para el caso que sea estrictamente necesario Se borraran los datos des estos dispositivos una vez que no sean necesarios.

• Se deberá de garantizar el nivel de seguridad correspondiente.

• Para tratar información con datos personales fuera de las instalaciones del Responsable del fichero se debe disponer de los correspondientes permisos y se de garantizar el nivel de seguridad.

• Se debe borrar la informacion que se utilice en estos equipos cuando se dejen de utilizar

12/11/2018

80



CONTROL DE ACCESOS

• Los usuarios accederán solo a lo sistemas de información que estén autorizados y con los previligios correspondientes a las funciones a desarrollar.

• Deberán se solicitar de sus responsables aquellos permisos de acceso que le sean necesario para el desempeño de sus funciones.

• Deberán de solicitar de sus responsables que se les anule los permisos y privilegios que no le sean necesarios.

• Se detectan cualquier anomalía en los premisos y privilegios deberán comunicarlas a sus superiores.



GESTION DE DOCUMENTOS CON DATOS PROTEGIDOS

• Los documentos o ficheros que generen los usuarios y que tengan datos personales se deben almacenar en dispositivos que garanticen su confidencialidad (sistemas de almacenamiento de red con los correspondientes controles de acceso), y en caso de duda codificados.

• El envió por email de este tipo de documentos deberá de ser en los casos estrictamente necesarios y codificando la información de los datos protegidos.

• También se deberá utilizar la disociación de la información cuando se vea peligrar la confidencialidad.

12/11/2018

81



USO DE CORREO ELECTRONICO (I)

• No se deben utilizar cuentas de Email no corporativos para el envio en mensajes relacionados con las funciones del puesto. Ojo con las transferencia internacional de datos.

• No se debe usar el Correo personal en las instalaciones con los equipos de la empresa sin las debidas medidas de seguridad.

• Borrar todo mensaje del que se tenga dudas de su remitente o de su contenido.• Para el envió de información con datos personales protegidos fuera de las instalaciones

de la organización se debe enviar codificada.• Solo se puede comunicar datos personales si se van a utilizar para la misma finalidad

con la que están declarados.• Se debe utilizar el Email Departamental para envios oficiales.



Proteger documentos con contraseñas

Con las distintas herramientas ofimaticas, word, excel, openoffice, libreoffice, etc. se puede proteger

12/11/2018

82



Proteger documentos con contraseñas

Con las distintas herramientas ofimaticas, word, excel, openoffice, libreoffice, etc. se puede proteger



USO DE CORREO ELECTRONICO (II)

Codificar los correos electrónicos:Cuando los destinatarios de los Email sean, usuarios y email departamentales, se puede realizar la codificacion de los email de forma que si se abre por otro usuario no pueda leer el contenido.

12/11/2018

83



USO DE CORREO ELECTRONICO (III)

Siempre. que se utiliza el Email, se están tratado datos personales, al menos la dirección de mail. Por eso:• Debe borrar de forma periódica los Email que no necesite. (Articulo 4.5 Calidad de los

datos)• Debe tener cuidado de no difundir los Email, utilizando el campo CCO cuando envía

email masivos, con listas de distribución (Ver ejemplo).



ALMACENAMIENTO DE INFORMACION EN LA NUBE

• No utilizar Gamil u otro proveedor parecido de correo gratuito en la nube como correo oficiales de la organización.

• No se utilizaran sistemas de almacenamiento en la nube como Dropbox, Drive, etc. (ojo con Transferencias Internacionales).

• La Red Provincial de Comunicaciones dispone de un Sistema Seguro DipalBox.

• Se puede utilizar DipalBox para guardar información voluminosa codificada y/o protegida y enviar datos de codificación y/o contraseñas por email

12/11/2018

84



USO DE DIPALBOX PARA ENVIO DE INFORMACION



RECOMENDACIONES PARA ARCHIVOEN PAPEL

• La referencias de los expedientes deberan ser codigos, de forma que no se pueda saber a priori que datos personales contienen.

• Se dipondra de listado con Informacion por Codigos y Apellidos, de forma que se relacionen de forma facil y localizable los expedientes archivados.

• Cuando los sistemas sean Mixtos, Electronicos y Papel, se buscara de forma electronica la referencia del expediente para su localizacion en el archivo en papel.

• Las zonas de archivo en papel debe estar protegida con llave a algon sistema de no permitir acceso a personal no autorizado.

• Los Archivadores deberan tener llaves, y se protegeran para no ser accedido por personal no autorizado.

• Se debe realizar un regisros de los expedientes que se sacan del archivo, por quien y para que.

12/11/2018

85



RECOMENDACIONES PARA ARCHIVOEN PAPEL

• La referencias de los expedientes deberan ser codigos, de forma que no se pueda saber a priori que datos personales contienen.

• Se dipondra de listado con Informacion por Codigos y Apellidos, de forma que se relacionen de forma facil y localizable los expedientes archivados.

• Cuando los sistemas sean Mixtos, Electronicos y Papel, se buscara de forma electronica la referencia del expediente para su localizacion en el archivo en papel.

• Las zonas de archivo en papel debe estar protegida con llave a algon sistema de no permitir acceso a personal no autorizado.

• Los Archivadores deberan tener llaves, y se protegeran para no ser accedido por personal no autorizado.

• Se debe realizar un regisros de los expedientes que se sacan del archivo, por quien y para que.



GESTION DE INCIDENCIAS

12/11/2018

86



GESTION DE INCIDENCIAS


MUCHAS GRACIAS

[email protected]

Seguridad de la Información y Privacidad de Datos ...

Documents

Transcript of Seguridad de la Información y Privacidad de Datos ...