Ud 1.2 principios de la proteccion de datos de caracter personal

UD 1.2 PRINCIPIOS DE LA PROTECCION

DE DATOS

logo.jpg

logo.jpg

logo.jpg

2

UD1.2 Principios de la protección de datos

Principio de Limitación de Objetivos (Finalidad)

Principio de Proporcionalidad y Calidad de Datos

Principio de Consentimiento

Principio de Transparencia (Información en la recogida)

Principio de Seguridad

Principio de Comunicación de Datos

Principio de Acceso a los Datos por Cuenta de Terceros

3

UD1.2 Principios de la protección de datos

La LOPD establece una serie de limitaciones altratamiento de los datos; limitaciones fijadas paragarantizar un uso adecuado, lícito, no excesivo y conlas debidas medidas de seguridad que impidan laalteración, pérdida o tratamiento no autorizado de losdatos, por eso la ley fija como contrapeso la necesidadde observar la voluntad del interesado oconsentimiento.

En la mayoría de los supuestos, la ley fija comocontrapeso la necesidad de obtener voluntad elconsentimiento del afectado

4

Principio de calidad

La Ley tiende a establecer unos principios generales de

Calidad tendentes a garantizar un uso adecuado de los

datos, fijando que:

1º.Los datos personales deben de adecuarse a la

finalidad para la que fueron recabados,

2º.Deben ser exactos y actualizados,

3º.No deben mantenerse indefinidamente sin justificación

4º.Deben haber sido recogidos de forma lícita.

5


Finalidad:

Los datos sólo se podrán recoger para su tratamiento

cuando sean adecuados, pertinentes y no excesivos

en relación con el ámbito y las finalidades

determinadas, explícitas y legítimas para los que se

hayan obtenido.

Exactitud de los datos:

De oficio por el Responsable del Fichero, cuando

conozca dicha inexactitud.

A través del ejercicio del derecho de rectificación de

los datos por el propio interesado.

6


Cancelación de datos:

La cancelación se producirá directamente por el

Responsable del Fichero en el momento en que el

dato no sea necesario.

En el caso de que una ley establezca que se deben

conservar los datos, la cancelación se hará mediante

el bloqueo o disociación de los mismos.

Lealtad:

Se impone la prohibición de recoger los datos por medios

fraudulentos, desleales o ilícitos.

7


8

Principio de consentimiento

El consentimiento no es más que la manifestación devoluntad, libre, inequívoca, específica e informada,mediante la que el interesado consiente el tratamientode sus datos personales.

a) Libre: deberá haber sido obtenido sin la intervenciónde vicio alguno del consentimiento.

b) Específico: referido a una determinada operación de

tratamiento y para una finalidad determinada, explícita

y legítima del Responsable del Fichero.

c) Informado: el usuario debe conocer, con anterioridad

al tratamiento, la existencia y las finalidades para las

que se recogen los datos.

9


d) Inequívoco: es preciso que exista expresamente una

acción u omisión que implique la existencia del

consentimiento (no resulta admisible el consentimiento

presunto).

En principio, el consentimiento dado abarca todas y

cada una de las operaciones que engloban el

tratamiento; encontrando sólo una excepción, que es

en el caso de la cesión de datos, donde el

consentimiento para la cesión será previo e informado.


En la recogida de datos:

Como es previa al tratamiento de datos, el

consentimiento suele ser tácito.

No obstante, es necesario informar al afectado de

los siguientes puntos:

El titular del Fichero.

Las finalidades del tratamiento.

El carácter obligatorio/facultativo de las respuestas.

De los derechos que le asisten y su posibilidad de

ejercicio.

De la dirección y, en su caso, las condiciones para

ejercitar tales derechos.

10


No obstante el consentimiento deberá de ser

expreso:

Para el tratamiento de datos de salud, origen racial y

vida sexual

Para el tratamiento de datos de ideología, afiliación

sindical, religión y creencias, además el consentimiento

expreso será por escrito.

11


Excepciones a la obligación de obtener el

consentimiento:

Una ley así lo disponga.

Cuando los datos se recojan para el ejercicio de lasfunciones publicas por las Administraciones Publicas.

Los datos se refieran a las partes de un contrato oprecontrato negocial, administrativo, o se recojandentro del ámbito de una relación laboral, y sonnecesarios para su mantenimiento o cumplimiento

Cuando el tratamiento se haga por finalidad del interésvital del afectado.

