Iniciativa coordinada y patrocinada por:
|
|
- Alberto Blanco Castro
- hace 8 años
- Vistas:
Transcripción
1 Iniciativa coordinada y patrocinada por:
2 CAPÍTULO ESPAÑOL DE CLOUD SECURITY ALLIANCE Versión 1 - mayo 2011 Título: Cloud Compliance Report Copyright y derechos: CSA- ES (Cloud Security Alliance- España) - ISMS Forum Spain. Todos los derechos de esta Obra están reservados a CSA-ES (Cloud Security Alliance-España) y a ISMS Forum Spain. Los titulares reconocen el derecho a utilizar la Obra en el ámbito de la propia actividad profesional con las siguientes condiciones: a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright. b) No se utilice con fines comerciales. c) No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra. - Los titulares del Copyright no garantizan que la Obra esté ausente de errores. En los límites de lo posible se procederá a corregir en las ediciones sucesivas los errores señalados. - El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal. - No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado. - Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propiedad exclusiva de los titulares correspondientes. Más información acerca de CSA-ES se puede consultar a través de su página oficial:
3 Sobre CSA-ES: Con 91 miembros fundadores, representativos de los distintos actores de la industria del Cloud Computing en España, nació en mayo de 2010 el capítulo Español de Cloud Security Alliance: CSA-ES, impulsado por ISMS Forum Spain y Barcelona Digital. CSA es la organización internacional de referencia en la que expertos de algo nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridad y privacidad en el entorno del Cloud Computing. Por su parte, el capítulo español ya cuenta con 200 miembros, siendo su ámbito de interés el Compliance en la Nube. En este sentido existen tres grupos de trabajo específicos, como son: Privacidad y Cumplimiento Normativo en la Nube; Sistemas de Gestión de Seguridad de la Información, y Gestión de Riesgos en la Nube; y Contratación, Evidencias Electrónicas y Auditoría en la Nube. Los profesionales que conforman estos grupos han trabajado en este primer Report español en materia de Cloud Compliance. La estructura de CSA-ES consta de: Junta Directiva Nombre Luis Buezo Bueno Jesús Milán Lobo Cargo, empresa Director EMEA IT Assurance, HP Technology Services Director de Riesgos Tecnológicos y Seguridad Informática de Bankinter Cargo en la Junta Directiva de CSA-ES Presidente - Comité Operativo Vicepresidente - Comité Operativo Jesús Luna García Investigador, Technische Universität Darmstadt (Alemania) Vocal - Comité Operativo Casimiro Juanes Director Regional de Seguridad RMED de Ericsson Vocal - Comité Operativo Nathaly Rey Directora General de ISMS Forum Spain Vocal - Comité Operativo Gianluca D Antonio Chief Information Security Officer (CISO) del Grupo FCC Vocal Elena Maestre Socio de Riesgos Tecnológicos de PricewaterhouseCoopers Auditores S.L. Vocal Ramón Miralles López Carlos Alberto Sáiz Peña Víctor A. Villagrá Coordinador de Auditoria y Seguridad de la Información de la Autoridad Catalana de Protección de Datos Socio responsable del Área de GRC Governance, Risk y Compliance de Ecija Profesor Titular de Universidad. Dpto. Ingeniería Telemática en la E.T.S.I. Telecomunicación de la Universidad Politécnica de Madrid (UPM) Vocal Vocal Vocal Consejo Asesor Nombre Pau Contreras Antoni Felguera Marcos Gómez Hidalgo Olof Sandstrom Cargo, empresa Director de Innovación y Desarrollo de Negocio de Oracle Ibérica R+D Security Manager de Barcelona Digital Technology Centre Subdirector de Programas de INTECO Director General de Operaciones de Arsys Los líderes de los Grupos de Trabajo Nombre Cargo, empresa Grupo de Trabajo Miguel Ángel Ballesteros Bastellesteros Antonio Ramos María Luisa Rodríguez Auditor en CEPSA Managing Partner en n+1 Intelligence & Research Security R&D Business Manager en Barcelona, Digital Centre Tecnològic Privacidad y Cumplimiento Normativo en la Nube Sistemas de Gestión de Seguridad de la Información, y Gestión de Riesgos en la Nube Contratación, Evidencias Electrónicas y Auditoria en la Nube
4
5 Índice 1. Resumen ejecutivo 9 2. Introducción y justificación del estudio Contenido del documento Cumplimiento legislativo en materia de Privacidad Introducción Contenido del capítulo Legislación aplicable Encargado de tratamiento Medidas de seguridad Transferencias Internacionales Ejercicio de derechos Autoridades de control Comunicación de datos a otras autoridades Conclusiones Cumplimiento con otras legislaciones Introducción Contenido del capítulo Anteproyecto de Ley de modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal Aspectos Jurídicos Laborales Índice 5
6 6. Sistemas de Gestión de la Seguridad de la Información en la nube Introducción Contenido del capítulo Principios generales de despliegue de un SGSI Fase I. Definición y preparación del SGSI Fase II. Implantación y operación del SGSI Fase III. Seguimiento y mejora del SGSI Conclusiones Efectos de la computación en la nube sobre la contratación de servicios TIC Introducción Contenido Mecanismos de resolución de conflictos Confidencialidad Propiedad Intelectual Responsabilidad Resolución anticipada Privacidad y protección de datos Ley aplicable y jurisdicción Auditabilidad Seguridad Acuerdos de Nivel de Servicio (ANS) Recomendaciones La obtención de evidencias digitales en la nube Introducción Contenido del capítulo La problemática Las amenazas principales y la prueba electrónica Recomendaciones Índice 6
7 9. Auditoría de entornos de computación en la nube Introducción Contenido del capítulo Metodologías y tecnologías de auditoría Recomendaciones Glosario Referencias Anexos 125 Anexo I. Amenazas asociadas a tecnologías específicas 125 Anexo II. Amenazas 127 Anexo III. La prueba electrónica en el marco legal Español 133 Anexo IV. Metodologías y tecnologías de auditoría Índice 7
8
9 Resumen ejecutivo El cumplimiento normativo es uno de los aspectos mencionados ineludiblemente por cualquier estudio relativo a la implantación de modelos de computación en la nube. Esta circunstancia, unida al hecho de que la regulación española sobre la privacidad es modélica a nivel mundial, ha hecho que el capítulo español de la Cloud Security Alliance se haya decidido a abordar este Cloud Compliance Report. Pero el enfoque del cumplimiento normativo se ha abordado de una manera amplia, no limitado a los aspectos sobre la privacidad, sino que incluye también otras normas exigibles en España, así como, normativas de carácter voluntario, como la ISO/IEC 27001:2005 sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) o un análisis de los aspectos relacionados con la contratación como pieza fundamental de la relación entre cliente y proveedor de servicios en la nube. Además de incluir todo este tipo de normas, el estudio ha ido un poco más allá e incluye también lo relacionado con la validación del cumplimiento, es decir, analiza la realización de auditorías y la obtención de evidencias digitales en entornos de computación en la nube. Finalmente, resaltar que el estudio ha tomado en consideración tanto el punto de vista del cliente como del proveedor de servicios para lo que ha sido fundamental que sus autores conformaran un grupo multidisciplinar y representativo de ambas perspectivas. En aquellos puntos donde es relevante, también existen reflexiones y recomendaciones por tipo de servicio (SaaS, PaaS o IaaS) y por tipo de despliegue (nube privada, pública, híbirida ). Uno de los principales objetivos del presente documento es aportar un enfoque metodológico que ayude a abordar las necesidades de cumplimiento dentro de la computación en la nube. Está claro que no podemos ver sólo los beneficios del computación en la nube y obviar sus implicaciones y riesgos, en especial, todo lo relacionado con el cumplimiento. Por otro lado, tampoco podemos recurrir sistemáticamente a argumentos de seguridad y cumplimiento para paralizar las iniciativas en la nube. Todo es cuestión de balancear, identificando qué servicios, cómo y cuándo se pueden ir implementando de manera adecuada en los diferentes modelos de computación en la nube. La evolución hacia la nube será gradual y claramente los requerimientos de cumplimiento serán uno de los principales parámetros que irán marcando la velocidad de esta evolución. En cuanto a las conclusiones más relevantes de este estudio, aunque son difíciles de resumir en tan poco espacio, sí que es interesante resaltar que tienen un mismo hilo conductor: Aumentar la transparencia en la relación entre cliente y proveedor de servicios de computación en la nube como elemento básico de confianza entre las partes (en este sentido, por ejemplo, contar con un proveedor certificado es un factor muy positivo). Estas recomendaciones, en gran medida, también podrían ser de aplicación a los modelos más tradicionales de externalización de servicios (como el housing o el hosting), lo cual es lógico, puesto 1. Resumen ejecutivo 9
10 que la computación en la nube podría considerarse como un salto cualitativo en los modelos de provisión de servicios TIC. De este modo, nos encontramos con recomendaciones como la de que los clientes informen a los proveedores sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre ellos existen y que éstos, a su vez, identifiquen e informen de las localizaciones en las que realizarán dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, así como, que se establezcan mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimiento a los derechos de los afectados de manera responsable. En cuanto a la implantación de SGSIs, también nos encontramos recomendaciones en sentido de ampliar los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias, de variación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definición de roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría), mecanismos éstos especialmente relevantes en el caso de SGSIs encapsulados. En este punto, se incluye una reflexión especial en relación a los alcances, en el sentido de que deben ser significativos para los servicios prestados en la nube. En relación a la contratación de servicios en la nube, las recomendaciones también tienen la misma orientación, encontrándonos con referencias a los Acuerdos de Nivel de Servicio como herramientas fundamentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de conflictos o clarificar desde el inicio las leyes aplicables y la jurisdicción aplicable. Para finalizar, en cuanto a los aspectos relacionados con la validación del cumplimiento (evidencias y auditoría), las recomendaciones hacen foco en los aspectos de coordinación (quién debe encargarse de qué tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el establecimiento de un entorno confiable mediante la implantación de mecanismos como procedimientos de gestión de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc. 1. Resumen ejecutivo 10
11
12 Introducción y justificación del estudio El pasado 21 de Mayo de 2010, ISMS Forum Spain y Barcelona Digital, centro tecnológico de I+D+i especializado en seguridad, conjuntamente con la Cloud Security Alliance (CSA), anunciaron la creación del capítulo español del CSA. Como es ya conocido, CSA es la organización internacional de referencia en la que expertos de alto nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridad y privacidad en el entorno de computación en la nube. El capítulo español, que se denomina CSA-ES, lo constituyeron inicialmente 91 miembros. Se trató del primer capítulo de ámbito nacional del CSA y se fundó con la misión de avanzar en el desarrollo seguro de la tecnología cloud computing (computación en la nube) en España, constituyendo un foro de discusión y aglutinamiento de los profesionales de seguridad en éste ámbito de trabajo. Los principales objetivos de CSA-ES son promover un nivel de entendimiento entre consumidores y proveedores de cloud, potenciar el desarrollo de guías y buenas prácticas independientes, así como lanzar campañas de concienciación y sensibilización sobre el uso adecuado y seguro de la nube. Cada capítulo regional selecciona un ámbito específico de interés en relación con la computación en la nube. El hecho de que la regulación española sobre la privacidad es modélica a nivel mundial, ha justificado que el CSA-ES seleccionara el área de Compliance en la Nube, marcándose como objetivo desarrollar el presente documento, según ratificó la Junta Directiva, una vez que la misma fue constituida. Desde la fundación de CSA-ES, se constituyeron 3 grupos de trabajo enfocados a trabajar en paralelo para el desarrollo del presente documento en las siguientes áreas: Grupo de Trabajo 1: Privacidad y cumplimiento normativo Grupo de Trabajo 2: Sistemas de gestión de seguridad de la información y gestión de riesgos Grupo de Trabajo 3: Contratación, evidencias electrónicas y auditoría.. CSA-ES está convencido de que este Cloud Compliance Report, sin duda alguna, aportará un gran valor a la industria en virtud de que precisamente el cumplimento normativo es una de las barreras a la hora de implantar el modelo de computación en la nube en muchas organizaciones, máxime teniendo en cuenta las rigurosas obligaciones de seguridad que vienen impuestas por la normativa de protección de datos de carácter personal, y la carencia de un nivel de entendimiento con reguladores y autoridades de control. El objetivo del Capítulo es partir de una base general robusta en materia de cumplimiento, para después, ir trabajando por sectores de interés (banca, salud, seguros, telecomunicaciones, etc.). 2. Introducción y justificación del estudio 12
13
14 Contenido del documento Para abordar el estudio del cumplimiento en la nube, el capítulo español de la Cloud Security Alliance dividió el tema considerando que el cumplimiento tiene dos estadios. En primer lugar, el inventariado. En este primer momento, lo que afrontamos es la identificación de las normas que son de aplicación a la Organización. Dentro de estas, podríamos clasificar las normas de aplicación a cualquier organización en: Normas generales, que a su vez, podrían ser obligatorias (ordenamiento jurídico de los Estados normalmente) o voluntarias (códigos tipo o mejores prácticas). Normas particulares, es decir, aquellas que aplican con carácter individual por aceptar los términos de un contrato o normas sectoriales. Una vez superado este estadio enunciativo, vendría la etapa de validar el cumplimiento. Este cumplimiento se apoya en dos grandes ejes. Por un lado, las evidencias digitales que permiten demostrar hechos en los entornos telemáticos y que son de especial relevancia en la nube y, como no, la auditoría, como herramienta (que se apoya en múltiples ocasiones en evidencias digitales) para validar que una determinada organización, sistema o servicio cumplen con lo requerido por alguna de las normativas mencionadas anteriormente. Esta estructuración de contenidos se concentró generando tres grupos de trabajo: El primer grupo de trabajo se centró en las normas generales y los resultados se encuentran en los capítulos 4 y 5. Se ha decidido tratar la privacidad en un capítulo propio, dada su especial relevancia en el contexto de la computación en la nube, y la importancia de la normativa de protección de datos de carácter personal, especialmente en el contexto Europeo. El segundo grupo de trabajo se dedicó a las normas voluntarias, más concretamente, se concentró en los Sistemas de Gestión de la Seguridad de la Información en base a la norma ISO/IEC 27001:2005 dada su importancia a nivel mundial y mejor práctica generalmente aceptada y cuyo análisis se encuentra en el Capítulo 6. Finalmente, el tercer grupo se dedicó a los aspectos restantes. A la contratación, como mecanismo en el que se establecen los requisitos entre las partes (Capítulo 7) y, por otro lado, en lo relacionado con la verificación del cumplimiento, que se traduce en dos capítulos independientes: las evidencias digitales (Capítulo 8) y la auditoría (Capítulo 9). 3. Contenido del documento 14
15 La estructura resultante es la que puede apreciarse en el gráfico adjunto (Ilustración 1). Ilustración 1. Organización del contenido del documento 4. Privacidad Obligatorias Generales 5. Otras Normas Voluntarias 6. SGSI Compliance Report Particulares Contratación Validación 8. Evidencias digitales 9. Auditoría Por otra parte, aunque los aspectos cubiertos por este documento son algunos muy diferentes, se ha procurado mantener una misma estructura en todos los capítulos de forma que sea fácil para el lector seguir la argumentación a lo largo de todo el estudio pero que también puedan ser consultados de manera individual sin que sea necesario leer todo el informe para sacar provecho de su lectura. De esta forma, todos los capítulos tienen los siguientes apartados: Una introducción inicial que ayuda a centrar el tema en cuestión, explica por qué se aborda y su relación con la computación en la nube. Un apartado que explica el contenido del capítulo de manera específica para que el lector sepa dónde puede encontrar determinados aspectos que le interesen en mayor medida. 3. Contenido del documento 15
16 Finalmente, tras el desarrollo de cada aspecto se incluye un apartado final de conclusiones o recomendaciones a modo de compendio final de los aspectos más relevantes del capítulo. No obstante, durante el desarrollo de cada parte del documento se van realizando recomendaciones relativas a la materia en estudio en cada momento, por lo que es importante, si el lector está interesado en algún tema concreto que lea el capítulo completo para obtener un mayor grado de detalle. Ilustración 2. Estructura de los capítulos Introducción Conclusiones / Recomendaciones Estructura capítulos Contenido Desarrollo 3. Contenido del documento 16
17
18 Cumplimiento legislativo en materia de Privacidad 4.1 Introducción Actualmente existen diversas definiciones y características de computación en la nube, por lo que no es fácil dar una definición clara a lo que podríamos describir como un modelo para la prestación de servicios y recursos (redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) bajo demanda a través de la red, caracterizado por su adaptabilidad, flexibilidad, escalabilidad, rapidez, optimización y eficiencia. Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rápidamente y escalarse en función de las dimensiones necesarias para ofrecer los servicios solicitados. También puede definirse como que el modelo en la nube es, en la actualidad, una oferta de acceso inmediato y a un coste asequible (y a veces gratuito) a las tecnologías de la información cuya infraestructura, hardware, software y personal cualificado, se pone al alcance de empresas y particulares para ofrecer diversos productos y servicios. Siguiendo con la definición que ofrece la Cloud Security Alliance (en adelante, CSA) de la computación en la nube, las características esenciales de este modelo son: autoservicio a la carta, amplio acceso a la red, reservas de recursos en común, rapidez y elasticidad y servicio supervisado [CSA, 2009]. De acuerdo con el documento de CSA Top Threats to Cloud Computing v1.0 [CSA, marzo 2010], y dada la importancia del fenómeno de la computación en la nube, como demuestra la publicación de otros informes similares como el de INTECO [Inteco, 2011], el del World Privacy Forum [WPF, 2009], etc., se pueden enumerar una serie de amenazas a tener en cuenta a la hora de desplegar un modelo de servicio en la nube como serían: Interfaces y APIs 1 poco seguros, problemas derivados de las tecnologías compartidas, pérdida o fuga de información, secuestro de sesión, riesgos por desconocimiento, migración de servicios hacia otro proveedor, amenaza interna y mal uso o abuso del servicio. A estos riesgos asociados a este modelo de computación, que además destacan por su falta de históricos, habría que añadir otros como son los accesos de usuarios con privilegios, la localización y el aislamiento de los datos, la recuperación, el soporte investigativo, la viabilidad a largo plazo, la falta de control de la gestión y seguridad de los datos, las cesiones no consentidas o las transferencias internacionales no autorizadas, en definitiva, la privacidad de los datos en la nube y el cumplimiento normativo o legal. Conviene recordar que aspectos como las transferencias internacionales, las subcontrataciones o las distintas jurisdicciones de las diferentes autoridades de control son difíciles de resolver en este modelo de computación, según entendemos la normativa actualmente. 1 Application Programming Interface 4. Cumplimiento legislativo en materia de Privacidad 18
19 Tampoco conviene olvidar que es casi imposible cumplir con el precepto de verificación del cumplimiento del encargado del tratamiento por el responsable del fichero dada la diferencia de tamaño y capacidad negociadora de las organizaciones que a veces están implicadas en el proceso. A su vez, existen muchos retos desde el punto de vista del cumplimiento normativo y la privacidad que tratan de dar una respuesta adecuada a los riesgos correspondientes enumerados en el párrafo anterior. Este capítulo viene a estudiar los diferentes aspectos contemplados anteriormente con objeto de poder ayudar al lector a establecer pautas para abordar los retos que conlleva el modelo de computación en la nube desde la perspectiva española. Las razones para ello son, principalmente dos: La primera y más evidente es que constituye la aportación del capítulo español de la Cloud Security Alliance. La segunda, obedece a que España cuenta en la actualidad con la normativa más rigurosa en materia de protección de datos personales. España ha sido el país europeo que ha desarrollado con mayor intensidad, los principios consagrados por la Directiva 95/46/CE, que a su vez es el marco jurídico más garantista que se conoce, en materia de protección de datos. Esto permite afirmar que cualquier prestación de servicios en la nube, que cumpla con los requisitos exigidos por la normativa española, puede cubrir los requisitos exigidos por las normativas de otros Estados. Antes de entrar a analizar la normativa española de protección de datos, conviene realizar una referencia sucinta de los marcos normativos existentes Estados Unidos En Estados Unidos, la protección de datos personales no está considerada como un derecho fundamental. Existe una política legislativa de mínimos que fomenta la autorregulación en el sector privado. Con un enfoque mercantilista, se persigue la protección de los derechos de los ciudadanos, desde la perspectiva de la protección del consumidor. No obstante, existen desarrollos normativos verticales que buscan adaptarse al contexto específico en cuanto a la naturaleza de los datos, la finalidad de su tratamiento, o la naturaleza responsable de dicho tratamiento. A modo de ejemplo podemos mencionar: Electronic Communications Privacy Act de 1986, Electronic Funds Transfer Act, Telecommunications Act de 1996, Fair Credit Reporting de 1970 y Consumer Credit Reporting Reform Act de 1996, Right to Financial Privacy Act, entre otras. En cuanto a la aplicación, son los propios titulares de los datos quienes deben velar por el cumplimiento de la normativa que regula el tratamiento de sus datos, a través del ejercicio de los derechos que se les reconocen Europa En Europa, la protección de datos personales está considerada como un derecho fundamental. En línea con una tradición jurídica positivista, se ha acentuado la labor legislativa con el fin de establecer un sistema garantista (de hecho, el más garantista que existe en la actualidad) en aras de asegurar una la protección efectiva a los derechos de los ciudadanos. La Directiva 95/46/CE [Directiva, 1995] constituye el marco europeo de referencia. En esta Directiva se establecen ciertos principios, que los Estados Miembros ha tenido que transponer en sus respectivos ordenamientos, a saber: 4. Cumplimiento legislativo en materia de Privacidad 19
20 1. Información. 2. Consentimiento. 3. Finalidad. 4. Calidad. 5. Seguridad. 6. Derechos de Acceso, Rectificación, Cancelación y Oposición. 7. Autoridad de Control independiente. 8. Limitación a las trasferencias internacionales de datos. El enfoque europeo ha servido también como fuente de inspiración para otras legislaciones, principalmente de corte continental, que han incorporado o están incorporando estos principios, evidentemente para proteger los derechos de los ciudadanos, pero también, para favorecer el tráfico económico con los países miembros de la Unión. Argentina,Chile y Colombia y México son algunos ejemplos en este sentido Safe Harbor Principles El término Safe Harbor Privacy Principles, se refiere a los principios de privacidad a los que deben adherirse las organizaciones estadounidenses, para poder ser importadores de datos personales provenientes de los Estados miembros de la Unión Europea. Estos principios fueron publicados en el año 2000 por el Departamento de Comercio de los Estados Unidos. La adhesión a ellos pretende asegurar la aplicación, por parte del importador, de unos niveles de protección adecuados que sean equiparables a los establecidos por la Directiva. Con la adhesión, el importador se obliga a observar ciertos principios rectores en tratamiento de datos personales, como son: 1. Notificación e información a los titulares, previos a la recogida de datos. 2. Derecho de oposición a la comunicación de datos a terceros o a los usos incompatibles con el objeto inicial de la recogida. 3. Abstención de transferencia ulterior de datos a terceros que no se hayan adherido a los principios de Safe Harbor. 4. Obligación de implementar medidas de seguridad. 5. Calidad de los datos. 6. Reconocimiento de los derechos de acceso y rectificación a los afectados. 7. Necesidad de adoptar mecanismos que brinden garantías para la aplicación de los principios Marco APEC 2 Comparte los principios de protección de datos personales de la Directiva Europea, no obstante, presenta grandes diferencias en cuanto a la aplicación. En el modelo europeo, las autoridades de protección de datos regulan y verifican el cumplimiento de dichos principios, mientras que en el modelo APEC esto se lleva cabo, a través de mecanismos de autoregulación verificados por organismos públicos o privados, de modo que no se garantiza que se obligue desde el Estado. 2 De las sigas en inglés de Asia-Pacific Economic Cooperation, en español, Foro de Cooperación Económica Asia-Pacífico. 4. Cumplimiento legislativo en materia de Privacidad 20
