WEB Y LOPD
Juan González-Madroño – Fernando Hermida – Oscar NogueraProfesión Informática en la Sociedad Actual
MFP – UCM – Curso 2009-2010
INTRODUCCIÓN
¿Cómo se adapta una web a la LOPD? ¿Criterios? ¿Datos a proteger? ¿Nivel de seguridad? ¿Medidas?
Caso concreto: Redes sociales Porqué: actual, menores, amplia difusión web. ¿Están adaptadas a la LOPD?
Medidas sectoriales: códigos tipo.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
WEB Y LOPD
●
●
La Web no deja de ser un medio más en el que se puede recoger un dato.
Aunque la Web es accesible para (casi) todo el mundo. Publicar una página web. La información en la web es pública.
Importancia del dato, su acceso, gestión y seguridad
Juan González-Madroño – Fernando Hermida – Oscar Noguera
CONCEPTOS
●
●
Dato de carácter personal. Cualquier elemento que permita determinar de manera
directa o indirecta la identidad de una persona
Fichero. Conjunto organizado de datos de carácter personal,
independientemente de su forma de creación, almacenamiento, organización y acceso.
Tratamiento de datos Operaciones y procedimientos técnicos sobre los datos
que permitan Recogida, conservación, elaboración. Modificación, cancelación, bloqueo Cesión
Juan González-Madroño – Fernando Hermida – Oscar Noguera
CONCEPTOS
●
●
Fuentes accesibles al público: Ficheros que pueden ser consultados por cualquier
persona. Censo Repertorios telefónicos Listas de grupos profesionales (nombre, título, profesión,
activdad, grado acad, dirección y pertenencia al grupo). BOEs y Diarios Oficiales. Medios de comunicación.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
ADAPTAR LA WEB
¿Porqué? Para evitar sanciones. Mejorar la imagen ante el cliente, infundir confianza.
¿A qué? La web realiza actividades mercantiles LSSI→ Recoge datos personales sin almacenarlos LSSI→ Almacena datos personales LOPD→
ADAPTAR LA WEB
●
●
Reglamento de medidas de seguridad de los ficheros automatizados: RD 994/1999.
Recomendaciones de la APD. No existe una guía o manual oficial con pasos o
comprobaciones a realizar. Aunque se puede hacer un test de orientación: Evalúa
Empresas que realizan auditorias y adaptaciones a la LOPD http://www.adaptacion-lopd-madrid.com/adaptacion-lopd-lssi/1-4-4-0.htm http://www.lobocom.es/web/w/25/adaptacion-de-lssi-y-lopd http://internetlegal.es/lopd-lssice-internet-legal/gmx-niv14.htm
Determinación del nivel de seguridad. Niveles y documentos de seguridad de datos. Inscripción de ficheros en la APD. Mantenimiento: auditoría de seguridad, formación personal,....
ConoConocimientocimiento difudifusosoJuan González-Madroño – Fernando Hermida – Oscar Noguera
CONSIDERACIONES
●
●
Uso adecuado, lícito y no excesivo de los datos recabados.
Medidas de seguridad para evitar: alteración, pérdida o tratamiento no autorizado.
Observar la voluntad del interesado: Consentimiento expreso Ejercer su derecho de oposición Consentimiento tácito (por provenir de fuentes
públicas)
Juan González-Madroño – Fernando Hermida – Oscar Noguera
NIVELES DE SEGURIDAD
●
●
Básico: datos personales.
Medio Infracciones penales o administrativas Datos de carácter personal que permitan una
evaluación de la personalidad de un individuo.
Alto Ideología, religión, creencias, raza, vida sexual. Fines policiales sin consentimiento previo.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
MEDIDAS – NIVEL BÁSICO
●
●
Algunas medidas del nivel básico y su traslación al mundo web Registro de incidencias
Control de logs del servidor y de la aplicación
Identificación y autenticación A través de usuario / contraseña, certificado digital... Asegurar confidencialidad e integridad de las contraseñas. Informar de cambio periódico de contraseñas
Control de acceso Perfiles de usuario, datos y operaciones por perfiles. Administración de perfiles.
Copias de respaldo y recuperación (semanal) Backups de la BD.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
MEDIDAS – NIVEL MEDIO
●
●
Algunas medidas del nivel medio y su traslación al mundo web Auditoría
Pruebas para intentar conseguir accesos no autorizados. Identificación y autenticación
Mecanismo para identificar los usuarios que intentan acceder al sistema: log específico, historial de accesos, etc.
