Ricard Martínez Martínez Presidente de APEP (www.apep.es) Asociación Profesional Española de Privacidad

Documentos relacionados
Aspectos de Protección

SEMINARIO SOCINFO: COMPARTICIÓN DE RECURSOS Y CLOUD COMPUTING

Privacidad y protección de datos en la prestación de Servicios de Cloud Computing T11: Privacidad en la nube

Nuevos criterios en el marco de las Transferencias Internacionales de Datos

MÁSTER UNIVERSITARIO EN PROTECCIÓN DE DATOS

PROGRAMA/TEMARIO DEL ESQUEMA CONTENIDO

Transferencias internacionales de datos para la prestación de servicios

CURSO DE ESPECIALIZACIÓN EN PROTECCIÓN DE DATOS

XI ENCUENTRO IBEROAMERICANO DE PROTECCION DE DATOS 15, 16 Y 17 OCTUBRE 2013 CARTAGENA DE INDIAS, COLOMBIA

La decisión de irse a la nube. requiere tener en cuenta aspectos: Técnicos Económicos Modelo de gestión y JURÍDICOS

Transferencias Internacionales de datos y su relación con la adecuación de la Unión Europea

LOS NUEVOS RETOS DE LA SEGURIDAD EN LA INFORMACIÓN CLÍNICA. LOS SERVICIOS DE CLOUD COMPUTING EN EL CAMPO DE LA SALUD Título

USO del CLOUD COMPUTING vs. PROTECCION de DATOS de CARÁCTER PERSONAL. Alberto J. de la Morena Marqués UAIPIT, Universidad de Alicante

Sujetos que intervienen

Cloud Computing Aumentar la confianza en la Nube mediante la gestión de la seguridad y los servicios

MANUAL BÁSICO PARA ADAPTARSE A LA LEY DE PROTECCIÓN DE DATOS EUROPEA

Master en Implantación, Gestión y Auditoría Sistemas de Protección de datos (LOPD)

NIVEL ADECUADO DE PROTECCIÓN

Jesús Rubí Navarrete Adjunto al Director Agencia Española de Protección de Datos. Agencia Española de Protección de Datos

Precio Colectivos: 15 /Unidad IVA + Gastos de envío incluidos

TRANSFERENCIAS INTERNACIONALES DE DATOS: LAS GARANTÍAS DE LAS NORMAS CORPORATIVAS VINCULANTES (BCR)

La figura del Responsable de protección de datos Ricard Martínez Martínez Profesor de Derecho Constitucional U. València Presidente de APEP

El encargado del tratamiento en el Reglamento General de Protección de Datos (RGPD)

CLOUD COMPUTING CARTAGENA DE INDIAS OCTUBRE DE 2.013

una nueva regulación?

Temario del curso online de Protección de Datos de Carácter Personal (Adaptado al RGPD de la UE)

CURSO UNIVERSITARIO DE ESPECIALIZACIÓN EN DELEGADO EN PROTECCION DE DATOS (DPD) EN MADRID

Sistemas de cumplimiento preventivos. María José Blanco Antón Secretaria General Agencia Española de Protección de Datos

PACK FORMATIVO EN PROTECCIÓN DE DATOS 4 X 1

CARTAGENA DE INDIAS DE JUNIO 2011

CAMBIOS EN LA REGULACIÓN DE PROTECCIÓN DE DATOS

Cambios legislativos y tendencias 2014

Andrés Calvo Medina Unidad de Evaluación y Estudios Tecnológicos. Agencia Española de Protección de Datos

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

EL TRACTAMENT DE LES DADES PERSONALS EN L ÁMBIT DE L ADVOCACIA I LES DADES AL NÚVOL (CLOUD COMPUTING)

PROTECCIÓN DE DATOS - ADECUACIÓN SITIOS WEB POLÍTICAS DE USO

Decisiones de Adecuación de la Comisión Europea

CONDICIONES GENERALES PARA EL USO DE LA HERRAMIENTA VOLVOPEDIDOSMATERIALES EXPOSICION

LOPD EN L A E M P R E S A

Programa Superior DPD/DPO Recomendado para profesionales sin experiencia o inferior a dos años en la materia

Adaptación de las AAPP al RGPD ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

25 DE MAYO DE 2017 Centro de Conferencias Fundación Pablo VI Paseo de Juan XXIII, 3. Madrid

Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado

BOLETÍN DE NOTICIAS SEPTIEMBRE Acreditación del deber de informar al interesado LA LOPD EN EL DÍA A DÍA. Ley De Protección de Datos