Los datos figuren en fuentes de acceso público, comopor ejemplo, boletines oficiales, listas censales orepertorios telefónicos.

12


Tratamiento de datos:

El tratamiento en si consiste en las operaciones de

grabación de datos, conservación, elaboración,

modificación, bloqueo y cancelación, así como las

cesiones y acceso a los datos.

El afectado siempre podrá ejercer los derechos que le

concede la Ley (impugnación de valoraciones, acceso,

rectificación, cancelación y oposición)

13


14

Además existen una serie de principios y obligaciones

específicos impuestos para garantizar su correcto

tratamiento, conservación, acceso y destrucción.

El responsable del fichero deberá informar

detenidamente al afectado respecto de la utilización de

sus datos de carácter personal, por lo que se reviste al

consentimiento de una mayor seguridad jurídica. Por lo

tanto, la prueba iuris tantum corresponde al

responsable del fichero quien deberá acreditar la

existencia de consentimiento otorgado por el afectado.


15

•Consentimiento de los menores:

Puede pedirse el consentimiento de los mayores de 14

años.

En ningún caso, se les podrá pedir información sobre el

resto de la unidad familiar.

Debe utilizarse un lenguaje que les resulte

comprensible.

El responsable debe comprobar la edad del menor


16

Revocación del consentimiento:

• Se podrá ejercitar en los casos en los que hayamos

tenido que prestar el consentimiento.

• No es necesario que el afectado manifestase una

causa para revocar su consentimiento, salvo si viene

derivado del mantenimiento de una relación negocial,

administrativa, fiscal o laboral.

•La revocación tiene que poder realizarse por medios

sencillos, gratuitos y que no impliquen ingreso alguno

para el responsable del fichero.(envío prefranqueado,

teléfonos gratuitos, mail..)


17

• El responsable del fichero tiene un plazo de 10 días

para cesar el tratamiento de esos datos de carácter

personal desde la recepción de la oposición.

• Si el interesado hubiera solicitado al responsable del

tratamiento la confirmación del cese en el tratamiento de

sus datos, el responsable deberá responder

expresamente a la solicitud.


18

Derecho de oposición:

• En los casos en los que no es necesario el

consentimiento del afectado para el tratamiento de

los datos y siempre que no se disponga por ley lo

contrario, el afectado podrá oponerse al tratamiento de

sus datos –―cuando existan motivos fundados y legítimos

relativos a una concreta situación personal‖-.


19

El derecho de oposición podrá ser total en el caso

de datos obtenidos de fuentes accesibles al público y

cuyo tratamiento sea para fines promocionales y

publicitarios.

El derecho de oposición será parcial en aquellos

casos en los que el tratamiento venga del

mantenimiento de una relación contractual o negocial,

administrativa, laboral, etc…


20

El derecho de oposición podrá ser total en el caso

de datos obtenidos de fuentes accesibles al público y

cuyo tratamiento sea para fines promocionales y

publicitarios.

El derecho de oposición será parcial en aquellos

casos en los que el tratamiento venga del

mantenimiento de una relación contractual o negocial,

administrativa, laboral, etc…


21

22

Principio de transparencia

¿Qué es?

Es el derecho de información que tiene el titular de los datos y una obligación correlativa para el empresario.

Los datos de carácter personal se pueden recabar:

Del propio interesado

De terceros

De fuentes accesibles al publico

23


Datos recabados del propio interesado:

¿Cuándo procede?

Hay que informar en la recogida de datos.

¿Qué hay que informar?

La existencia del fichero, la finalidad, de quien es el responsable del fichero, de los derechos, el carácter obligatorio o facultativo de la respuesta a preguntas, consecuencias de la negativa...

¿Cómo hacerlo?

-Si son cuestionarios en papel o formularios informáticos: cláusula informativa legible.

-Fuentes accesibles al publico y los utilizo con fines publicitarios: cláusula informativa en cada documento publicitario.

