lopd Guía para el cumplimiento de la LOPD

Transcripción

1 lopd Guía para el cumplimiento de la LOPD

2 Sumario Guía para el cumplimiento de la LOPD... 2 Notificación a la AEPD... 3 El documento de seguridad... 7 Medidas de seguridad Guía para el cumplimiento de la LOPD 1

3 Guía para el cumplimiento de la LOPD El Reglamento de la LOPD fija una serie de obligaciones para cumplir con la Ley Orgánica de protección de Datos. La aplicación cubre estas obligaciones establecidas por el reglamento, referentes a: Notificación de ficheros a la AEPD. Elaboración del documento de seguridad. Medidas de seguridad en el tratamiento de datos de carácter personal. A continuación veremos que medidas establece el reglamento de la LOPD y como solucionarlas en la aplicación. Guía para el cumplimiento de la LOPD 2

4 Notificación a la AEPD Reglamento Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos. Desde el apartado Ficheros / Notificación AEPD puede cumplimentar todos los datos necesarios para enviar a la AEPD la notificación de creación del fichero de datos de carácter personal. Guía para el cumplimiento de la LOPD 3

5 Pulse el botón para dar de alta el fichero e informe los datos solicitados en el reglamento en los diferentes apartados de la parte izquierda de la ventana. Una vez completada la información, pulse el botón. Informe los datos de la presentación y pulse el botón para enviar la notificación a la AEPD. Pulse el botón para listar la hoja de solicitud, que deberá enviar a la AEPD para confirmar la inscripción en el caso de presentación sin certificado. Guía para el cumplimiento de la LOPD 4

6 Reglamento La inscripción del fichero deberá encontrarse actualizada en todo momento. Cualquier modificación que afecte al contenido de la inscripción de un fichero deberá ser previamente notificada a la Agencia Española de Protección de Datos o a las autoridades de control autonómicas competentes, a fin de proceder a su inscripción en el registro correspondiente. Cuando el responsable del fichero decida su supresión, deberá notificarla a efectos de que se proceda a la cancelación de la inscripción en el registro correspondiente. Para enviar a la AEPD la modificación del fichero, una vez registrada la creación, acceda al fichero y pulse el botón. Realice las modificaciones necesarias pulse el botón. Marque los apartados a modificar y pulse el botón fichero a la AEPD. para enviar la modificación del Guía para el cumplimiento de la LOPD 5

7 Si desea enviar la supresión del fichero, pulse el botón AEPD. en la ventana Ficheros / Notificación Informe el motivo de la supresión y el destino de la información o previsiones adoptadas para su destrucción. Pulse el botón para enviar la notificación de la supresión a la AEPD. Guía para el cumplimiento de la LOPD 6

8 El documento de seguridad Reglamento El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. ( ) En todo caso, tendrá el carácter de documento interno de la organización. Desde el apartado Mantenimiento doc. Seguridad, al pulsar el botón dispone de la posibilidad de generar un documento de seguridad único (para todos los ficheros de la empresa) un documento de seguridad para un fichero en concreto. Guía para el cumplimiento de la LOPD 7

9 Reglamento El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. Desde el apartado de Usuarios del fichero puede asignar, a cada usuario, los privilegios y funciones respecto de ese fichero. Pulse el botón para asignar las funciones del usuario. Dispone de la posibilidad de crear nuevas funciones de usuario en la tabla. Guía para el cumplimiento de la LOPD 8

10 Reglamento d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. En el apartado Estructura informe la estructura del fichero de datos de carácter personal. Pulse el botón para añadir nuevos campos. Guía para el cumplimiento de la LOPD 9

11 Reglamento e) Procedimiento de notificación, gestión y respuesta ante las incidencias. En el apartado Incidencias pulse el botón fichero de datos. para dar de alta las incidencias que afecten al Guía para el cumplimiento de la LOPD 10

12 Reglamento f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. En el apartado Copias de seguridad informe todo lo relativo a los procedimientos de copias de respaldo y de recuperación de los datos. Guía para el cumplimiento de la LOPD 11

13 Reglamento g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, el documento de seguridad deberá contener además: a) La identificación del responsable o responsables de seguridad. b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. Los datos del apartado Auditoría se listan como anexo en el documento de seguridad. Guía para el cumplimiento de la LOPD 12

14 Guía para el cumplimiento de la LOPD 13

15 Reglamento Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. Desde el apartado Ficheros/Notificación AEPD informe los datos relativos al encargado del tratamiento. Guía para el cumplimiento de la LOPD 14

16 Esta información aparece al listar el documento de seguridad. Guía para el cumplimiento de la LOPD 15

17 Reglamento El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Cuando se produzcan cambios que afecten al documento de seguridad, una vez informados en la aplicación, dispone de la posibilidad de generar el documento listando únicamente los apartados que se han modificado. Guía para el cumplimiento de la LOPD 16

18 Por ejemplo si únicamente se han modificado los datos relativos a los usuarios del fichero, al generar el documento liste únicamente el anexo G relativo a los usuarios. De esta manera el documento de seguridad estará actualizado en todo momento. Guía para el cumplimiento de la LOPD 17

19 Medidas de seguridad Reglamento Funciones y obligaciones del personal. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. En el apartado Asignación de usuarios del Mantenimiento doc. seguridad acceda al usuario al que desea asignar las funciones y pulse el botón. Pulse el botón para informar las funciones del usuario. Guía para el cumplimiento de la LOPD 18

20 Reglamento Registro de incidencias. Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. Para nivel de seguridad medio deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. En el Mantenimiento doc. seguridad acceda al apartado Incidencias y pulse el botón para dar de alta una incidencia en el fichero seleccionado. En esta ventana puede informar todos los datos requeridos en el reglamento de la LOPD. Guía para el cumplimiento de la LOPD 19

21 Reglamento Control y registro de acceso. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Para nivel de seguridad alto: De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. El período mínimo de conservación de los datos registrados será de dos años. Aplicaciones Wolters Kluwer Desde el resto de Aplicaciones Wolters Kluwer, si trabaja con confidencialidad puede listar los datos del reglamento de seguridad de la LOPD. En este listado aparece que usuario ha accedido a la aplicación, la fecha y hora de acceso y que operación ha realizado. Guía para el cumplimiento de la LOPD 20

22 Reglamento Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. Para nivel de seguridad medio, el responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. En el apartado Mantenimiento doc. seguridad seleccione en el desplegable la opción Contraseñas e informe la periodicidad de las mismas, como se comunican a los usuarios y como se elabora el formato de contraseña. Toda esta información se listará en el documento de seguridad. Guía para el cumplimiento de la LOPD 21

23 Reglamento Copias de respaldo y recuperación. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Acceda al apartado Copias de seguridad dentro del Mantenimiento doc. seguridad e informe el método de copia de seguridad, el método de recuperación, la periodicidad de realización de la copia, el soporte, el formato y el sistema operativo donde se realiza la copia de seguridad. Guía para el cumplimiento de la LOPD 22

24 Pulse el botón las mismas. para informar el inventario de copias de seguridad, y el registro de salida de Guía para el cumplimiento de la LOPD 23

25 Reglamento Responsable de seguridad. En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. En el apartado Asignación de Usuarios del Mantenimiento doc. seguridad puede asignar las diferentes funciones de los usuarios, entre ellas la función de Responsable de seguridad. Guía para el cumplimiento de la LOPD 24

26 Al listar el documento de seguridad, en la ficha de usuario aparece que usuario es el responsable de seguridad. Guía para el cumplimiento de la LOPD 25

27 Reglamento Auditoría. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas. En el apartado Auditoría puede realizar el informe de auditoría, incluyendo las observaciones en que se basen los dictámenes alcanzados. Guía para el cumplimiento de la LOPD 26

28 Guía para el cumplimiento de la LOPD 27