4º CONGRESO INTERNACIONAL DE PROTECCIÓN DE DATOS Y XIV ENCUENTRO IBEROAMERICANO DE PROTECCIÓN DE DATOS

CONTRATO DE ENCARGADO DEL TRATAMIENTO DE DATOS POR CUENTA DE LA UNIVERSIDAD DE OVIEDO (ARTÍCULO 28 RGPD)

REGLAMENTO 2016/679 GENERAL DE PROTECCIÓN DE DATOS

DATOS PERSONALES EN LOS SERVICIOS

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

REGISTRO DE ACTIVIDADES DE TRATAMIENTO. Manuel Villaseca DPD- AEPD

PROTECCIÓN DE DATOS Y DELITOS CIBERNÉTICOS, CÓMO LAS INSTITUCIONES DEBEN ENFRENTAR LOS NUEVOS PELIGROS

La Ley Orgánica 4/1997 regula en sus artículos 5 los supuestos en que es posible la utilización de cámaras móviles estableciendo lo siguiente:

El Marco Europeo de la Protección de Datos para el Siglo XXI

II Encuentro con el SECTOR PÚBLICO DINTEL 2010 "La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas

CONVENIO DE COLABORACIÓN ENTRE LA FEDERACIÓN ONUBENSE DE EMPRESARIOS E INNOIT

PRESENTACIÓN CORPORATIVA. w w w. g l o b a l s u i t e. e s

INFORME DE CUMPLIMIENTO DEL REGLAMENTO (UE) 2016/679 GENERAL DE PROTECCIÓN DE DATOS POR PARTE DE

Cloud computing y protección de datos personales

PROTECCION DE DATOS+ PRIVACIDAD+ SEGURIDAD TIC. Compañía y servicios

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Novedades introducidas por el Reglamento General de Protección de Datos

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Información sobre implantación del. Reglamento General de Protección de Datos. Europeo (RGPD)

CONTRATO DE ENCARGO DE TRATAMIENTO CON ACCESO A DATOS DE CARÁCTER PERSONAL

1 La protección de datos de carácter personal 2 Funciones del Responsable de Seguridad 3 El nuevo Reglamento de Protección de Datos

15/10/2016. Emprendiendo con seguridad. Los cambios más significativos de la futura regulación europea. RGPD. José Manuel Mulero Fernández

El cumplimiento de las medidas de seguridad, paso a paso. El Reglamento RD-1720/2007

Compromiso de confidencialidad y no revelación de información

SEGURIDAD COMO ELEMENTO GENERADOR DE CONFIANZA

Aplicación Práctica del Nuevo Reglamento Europeo de Protección de Datos en la empresa

Ámbito territorial de la Ley. Organismos internacionales. Informe 427/2004.

Auditoria de Seguridad ISO/IEC en la nube Qué debo tomar en cuenta? Iván Alberto Jaimes Cortés Consultor Seguridad de la Información

Transferencias Internacionales. Aspectos Prácticos

FORMACIÓN Delegado de Protección de Datos (DPD/DPO)

I. TEXTO LEGAL POLÍTICA DE PRIVACIDAD PARA PÁGINA WEB AVISO EN REFERENCIA AL CUMPLIMIENTO DEL DEBER DE INFORMACIÓN EN LA PÁGINA WEB:

lopd Guía para el cumplimiento de la LOPD

Diario Oficial de la Unión Europea L 146/7

PLIEGO QUE REGIRÁ LA CONTRATACIÓN DE AGENTE DE REPRESENTACIÓN DIRECTA EN EL MERCADO ELÉCTRICO (SG 01/2017) A ADJUDICAR POR SOTAVENTO GALICIA, S.A.

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

ORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud AT&T. Computing

Indice DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO 1

TRANSFERENCIAS INTERNACIONALES DE DATOS, PAÍSES ADECUADOS Y NO ADECUADOS (Aspectos Prácticos)

MEJORES PRÁCTICAS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES.

Anexo 1. Normativa básica aplicable 2

CONTRATO ENCARGADO DE TRATAMIENTO

acenstechnologies Condiciones Particulares del servicio Cloud Server Calle San Rafael, Alcobendas (Madrid)

CONSIDERACIONES Y EVIDENCIAS DE LOS MODELOS DE PREVENCIÓN PENAL

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Gabinete Jurídico. Informe 0464/2012

Transcripción:

Ricard Martínez Martínez Presidente de APEP (www.apep.es) Asociación Profesional Española de Privacidad

Definición «Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente». Artículo 52 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México). Vid. http://martiner.blogs.uv.es/2011/12/23/11/.