24


Ejemplo:“De conformidad con la Ley Orgánica 15/1999 de Protección de Datos

Personales y a través de la cumplimentación del presente formulario,

Vd. presta su consentimiento para el tratamiento de sus datos

personales facilitados, que serán incorporados al fichero “XXXXXXX”,

titularidad de la EMPRESA XXX, inscrito en el Registro General de la

Agencia Española de Protección de Datos, cuya finalidad es la gestión

fiscal, contable y administrativa de la relación contractual, así como el

envío de información comercial sobre nuestros productos y servicios.

Igualmente le informamos que podrá ejercer los derechos de acceso,

rectificación, cancelación y oposición establecidos en dicha Ley,

adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección:

EMPRESA XXX. Departamento de Atención al Cliente LOPD.

C/XXXXXX nº X. 46000 Valencia.

Los campos señalados con * son obligatorios.”-

25


Datos recabados por terceros:

• Es el caso de la cesión de datos.

• En el caso de obtener datos que no hayan sidodirectamente recabados de los interesados,deberemos comunicar al interesado:

Procedencia de los datos.

El titular del Fichero.


El carácter obligatorio/facultativo de las respuestas.

De los derechos que le asisten y su posibilidad de

ejercicio.

De la dirección para ejercer los derechos ARCO.

26


Excepciones:

1º.Que se le haya informado con anterioridad, por la

empresa que recabó originariamente los datos.

2º.Que así lo prevea expresamente una Ley.

3º.Que el tratamiento tenga fines históricos, científicos

o estadísticos.

4º.Cuando, a criterio de la Agencia Española de

Protección de Datos, resulte imposible o exija un

esfuerzo desproporcionado realizar tal

comunicación, siempre atendiendo al número de

interesados, antigüedad de los datos y a las posibles

medidas compensatorias.

27


Datos recabados de fuentes accesibles al publico:

Cuando los datos proceden de fuentes accesibles al

público y se destinen a la actividad de publicidad o

prospección comercial, se debe informar al

interesado en cada comunicación que se le realice

de:

El origen de los datos.

La identidad y dirección del Responsable del Fichero.


La posibilidad del ejercicio de los derechos de

acceso, rectificación, cancelación y oposición.

28

Acceso a datos

¿Qué es el acceso a los datos por cuenta de

terceros? (Art 12 de la LOPD y Art. 20, 21 y 22 del RD 1720/2007)

-El responsable del fichero permite a un tercero acceder a

los datos de carácter personal para que preste un

servicio relacionado con los mismos.

-El tercero, denominado encargado de tratamiento se

limita a tratar los datos por cuenta del responsable de

los datos, es decir siguiendo sus instrucciones y

devolviendo o destruyendo los datos una vez finalizado

el servicio contratado.Ej: encargados de tratamiento serian las asesorías o gestorías que realizan

la gestión contable, fiscal o laboral; servicios de Prevención de Riesgos;empresas de mantenimiento de Software o Hardware…

29

Acceso a datos

¿Qué características deben darse pare que exista

acceso a datos por cuenta de terceros?

1) Firma de un contrato de acceso a datos:

El contrato que deberá constar por escrito o en alguna otra forma que

permita acreditar su celebración y contenido, estableciéndose

expresamente que el encargado del tratamiento únicamente tratará

los datos conforme a las instrucciones del responsable del

tratamiento, que no los aplicará o utilizará con fin distinto al que figure

en dicho contrato, ni los comunicará, ni siquiera para su

conservación, a otras personas.

Se establecerán y detallarán las medidas de seguridad que deberá

adoptar e implantar, de acuerdo al nivel de seguridad de los datos.

30

Acceso a datos

2) Una vez finalizado el servicio, o cumplida la

prestación contractual, el encargado de tratamiento

deberá destruir o devolver los datos de carácter personal.

3) En caso de que el encargado del tratamiento quiera

subcontratar algún servicio que suponga el acceso a los

datos a un tercero, deberá contar con el expreso

consentimiento del Responsable del Fichero;

consentimiento que deberá quedar establecido en el

contrato.

31

Acceso a datos

Responsabilidad de las partes:

Del Encargado del Tratamiento:

Asumirá personalmente las infracciones y sanciones que

puedan derivarse del incumplimiento de sus obligaciones

contractuales en relación con los datos de carácter

personal.

