03/06/2009. Protección de la Información en la Pyme (LOPD) Rev /02/2009. Indice. Antecedentes II. Antecedentes I

Transcripción

1 Indice Protección de la Información en la Pyme (LOPD) Rev /02/2009 José Juan Cerpa Ortega Ingeniero en Informática Your Name Your Title Network & Computer Technologies SL NCT InformáticaYour Organization (Line #1) Your Organization (Line #2) Antecendentes Desarrollo normativo Objeto y ámbito de aplicación Datos de carácter personal y niveles de seguridad Actores Derechos de las personas Principios de la Protección de Datos Movimiento internacional de Datos Medidas de seguridad Infracciones y sanciones Resumen de obligaciones de los responsables Conclusiones Antecedentes I Antecedentes II Los avances tecnológicos en la informática y las comunicaciones proporcionan beneficios e inconvenientes (fundamentalmente en el derecho a la intimidad de las personas). La Constitución Española de 1978: En el artículo 18.4 se dispone: "La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos" 1

2 Antecedentes III La Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de Datos de Carácter Personal de 29 de Octubre (LORTAD). Regula el tratamiento en ficheros automatizados. El Real Decreto 994/1999 de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, de 11 de Junio, (RMS) Desarrolla la LORTAD, y regula las medidas técnicas y organizativas que deben aplicarse a los sistemas de información en los cuales se traten datos de carácter personal de forma automatizada. Este reglamento se encuentra actualmente derogado. Desarrollo normativo La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) que amplía el ámbito de aplicación a todo tipo de ficheros, independiente del soporte en el que sean tratados. El Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la LOPD (Aprobado en Consejo de Ministros de 21/12/2007, publicado en el BOE el 19/01/2008, entró en vigor el 19/04/2008). Conocido como RLOPD. Desarrolla tanto los principios de la ley, como las medidas de seguridad a aplicar. Se aplica a ficheros en cualquier otro tipo de soportes. Objeto y ámbito de aplicación Garantizar y proteger, EN LO QUE CONCIERNE AL TRATAMIENTO DE LOS DATOS PERSONALES, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. La ley será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Excepciones: Actividades exclusivamente personales o domésticas Ficheros sometidos a la normativa de Materias clasificadas Ficheros para la investigación del terrorismo y formas graves de delincuencia organizada. Datos de carácter personal y niveles de seguridad I Un dato de carácter personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Establece tres niveles de medidas de seguridad mínimos en función de la naturaleza y finalidad de los datos para garantizar la confidencialidad e integridad Nivel alto: Se aplicará a los ficheros o tratamientos de datos que hagan referencia a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual de las personas y respecto de los que no se prevea la posibilidad de adoptar el nivel básico; 2

3 Datos de carácter personal y niveles de seguridad II Nivel medio: Se aplicará a los ficheros o tratamientos de datos relativos a: aquellos que se rijan por el artículo 29 de la LOPD referente a la prestación de servicios de solvencia patrimonial y crédito, los de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros; los de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; los que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de personas; y los de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización. Datos de carácter personal y niveles de seguridad III Nivel básico: Se aplicará a cualquier otro fichero que contenga datos de carácter personal. También a ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros. Se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.ej Rentas. Actores I Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Actores II La Agencia de Protección de Datos: órgano encargado de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación Será dirigida y representada por el director de la APD. Integrado a la APD existe el órgano de Registro General de Protección de datos donde se inscribirán los ficheros tanto de titularidad pública como privada. Las comunidades autónomas podrán crear y mantener sus propios registros de ficheros. Las autoridades de control (funcionarios considerados autoridad pública) en el ejercicio de sus funciones podrán inspeccionar los ficheros, documentos, y equipos físicos y lógicos usados para el tratamiento. Normalmente actúan previa denuncia de un interesado/afectado. 3

4 Actores III Derechos de las personas I Derecho de consulta al registro General de Protección de Datos, respecto de ficheros inscritos y sus responsables. Derecho de acceso: El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos y las comunicaciones realizadas Derecho de rectificación y cancelación: El responsable tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en un plazo de 10 días. Si los datos hubieran sido comunicados previamente el responsable lo notificará también a quien se hayan comunicado para que proceda a la rectificación o cancelación Derecho de oposicion: Oponerse al tratamiento cuando no es necesario solicitar el consentimiento. Ej cuando los datos se obtienen de fuentes de acceso público como los listienes telefónicos. Derechos de las personas II Los datos personales serán conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las relaciones contractuales entre el responsable y el interesado. Los procedimientos para permitir ejercitar los derechos a los interesados serán gratuitos y establecidos reglamentariamente Principios de la Protección de Datos I Calidad de los datos Sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas para las que se obtuvieron. No podrán usarse para finalidades incompatibles para las que se recogieron Serán exactos y puestos al día respondiendo con veracidad a la situación actual del afectado. Si son inexactos o incompletos serán cancelados y sustituidos de oficio por los rectificados o completados Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que se recogieron 4

5 Principios de la Protección de Datos II Derecho de información en la recogida De la existencia de un fichero o tratamiento, de la finalidad de la recogida y de los destinatarios Del carácter obligatorio o facultativo de su respuesta a las preguntas planteadas De las consecuencias de la obtención de los datos o la negativa a suministrarlos De la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del responsable Principios de la Protección de Datos III Ejemplo de información de recogida PROTECCIÓN DE DATOS PERSONALES: INFORMACIÓN Y GARANTÍAS Le informamos de que sus datos personales van a ser incorporados en un fichero debidamente inscrito en el Registro General de Protección de Datos propiedad de LA EMPRESA, creado para la finalidad de poder realizar la correspondiente gestión administrativa fiscal y contable así como para el envío de promociones comerciales. Los datos serán tratados conforme a los principios de calidad de los datos, en orden en todo momento a lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Los ficheros, locales y sistemas de tratamiento cumplen con las medidas de seguridad que le corresponde según la naturaleza de los datos en tratamiento, según el Real Decreto 1207/2007, de 21 de diciembre. En cualquier momento, podra ejercitar sus Derechos de Acceso, Cancelación, Rectificación, Oposición, mediante un escrito y acreditando su personalidad dirigido a LA EMPRESA, en la calle CP. Principios de la Protección de Datos IV Consentimiento del afectado Todo tratamiento requerirá el consentimiento inequívoco del afectado. (Tácito, Expreso, Expreso y por escrito) No será necesario: En el ejercicio de las funciones propias de las Administraciones públicas Cuando ambas partes se refieran a un contrato de una relación negocial, laboral o administrativa Cuando la finalidad sea proteger el interés vital de un afectado Cuando los datos figuren en fuentes accesibles al público El consentimiento podrá ser revocado cuando exista causa justificada Cuando no sea necesario el consentimiento del afectado este podrá oponerse al tratamiento. Principios de la Protección de Datos V Datos especialmente protegidos Nadie está obligado a declarar sobre su ideología, religión o creencias Para tratar datos que revelen ideología, aficionación sindical, religión y creencias es necesario el consentimiento expreso y por escrito del afectado Los datos de carácter personal que hagan referencia a salud, vida sexual y origen racial podrán ser recabados sólo cuando lo disponga una ley o el afectado lo consienta expresamente. Quedan prohibidos crear ficheros con la finalidad de almacenar con datos especialmente protegidos Los datos de carácter personal relativos a comisión de infracciones penales o administrativas sólo podrán ser incluídos en ficheros de las Administraciones Públicas 5

6 Principios de la Protección de Datos VI Seguridad de los datos El responsable y en su caso, el encargado de tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración (integridad), pérdida (disponibilidad), tratamiento o acceso no autorizado (confidencialidad), habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. No se podrán registrar datos de carácter personal en ficheros que no reúnan las condiciones de seguridad determinadas por vía reglamentaria Principios de la Protección de Datos VII Deber de secreto El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo. Comunicación de datos Sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las fuciones legítimas del cedente y del cesionario con el consentimiento previo del interesado Será nulo el consentimiento para la comunicación a un tercero cuando la información facilitada al interesado no permita conocer la finalidad a que se destinan Principios de la Protección de Datos VIII Comunicación de los datos El consentimiento tendrá carácter revocable Aquel a quien se le comuniquen los datos está obligado a cumplir la LOPD Acceso a datos por cuenta de terceros No se considerará comunicación de datos el acceso de un tercero para prestar un servicio al responsable La regulación de tratamiento de terceros debe establecerse mediante contrato Una vez cumplida la prestación contractual, los datos serán destruidos o devueltos al responsable, al igual que cualquier soporte o documentos que contenga algún dato objeto de tratamiento En caso de incumplimiento de contrato (ej. Destinar los datos a otra finalidad) el encargado se convierte en responsable respondiendo por sus infracciones Movimiento internacional de datos Queda prohibida la transferencia internacional (países fuera del Espacio Económico Europeo) de datos de carácter personal a paises que no cumplan los mínimos de seguridad exigidos (equiparable a la presente ley) sin la autorización PREVIA del director de la AEPD, que sólo la otorgará si se obtienen las garantías adecuadas. Lo dispuesto en el párrafo anterior no será de aplicación cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. En países como Argentina la AEPD ha declarado positivamente sobre su nivel de protección. En los EEUU sólo los países adheridos a los principios de puerto seguro (safe harbor) EEE = EU + Islandia, Noruega y Liechtenstein. 6

7 Medidas de seguridad I Medidas de seguridad II Nivel básico: Elaborar documento de seguridad e implementar Funciones y obligaciones del personal, delegaciones y medidas para darlas a conocer y consecuencias del incumpliento. Ej. Formación, manual de buen uso. Procedimiento de notificación y gestión. Registro de incidencias. Ej registro manual o automatizado. Control de acceso lógico (sólo automatizados). Relación actualizada de usuarios y accesos autorizados. Personal encargado de autorizar/denegar accesos. Mecanismos para evitar accesos indebidos. Ej NTFS Windows. Gestión de soportes y documentos (inventario, identificación, salida autorizada incluso por , traslado seguro, destrucción o borrado antes de deshecho...). Ej sistema etiquetado EAN código de barras. Software eraser. Nivel básico: Elaborar documento de seguridad e implementar (mixto) Identificación y autentificación. (sólo automatizados). Medidas que garanticen identificación inequívoca y personalizada. Procedimientos de asignación, distribución y almacenamiento de contraseñas. Ej. Administración de usuarios y directivas. Copias de respaldo y recuperación. (sólo automatizados) Al menos una vez semanal. Procedimientos detallados de copia y recuperación. Verificación semestral de los procedimientos. Se evitaran pruebas con datos reales si no se garantiza el nivel de seguridad adecuado haciendo previamente copia de seguridad. Ej. Software de backup de windows. Criterios de archivo. (sólo no automatizados) Garantizar la conservación, localización y consulta facilitando el ejercicio de los derechos de los interesados. Ej. Archivadores con facturas ordenadas por número de factura o fecha. Medidas de seguridad III Medidas de seguridad IV Nivel básico: Elaborar documento de seguridad e implementar Dispositivos de almacenamiento. (sólo no automatizados) Mecanismos que obstaculicen la apertura o en su defecto medidas para impedir accesos no autorizados. Ej. Armarios con cerraduras. Custodia de soportes. (sólo no automatizados) Mientras la documentación no se encuentre archivada por estar en proceso de revisión la persona a cargo la custodiará y evitará accesos no autorizados. Ej. Formación. Medidas de seguridad para nivel medio: Todas las de nivel básico y además Responsable de seguridad encargado de coordinar y controlar el cumplimiento. Auditoría bienal elaborando informe con deficiencias y medidas correctoras y complementarias. Se analizará por el responsable de seguridad y elevará conclusiones al responsable que tomará las medidas oportunas y quede a disposición de la AEPD. Cuestionarios y observación. Gestión de soportes y documentos (registro de entrada y salida. Registro manual o automatizado. Identificación y autentificación (sólo automatizados). Se limita el intento de accesos fallidos. Directivas. Control de acceso físico a las instalaciones donde estén los sistemas. (sólo automatizados) Registro de incidencias (recuperación de datos autorizada) 7

8 Medidas de seguridad V Infracciones y Sanciones I Medidas de seguridad para nivel alto: Todas las de nivel básico, medio y además Gestión y distribución de soportes cifrado. Copias de respaldo y procedimiento de recuperación fuera de los locales. Ej. Backup online. Registro de acceso a los datos ( Quién? Cuándo? A qué información?). Ej. Logs del sistema, directivas de auditoria. Telecomunicaciones. Comunicaciones por redes públicas e inalámbricas de forma cifrada. Ej. Protocolos seguros IPSec. Y para ficheros en papel Almacenamiento en areas protegidas en cuartos Copias autorizadas y los desechos deberán destruirse Identificación de accesos y limitación a personal autorizado Medidas para impedir el acceso durante el traslado a la información Los responsables de los ficheros y los encargados de tratamiento estarán sujetos al régimen sancionador establecido en la presente Ley. Las sanciones han aumentado un 45% en el Tipos de infracciones Leves. Sanciones entre 601,01 a 60101,21 No atender a la solicitud del interesado de rectificación o cancelación de sus datos No proporcionar información que solicite la AEPD en el ejercicio de sus competencias No solicitar la inscripción de ficheros de carácter personal en el Registro General Recoger datos de carácter personal sin proporcionarles información (art. 5) Incumplir el deber de secreto (nivel básico) Infracciones y Sanciones II Infracciones y Sanciones III Tipos de infracciones Graves Crear ficheros de titularidad privada o iniciar la recogida de datos con una finalidad distinta al objeto legítimo de la empresa Recabar datos sin el consentimiento expreso de las personas afectadas Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo Impedir u obstaculizar el ejercicio de los derechos de acceso y oposición Tipos de infracciones Graves. Sanciones entre 60101,21 a ,05 Mantener datos de caracter personal inexactos o no rectificarlos o cancelarlos cuando proceda Vulnerar el deber de secreto en ficheros con datos de nivel medio o alto Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad No remitir a la AEPD las notificaciones previstas en la ley La obstrucción al ejercicio de la función inspectora No inscribir un fichero de datos de carácter personal cuando haya sido requerido por el director de la AEPD 8

9 Infracciones y Sanciones IV Infracciones y Sanciones V Tipos de infracciones Graves Incumplir el deber de información que se establece en los artículos 5, 28 y 29 cuando los datos hayan sido recabados de persona distinta del afectado. Muy Graves. Sanciones entre ,05 a ,10 Recogida de datos de forma engañosa o fraudulenta Comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas Recabar y tratar datos de carácter personal a los que se refiere el artículo 7.2 y 7.3 (datos protegidos) cuando no medie consentimiento expreso del afectado No cesar en el uso ilegítimo de los tratamientos cuando sea requerido por el director de la AEPD Tipos de infracciones Muy Graves Transferencia de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del director de la AEPD Tratar datos de forma ilegítima o con menosprecio cuando se atente contra el ejercicio de los derechos fundamentales Vulneración del deber de guardar secreto referente a datos protegidos No atender u obstaculizar de forma sistemática los derechos de acceso, rectificación, cancelación u oposición. No atender de forma sistemática el deber legal de notificación de la inclusión de datos en un fichero Infracciones y Sanciones VI. Ejemplos Procedimiento PS/00058/2007 (art. 4.3) Multa de 60101,21 al BSCH por no atender los derechos de cancelación y oposición de un afectado. Procedimiento PS/00317/2007 (art. 9) Multa de 60101,21 rebajada a 3000.A un abogado por tener compartida en el emule una base de datos con información de 1500 clientes. Procedimiento PS/00288/2007 (art. 9) Multa de 60101,21 rebajada a 6000 al BBVA por dejar depositado en la basura 7 cajas con información de clientes. Procedimiento PS/00287/2007 (art. 5.1 y 5.2) A Puerto Rico SL multa de 601,01 por recoger información sin informar a los afectados. Obligaciones de los Responsables I Inscripción de ficheros Notificando a la Agencia las modificaciones Tratamiendo leal y legal de los datos No recogerlos por medios fraudulentos. Que sean exactos obteniendo el consentimiento e informando de sus derechos a los afectados Cumplimiento de la ley por quienes los traten Deber de secreto Por el responsable del fichero Por todos aquellos que intervengan en el tratamiento Adoptar medidas de seguridad para garantizar la seguridad de los datos El responsable del fichero Y en su caso el encargado de tratamiento 9

10 Obligaciones de los Responsables II Inscripción de ficheros. Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Se entenderá por fichero lógico al conjunto de ficheros físicos, que contienen el mismo tipo de datos, y que son tratados para una misma finalidad o finalidades compatibles. La inscripción contendrá: Al responsable A los encargados de tratamiento Los tipos de datos (estructura) que se tratarán El nivel de seguridad La finalidad del fichero Las posibles comunicaciones Movimientos internacionales El origen de los datos Fases para la adaptación Ejemplo de escenario en las pymes. Tipos de datos que trata habitualmente. Clientes, contactos, proveedores, contratos de empleados y nóminas, curriculums, etc. Entrevistas para la detección de ficheros lógicos (flujos de información para detectar datos de carácter personal). Aplicaciones, Sistemas, Ficheros. Detección de accesos de terceros. Servicios. Elaboración de contratos. Detección de comunicaciones. Inscripción de la información en la AEPD Elaboración del documento de seguridad Elaborar notas legales, política de privacidad y de información (formularios, página web,...) Implementar medidas de seguridad según el nivel Auditorias (cuando corresponda) y Mantenimiento CONCLUSIONES FIN La seguridad es un proceso no un producto. Revisión continua. La información es uno de los activos más importantes protégela siempre independientemente de si tiene datos personales o no. Piensa por un momento que pasaría si una empresa perdiera la información de la facturación del último año. Cuanto costaría restaurar todo si no se aplicaran medidas de seguridad? Probablemente la empresa terminaría desapareciendo al tener dificultades para ofrecer un servicio con de mínima calidad. Los informáticos tenemos la responsabilidad (obligación) de reducir los daños. Gracias por la atención Resolución de dudas Más información en blog.josejuancerpa.com 10