Criterios para decidir? La decisión de irse a la nube debe tener en cuenta multitud de aspectos: Económicos. Modelo de gestión. JURÍDICOS

Es la economía estúpido

Aspectos jurídicos Desde el punto de vista de la protección de datos personales

Cuando un responsable de fichero o tratamiento en España contrata servicios de Cloud Computing aplicará los principios y obligaciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Reflexión previa Privacy Impact Assessment Privacy by Design Si la contratación de Cloud Computing afecta a datos personales: Se trata de derechos fundamentales. Deben atenderse necesariamente las cuestiones de cumplimiento normativo. Todo el entorno, sin excepción debe ser privacy compliance.

El proveedor de servicios de Cloud Computing es un encargado del tratamiento? Posición de la AEPD Sesión Anual https://www.agpd.es/portalwebagpd/jornadas/4 _sesion_abierta_2011/index ides idphp.php

El cliente es un responsable del tratamiento. Decide contratar. Decide el tipo de servicio. Decide el proveedor. Ley aplicable: Responsable: Ley Española. Encargado: Nacional: LOPD. UE: lugar del tratamiento (medidas de seguridad) No UE: regulación de las TID.

Régimen general del encargado. De difícil aplicación. Se admiten ciertas modulaciones: Contratos de adhesión: full compliance. Información precisa en casos de subcontratación flexible. Servicios afectados. Niveles de calidad. Actualización de la lista de subencargados. Garantías jurídicamente vinculantes. Cadena de contratación basada en contratos vinculantes conforme a la Ley aplicable. Posibilidad de actuación de la aepd/lopd. Diligencia del responsable. Verificar: Tipología de los servicios y agentes implicados. Oferta de medidas de seguridad. Existencia de alguna auditoría o certificación. Portabilidad. Las instrucciones al encargado : en la práctica se manifiestan en las opciones elegidas por el responsable al contratar. Oferta de medidas de seguridad. LA AUDITORIA. REPORTE DE INCIDENCIAS Y QUIEBRAS DE SEGURIDAD.

Algunas cuestiones a considerar

Principios rectores: diligencia en la elección El responsable del tratamiento deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en el Reglamento. Está en condiciones de garantizar la seguridad? Dispone de alguna certificación o emplea alguna métrica que podamos verificar? ISO 27001? Se audita? Y si lo hace, garantiza cuando se audita frente a terceros la protección de mis datos? Exhibe documentación acreditativa y fiable? Hemos realizado un mínimo análisis de riesgos? Se nos ofrece información fiable? Subcontrata? Qué requisitos y obligaciones impone al subcontratista? Informa sobre la ubicación física/territorial de sus activos? Podemos decidir las ubicaciones? Reúne el software los requisitos de la Disp. Ad. Primera? Las aplicaciones son propias o las provee un tercero? puede acceder a datos el tercero? Cómo se contrata? Condiciones generales de la contratación? esta dispuesto a aceptar las exigencias dimanantes de la legislación española? Reúne el contrato las condiciones del artículo. 12 LOPD? Está en condiciones de cumplir con las exigencias normativas que debe garantizar el responsable del fichero? Qué garantías se ofrecen a la terminación del contrato? Se garantiza portabilidad e interoperabilidad? La destrucción es real?

En qué país de la nube se encuentran los datos? Escenarios Los recursos se encuentran en España. Se aplica LOPD cuando: el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento le sea de aplicación al responsable la legislación española en aplicación de normas de Derecho Internacional público el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. Los recursos se encuentran en un EM: disposiciones nacionales si el tratamiento es efectuado por un establecimiento en el EM. Si hay varios establecimientos tienen que cumplir todos. Los recursos se encuentran en territorio del Espacio Económico Europeo: rigen los principios generales del artículo 12 LOPD.

Transferencias internacionales de datos personales Los recursos se encuentran en un tercer país: Con un nivel de protección equiparable (Jersey, Isla de Man, Gernsey, Argentina, Canadá, Suiza, Islas Faroe, Israel, Andorra Uruguay, ). Se aplica el régimen general. Safe Harbour (www.export.gov/safeharbor). Responsable a encargado (contrato Artículo. 12 LOPD FAQ 10 (D200/520/CE) Subencargado: garantías equivalentes.