Del Responsable del Fichero:

Asumirá personalmente las infracciones cometidas por el

Encargado del Tratamiento cuando éste actúe de acuerdo

a las instrucciones y obligaciones fijadas en el contrato.(Revisar el modelo de contrato de acceso a datos que aparece en la sección

Biblioteca de la Plataforma)

32

Acceso a datos

Si no se dan las características anteriores, no estaremos

ante un caso de acceso a datos, sino ante un supuesto de

comunicación de datos o cesión de datos.

33

Cesión de datos o Comunicación de Datos

¿Qué es la cesión de datos?

―Toda revelación de datos realizada por persona distinta

del interesado‖Ej: Comunicación de Datos entre empresas de un mismo grupo empresarial;

comunicación de datos a un empresa de publicidad para hacer campaña

de telemarketing…

¿Cuáles son las características de la cesión de

datos?

1º. Se ceden datos a un tercero que trata los datos por su

cuenta (no sigue instrucciones del fichero) y bajo su

responsabilidad.

2º.El previo consentimiento informado del interesado.

34

Cesión de datos o Comunicación de Datos

3º. El tercero al que se le ceden los datos (cesionario) adquiere la condición de responsable del fichero.

35

Cesión de datos o Comunicación de datos

Para poder obtener el consentimiento, hay que informar:

a)Identificación, actividad y dirección del cesionario.

b)Finalidad a la cual se destinarán los datos cedidos.

c)La identidad y dirección del cesionario,

d)La naturaleza de los datos cedidos,

e)La finalidad del fichero.

No será necesario proporcionar esta información al

interesado cuando resulte imposible o exija esfuerzos

desproporcionados a criterio de la Agencia Española de

Protección de Datos, en consideración al número de

interesados, a la antigüedad de los datos y a las posibles

medidas compensatorias.

36


¿Cuándo el consentimiento previo del interesado

no es necesario en la cesión de sus datos?

1º.Cuando la cesión esté autorizada por una Ley.

Cesiones Legales.

2º.Cuando se trate de datos recogidos de fuentesaccesibles al público, siempre que el tratamiento delos datos sea necesario para la satisfacción del interéslegítimo perseguido por el cedente o por el cesionario yse respeten los derechos de los interesados.

3º.- Cuando el tratamiento responda a la libre ylegítima aceptación de una relación jurídica cuyodesarrollo, cumplimiento y control impliquenecesariamente conexión con ficheros de terceros.

37


4º.- Cuando la comunicación que deba efectuarse tenga

por destinatario al Defensor del Pueblo, el Ministerio

Fiscal o los Jueces o Tribunales o el Tribunal de

Cuentas.

5º.- Cuando la cesión se produzca entre

Administraciones Públicas y tenga por objeto el

tratamiento posterior de los datos con fines históricos,

estadísticos y científicos.

6º.- Cuando la cesión de datos de carácter personal

relativos a la salud sea necesaria para solucionar una

urgencia

38


¿Cuándo es nulo el consentimiento dado en la

cesión?

Cuando el interesado otorgue su consentimiento a la

cesión sin pleno conocimiento de quién es el

destinatario de la misma, cuál es su actividad y para

qué finalidad va a utilizar sus datos.

¿Es revocable el consentimiento dado a la cesión

de los datos?

El consentimiento siempre es revocable, pero no tendrá

efectos retroactivos a las cesiones que se realizaron

mientras el consentimiento estaba activo.

39


¿A qué se obliga el cedente con la cesión? El

cedente se obliga a informar al interesado en dos

momentos:

1º.En el momento de la recogida de los datos, donde

deberá recabar el previo consentimiento informado para

la cesión de los datos.

2º.En el momento de proceder a la cesión efectiva de los

datos, deberá comunicarle al interesado los datos del

cesionario, finalidad del fichero y datos que han sido

cedidos.

40


¿A qué se obliga el cesionario con la cesión?

En la primera comunicación que dirija al interesado,

deberá informarle de forma expresa, precisa e

inequívoca de:

a)Procedencia de los datos.

b)Su incorporación a un fichero.

c)Finalidad del tratamiento.

d)Derechos que puede ejercitar (acceso, rectificación,

cancelación y oposición).

e)Datos identificativos y dirección.

Resumen

41

Resumen

42

Acceso a Datos Cesión de datos

• El tercero trata los datos

siguiendo las instrucciones del

responsable del fichero

• Debe existir un contrato,

normalmente por escrito, que

cumpla con los requisitos del

art. 11 de la LOPD)

• Una vez finalizado el servicio

los datos se devuelven o hay

que destruirlo.