21 Al igual que el modelo estadounidense, existe un enfoque desde el punto de vista consumidor y es un modelo ex post, en el que una autoridad pública o privada puede intervenir sólo después de que se ha producido la supuesta violación Habéas Data En los países con el modelo Hábeas Data, la protección de datos se asocia con un derecho a conocer, actualizar y a rectificar datos. Estos modelos presentan las siguientes características: Existen mecanismos de garantía procesal o judicial. La intervención de la autoridad es siempre ex-post, es decir, la normativa no implica cumplimiento de obligaciones ex-ante por parte de las organizaciones. Inexistencia de autoridades de control. Legitimación personas que han sufrido una lesión en su intimidad por el uso abusivo de sus datos Resolución de Madrid sobre Estándares Internacionales sobre Protección de Datos Personales y Privacidad Este documento, producto de la labor conjunta de los garantes de la privacidad de casi cincuenta países, bajo coordinación de la Agencia Española de Protección de Datos, ha desembocado en un texto que trata de plasmar los múltiples enfoques que admite la protección de este derecho, integrando legislaciones de los cinco continentes. Tal y como establece la Disposición Primera del Documento, los Estándares tienen por objeto Definir un conjunto de principios y derechos que garanticen la efectiva y uniforme protección de la privacidad a nivel internacional, en relación con el tratamiento de datos de carácter personal; y Facilitar los flujos internacionales de datos de carácter personal, necesarios en un mundo globalizado. Aunque no tiene un carácter vinculante, estos Estándares establecen un compromiso político de quienes lo han suscrito, en el sentido de servir como referencia a los Estados que en la actualidad no hayan legislado sobre la materia, y de servir como referencia para la armonización de la normativa existente, en aras de que la normativa sobre protección de datos y la privacidad no se constituya un obstáculo al comercio internacional; facilitándose el flujo de los datos de carácter personal y la uniformidad de la misma. 4.2 Contenido del capítulo El objetivo del capítulo, por tanto, es plasmar los resultados del estudio sobre el cumplimiento normativo y privacidad en computación en la nube tomando como base la legislación europea y haciendo referencia a otra normativa cuando sea necesario. El informe se estructura de la siguiente forma: Un primer apartado de introducción donde se explica la motivación del análisis, las ventajas, y los riesgos de este modelo de procesamiento. 4. Cumplimiento legislativo en materia de Privacidad 21
22 Este segundo apartado donde se explica la estructura y contenido del informe, con una breve explicación del contenido de cada uno de ellos. Un tercer apartado con un resumen ejecutivo donde, mediante una visión rápida, el lector se puede hacer una idea bastante aproximada del cumplimiento normativo en la computación en la nube. A continuación, el cuarto apartado, estudia con más detalle cada uno de los aspectos que se consideran relevantes a la hora de establecer un modelo de proceso basado en la computación en la nube. El análisis de cada uno de estos aspectos se estructura de la misma forma, una descripción general, los aspectos mas relevantes de la situación analizada en base a los modelos de servicio y despliegue de la nube, la legislación que le aplica y, finalmente, las recomendaciones que se proponen desde el punto de vista de proveedor o cliente del servicio sin olvidar, cuando sea necesario, el punto de vista de las personas afectadas. En el apartado de las medidas de seguridad se sigue una estructura diferente, estudiándose las diferentes medidas desde el punto de vista de la empresa proveedora y de la empresa que contrata. El primer punto empieza estudiando la legislación aplicable según el responsable del tratamiento resida en un país dentro del Espacio Económico Europeo o fuera de él. El segundo punto estudia la figura del encargado del tratamiento, como proveedor del servicio en la nube, repasando la subcontratación y otros agentes operadores de telecomunicaciones. El tercer punto se centra en las medidas de seguridad analizando los principales aspectos de las mismas como son el documento de seguridad, el control de acceso, la gestión de incidencias, las copias de seguridad y las auditorías. El cuarto punto trata las transferencias internacionales, tanto desde de la situación en que no exista comunicación de datos a un tercero como cuando se da esta comunicación y la diferenciación de un país con nivel adecuado de protección o sin nivel adecuado. El quinto punto aborda el ejercicio de los derechos por los interesados tanto en sus características como requisitos y riesgos. El sexto punto analiza el papel de las autoridades de control en tanto a la determinación de la jurisdicción a aplicar en el caso de una denuncia o tutela de derechos y la ejecución efectiva de las resoluciones. El séptimo punto considera la comunicación de datos a otras autoridades bien por requerimientos de leyes o de organismos tanto desde el ámbito nacional como de otros países. La audiencia de este documento son los clientes y usuarios de los recursos ofrecidos mediante modelos de computación en la nube y los proveedores de los mismos, sirviendo como referencia para solicitar y ofrecer soluciones en lo relativo a la privacidad de los datos en la nube, el cumplimiento normativo o legal y los mecanismos de seguridad y acuerdos necesarios para controlarlos. 4. Cumplimiento legislativo en materia de Privacidad 22
23 4.3 Legislación aplicable Descripción general 4 La normativa sobre legislación aplicable a los tratamientos de datos personales se encuentra descrita en el artículo 4 de la Directiva de Protección de Datos [Directiva 1995]. Este artículo tiene dos partes bien diferenciadas. La primera, hace referencia a la ley aplicable a responsables de tratamiento que estén establecidos en un Estado miembro del Espacio Económico Europeo (EEE) 5. La segunda, de manera que puede resultar sorprendente pues podría suponer un cierto grado de aplicación extraterritorial de la Directiva, a aquellos responsables que, sin estar establecidos en el EEE, utilizan medios situados en el mismo para el tratamiento de datos personales. Para el primer caso, el concepto clave para la determinación de la legislación aplicable es el de la ubicación del establecimiento del responsable del tratamiento en conjunción con las actividades de tratamiento que se llevan a cabo conforme al apartado 1 del artículo 4 de la Directiva, letra a). Por lo tanto, no siempre existe una única ley aplicable para todas las operaciones de un determinado responsable de tratamiento de datos personales: Si dicho responsable está establecido en distintos Estados miembros del EEE y trata datos personales en el ámbito de las actividades de varios de ellos, a cada uno de estos tratamientos se le aplicaría un Derecho nacional diferente 6, lo que nos lleva a considerar el segundo elemento esencial para determinar la ley aplicable, para qué responsable se lleva a cabo el tratamiento. Por ejemplo, un responsable establecido en Bélgica tiene tiendas en diversos países europeos (por ejemplo, Bélgica, Alemania, Portugal, Francia e Italia) pero las acciones de marketing están centralizadas en Bélgica y todos los datos de los clientes para esta finalidad se tratan en allí. En este caso, y para ese tratamiento específico, independientemente del lugar en que se recojan los datos, la ley aplicable será la belga 7. No obstante, esta regla tiene un corolario y es el que se desprende de la aplicación del apartado tercero del artículo 17 de la Directiva y que se refiere a las medidas de seguridad que deben aplicar los encar- 3 En este estudio no se abordará la casuística de aquellos servicios que se contratan directamente (ya sea gratuitamente o no) por los usuarios finales al proveedor de computación en la nube (ejemplos de ellos son los servicios de correo electrónico en la nube o las redes sociales) ni aquellos casos en los que el proveedor de servicios típicamente un encargado de tratamiento en la terminología de protección de datos se transforma también en responsable por utilizar los datos personales para finalidades propias (lícita o ilícitamente) como, por ejemplo, un proveedor de servicios IaaS que utiliza los datos confiados a su custodia para, a través de herramientas de minería de datos, establecer perfiles de hábitos de compra para su explotación o su venta a terceros. 4 Para una discusión en profundidad de este asunto se puede consultar el Dictamen 8/2010, sobre Ley Aplicable, del Grupo de Trabajo del Artículo Formado por los estados de la Unión Europea e Islandia, Noruega y Lienchtenstein 6 Así, ni la nacionalidad ni el lugar de residencia de los afectados ni, incluso, la localización física de los sistemas de información donde se tratan datos personales son, en este caso, elementos relevantes para determinar el derecho aplicable a un tratamiento. 7 No hay que confundir ley aplicable con jurisdicción. Podría suceder que una autoridad de control de un estado miembro tuviera jurisdicción para dictaminar sobre un determinado tratamiento de datos pero tuviera que hacerlo aplicando la ley de otro Estado miembro. En el ejemplo expuesto, en base a lo que establece el artículo 28 de la Directiva, si hubiera una reclamación relativa a una acción de marketing llevada a cabo en Francia, la autoridad competente para resolverla sería la francesa, pero debería aplicar la legislación belga. 4. Cumplimiento legislativo en materia de Privacidad 23
24 gados de tratamiento de datos establecidos en un Estado del EEE. En efecto, este artículo dispone que los encargados de tratamiento, además de estar sujetos a lo que dispone la ley del Estado en que está establecido el responsable del tratamiento, también han de aplicar las medidas de seguridad establecidas por la legislación del Estado miembro en que estén establecidos y, en caso de que hubiera un conflicto entre ambas, prevalecerá esta última. La segunda parte que se mencionaba al inicio de esta sección se refiere a la aplicación de las previsiones de la Directiva 8 a un responsable que, aun no estando establecido en un Estado del EEE recurre para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea. En este caso, el responsable del tratamiento deberá designar un representante establecido en el territorio del Estado miembro de que se trate. Así pues, en el caso de un proveedor de servicios en la nube establecido, por ejemplo, en Estados Unidos, pero que utiliza, para determinados tratamientos de datos, servidores ubicados en un Estado del EEE, la legislación aplicable a los mismos será la de este Estado y, de hecho, el proveedor exportará la legislación europea a los tratamientos de datos personales que lleven a cabo sus clientes Aspectos más relevantes En relación con la legislación aplicable a de responsables ubicados en el EEE, el modelo de servicio o de despliegue es irrelevante ya que, en cualquier caso, la determinación de la ley aplicable tan solo dependerá del Estado en que esté establecido el responsable del tratamiento que ha contratado los servicios de computación en la nube y no del lugar en que se localicen los proveedores de dichos servicios o los equipos de tratamiento utilizados por los mismos. No obstante, también puede tenerse que tomar en consideración la legislación sobre seguridad de otro Estado miembro si el proveedor de servicios en la nube está establecido en dicho Estado miembro distinto del cual en el que está establecido el cliente. Para el caso en que el cliente de un servicio de computación en la nube (que será el responsable de los tratamientos de carácter personal) no esté establecido en el EEE pero su proveedor de servicios utilice medios o equipos ubicados en un Estado miembro del EEE para prestarle los servicios, como antes se ha mencionado, éste le exporta automáticamente la aplicabilidad de los requisitos de la legislación de protección de datos del país de que se trate Legislación aplicable Los artículos que regulan la ley aplicable a un tratamiento de datos son el artículo 4 de la Directiva de Protección de Datos en el que se ha basado el análisis llevado a cabo en este capítulo, el artículo 2 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante, LOPD) y el artículo 3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo 8 En el bien entendido que lo que esta frase significa en la realidad es la aplicación de la legislación que el Estado miembro correspondiente haya aprobado al transponer la Directiva. No se tratará el caso descrito en la letra b) del apartado primero del artículo 4 por ser un caso residual y de escasa relevancia para el objeto de este estudio. 9 Como se puede apreciar, en este caso no es suficiente que el proveedor de computación en la nube esté establecido en un Estado del EEE sino que utilice medios que sí estén ubicados dentro del EEE. 4. Cumplimiento legislativo en materia de Privacidad 24
25 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD) Recomendaciones Dado que la legislación aplicable a una determinada operación de tratamiento de datos personales no es algo que dependa de la voluntad de ninguna de las partes vinculadas por el contrato de prestación de servicios en la nube, no hay mucho margen para realizar recomendaciones específicas. No obstante, se mencionarán algunos puntos que deberán tenerse en cuenta Empresa proveedora Las empresas que utilicen medios situados en el territorio del EEE para prestar servicios a sus clientes deberán ser conscientes que exportan la legislación europea a todos aquellos que no estén establecidos en dicho espacio. Esto implica que las obligaciones de la legislación de protección de datos del Estado miembro que corresponda les resulta de aplicación y que, además, ello les obliga a nombrar un representante en el Estado de que se trate 11. Si sus clientes están establecidos en el territorio del EEE, las obligaciones relativas a protección de datos (salvo, quizás, las referentes a medidas de seguridad) serán incumbencia de dichos clientes Empresa cliente Si es una empresa establecida en el territorio del EEE, independientemente de donde esté ubicado su proveedor de servicios en la nube o los sistemas de tratamiento de la información de dicho proveedor, ella será la responsable en términos de protección de datos y le será de aplicación la ley del Estado en que esté establecida. Si su proveedor está establecido en un Estado miembro diferente, deberá tener en cuenta que puede existir la necesidad de analizar los requerimientos en materia de seguridad aplicables en el Estado de establecimiento del proveedor y que, en todo caso, si existe alguna incompatibilidad o conflicto entre ambas normativas, prevalece la del Estado de establecimiento del proveedor. 4.4 Encargado de tratamiento Descripción general El concepto de encargado de tratamiento se determina en función de dos condiciones básicas: Ser una entidad independiente del responsable del tratamiento y realizar el tratamiento de datos personales por cuenta de éste De hecho, este artículo no transpone correctamente las normas sobre legislación aplicable de la Directiva, ya que dispone que la LOPD solo es de aplicación a tratamientos de datos personales llevados a cabo por responsables establecidos en España y que se produzcan en territorio español lo que, como hemos visto, no es lo que establece la Directiva. El artículo 3 del RLOPD (sin entrar a valorar si ha de prevalecer o no sobre el régimen de la LOPD) ha recogido de manera correcta el modelo de la Directiva. 11 El Grupo de Trabajo del Artículo 29 reconoce en su Dictamen 8/2010 que esta previsión de la Directiva puede ocasionar problemas prácticos y económicos pero, aun así, afirma que no existe otra interpretación posible aunque aboga por una reflexión sobre este hecho en el marco de la futura revisión de la legislación europea de protección de datos. 12 Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado del tratamiento emitido por el Grupo de Trabajo del Art. 29. Este dictamen analiza el concepto de encargado del tratamiento, cuya existencia depende de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organización o bien delegar todas o una parte de las actividades de tratamiento en una organización externa. 4. Cumplimiento legislativo en materia de Privacidad 25
26 Dentro de la normativa de protección de datos española encontramos la definición de encargado de tratamiento como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento 13. Tal como indica la Sentencia de la Audiencia Nacional de 20 de septiembre de , el encargo de tratamiento se ampara en la prestación de un servicio que el responsable del tratamiento recibe de una empresa ajena a su propia organización y que le ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado. Ahora bien, este tratamiento debe delimitarse, concretando el responsable el margen de actuación del encargado en su función encomendada, o se puede dejar un cierto grado de discrecionalidad sobre cómo realizar su función en base a los intereses del responsable del tratamiento. Es aquí donde la figura del encargado de tratamiento se vincula al proveedor de servicios en la nube, ya que éste presta servicios de negocio y tecnología, que permite al usuario acceder a un catálogo de servicios estandarizados de forma flexible y adaptativa, permitiendo a este proveedor que establezca los medios técnicos y de organización más adecuados. Por lo tanto, teniendo en cuenta la normativa aplicable y las obligaciones que conlleva, el proveedor de servicios en la nube podrá determinar su responsabilidad como encargado de tratamiento en función de la tipología de nube (pública, privada, comunitaria o híbrida) y del servicio que decida contratar el responsable de tratamiento de los datos de carácter personal, ya que en función del modelo de despliegue de los servicios en la nube (modelo SPI), las responsabilidades del proveedor serán diferentes Legislación aplicable Proveedores de servicio La regulación aplicable distingue claramente la figura entre responsable de tratamiento y encargado de tratamiento, estableciendo como obligación principal la confidencialidad y seguridad de los datos 15. El acceso a los datos por parte del proveedor de la nube para prestar sus servicios se condiciona, como premisa esencial, al cumplimiento del régimen establecido por el artículo 12 de la LOPD. Este artículo establece la obligación de la realización de un contrato formal entre el responsable de los datos, (cliente que contrata el servicio en la nube) y el encargado del tratamiento (proveedor del servicio en la nube) 16. El cliente que contrata un proveedor de la nube que suponga el acceso a datos de carácter personal, debe tener claro los requisitos formales que establece el artículo 12 de la LOPD, ya que este artículo obliga a que el contrato conste por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Además existe jurisprudencia 17 que indica que, para la validez de la comunicación de los datos del artículo 12 no es suficiente la existencia de un contrato, también es necesario que detalle las condiciones 13 Ver Art. 3. g.) Ley Orgánica de Protección de Datos. 14 Sentencia de la AN, Sala de lo Contencioso-administrativo, Sección 1ª, 20 sep (Rec. 150/2000). 15 Ver artículos 2(d) y (e) de la Directiva 95/46/CE, artículo 3.g LOPD y artículo 5.1.i RLOPD. 16 Ver artículos 16 y 17 de la Directiva 95/46/CE. Artículo12.2 LOPD y artículos 20 y 22 RLOPD. 17 Sentencia de la Audiencia Nacional, Sala de los Contencioso-administrativo, sección 1ª, 16 mar (Rec. 427/2004). 4. Cumplimiento legislativo en materia de Privacidad 26
27 que se establecen en dicho precepto y que garantice la seguridad de los datos impidiendo el acceso a los mismos de terceros 18. En este contrato debe figurar el siguiente contenido: 1. Especificar y delimitar la finalidad para la que se comunican los datos (Art LOPD). 2. Establecer expresamente que el proveedor de la nube no puede comunicar estos datos a terceros, ni siquiera para su conservación (Art LOPD). 3. Implementar las medidas de seguridad que debe cumplir el responsable en función del tipo de datos que contenga el fichero y el nivel de seguridad aplicado (Art. 9 y 12.2 LOPD). 4. Delimitar el tiempo de ejecución del servicio. 5. Determinar de forma concreta las condiciones de devolución de los datos o destrucción de los datos una vez cumplido el servicio (Art LOPD y 22RLOPD). 6. Existencia de una clausula de confidencialidad, tanto al proveedor de la nube, como a sus empleados que puedan acceder a los datos. 7. Establecer la obligación del encargado, en el caso de que los interesados ejerciten sus derechos ARCO 19 ante el mismo, de dar traslado de la solicitud al responsable. A excepción, en el caso de que exista un acuerdo entre el proveedor de la nube y el cliente de que dicha gestión la realice directamente el encargado de tratamiento. Otro criterio a tener en cuenta en base a la normativa de protección de datos es la obligación del encargado de tratamiento a disponer de un Documento de Seguridad, ya que el proveedor de la nube, según el tipo de nube y el servicio que preste al responsable, encaja como agente tratante definido en el artículo 82.2 del RLOPD. Este documento de seguridad debe cumplir con los requisitos que le exige el artículo 88 del RLOPD. Por lo tanto, podemos decir que, tanto el encargado de tratamiento como el responsable del tratamiento, tienen las mismas obligaciones de cumplimiento de implementación de las medidas de seguridad que exige la normativa. Además, se debe tener en cuenta que el RLOPD, en su artículo 20.2, exige al responsable, es decir al cliente que contrata el servicio en la nube, que vigile el cumplimiento por parte del encargado de tratamiento, y por tanto, se obliga al responsable tener una diligencia a través de algún sistema que permita la realización de controles periódicos. En cuanto a la posibilidad de existencia de subcontratación de servicios externos por parte del proveedor de computación en la nube, en los cuales estos subencargados tengan acceso a datos de carácter perso- 18 Los aspectos de contratación se tratan específicamente en el Capítulo 7, no obstante, se incluyen en este capítulo los requerimientos de contratación específicos en materia de privacidad establecidos por la LOPD. 19 Acrónimo utilizado comúnmente para referirse a los derechos de acceso (A), rectificación (R), cancelación (C) y oposición (O) de los titulares de los datos. 4. Cumplimiento legislativo en materia de Privacidad 27
Gabinete Jurídico. Informe 0545/2009
Informe 0545/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), a la prestación
Más detallesInforme Jurídico 0494/2008
Informe Jurídico 0494/2008 La consulta plantea si es necesario para las empresas del grupo consultante formalizar un contrato con la central donde se encuentra la base de datos de los empleados del grupo
Más detallesGabinete Jurídico. Informe 0290/2008
Informe 0290/2008 La consulta plantea, que tipo de relación debe mantener la entidad consultante y la propietaria del edificio a los efectos de cumplir con la Ley Orgánica 15/1999, de 13 de diciembre de
Más detallesDiputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía
Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación
Más detallesDATA SECURITY SERVICIOS INTEGRALES, S.L.
DATA SECURITY SERVICIOS INTEGRALES, S.L. Oferta de Prestación de Servicios para la adecuación a la normativa de protección de datos de carácter personal y de servicios de la Sociedad de la Información
Más detallesEl artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:
Informe 0105/2010 La consulta plantea si resulta conforme a la normativa de protección de datos el envío de comunicaciones publicitarias, relativas a los servicios que presta la empresa consultante, a
Más detallesSEMINARIO SOCINFO: COMPARTICIÓN DE RECURSOS Y CLOUD COMPUTING
SEMINARIO SOCINFO: COMPARTICIÓN DE RECURSOS Y CLOUD COMPUTING Madrid, 11 de enero de 2011 CLOUD COMPUTING Y PROTECCIÓN DE DATOS PERSONALES María José Blanco Antón Subdirectora General del Registro General
Más detallesAviso Legal. Entorno Digital, S.A.
Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos
Más detallesCloud Security Alliance. Recomendaciones de Seguridad para Usuarios
Cloud Security Alliance Recomendaciones de Seguridad Contenido Qué es el Cloud Computing?... 2 Modelos de Servicios... 2 Modelos de Implementación... 3 Recomendaciones a los Usuarios para la adopción del
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud. Computing
ORIENTACIONES PRESTADORES de SERVICIOS de para Cloud Computing ORIENTACIONES para PRESTADORES de SERVICIOS de Cloud Computing AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS-2013 índice 4 INTRODUCCIÓN 5 LOS SUJETOS
Más detallesDOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL
DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL Fecha de version: 27/02/2008 El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto
Más detallesISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE
ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE MARZO 2007 Este documento contesta las preguntas más frecuentes que se plantean las organizaciones que quieren
Más detalles2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS
NOTAS 1 Cuando en un mismo centro de trabajo desarrollen actividades trabajadores de dos o más empresas, éstas deberán cooperar en la aplicación de la normativa sobre prevención de riesgos laborales. A
Más detallesRegistro General de Protección de Datos
GUÍA PARA LA CREACIÓN, MODIFICACIÓN Y SUPRESIÓN DE FICHEROS DE TITULARIDAD PÚBLICA Y SU INSCRIPCIÓN EN EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Introducción
Más detalles5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5
1 INTRODUCCION... 3 2 PROTECCIÓN DE DATOS... 4 3 NORMATIVA BÁSICA REGULADORA... 4 4 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS... 4 5 OBLIGACIONES DE LAS EMPRESAS.... 5 5.1 REGISTRO DE FICHEROS... 5 5.1.1
Más detalles2. QUE ENTENDEMOS POR COMERCIO ELECTRONICO
1. INTRODUCCION. LA TECNOLOGIA AVANZA MAS RAPIDO QUE LA LEGISLACION. ES NECESARIO QUE EXISTA SEGURIDAD Y PRIVACIDAD PARA LOGRAR CONFIANZA: DE CONSUMIDORES Y EMPRESAS EN EL MEDIO. 1 2. QUE ENTENDEMOS POR
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesConservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006
Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006 La consulta se refiere al mantenimiento, conservación y cancelación del número de
Más detallesCLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS
CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS Luis Vinatea Recoba Socio de Miranda & Amado Abogados Profesor de la Pontificia Universidad Católica del Perú Definición Sistema que permite el acceso por
Más detallesCONTRATO DE PRESTACIÓN DE SERVICIOS CON ACCESO A DATOS ART. 12 LOPD
CONTRATO DE PRESTACIÓN DE SERVICIOS CON ACCESO A DATOS ART. 12 LOPD REUNIDOS De una parte, la parte contratante del servicio online E-conomic como EL RESPONSABLE DEL FICHERO. De otra parte, E-conomic Online
Más detallesProcedimiento para la para la coordinación de actividades empresariales en instalaciones de la universidad
Página: 1/17 Procedimiento para la para la coordinación Índice 1. OBJETO... 2 2. CLIENTES / ALCANCE... 2 3. NORMATIVA... 2 4. RESPONSABLES... 3 5. DESCRIPCIÓN DEL PROCESO... 3 6. DIAGRAMA DE FLUJO... 13
Más detallesCONCLUSIONES. De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen:
CONCLUSIONES De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen: 1º. Ha habido un incremento en el número total de consultas y reclamaciones ante las asociaciones
Más detallesCambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006
Cambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006 La consulta plantea dudas sobre el tratamiento y comunicación de datos entre entidades que desarrollan
Más detallesGabinete Jurídico. Informe 0574/2009
Informe 0574/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), a la prestación
Más detallesb) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
Informe jurídico 0108/2008 La consulta platea, si resulta conforme con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y el Real Decreto 1720/2007, de 21 de diciembre
Más detallesComunicación de datos entre empresas de un mismo grupo. Informe 325/2004
Comunicación de datos entre empresas de un mismo grupo. Informe 325/2004 Comunicación de datos dentro de empresas de un mismo grupo previo consentimiento. I La consulta plantea si resulta conforme a derecho
Más detallesGabinete Jurídico. Informe 405/2008
Informe 405/2008 Las consultas plantean si la actividad desarrollada por la entidad consultante de puesta en marcha del proyecto inmobiliario de cooperativas de principio a fin y de comercialización de
Más detallesSegún el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.
