IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Departamento de Nuevas Tecnologías Presentación LOPD Preguntas Demostración programa Federico Lardiés María Puyuelo Virginia Bermejo Zaragoza, Febrero 2.006
PANORAMA LEGISLATIVO BÁSICO Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan Datos de Carácter Personal Directiva 95/46/CE relativa a la protección de las personas físicas en el tratamiento de Datos Personales y a la libre circulación de los datos
PANORAMA LEGISLATIVO BÁSICO Instrucciones de la Agencia de Protección de Datos sobre diversas materias Recomendaciones de la Agencia de Protección de Datos Legislación sectorial con incidencia en estas materias: sanitaria; bancaria; telecomunicaciones, etc.
OBJETIVO DE LA LEGISLACIÓN El objeto de la LOPD es garantizar y proteger la privacidad e intimidad de las personas físicas. El Reglamento de Medidas de Seguridad establece las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los ficheros y sistemas que intervengan en el tratamiento de datos de carácter personal. El conocimiento y cumplimiento de estas normas afecta a todos los empleados de una entidad que intervengan de forma directa o indirecta en el tratamiento de datos de carácter personal.
PRINCIPIOS BÁSICOS DE LA LOPD Calidad de los datos (art 4 LOPD) - Adecuados, pertinentes, no excesivos y actuales - Cancelar datos cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubiesen sido recabados Ej: currículum; campañas marketing Derecho de información durante la recogida (art 5 LOPD)* - Informar al titular de los datos, en el momento de la recogida de diversos aspectos.
PRINCIPIOS BÁSICOS DE LA LOPD Consentimiento del afectado (art. 6 LOPD)* - Siempre necesario para tratar datos personales, salvo excepciones: - Sean necesarios para la relación negocial, laboral o administrativa - Datos especialmente protegidos: consentimiento expreso o expreso y por escrito del interesado, salvo: Prevención / Diagnóstico médico Prestación asistencia sanitaria o tratamientos médicos Gestión servicios sanitarios Requisitos: Profesional sujeto al deber de secreto
PRINCIPIOS BÁSICOS DE LA LOPD Deber de secreto (Art. 10 LOPD) - Obligado TODO el personal de la entidad que intervenga en el tratamiento de datos personales: Firma de Cláusula de Confidencialidad Cesión de datos (Art. 11 LOPD)* - Necesidad de consentimiento del afectado, salvo excepciones: Cesión autorizada por Ley Los datos estén en fuentes accesibles al público Cuando sea necesaria para el cumplimiento de la relación jurídica Cuando la cesión de datos de salud sea necesaria para solucionar una urgencia o realizar estudios epidemiológicos
PRINCIPIOS BÁSICOS DE LA LOPD Encargo de tratamiento (art. 12 LOPD)* Responsable Fichero Encargado Tratamiento Prestación de Servicios por el 3º al Responsable No necesidad de Consentimiento No deber de Información por Encargado No inscripción del fichero por Encargado Sí notificación del Encargo de Tratamiento en el RGPD cuando el Responsable inscriba el fichero Contrato Escrito Obligatorio
PRINCIPIOS BÁSICOS Derechos de Acceso, Rectificación, Cancelación y Oposición quién está facultado para ejercitarlos? Titulares de los datos tratados DERECHO DE ACCESO: Datos sometidos a tratamiento Origen de los datos Comunicaciones a terceros DERECHO DE RECTIFICACIÓN Y CANCELACIÓN Modificación de Datos Borrado Físico DERECHO DE OPOSICIÓN
NIVELES DE SEGURIDAD DE LOS DATOS Identificativos Personales Empleo BÁSICO Perfiles Financieros MEDIO Afiliación Sindical Salud Vida sexual Creencias Origen racial ALTO
TIPOS DE MEDIDAS DE SEGURIDAD Medidas de NIVEL BÁSICO Registro de Incidencias Identificación y autenticación de usuarios Control de Acceso Gestión de Soportes Copias de Respaldo y Recuperación Medidas de NIVEL MEDIO Responsable de Seguridad Auditorías Control de Acceso Físico Pruebas con Datos Reales Medidas de NIVEL ALTO Distribución Soportes (cifrado) Registro de Accesos Copias de Respaldo y Recuperación Telecomunicaciones (cifrado)
MEDIDAS SEGURIDAD NIVEL BÁSICO Procedimiento de notificación, gestión y registro de incidencias Tipo de Incidencia Fecha y hora Persona que la notifica Persona que recibe la notificación Efectos de la incidencia Control de acceso lógico a los sistemas: Accesos restringidos por capacidades funcionales Sistemas de identificación y autenticación Gestión de soportes que contengan datos de carácter personal: Inventario de soportes Acceso restringido a los mismos Procedimiento de autorización para la salida de soportes. Copias de respaldo y recuperación de datos. Realización de back-up con periodicidad semanal Procedimiento de recuperación de datos
MEDIDAS SEGURIDAD NIVEL MEDIO Designación de un Responsable de Seguridad (encargado de coordinar y controlar las medidas de seguridad) Auditoría que verifique el cumplimiento de las medidas de seguridad al menos cada dos años Limitación de la posibilidad de intentar de forma reiterada el acceso no autorizado al sistema informático Control de acceso físico a los locales donde se encuentren los sistemas Gestión de soportes Registro de la entrada y salida de soportes. Sistema que impida la recuperación de datos de los soportes que vayan a ser reutilizados o desechados Registro de incidencias. Incluirá los procedimientos realizados de recuperación de datos
MEDIDAS SEGURIDAD NIVEL ALTO Distribución de soportes cifrando los datos Registro de los accesos a los sistemas: identificación del usuario que accede, fecha y hora, fichero accedido y si el acceso ha sido autorizado o denegado Conservación de los datos registrados durante dos años Informe mensual de las revisiones realizadas y problemas detectados Copias de respaldo y recuperación de datos: Conservación en lugar diferente a aquél donde se encuentren los sistemas informáticos Adopción de las medidas de seguridad al local de conservación de las copias Cifrado de datos en caso de transmisión a través de redes de telecomunicaciones
LEVES IMPLICACIONES DE LA LEGISLACIÓN DE PROTECCIÓN DE INFRACCIONES No atender por motivos formales solicitudes de rectificación o cancelación No proporcionar información requerida por la APD No inscribir ficheros en el Registro General de Protección de Datos No cumplir el deber de información Vulnerar el deber de secreto GRAVES No recabar el consentimiento de los titulares Mantener datos inexactos No aplicar las medidas de seguridad correspondientes Obstrucción de la labor inspectora MUY GRAVES Recogida de datos de forma engañosa Comunicación de datos sin requisitos legales Tratar datos de nivel alto sin consentimiento expreso /expreso y escrito
INFRACCIONES Y SANCIONES INFRACCIÓN SANCIÓN Leve De 600 a 60.000 euros Grave De 60.000 a 300.000 euros Muy grave De 300.000 a 600.000 euros
Zaragoza: Contacto nsamaniego@camarazaragoza.com sati@camarazaragoza.com Huesca: flardies@camarahuesca.com sati@camarahuesca.com
IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Departamento de Nuevas Tecnologías Preguntas Demostración programa Federico Lardiés María Puyuelo Virginia Bermejo Zaragoza, Febrero 2.006