Sin un nivel de protección equiparable. Amparado por excepciones del art. 34 LOPD. Con autorización previa del Director de la AEPD aportando garantías adecuadas. Cláusulas tipo. Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo BCR s.

Nuevas opciones: Informe 157/2012 Cláusulas contractuales tipo? auditoria independendiente+contrato marco subencargados No compatible con la Decisión sobre cláusulas contractuales tipo responsable/encargado. Son garantías adecuadas desde un punto de vista nacional para TID Posibilidad de uso para encargado UE encargado no UE? Nuevo modelo encargado UE encargado no UE: autorización única. Adaptación cláusulas contractuales tipo. Autorización de condiciones generales para la TID. Deber de contratar con cada responsable en el marco de la autorización.

Garantía de los derechos A.R.C.O. Forman parte del núcleo esencial del derecho a la protección de datos. En ningún caso, las dificultades que puedan derivar del funcionamiento de los sistemas de Cloud Computing pueden justificar la no satisfacción de estos derechos.

Medidas de seguridad Las medidas que se imponen/ofrece el encargado deben ser precisas. Artículo 82. Encargado del tratamiento. 1. ( ) Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. 2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento.

Especial atención Documentación formal del encargo en el documento de seguridad. Los niveles establecen un mínimo: nada impide un plus de exigencia. Existen elementos realmente críticos: Formación de los usuarios del encargado. Copias de seguridad. Disponibilidad continuidad de negocio. Protección de los accesos a través de redes: cifrado de datos en tránsito/almacenamiento. Protocolos de detección, gestión y respuesta ante incidencias. Trazabilidad, controles de acceso y protección frente accesos indebidos de otros clientes y terceros proveedores. Localización de los recursos. Identificación y autenticación seguras. Auditoria y documentación. Quiebras de seguridad.

Otros aspectos normativos adicionales Investigación penal Potestades de investigación de las autoridades nacionales. Derechos en riesgo: Intimidad. Secreto de las comunicaciones. Libertad de investigación. Propiedad intelectual. Patentes, invenciones, secretos industriales.

Si es una Administración Pública: cumplimiento de esquemas nacionales de seguridad/interoperabilidad.

Administración electrónica

IAAS, PAAS, SAAS:. Protección de datos. Seguridad. Integridad, conservación y autenticidad de los documentos. Autenticidad de la copia. Barreras de acceso al prestador. ENS. Portabilidad. Interoperabilidad. Garantía 24/7 Registros y definición del momento de entrada. Asegurar los derechos del ciudadano. De que actividad administrativa se trata? policial? seguridad del estado? Asegurar la responsabilidad del contratista. Software. Además: Verificación previa en la actuación administrativa automatizada: definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad auditoría del sistema de información y de su código fuente integridad, conservación y autenticidad de los documentos

Conclusiones

Huir de contratos basados en condiciones generales cuando: Cláusulas generales de la contratación sometidas al Derecho del proveedor que no respeten las condiciones legales vigentes. Imposibilidad material de exhibición/auditar al proveedor Desarrollar políticas de análisis de riesgos y Privacy Impact Assement previas a la contratación: Internas. Sobre el proveedor. Jurídicas.

Internas. Es necesario y se puede contratar este tipo de servicio? Es la única alternativa posible? He definido en qué servicios? A qué datos personales afectará? Sobre el proveedor Tengo confianza en el proveedor? Me ofrece garantías adecuadas de seguridad? se trata de medidas homologables con las exigibles en mi país? existe notificación inmediata al responsable de las quiebras de seguridad? Dónde se encuentran sus sistemas? Cuenta con alguna certificación de privacidad? Jurídicas Qué tipo de servicios voy a contratar plataforma, software (SaaS), plataforma (PaaS), infraestructura (IaaS) y como encajan con las previsiones de la Ley 11/2007? Conoce el proveedor las condiciones que se imponen a un encargado del tratamiento? Se ha previsto la subcontratación? Se trata de un país del Espacio económico Europeo o es un país tercero? Existe una transferencia internacional de datos? He evaluado si es un país/países seguro/s? Las condiciones del contrato respetan el Derecho del responsable? Puedo imponer las cláusulas contractuales tipo de la Comisión Europea o se trata de un proceso de contratación estandarizada? Qué facultades de investigación (law enforcement) establece la legislación del proveedor?

Gracias por su atención Ponemos a su disposición las siguientes vías de contacto: Web: www.apep.es Email: contacto@apep.es, administracion@apep.es Twitter: @AsociacionAPEP, @ricardmm

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback