Cumplimiento de la LOPD con e-pulpo
ÍNDICE 1 Introducción... 3 2 La Ley Orgánica 15/1999 (LOPD)... 4 3 El Real Decreto 1720/2007... 6 4 Implantación... 8 4.1 Porqué implantar la LOPD?... 8 4.2 Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información?... 9 4.3 Cómo implantar estas medidas?... 9 4.4 Cómo dar respuesta a estos requisitos sin sobrepasar el presupuesto disponible? 9 4.5 Cómo cubrir los requisitos de la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en un doble gasto?... 10 5 Requerimientos de la LOPD... 11 5.1 Medidas de seguridad... 12 5.1.1 Medidas de seguridad de nivel básico... 12 5.1.2 Medidas de seguridad de nivel medio... 15 5.1.3 Medidas de seguridad de nivel alto... 16 6 Sobre Ingenia... 18 Cumplimiento la LOPD con e-pulpo Página 2 de 18
1 Introducción La Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD) se publica en España el 13 de Diciembre de 1999 con el objetivo de proteger los datos personales así como su tratamiento. Su objetivo es garantizar las libertades personales como son la intimidad y la privacidad. En 2007, se publica el Real Decreto 1720/2007, que desarrolla los principios de esta ley y actualiza las medidas de seguridad a aplicar en los sistemas de información. La protección de los datos personales se aplicará tanto a ficheros almacenados en soporte automatizado (ej: bases de datos, carpetas, documentos, etc.) así como a los almacenados en cualquier otro tipo de soporte (ej: archivadores clásicos de oficinas, documentos en papel, etc.). En España el máximo organismo que vela por el cumplimiento de la LOPD es la Agencia Española de Protección de Datos y las sanciones que aplica por su incumplimiento, comienzan en 900 y se clasifican en: - Leves: hasta 40.000 - Graves: hasta 300.000 - Muy graves: hasta 600.000 Cumplimiento la LOPD con e-pulpo Página 3 de 18
2 La Ley Orgánica 15/1999 (LOPD) La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) dice en su primer artículo: La presente Ley Orgánica tiene por objeto garantizar y proteger lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Para tal fin se estructura en siete títulos: Título I. Disposiciones generales Título II. Principios de la protección de datos Título III. Derechos de las personas Título IV. Disposiciones sectoriales Título V. Movimiento internacional de datos Título VI. Agencia de Protección de Datos Título VII. Infracciones y sanciones Ejemplos de situaciones en las que se tiene que aplicar la LOPD se encuentran en los siguientes artículos: Artículo 4. Calidad de los datos, indica en su apartado: o 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Cumplimiento la LOPD con e-pulpo Página 4 de 18
Artículo 10. Deber de secreto., indica: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Artículo 21. Comunicación de datos entre Administraciones públicas, indica en su apartados: o 1. Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. o 2. Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración pública obtenga o elabore con destino a otra. Artículo 33. Norma general, indica en su apartado: o 2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se Cumplimiento la LOPD con e-pulpo Página 5 de 18
tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. 3 El Real Decreto 1720/2007 El Real Decreto 1720/2007 de 21 de Diciembre de desarrollo de la LOPD, desarrolla los principios de la Ley, así como las medidas de seguridad a aplicar y también las disposiciones para la Agencia Española de Protección de Datos. El Real Decreto se estructura como se muestra a continuación: Título I. Disposiciones generales. Título II. Principios de protección de datos. Título III. Derechos de acceso, rectificación, cancelación y oposición. Título IV. Disposiciones aplicables a determinados ficheros de titularidad privada. Título V. Obligaciones previas al tratamiento de los datos. Título VI. Transferencias internacionales de datos. Título VIII. De las medidas de seguridad en el tratamiento de datos de carácter personal. Título IX. Procedimientos tramitados por la Agencia Española de Protección de Datos. Cumplimiento la LOPD con e-pulpo Página 6 de 18
Ejemplos de situaciones en las que se tienen que aplicar las medidas de seguridad del RD 1720/2007 se encuentran en los siguientes artículos: Artículo 89. Funciones y obligaciones del personal, indica en sus apartados: o 1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. o 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Artículo 96. Auditoría, indica en su apartado: o 1. A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior. Cumplimiento la LOPD con e-pulpo Página 7 de 18
Artículo 103. Registro de accesos, indica en su apartado: o 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. o 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. o 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 4 Implantación 4.1 Porqué implantar la LOPD? Porque cualquier tratamiento de datos de carácter personal, así como los ficheros donde se almacenan, independientemente del soporte donde sean tratados, están regulados actualmente en España por la Ley Orgánica de Protección de Datos de Carácter Personal que protege derechos fundamentales como la privacidad y/o la intimidad. Ley Orgánica 15/1999, se publica el día 13 de Diciembre de 1999 y entró en vigor 1 mes después, en sustitución a la LORTAD para ampliar la regulación sobre el tratamiento de ficheros. RD 1720/2007, este Real Decreto se aprueba el día 21 de Diciembre de 2007 y entró en vigor el 21 de Marzo de 2008 (tres meses después) para Cumplimiento la LOPD con e-pulpo Página 8 de 18
sustituir al RD 994/1999 que contenía 29 artículos y se amplió con 129 más. Incluye medidas de seguridad para ficheros tanto automatizados como no automatizados, que se dividen en: o Medidas de nivel básico o Medidas de nivel medio o Medidas de nivel alto 4.2 Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información? Mediante la integración de las labores que se hacen en el servicio de informática bajo un prisma genérico, sin tener como objetivo exclusivo el cumplimiento con una Ley específica. Una vez teniendo la información necesaria, ésta se explota para dar respuesta a cualquier requisito: LOPD, ENS, ITIL (ISO 20000), SGSI (ISO 27001), etc. 4.3 Cómo implantar estas medidas? Utilizando software ya existente, evitando reinventar la rueda. 4.4 Cómo dar respuesta a estos requisitos sin sobrepasar el presupuesto disponible? Haciendo uso de software libre, como recomienda el informe Propuesta de Recomendaciones a la Administración General del Estado sobre Utilización del Software Libre y de Fuentes Abiertas, del Consejo Superior de Informática y Cumplimiento la LOPD con e-pulpo Página 9 de 18
para el Impulso de la Administración Electrónica (Ministerio de Administraciones Públicas, año 2005). 4.5 Cómo cubrir los requisitos de la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en un doble gasto? Utilizando las mismas herramientas para una y otra necesidad, sin recurrir a herramientas independientes, inconexas, que obliguen a duplicar la información y a duplicar el trabajo. Cumplimiento la LOPD con e-pulpo Página 10 de 18
5 Requerimientos de la LOPD Leyenda de colores: Color Función e-pulpo ayuda a cumplir con los requerimientos. Los requerimientos no aplican a la finalidad de e-pulpo. Actualmente e-pulpo no cubre esta funcionalidad, pero la cubrirá en siguientes versiones. Requerimientos que aplican a la propia plataforma de e-pulpo y están cubiertos. Cumplimiento de la LOPD con e-pulpo Página 11 de 18
5.1 Medidas de seguridad e-pulpo permite tener inventariados todos los ficheros con datos de carácter personal, para luego gestionar sus medidas de seguridad. 5.1.1 Medidas de seguridad de nivel básico Apartado Soporte en e-pulpo [B] Medidas de seguridad de nivel básico [89] Funciones y obligaciones del personal Las funciones y perfiles están claramente definidos en la plataforma además de controlado el acceso [89.1] funciones y obligaciones de los usuarios El documento de seguridad incluye esta información a través del modulo Generar documento de seguridad [89.2] el personal conoce las normas de seguridad A través del módulo Formación y concienciación se pueden dar a conocer las normas al personal. [90] Gestión de las incidencias Las incidencias pueden crearse y ser gestionadas por el personal en el módulo Gestión de Activos y Tickets [91] Control de acceso e-pulpo permite gestionar el acceso a través de roles y permisos Cumplimiento de la LOPD con e-pulpo Página 12 de 18
[91.1] acceso limitado de los usuarios e-pulpo solo permite el acceso a cada usuario según el rol asociado por el administrador de seguridad [91.2] relación de usuarios y privilegios e-pulpo permite mantener una relación actualizada de perfiles y usuarios [91.3] control de acceso e-pulpo dispone de mecanismos de acceso controlados para cada usuario [91.4] control del control de acceso e-pulpo dispone de un perfil de tipo administrador para gestionar el control de acceso [91.5] acceso de personal ajeno No aplica a la funcionalidad de e-pulpo [92] Gestión de soportes y documentos El módulo Gestión Documental cubre la necesidad [92.1] etiquetado y control de acceso El módulo Gestión Documental cubre a los documentos y el módulo Gestión de Activos y Tickets cubre a los soportes [92.2] salida de soportes No aplica a la funcionalidad de e-pulpo [92.3] protección durante el transporte No aplica a la funcionalidad de e-pulpo [92.4] destrucción o borrado No aplica a la funcionalidad de e-pulpo [92.5] etiquetado No aplica a la funcionalidad de e-pulpo Cumplimiento de la LOPD con e-pulpo Página 13 de 18