Informe 0324/2009 La consulta plantea la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital y su conformidad con lo dispuesto en la
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detallesUna Inversión en Protección de Activos
DERECHO A LA INTIMIDAD Le ayudamos a garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas SEGURIDAD DE LA INFORMACION Auditoria Bienal LOPD Una Inversión en
Más detallesd. En la cuarta hipótesis, el responsable del tratamiento establecido
Informe 0224/2011 Se plantean diversas dudas respecto de la normativa nacional aplicable al supuesto objeto de consulta, en el cual la empresa consultante actuaría como encargada del tratamiento prestando
Más detallesRP-CSG-027.00. Fecha de aprobación 2012-03-08
Reglamento Particular para la Auditoría Reglamentaria de Prevención de Riesgos Laborales según el Reglamento de los Servicios de Prevención (R.D. 39/1997) RP-CSG-027.00 Fecha de aprobación 2012-03-08 ÍNDICE
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesCONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO
CONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO Y ENCARGADO DE TRATAMIENTO En..., a... de... de 20... REUNIDOS De una parte, D...., en nombre y representación de... (en adelante el
Más detallesCoordinación de actividades empresariales
Coordinación de actividades empresariales Plan General de Actividades Preventivas de la Seguridad Social 2013 Sumario 1. Introducción 3 Qué es? Objetivo Tipos de empresarios 2. Supuestos de concurrencia
Más detallesBases de la convocatoria Zinc Shower 2015
Bases de la convocatoria Zinc Shower 2015 INTRODUCCIÓN: El contexto económico actual requiere más que nunca fomentar y apoyar el emprendimiento en nuestra sociedad, con iniciativas que faciliten que las
Más detallesGabinete Jurídico. Informe 0076/2014
Informe 0076/2014 La consulta plantea el procedimiento a seguir en aplicación de los dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, y su Reglamento
Más detallesANEXO : PERFILES. Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES
ANEXO : PERFILES Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES ANEXO: PERFILES. 3 1. REQUISITOS ANTES DE TENER EL SITIO WEB. 4 1.1 TOMA DE REQUISITOS. 4 1.2 ANÁLISIS
Más detallesSecretaría General OFICINA NACIONAL DE GESTIÓN Y PATRIMONIO DOCUMENTAL DIRECTRIZ TÉCNICA
Secretaría General OFICINA NACIONAL DE GESTIÓN Y PATRIMONIO DOCUMENTAL DIRECTRIZ TÉCNICA Tratamiento de documentos electrónicos aplicados a documentación de la Universidad Nacional de Colombia (Actualizada
Más detalles1.- Objetivo y descripción del funcionamiento
INFORME SOBRE LA PROTECCIÓN DE DATOS LIVECAM-PRO S.L. 1.- Objetivo y descripción del funcionamiento El presente informe tiene por objetivo elaborar recomendaciones y establecer pautas encaminadas a informar
Más detallesGabinete Jurídico. Informe 0084/2009
Informe 0084/2009 La consulta plantea si la Junta de propietarios de una comunidad de viviendas en régimen de propiedad horizontal puede acordar la cesión de datos personales de los propietarios, a terceros
Más detallesSistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención
Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención Autor: autoindustria.com Índice 0. Introducción 1. Auditorías del Sistema de Prevención de Riesgos Laborales 1.1. Planificación
Más detallesque sea suficiente a estos efectos una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas.
Otras cuestiones de interés. Cumplimiento de obligaciones previstas en la LOPD por parte de la administración Concursal de una sociedad mercantil. Informe 064/2006 El consultante solicita información acerca
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesCómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona
Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona Si usted dirige un despacho de administración de fincas,
Más detallesCentro Nacional de Referencia de Aplicación de las TIC basadas en fuentes abiertas. Un ejemplo práctico: Plataforma de Archivo electrónico
Centro Nacional de Referencia de Aplicación de las TIC basadas en fuentes abiertas Un ejemplo práctico: Plataforma de Archivo electrónico Índice 1. Presentación del proyecto 2. Objetivos del proyecto 3.
Más detallesAutoridad Portuaria de Avilés ÍNDICE 1. OBJETO 2 2. ALCANCE 2 3. DOCUMENTACIÓN DE REFERENCIA 3 4. DEFINICIONES 4
ÍNDICE 1. OBJETO 2 2. ALCANCE 2 3. DOCUMENTACIÓN DE REFERENCIA 3 4. DEFINICIONES 4 5. DESARROLLO 4 5.1. Explicación previa 4 5.2. Medios de Coordinación 5 5.3. Instrucciones de actuación 6 5.3.1. De la
Más detallesINFORME UCSP Nº: 2011/0070
MINISTERIO DE LA POLICÍA CUERPO NACIONAL DE POLICÍA COMISARÍA GENERAL DE SEGURIDAD CIUDADANA INFORME UCSP Nº: 2011/0070 FECHA 07/07/2011 ASUNTO Centro de control y video vigilancia integrado en central
Más detallesANTECEDENTES La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 (LOPD) y su Reglamento de Desarrollo RD 1720/07 en cumplimiento del mandato Constitucional previsto en el Artículo 18, garantiza
Más detallesGabinete Jurídico. Informe 0299/2009
Informe 0299/2009 La consulta plantea, si la Mutua para las que trabaja la consultante tiene la consideración de responsable o encargadas del tratamiento conforme a la Ley Orgánica 15/1999, de 13 de diciembre
Más detallesAUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. SERVICIO TÉCNICO DE ASISTENCIA PREVENTIVA U.G.T. Castilla y León.
AUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. SERVICIO TÉCNICO DE ASISTENCIA PREVENTIVA U.G.T. Castilla y León. AUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. En palabras de la Nota Técnica de Prevención
Más detallesEn relación con esta cuestión, debe tenerse en cuenta que el criterio de esta Agencia, que puede resumirse del siguiente modo:
Informe 0177/2010 La consulta plantea la forma en la que se pueden externalizar determinados servicios, actuando en todo caso de conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
Más detallesINFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES
Noviembre 2002 INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES OBLIGACIONES LEGALES DE LA NORMATIVA DE PROTECCION DE DATOS: Inscripción de los ficheros: Toda empresa que para el logro de su actividad
Más detallesLOPD EN LA EMPRESA. Cómo proteger el acceso a los datos en formato automatizado (parte I) Proteger el acceso al servidor.