• El encargado del tratamiento

será responsable , solo en el

caso de que incumpla las

estipulaciones del contrato

• El tercero trata los datos por

su cuenta (sin seguir

instrucciones del responsable)

• Debe existir un consentimiento

previo del afectado.

• El tercero (cesionario)

adquiere la condición de

responsable del fichero.

La diferencia radica ,principalmente ,en la responsabilidad:

43


La normativa sobre protección de datos liga el

concepto de seguridad a:

a) Confidencialidad: entendido como el acceso

autorizado a los datos.

b) Exactitud: la información no debe sufrir alteraciones

no deseadas, en cuanto a su contenido.

c) Disponibilidad: sólo las personas autorizadas

pueden tener acceso a la información.

44


Las medidas que se establecen, son de dos tipos:

Medidas Organizativas: aquellas medidas

destinadas a establecer procedimientos, normas,

reglas y estándares de seguridad, cuyos

destinatarios son los usuarios que tratan los datos

de los ficheros.

b) Medidas Técnicas: medidas destinadas

principalmente a la conservar la integridad de la

información (su no alteración, pérdida o robo) y en

menor medida a la confidencialidad de los datos

personales. Se encuentran delimitadas en función

del nivel de seguridad de los datos tratados: básico,

medio y alto.

45


Niveles de Seguridad:

Nivel Básico: Todos los ficheros

Nivel Medio:

a) Ficheros que contengan datos relativos a la comisión

de infracciones administrativas o penales.

b) Ficheros que contengan datos sobre Hacienda

Pública.

c) Ficheros que contengan datos sobre Servicios

Financieros.

d) Ficheros que contengan datos sobre solvencia

patrimonial y crédito.

46


e) Ficheros que contengan un conjunto de datos

suficientes que permitan elaborar un perfil del

afectado.

f) Ficheros titularidad de Entidades Gestoras y Servicios

Comunes de la Seguridad Social, mutuas de trabajo y

enfermedades profesionales de la SS.

Nivel Alto:

Ideología ,afiliación sindical, religión creencias, origen

racial, salud y vida sexual.

Datos de violencia de genero.

Datos recabados para fines policiales policiales sin

consentimiento de los afectados.

47


Excepción:

Los datos especialmente protegidos podrán

considerarse de Nivel Básico en los siguientes

casos:

Para el pago de cuotas de asociaciones

En ficheros en papel que los contengan de manera accidental.

Los datos propios para hacer frente a las obligaciones legales, tales como seguridad social, hacienda, etc. respecto de los trabajadores—altas, bajas, porcentaje de minusvalía, detracción cuota sindical, pagos a entidades bancarias, etc.

48


NIVEL BASICO NIVEL MEDIO NIVEL ALTO

TIPOS DE

DATOS

Datos de Carácter

identificativo (Nombre y

apellidos, DNI, Teléfono,

domicilio…) ,Imagen

Infracciones penales y/o

administrativas, datos de

Hacienda Pública,

Información de Servicios

financieros…

Religión y creencias ,Origen

racial, Salud, Ideología y

Vida sexual

MEDIDAS DE

SEGURIDAD

-Documento de Seguridad

-Registro de incidencias

-Funciones y obligaciones

de personal

-Contraseñas de acceso

-Copias de Seguridad

-Inventario de soportes

-Control de acceso físico




de personal





-Responsable de Seguridad

-Auditoria Bianual




de personal





-Responsable de Seguridad

-Auditoria Bianual

-Registro de acceso a datos

-Almacenar las copias de

seguridad fuera del local.

-Cifrado de Datos

SANCIONES De 900€ a 40.000€ De 40.001€ a 300.000€ De 300.001€ a 600.000€

49


Medidas aplicables a los diferentes niveles de

seguridad de ficheros automatizados

El RD establece unas medidas de seguridad que se

aplican independientemente del nivel de seguridad de

los ficheros tratados:

a) Acceso a través de redes de telecomunicaciones

Las medidas de seguridad exigibles para el acceso a

través de redes de telecomunicaciones deberá

garantizar un nivel equivalente al correspondiente a los

accesos en modo local.

50


b) Régimen de trabajo fuera de los locales de la

ubicación del fichero

Autorizado por el responsable en Documento de

Seguridad. La autorización puede tener un periodo de

validez

c) Ficheros Temporales (art.7).

Los ficheros temporales deberán cumplir el mismo

nivel de seguridad que el fichero del tienen origen.

Destrucción o borrado seguro cuando haya dejado de

ser necesario para la finalidad que motivó su creación.

51


Medidas de seguridad de Nivel Básico

1) Documento de Seguridad:

El Documento de Seguridad es un documento de

carácter privado y de obligado cumplimiento para todo

el personal de la Empresa que acceda a los Ficheros

de datos de carácter personal y a los Sistemas de

Información, en el que deben quedar plasmadas y

recogidas todas las políticas, reglas, medidas y

procedimientos de seguridad establecidos por el

Responsable del Fichero.

52


Contenido del Documento de Seguridad

a) Ámbito de aplicación del Documento con

especificación detallada de los recursos

protegidos

Ficheros de datos de carácter personal protegidos por la

normativa.

Descripción de los equipos informáticos utilizados para su

tratamiento (servidores, terminales, ordenadores).

Aplicaciones informáticas utilizadas para el tratamiento de los

ficheros de datos (como Bases de datos SQL, Programas de

gestión,…)

Descripción de la red de comunicaciones.

Locales e ubicaciones donde será de aplicación la normativa.

53


b) Medidas, normas, procedimientos y estándares

encaminados a garantizar el nivel de seguridad

exigido.

Los procedimientos y normas de acceso físico a las ubicaciones y

locales:

Los procedimientos y normas de acceso al sistema informático:

asignación, distribución, almacenamiento y cambio de

contraseñas de acceso al sistema y red.

Los procedimientos, normas y medidas de seguridad lógica

adoptados para la defensa ante ataques externos (antivirus,

firewalls, cifrado de redes, control de puertos, etc…).

Los procedimientos de acceso y normas de utilización de

aplicaciones informáticas concretas.

54


Los procedimientos de acceso y normas de utilización de

aplicaciones informáticas concretas.

Los procedimientos, normas y medidas de acceso a través de

Redes de Telecomunicaciones.

Los procedimientos, autorizaciones y normas de trabajo en

ubicaciones distintas a la principal.

Las directrices de seguridad para la utilización de determinados

programas de correo electrónico, protectores de pantalla,

conservación de documentos, generación de contraseñas…

c) Funciones y obligaciones del personal.

Listado actualizado de usuarios con acceso a los datos de carácter

personal.

55


d) Estructura de los ficheros con datos de carácter

personal y descripción de los sistemas de

información.

Se especifica el nombre de la aplicación informática que se utiliza

para el tratamiento de los datos; datos referentes al equipo-

servidor en el que se encuentra almacenado el fichero.

f) Los procedimientos de realización de copias de

respaldo y recuperación de datos.

Debe establecerse y definirse en el Documento de Seguridad

cuándo, cómo y qué se incorpora a las copias de seguridad; y, en

caso de que sea necesaria la restauración de los datos, cuál es el

procedimiento de actuación a seguir.

56


g) Las medidas que sea necesario adoptar para el

transporte de soportes y documentos , así como

la destrucción de los mismos o su reutilización.

Si existe tratamiento por cuenta de terceros debe

aparecer en el documento de seguridad.

El documento de seguridad debe mantenerse en todo

momento actualizado.

57


2) Funciones y obligaciones de personal con acceso

a los datos:

Deben de estar claramente definidas y documentadas

El personal deberá conocer las normas de seguridad

establecidas y las consecuencias de su incumplimiento.

3) Registro de Incidencias

Tipo de incidencia

Momento en que se ha producido,

Persona que realiza la notificación,

Persona a quien se le comunica, y

Efectos que se hubieran derivado de la incidencia.

58


4) Control de acceso:

El responsable del fichero se encargará de que exista una

relación actualizada de usuarios que tengan acceso autorizado al

sistema de información y de establecer procedimientos de

identificación y autenticación para dicho acceso.

Solo el personal autorizado podrá acceder a la información.

5) Identificación y autenticación

Identificación de forma inequívoca y personal

Identificación= usuario

autenticación=contraseña

59


Procedimiento de asignación, distribución y almacenamiento que

garantice su confidencialidad e integridad.

Recomendaciones para las contraseñas:

Si la contraseña es generada por el Administrador del Sistema y

luego es cambiada, en el primer acceso al sistema, por una

contraseña personal por parte del usuario, o por el contrario no

podrá ser modificada por el usuario.

La longitud mínima (6 a 8 caracteres)

Composición Alfanumérica (letras, números, mayúsculas y

minúsculas y /o símbolos)

Vigencia no superior a un año.

60


Establecer los procedimientos para el cambio de contraseña y los

casos en los que deberá procederse a su cambio por haberse

visto comprometida.

Establecer los procedimientos de bloqueo y desbloqueo de cuenta

por utilización reiterada de contraseñas incorrectas.

Establecer los procedimientos de generación, conservación y

almacenamiento seguro de contraseñas.

6) Gestión de soportes y documentos:

Los soportes o documentos que contengan datos de carácter

personal deberán permitir identificar el tipo de información que

contienen.

La salida de soportes y documentos que contengan datos de

carácter personal, fuera de los locales en los que está ubicado el

fichero, debe ser autorizado por el responsable del fichero.

61


Posibles medidas a adoptar:

Inventariado y almacenamiento de todos los soportes

informáticos.

Modelo de autorización y registro de salida de soportes

informáticos.

Conservación y almacenamiento de soportes papel

/documentación en armarios/archivadores.

Cada vez que un usuario accede a documentos y/o soportes

(informáticos y/o en papel) que contengan datos de carácter

personal, una vez finalizado su uso deberá devolverlo a su

armario/archivador.

Inventariado y almacenamiento con acceso restringido a

documentos y soportes calificados como confidenciales.

62


7) Copias de respaldo y recuperación:

Copias de seguridad

a) Verificar la definición y correcta aplicación de los procedimientos

de ejecución de copias de respaldo y recuperación de los datos.

b) Los procedimientos de backup deberán garantizar la

reconstrucción de los datos al estado en que se encontraban al

momento anterior de producirse la pérdida o destrucción.

c) Deberán realizarse copias de respaldo al menos semanalmente

d) El responsable del fichero se encargara de verificar cada 6 meses

la correcta definición, funcionamiento y aplicación del

procedimiento de copias de seguridad.

63


Medidas de seguridad de Nivel Medio

1) Documento de Seguridad:

Identificar el responsable/s de seguridad

Los controles periódicos que se deban realizar para verificar el

cumplimiento del documento de seguridad.

2) Responsable de Seguridad

La persona encargada de velar por el cumplimiento de las

medidas, reglas y normas de seguridad establecidas por el

Responsable del Fichero.

Debe establecerse en el documento de seguridad sus funciones

y obligaciones.

64


3) Auditoría:

Auditoria Bianual interna o externa obligatoria.

El Informe de Auditoría deberá dictaminar sobre el grado de

adecuación y cumplimiento de las medidas de seguridad,

identificar sus deficiencias y proponer las medidas correctoras

necesarias.

4) Identificación y Autenticación:

Se debe limitar la posibilidad de intentar reiteradamente el acceso

no autorizado al sistema de información.

5) Control de acceso físico:

Solo el personal autorizado podrá acceder a los lugares donde se

hallen los equipos físicos.

65


6) Registro de incidencias:

Deberá además señalarse la persona que ejecuto el proceso, los

datos restaurados, y en su caso, que datos ha sido grabar

manualmente en el proceso de recuperación.

El responsable del fichero deberá autorizar los procedimientos

de recuperación de datos.

7) Gestión de soportes y documentos:

Debe existir un registro de entrada y salida de soportes que

identifique: tipo de documento o soporte, fecha y hora,

emisor/destinatario , numero de documento, tipo de información

que contienen, forma de envío, responsable de la recepción o

entrega.

66


Medidas de seguridad de Nivel Alto

Se establecen medidas de seguridad especificas para

este nivel:

La utilización de mecanismos de encriptación y cifrado

de los datos.

El registro, control y almacenamiento de logs de

accesos a los ficheros.

El almacenamiento de copia de seguridad en

ubicación distinta.

67


Medidas de seguridad de Nivel Alto

Se establecen medidas de seguridad especificas para

este nivel:

La utilización de mecanismos de encriptación y cifrado

de los datos.

El registro, control y almacenamiento de logs de

accesos a los ficheros.

El almacenamiento de copia de seguridad en ubicación

distinta.

68


1) Gestión y Distribución de soportes:

Identificación de los soportes mediante sistemas de etiquetado

que permitan identificar su contenido.

Distribución de los soportes cifrada u otro mecanismo que impida

su manipulación durante su transporte.

2) Copias de Respaldo y Recuperación:

Los ficheros de datos de nivel alto deberán conservarse una

copia de respaldo y de los procedimientos de recuperación de los

datos en un lugar diferente a aquél en que se encuentran los

equipos informáticos que los tratan cumpliendo, en todo caso, las

medidas de seguridad exigidas.

69


3) Registro de accesos

De cada acceso, se guardarán como mínimo:

a) La identificación del usuario

b) Fecha y la hora en que se realizó el acceso

c) Fichero accedido,

d) Tipo de acceso: autorizado o denegado,

e) Y en el caso que el acceso haya sido autorizado, será preciso

guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de los datos detallados

anteriormente estarán bajo el control directo del responsable de

seguridad

70


El periodo mínimo de conservación de estos datos ser a de años.

El responsable de seguridad competente se encargará de revisar

periódicamente la información de control registrada y elaborará un

informe de las revisiones realizadas y los problemas detectados

Excepciones al Registro de acceso:

Cuando el responsable del fichero sea una persona física

y

Que el responsable del fichero garantice que únicamente el tiene

acceso.

Si concurren ambas circunstancias debe hacerse constar en el

Documento de Seguridad

71


4) Telecomunicaciones

La transmisión de datos de carácter personal a través de

redes de telecomunicaciones se realizará cifrando

dichos datos o bien utilizando cualquier otro

mecanismo que garantice que la información no sea

inteligible ni manipulada por terceros.

Resumen: (Ver el cuadro resumen de medidas de seguridad de la Agencia

Española de Protección de Datos que esta en la sección Biblioteca)

72


Medidas aplicables a los diferentes niveles de

seguridad para ficheros no automatizados

Se regulan los medios a través de los cuales se deben custodiar,almacenar y/o guardar, y acceder a aquellos por parte de laspersonas que están autorizadas. Sin embargo, deja plena libertada la hora de configurar por el responsable del fichero las medidasa implantar para este tipo de soportes.

Se les aplica gran parte de lo exigido para los soportesautomatizados:

Inscripción en la AGPD

Niveles de Seguridad

Encargado del tratamiento

Documento de seguridad

Copias de trabajo

73


Delegación de autorizaciones

Régimen de trabajo fuera de los locales

Funciones y obligaciones de personal

Registro de incidencias

Control de acceso

Gestión de Soportes

74


Medidas de seguridad de Nivel Básico:

1) Criterios de Archivo

Establecidos por la normativa especifica o el responsable del

fichero

Deben permitir la conservación, localización y consulta de los

documentos y posibilitar el ejercicio de los Derechos ARCO.

2) Dispositivos de almacenamiento

Limitar el acceso a los documentos de las personas no

autorizadas mediante mecanismos que obstaculicen la apertura.

3) Custodia de soportes

En el proceso previo o posterior al archivo, la persona

responsable deberá custodiar los documentos.

75


Medidas de seguridad de Nivel Medio:

1) Designar uno o varios responsables de

seguridad.

2) Auditoria de Protección de Datos de Carácter

Personal

Auditoria Bianual Obligatoria

76


Medidas de seguridad de Nivel Alto:

1) Almacenamiento de la información:

Solo personal autorizado puede tener acceso a los armarios,

archivadores…que almacenen los ficheros

Dichas aéreas deben permanecer cerradas cuando no sea

preciso el acceso.

2) Copia o reproducción

Solo podrá realizarse por personal autorizado

3) Acceso a la documentación

Solo personal autorizado

Establecer mecanismos para saber quien a accedido al

documento cuando existan varios usuarios

77


Medidas de seguridad de Nivel Alto:

4) Traslado de documentación

Tomar medidas para evitar el acceso o la

manipulación durante el traslado.

78


Ud 1.2 principios de la proteccion de datos de caracter personal

Documents

Transcript of Ud 1.2 principios de la proteccion de datos de caracter personal