[93] Identificación y autenticación e-pulpo dispone de un procedimiento de autenticación Single sign-on (SSO) para acceder al sistema. [93.1] medidas de identificación y autenticación e-pulpo dispone de un procedimiento de autenticación Single sign-on (SSO) para acceder al sistema. [93.2] identificación singular e-pulpo dispone de un procedimiento de autenticación Single sign-on (SSO) para acceder al sistema. [93.3] uso de contraseñas e-pulpo dispone de un procedimiento de autenticación Single sign-on (SSO) para acceder al sistema. [93.4] cambio regular de contraseñas e-pulpo está diseñado para realizar cambios regulares de contraseñas. [94] Copias de respaldo y recuperación e-pulpo ofrece la gestión de copias de seguridad. [94.1] realización de copias de respaldo e-pulpo ofrece la gestión de copias de seguridad. [94.2] recuperación de datos e-pulpo ofrece la gestión de copias de seguridad. [94.3] revisión periódica de los procedimientos No aplica a la funcionalidad de e-pulpo [94.4] datos para pruebas e-pulpo permite el uso de datos de prueba. Cumplimiento de la LOPD con e-pulpo Página 14 de 18
5.1.2 Medidas de seguridad de nivel medio Apartado [M] Medidas de seguridad de nivel medio Soporte en e-pulpo [95] Responsable de seguridad A través del módulo de Gestión de Activos y Tickets es posible identificar y asociar al responsable de seguridad [96] Auditoría e-pulpo permite realizar la auditoría de los sistemas [96.1] auditoría periódica La determinación del momento cuando realizar la auditoría, no aplica a la funcionalidad de e-pulpo [96.2] informe de auditoría e-pulpo facilita la realización de auditorías [96.3] gestión del informe de auditoría e-pulpo permite la gestión de la documentación y la planificación [97] Gestión de soportes y documentos e-pulpo está preparado para gestionar documentos y soportes [97.1] registro de entrada de soportes e-pulpo está preparado para gestionar documentos y soportes [97.2] registro de salida e-pulpo está preparado para gestionar documentos y soportes Cumplimiento de la LOPD con e-pulpo Página 15 de 18
[98] Identificación y autenticación Por el momento no se limitan los intentos reiterados de acceso no autorizado al sistema de información [99] Control de acceso físico e-pulpo permite asociar ubicaciones físicas con el personal autorizado [100] Registro de incidencias e-pulpo dispone de un sistema de gestión de tickets. [100.1] registro de recuperación de datos e-pulpo dispone de un sistema de gestión de tickets. [100.2] autorización para la recuperación de datos Por el momento no se incluye la autorización 5.1.3 Medidas de seguridad de nivel alto Apartado Soporte en e-pulpo [A] Medidas de seguridad de nivel alto [101] Gestión y distribución de soportes No aplica directamente a la funcionalidad de e-pulpo [101.1] etiquetado de los soportes No aplica directamente a la funcionalidad de e-pulpo [101.2] cifrado de los soportes No aplica directamente a la funcionalidad de e-pulpo [101.3] tratamiento en entornos desprotegidos No aplica directamente a la funcionalidad de e-pulpo Cumplimiento de la LOPD con e-pulpo Página 16 de 18
[102] Copias de respaldo y recuperación e-pulpo dispone de mecanismos de backup y recuperación de datos [103] Registro de accesos e-pulpo registra por defecto todos los accesos [103.1] elementos registrados e-pulpo no incluye registros a nivel de documento [103.2] accesos autorizados e-pulpo no incluye registros a nivel de documento [103.3] protección de los registros e-pulpo no incluye registros a nivel de documento [103.4] retención de los registros e-pulpo no incluye registros a nivel de documento [103.5] revisión de los registros e-pulpo no incluye registros a nivel de documento [103.6] exención de la obligación de registrar No aplica a e-pulpo debido a la jerarquía de usuarios siempre vigente. [104] Telecomunicaciones e-pulpo se sirve utilizando cifrado basado en SSL/TLS Cumplimiento de la LOPD con e-pulpo Página 17 de 18
6 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga. Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con delegaciones comerciales en México, Argentina y Jordania y una marcada experiencia profesional en proyectos europeos y en el norte de África. La experiencia de dieciocho años que nos avala nos ha permitido diversificar nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que nos permite acercar la tecnología, innovación, experiencia y resultados a las necesidades de nuestros clientes. Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes tanto al sector público como al privado, así como hospitales, universidades, fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia estudiamos cuidadosamente las soluciones a implementar para conseguir los mejores resultados. Más información en www.ingenia.es y www.e-pulpo.es Cumplimiento de la LOPD con e-pulpo Página 18 de 18