Boletín 01/12 A U T O R: JULIO CÉSAR MIGUEL PÉREZ LA LOPD EN EL DÍA A DÍA Cómo proteger el acceso a los datos en formato automatizado (parte I) El responsable del fichero debe establecer e implantar mecanismos
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesCOMISIÓN DE LAS COMUNIDADES EUROPEAS. Propuesta modificada de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO
COMISIÓN DE LAS COMUNIDADES EUROPEAS Bruselas, 2.10.2001 COM(2001) 535 final 2000/0328 (COD) Propuesta modificada de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO RELATIVO A LA IMPLANTACIÓN DEL DOMINIO
Más detalles2. Estructuras organizativas típicas en relación a Gestión de Clientes
La figura del Chief Customer Officer y la gestión de clientes en las entidades financieras españolas 2. Estructuras organizativas típicas en relación a Gestión de Clientes Analizar y clasificar las estructuras
Más detallesGabinete Jurídico. Informe 0393/2010
Informe 0393/2010 La consulta plantea la incidencia de las normas de protección de datos contenidas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, y su Reglamento
Más detallesCOMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL
COMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL 1.- LA SITUACIÓN DEL TRABAJADOR AUTÓNOMO EN MATERIA DE PREVENCIÓN DE RIESGOS
Más detallesPlanificación de Sistemas de Información
Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN...4 Tarea 1.1: Análisis de la Necesidad del...4 Tarea 1.2: Identificación
Más detallesDOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]
DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil] Página 1 de 8 Introducción En Utopía nos dedicamos al desarrollo de
Más detallesGrupo del artículo 29 sobre protección de datos
Grupo del artículo 29 sobre protección de datos 10972/03/ES final WP 76 Dictamen 2/2003 sobre la aplicación de los principios de protección de datos a los directorios Whois Adoptado el 13 de junio de 2003
Más detallesPlanificación de Sistemas de Información
Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN... 4 Tarea 1.1: Análisis de la Necesidad del... 4 Tarea 1.2: Identificación
Más detallesGabinete Jurídico. Informe 0298/2009
Informe 0298/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en materia de creación, condición de responsable
Más detallesGestión de la Prevención de Riesgos Laborales. 1
UNIDAD Gestión de la Prevención de Riesgos Laborales. 1 FICHA 1. LA GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 2. EL SISTEMA DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 3. MODALIDAD
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesINTRODUCCIÓN A LA LEY ORGÁNICA DE DATOS DE CARÁCTER PERSONAL O LOPD
INTRODUCCIÓN A LA LEY ORGÁNICA DE DATOS DE CARÁCTER PERSONAL O LOPD Resumen AUTORIA JESÚS CABALLERO GONZÁLEZ y CARLOS CABALLERO GONZÁLEZ TEMATICA JURÍDICA ETAPA FORMACIÓN PROFESIONAL. El tratamiento de
Más detallesCesión de datos de salud a aseguradoras de asistencia sanitaria por profesionales de la medicina. Informe 449/2004
Cesión de datos de salud a aseguradoras de asistencia sanitaria por profesionales de la medicina. Informe 449/2004 Cesión a aseguradoras por profesionales de la medicina en caso de seguro de asistencia
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesGabinete Jurídico. Informe 0600/2009
Informe 0600/2009 Se plantea en primer lugar, si el consultante, centro médico privado que mantiene un concierto con la Administración de la Comunidad autónoma para asistencia a beneficiarios de la Seguridad
Más detallesTRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS
TRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS La coordinación de actividades empresariales regulada en el artículo 24 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales
Más detalles4.4.1 Servicio de Prevención Propio.
1 Si se trata de una empresa entre 250 y 500 trabajadores que desarrolla actividades incluidas en el Anexo I del Reglamento de los Servicios de Prevención, o de una empresa de más de 500 trabajadores con
Más detallesPOLÍTICA DE PRIVACIDAD
POLÍTICA DE PRIVACIDAD Esta página web es propiedad de El Sinvivir y tiene como objetivo la promoción de los servicios que ofrece de: venta de moda sostenible. El hecho de acceder a esta página Web implica
Más detallesPublicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.
PROTECCIÓN DE DATOS Pliegos de condiciones Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados. Resolución de la Dirección de
Más detallesRESUMEN DEL MANUAL DE PROCEDIMIENTOS DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO. Febrero, 2014
RESUMEN DEL MANUAL DE PROCEDIMIENTOS DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO Febrero, 2014 ÍNDICE 1. ANTECEDENTES 2. NORMATIVA 3. ORGANIZACIÓN INTERNA 3.1. Comité de PBC&FT
Más detallesMODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD
MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad
Más detallesEn este sentido y en cumplimiento de las disposiciones de la Ley 25/2
Suministro y mantenimiento industrial PROTECCIÓN DE DATOS DE CARACTER PERSONAL 1.- CLISER ODIN S.L. (en adelante Piensa Solutions), en cumplimiento de las disposiciones de la Ley Orgánica 15/1999, de 13
Más detallesCómo proteger el acceso a los datos en formato automatizado (parte I)
LA LOPD EN EL DÍA A DÍA Cómo proteger el acceso a los datos en formato automatizado (parte I) El responsable del fichero debe establecer e implantar mecanismos que impidan el acceso por el personal no
Más detallesGeneralitat de Catalunya Departament de Medi Ambient Direcció General de Qualitat Ambiental
El 24 de abril de 2001, se publicó el Reglamento (CE) núm. 761/2001, del Parlamento Europeo y del Consejo, de 19 de marzo de 2001, por el que se permite que las organizaciones se adhieran con carácter
Más detallesDICTAMEN Nº 8. Página 1 de 5. # Nº. 8/1999, de 26 de enero.*
Página 1 de 5 DICTAMEN Nº 8 # Nº. 8/1999, de 26 de enero.* Expediente relativo al proyecto de Decreto por el que se modifica el Reglamento de organización y funcionamiento del Consejo Asesor de Radio Televisión
Más detallesContabilidad. BASE DE DATOS NORMACEF FISCAL Y CONTABLE Referencia: NFC051331 ICAC: 01-06-2014 Consulta 2 BOICAC, núm. 98 SUMARIO:
BASE DE DATOS NORMACEF FISCAL Y CONTABLE Referencia: NFC051331 ICAC: 01-06-2014 Consulta 2 BOICAC, núm. 98 SUMARIO: PRECEPTOS: Auditoría de cuentas. Contratación y rotación el auditor. Sobre determinados
Más detallesFACULTAD DE CONTADURIA Y CIENCIAS ADMINISTRATIVAS FINANZAS I NORMAS DE INFORMACION FINANCIERA
Normas de Información Financiera Durante más de 30 años, la Comisión de Principios de Contabilidad (CPC) del Instituto Mexicano de Contadores Públicos A. C. (IMCP) fue la encargada de emitir la normatividad
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesREACU. Red Española de Agencias de Calidad Universitaria RENOVACIÓN DE LA ACREDITACIÓN DE LOS TÍTULOS UNIVERSITARIOS OFICIALES DE GRADO Y MÁSTER
REACU Red Española de Agencias de Calidad Universitaria RENOVACIÓN DE LA ACREDITACIÓN DE LOS TÍTULOS UNIVERSITARIOS OFICIALES DE GRADO Y MÁSTER Documento de trabajo Julio de 2011 1 1. PRÓLOGO El presente
Más detallesAPLICACIÓN DEL R.D. 1627/97 A OBRAS SIN PROYECTO
COMISIÓN NACIONAL DE SEGURIDAD Y SALUD EN EL TRABAJO GRUPO DE TRABAJO DE CONSTRUCCIÓN SUBGRUPO DE OBRAS SIN PROYECTO APLICACIÓN DEL R.D. 1627/97 A OBRAS SIN PROYECTO 1.- INTRODUCCIÓN En la reunión celebrada
Más detallesGUIA DE ACTUACIÓN INSPECTORA EN LA COORDINACIÓN DE ACTIVIDADES EMPRESARIALES
PROTOCOLO CAE GUIA DE ACTUACIÓN INSPECTORA EN LA COORDINACIÓN DE ACTIVIDADES EMPRESARIALES 1. Concurrencia de trabajadores de varias empresas en un centro de trabajo 1.1 El artículo 4.2 RD 171/2004 establece
Más detallesFUNDACIÓN TRIBUNAL ARBITRAL DEL ILUSTRE COLEGIO DE ABOGADOS DE MÁLAGA
FUNDACIÓN TRIBUNAL ARBITRAL DEL ILUSTRE COLEGIO DE ABOGADOS DE MÁLAGA CIF: G92663038 Dirección: Paseo de la Farola, nº 13, 29016-Málaga. Teléfono: 951017900 Fax: E-mail: secretaria@tribunalarbitraldemalaga.es
Más detallesFicheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.
Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo. Informe 364/2006 La consulta plantea, si le resulta de aplicación al tratamiento
Más detallesAproximación práctica a ITIL. Proyecto VeredaCS. F07.02.01.00.30.r00
Aproximación práctica a ITIL. Proyecto VeredaCS Introducción En esta presentación pretendemos mostrar una aproximación práctica a la implantación de un modelo de prestación de servicios basado en ITIL
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesAVISO LEGAL y POLITICA DE PRIVACIDAD
AVISO LEGAL y POLITICA DE PRIVACIDAD AVISO LEGAL. OBJETO: La presente página Web ha sido diseñada para dar a conocer los servicios ofertados por la entidad Análisis de Riesgos para Entidades Aseguradoras
Más detalles