Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado

Transcripción

1 Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría Agencia de Protección de Datos de la Comunidad de Madrid emilio.aced@madrid.org

2 Ámbito de aplicación Aspectos Generales Tratamientos automatizados Ficheros manuales no automatizados Coincide con el final de la moratoria LOPD Consecuencias importantes medidas seguridad Desarrolladas en un capítulo específico Tratamientos y Datos excluidos Datos ficheros contactos de empresa Datos de empresarios individuales Datos de fallecidos 2

3 Medidas de Seguridad Nuevos ficheros en Nivel Medio Seguridad Social Mutuas Conjunto de datos que permitan Definición características o personalidad Evaluar aspectos personalidad o comportamiento Datos de tráfico y localización Además, el registro de accesos del Nivel Alto Nuevos ficheros Nivel Alto Datos derivados actos violencia de género 3

4 Medidas de Seguridad Otros cambios de Nivel de Seguridad Nivel básico para datos sensibles si Transferencia dineraria a entidades de las que son miembros los afectados Datos de declaración o grado de discapacidad y condición de invalidez Si se recogen exclusivamente con motivo del cumplimiento de deberes públicos Nivel básico para ficheros manuales Que contengan datos sensibles de forma incidental Sin guardar relación con finalidad del fichero 4

5 Plazos de Implantación Ficheros automatizados preexistentes: Medidas nivel medio (ficheros Seguridad Social, mutuas, perfiles): un año Medidas nivel alto (ficheros violencia género, tráfico telecomunicaciones): dieciocho meses Ficheros manuales preexistentes: Medidas nivel básico: un año Medidas nivel medio: dieciocho meses Medidas nivel alto: dos años Ficheros nuevos de cualquier tipo: Deben cumplir el reglamento desde su creación 5

6 6 Medidas de Seguridad Segregación de datos de sistema principal Si requieren nivel de seguridad mayor Delegación de autorizaciones Constarán en Documento de Seguridad Regulación Ficheros temporales y copias de trabajo Dispositivos portátiles y trabajo fuera locales Concepto de documento Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como unidad diferenciada

7 Seguridad Encargado Tratamiento En locales del Responsable o en acceso remoto con prohibición de incorporar datos Se reflejará en documento de seguridad responsable Compromiso de cumplimiento medidas de seguridad En locales del Encargado Documento de Seguridad del Encargado Identificando Fichero o tratamiento Responsable del mismo Incorporando medidas de seguridad En todo caso, acceso del Encargado Sometido a medidas de seguridad del Reglamento 7

8 Medidas de Seguridad Prestaciones sin acceso a datos personales Limitación de acceso a sistemas de información Prohibición acceso y deber de secreto en contrato Acceso a datos a través de redes Garantizar nivel seguridad equivalente a local Niveles de Seguridad de Ficheros Mixtos Inscripción nivel seguridad más alto Aplicación medidas de seguridad Parte automatizada: Medidas ficheros automatizados Parte manual: Medidas ficheros manuales 8

9 Documento de Seguridad Flexibilidad en su organización Único Por ficheros o tratamientos Agrupándolos Según sistema de tratamiento Por criterios organizativos responsable 9

10 Inclusión de Documento de Seguridad Medidas transporte y destrucción de documentos Tratamientos por cuenta de terceros Referencia al contrato, identificación encargado y duración Delegable llevanza documento de seguridad si el encargado trata en sus equipos todos los datos En Nivel Medio o Alto: Identificación responsables de seguridad Controles periódicos que deben realizar para verificar cumplimiento 10

11 Ficheros Manuales

12 Ficheros Manuales Obligaciones similares a automatizados en Alcance Niveles de seguridad Encargado de tratamiento Prestaciones sin acceso a datos personales Delegación de autorizaciones Régimen del trabajo fuera de los locales del responsable o encargado Copias de trabajo de documentos Documento de seguridad Funciones y obligaciones del personal Registro de incidencias Control de acceso Gestión de soportes 12

13 Ficheros Manuales Nivel Básico Criterios de archivo Según legislación aplicable Si no, establecidos por responsable Garantizarán Correcta conservación de los documentos Localización y consulta de la información Ejercicio de los derechos 13

14 Ficheros Manuales Nivel Básico Dispositivos de almacenamiento Mecanismos que obstaculicen apertura Si no fuera posible Medidas impidan acceso personas no autorizadas Custodia de los soportes fuera de los dispositivos de almacenamiento Responsabilidad: quien los tenga a cargo Impedir acceso personas no autorizadas 14

15 Ficheros Manuales Nivel Medio Obligación de designar Responsable(s) de seguridad Auditoría bienal 15

16 Ficheros Manuales Nivel Alto Zonas de archivadores Protegidas por puertas con llave o equivalente Cerradas cuando no sea preciso acceso a documentos Si no fuera posible Medidas alternativas Documentadas y justificadas en DS Copia o reproducción Bajo control de personal autorizado en DS Destrucción copias desechadas 16

17 Ficheros Manuales Nivel Alto Acceso a la documentación Exclusivamente por personal autorizado Si documentos utilizados por múltiples usuarios Mecanismos de identificación de cada acceso Acceso de personas no autorizadas Registrado según procedimiento establecido en DS Traslado de documentos: Medidas para impedir acceso o manipulación de la información 17

18