Limitar el número de intentos de acceso N intentos por sesión Captchas
Registro de Incidencias Log de los procesos de recuperación de datos.
Pruebas No con datos reales, salvo que se aplique al fichero de
prueba el nivel de seguridad medio.Juan González-Madroño – Fernando Hermida – Oscar Noguera
MEDIDAS – NIVEL AVANZADO
●
●
Algunas medidas del nivel avanzado y su traslación al mundo web Registro de accesos
Log con datos detallados: usuario, fecha y hora, fichero accedido, tipo de acceso, autorizado o denegado.
Para accesos autorizados: registro/s accedido/s. Período mínimo: dos años.
Copias de respaldo Backup en un lugar distinto de donde se encuentren los
sistemas de información.
Transmisión de datos Mediante cifrado o equivalente.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
COMUNICACIÓN DATOS VÍA WEB
●
●
Pedir los datos estrictamente necesarios para poder prestar el servicio.
Aviso legal Obligaciones legales básicas dispuestas por la LSSI.
Política de privacidad. Consentimiento expreso para tratamiento de datos Cesión de datos Derechos de acceso, rectificación, cancelación,
información y oposición Otros: uso de cookies, https, almacenamiento ip,...
Juan González-Madroño – Fernando Hermida – Oscar Noguera
GESTIÓN DATOS VÍA WEB
●
●
Acceso y modificación de los datos: Vía usuario/ password. DNI electrónico. Certificados de seguridad.
Implementación y soporte de todos estos modos
Juan González-Madroño – Fernando Hermida – Oscar Noguera
USUARIO / PASSWORD
●
●
Passwords codificadas en el soporte (p.e. BD). Nunca deberían poder verse en claro.
Especificar recomendaciones: Nicks de usuario que no den información personal. Passwords:
que no sean palabras de idiomas. que no tengan que ver con información personal (fecha de
cumpleaños, etc...). que tengan cierta longitud mínima que tengan cierta combinación de caracteres (números,
letras, otros caracteres).
Juan González-Madroño – Fernando Hermida – Oscar Noguera
IMÁGENES EN LA WEB
●
●
Cumplir la LOPD cuando se trate de personas identificadas o identificables.
Necesario consentimiento. Registro de fichero.
Aviso en las cámaras.
Acceso on-line: Protegido, mediante usuario/password.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
MENORES: USO DE UNA WEB
●
●
Menores de 14 años: consentimiento padres / tutores.
Mayores de 14 años: pueden consentir por sí mismos.
Sería necesario: Filtro de entrada. No permitir N reintentos, en la
misma sesión. No pedir datos del entorno salvo para entrar en
contacto y perdir autorización. Política de privacidad y uso de datos más clara y
sencilla.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
BLOGS
●
●
Comentarios. Como usuario: no colgar comentarios con datos no
pertenecientes a fuentes públicas. Como administrador: moderar comentarios y retirar
aquellos que no cumplan con lo anterior.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
....Y HACER MUCHAS PRUEBAS
Usuarios pueden acceder a datos de otros usuarios. Clientes pueden ver datos de otros clientes:
Cortefiel.
Evitar ataques del tipo SQL-Injection. Arsys
Página de prueba Siete mesas de billar francés
Juan González-Madroño – Fernando Hermida – Oscar Noguera
●
●
Redes Sociales
Variedad de redes sociales Escaparate de datos personales Utilización por terceros Concienciación ciudadana
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Cifras (2008) 272 millones de usuarios 58% usuarios Internet + 21% respecto 2007 5 redes sociales entre los 20 más visitados
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Cifras en España (2008) Encuesta a individuos
mayores de 15 años 7.850.000 usuarios utilizan
redes sociales 7 de cada 10 son menores
de 35 años
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Tipos de Redes Redes sociales generalistas o de ocio Redes sociales de contenido profesional
Juan González-Madroño – Fernando Hermida – Oscar Noguera
LOPD Existencia de fichero Derecho de cancelación, rectificación y
oposición Identidad y dirección del responsable
Problema : territorialidad Publicación por parte de terceros Menores de edad
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Riesgos – Principales Situaciones Falta de conciencia real por parte usuarios Datos personales utilizados por terceros Posibilidad de publicar información falsa Posibilidad de publicar información sin
autorización Aceptar las condiciones de registro
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Protección de Datos - Normativa “La mayoría de la información que se publica en las redes sociales,
se hace bajo la iniciativa de los usuarios y basado en su consentimiento”
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RDLOPD).
Convenio núm. 108 del Consejo de Europa Artículo 8 de la Carta Europea de Derechos Fundamentales Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos datos.
Tratado Internacional de Protección de Datos Personales – Conferencia Noviembre 2009
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE).
………
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Protección de Datos – Problemática específica
Registro inicial
Desarrollo de la actividad
Baja
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Registro Inicial Datos excesivos en formulario Grado de publicidad del perfil muy elevado Aceptación de Aviso Legal Finalidad de los datos incorrecta Transferencia internacional de los datos
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Desarrollo de la Actividad Phising y pharming Malware, spyware, adware Spam Indexación por buscadores Acceso incontrolado al perfil Suplantación de identidad Publicidad hipercontextualizada Instalación y uso de cookies
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Baja
Imposibilidad de baja efectiva
Conservación de datos de tráfico
Copias de terceros
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Recomendaciones Redes Sociales
Usuarios
Administración
Padres
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Redes Sociales Lenguaje claro y
comprensible Fomentar la formación Control absoluto de la
información. No indexación en
buscadores Seguridad tecnológica
de la plataforma. Eliminación información
no accedida en tiempo.
Respetar derechos Máximo grado de
privacidad al perfil Sistemas de cifrado Herramientas anti-spam Impedir acceso perfil Colaboración activa con
Fuerzas del Estado Aplicaciones remotas de
control (padres) Control de la edad
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Usuarios Leer Aviso Legal Uso de seudónimos o
nicks Contraseñas óptimas No comunicar
contraseñas a terceros Software antivirus No publicar en perfil
datos contacto físico Contenidos
audiovisuales
Máximo grado de privacidad en perfil
Contactar sólo con conocidos
Solicitar ayuda a padres y/o adultos
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Administraciones Campañas de concienciación Incluir en los planes oficiales de estudio
aspectos relacionados con la seguridad Fomentar el establecimiento de una
seguridad jurídica global Revisar la normativa vigente para
adaptarla al constante cambio tecnológico
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Padres Mantener el ordenador en zona común Establecer reglas sobre el uso de Internet Conocer funcionamiento y posibilidades de las
redes sociales Activar el control parental Utilizar correo secundario Concienciar al menor sobre seguridad Controlar el perfil de usuario del menor Guías de ayuda http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_ayuda_redes_sociales
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Conclusiones sobre redes sociales Acceso a Internet como derecho fundamental
Regulación legal y control judicial Compaginar comunicación y socialización con
privacidad personal http://noticias.terra.es/2010/sucesos/0112/actualidad/twitter-asesinato-estados-unidos-disparo.aspx
Exigir medidas de seguridad Educar
Educar Educar
Educar Educar Educar Educar Educar Educar
Facebook, otra mirada
Juan González-Madroño – Fernando Hermida – Oscar Noguera
CÓDIGOS TIPO
AEPD - Formas de actuación
Resoluciones Sentencias Recomendaciones Códigos Tipo
Juan González-Madroño – Fernando Hermida – Oscar Noguera
CÓDIGOS TIPO
Acuerdos sectoriales mediante los cuales los titulares y responsables del tratamiento de datos, a través de las organizaciones representativas de su sector de actividad, establecen normas de conducta que permiten la aplicación concreta de la Ley de Protección de Datos de Carácter Personal en su ámbito ordinario de actuación, considerando las especificidades de su actividad y como garantía para las personas afectadas por el tratamiento de sus datos.
Juan González-Madroño – Fernando Hermida – Oscar Noguera
CÓDIGOS TIPO
SERVICIOS Normas Alternativa extrajudicial Evaluación o auditoria Asesoría procedimental / técnica Sello distintivo
Juan González-Madroño – Fernando Hermida – Oscar Noguera
NORMATIVA
AUTORREGULACIÓN
Directiva comunitaria 95/46, de protección de las personas frente al tratamiento de sus datos personales
Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal
Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico
Real Decreto 1163/2005, que regula el distintivo público de confianza
Juan González-Madroño – Fernando Hermida – Oscar Noguera
CÓDIGOS TIPO INSCRITOS
FARMAINDUSTRIA VERAZ-PERSUS Asociación Empresarial Gestión Inmobiliaria Asociación Catalana de Recursos Asistenciales Universidad de Castilla-La Mancha Odontólogos y Estomatólogos de España Confianza On-Line Unió Catalana D’Hospitals Fichero Histórico de Seguros del Automóvil (UNESPA) Entidades locales adheridas a EUDEL (Asociación de Municipios
Vascos-Euskadiko Udalen Elkartea)
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Universidad Castilla-La Mancha
Código de conducta de protección de datos personales
Inscrito: 14/07/2004 Adecuado al RLPOD: 16/11/2009
Documento único Aumentar la protección Material educativo
Anexos
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Farmaindustria
Código tipo de Protección de Datos
Inscrito: 17/06/2009
Investigación clínica y Farcovigilancia
Criterio uniforme Aumentar garantías de cumplimiento Disminuir nivel de incertidumbre
Comité de seguimiento
Juan González-Madroño – Fernando Hermida – Oscar Noguera
EUDEL
MANUAL DE BUENAS PRÁCTICAS
Inscrito: 16/07/2009
Adecuar a las peculiaridades del País Vasco Mayor concienciación datos personales
Procedimiento de supervisión Régimen sancionador Sello de Confidencialidad
Juan González-Madroño – Fernando Hermida – Oscar Noguera
C.G.O.E.
Código Tipo
Adecuación al RLOPD: 22/12/2009
Mejora en el ejercicio de la profesión Régimen homogéneo en la gestión de datos
Personales Correcta aplicación de la normativa
Sello distintivo
Juan González-Madroño – Fernando Hermida – Oscar Noguera
UNIÓ Catalana D'Hospitals
Código Tipo
Adecuación al RLOPD: 16/11/2009
Armonizar Comportamientos Hacer asumible la norma Preservar la privacidad Garantía para centros y usuarios
Control de seguimiento del Código Logotipo del código Formularios información y ARCO
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Confianza OnLine (1)
Código ético Confianza OnLine Incripción: 2002 Modificado: 2005 Adecuación: 2009
AECEM – Asociación Española de Comercio Electrónico
“Código protección de datos personales en Internet” AUTOCONTROL – Asociación Autorregulación Comunicación
Comercial
“Código ético de Publicidad en Internet”
AEA + AEAP + AMPE + FECEMD + AGEMDI + FNEP + ASIMELEC Autorregulación Sello Acreditativo
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Confianza OnLine (2)
ELEMENTOS:
Normas deontológicas
Sistema de aplicación de las normas
Sello de confianza
PUBLICIDAD y COMERCIO ELECTRÓNICOS
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Confianza OnLine (3)
PUBLICIDAD Identificación del anunciante Identificabilidad de la publicidad Publicidad por correo electrónico Revocación Publicidad en la web
COMERCIO ELECTRÓNICO Obligaciones previas a la contratación Obligaciones de información posteriores Servicio de atención al cliente Seguridad y medios de pago
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Confianza OnLine (4)
PROTECCIÓN DE DATOS PERSONALES
Principios generales Obtención de los datos Uso de cookies Captación de datos en foros y otros Seguridad y protección de datos
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Confianza OnLine (5)
PROTECCIÓN DE MENORES Publicidad y protección de menores Contenidos y protección de menores Tratamiento de datos de menores
ACCESIBILIDAD Y USABILIDAD Apoyar las medidas legales - Discapacidad Promover medidas de sensibilización Respetar las medidas legales Ofrecer información sobre su accesibilidad y facilitar la
forma de consultas o quejas
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Confianza OnLine (6)
RESOLUCIÓN EXTRAJUDICIAL DE CONTROVERSIAS
Reclamaciones ante la Secretaría Normas de comercio o Datos personales Contra personas físicas o jurídicas Secretaría a Comité de Mediación AECEM o de
AUTOCONTROL Plazo de 7 días para acuerdo Si no, Junta Arbitral Nacional o Autonómica de Consumo
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Confianza OnLine (7)
CLÁUSULAS TIPO Y MODELOS DE PROTECCIÓN DE DATOS
Cláusula tipo para obtener el consentimiento de los afectados al tratamiento
Cláusula tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos
Modelo para el ejercicio del derecho de acceso Modelo para el ejercicio del derecho de rectificación Modelo para el ejercicio del derecho de cancelación Modelo para el ejercicio del derecho de oposición Cláusulas para el cumplimiento de los requisitos formales
exigibles
Juan González-Madroño – Fernando Hermida – Oscar Noguera
Top Related