SlideShare ist ein Scribd-Unternehmen logo

Ud 1.2 principios de la proteccion de datos de caracter personal

Als PPT, PDF herunterladen
I
Isabel Barles Brun
1 von 78
UD 1.2 PRINCIPIOS DE LA PROTECCION DE DATOS
UD1.2 Principios de la protección de datos Principio de Proporcionalidad y Calidad de Datos Principio de Consentimiento Principio de Transparencia (Información en la recogida) Principio de Limitación de Objetivos (Finalidad) Principio de Acceso a los Datos por Cuenta de Terceros Principio de Comunicación de Datos Principio de Seguridad 2
UD1.2 Principios de la protección de datos La LOPD establece una serie de limitaciones al tratamiento de los datos; limitaciones fijadas para garantizar un uso adecuado, lícito, no excesivo y con las debidas medidas de seguridad que impidan la alteración, pérdida o tratamiento no autorizado de los datos, por eso la ley fija como contrapeso la necesidad de observar la voluntad del interesado o consentimiento. En la mayoría de los supuestos, la ley fija como contrapeso la necesidad de obtener voluntad el consentimiento del afectado 3
Principio de calidad  La Ley tiende a establecer unos principios generales de Calidad tendentes a garantizar un uso adecuado de los datos, fijando que: 1º.Los datos personales deben de adecuarse a la finalidad para la que fueron recabados, 2º.Deben ser exactos y actualizados, 3º.No deben mantenerse indefinidamente sin justificación 4º.Deben haber sido recogidos de forma lícita. 4
Principio de calidad  Finalidad: Los datos sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.  Exactitud de los datos:  De oficio por el Responsable del Fichero, cuando conozca dicha inexactitud.  A través del ejercicio del derecho de rectificación de los datos por el propio interesado. 5
Principio de calidad  Cancelación de datos: La cancelación se producirá directamente por el Responsable del Fichero en el momento en que el dato no sea necesario. En el caso de que una ley establezca que se deben conservar los datos, la cancelación se hará mediante el bloqueo o disociación de los mismos.  Lealtad: Se impone la prohibición de recoger los datos por medios fraudulentos, desleales o ilícitos. 6
Principio de calidad 7
Principio de consentimiento El consentimiento no es más que la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de sus datos personales. a) Libre: deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento. b) Específico: referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del Responsable del Fichero. c) Informado: el usuario debe conocer, con anterioridad al tratamiento, la existencia y las finalidades para las que se recogen los datos. 8
Principio de consentimiento d) Inequívoco: es preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento (no resulta admisible el consentimiento presunto).  En principio, el consentimiento dado abarca todas y cada una de las operaciones que engloban el tratamiento; encontrando sólo una excepción, que es en el caso de la cesión de datos, donde el consentimiento para la cesión será previo e informado. 9
Principio de consentimiento En la recogida de datos:  Como es previa al tratamiento de datos, el consentimiento suele ser tácito.  No obstante, es necesario informar al afectado de los siguientes puntos:  El titular del Fichero.  Las finalidades del tratamiento.  El carácter obligatorio/facultativo de las respuestas.  De los derechos que le asisten y su posibilidad de ejercicio.  De la dirección y, en su caso, las condiciones para ejercitar tales derechos. 10
Principio de consentimiento  No obstante el consentimiento deberá de ser expreso:  Para el tratamiento de datos de salud, origen racial y vida sexual  Para el tratamiento de datos de ideología, afiliación sindical, religión y creencias, además el consentimiento expreso será por escrito. 11
Principio de consentimiento  Excepciones a la obligación de obtener el consentimiento:  Una ley así lo disponga.  Cuando los datos se recojan para el ejercicio de las funciones publicas por las Administraciones Publicas.  Los datos se refieran a las partes de un contrato o precontrato negocial, administrativo, o se recojan dentro del ámbito de una relación laboral, y son necesarios para su mantenimiento o cumplimiento  Cuando el tratamiento se haga por finalidad del interés vital del afectado.  Los datos figuren en fuentes de acceso público, como por ejemplo, boletines oficiales, listas censales o repertorios telefónicos. 12
Principio de consentimiento Tratamiento de datos:  El tratamiento en si consiste en las operaciones de grabación de datos, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones y acceso a los datos.  El afectado siempre podrá ejercer los derechos que le concede la Ley (impugnación de valoraciones, acceso, rectificación, cancelación y oposición) 13
Principio de consentimiento Además existen una serie de principios y obligaciones específicos impuestos para garantizar su correcto tratamiento, conservación, acceso y destrucción. El responsable del fichero deberá informar detenidamente al afectado respecto de la utilización de sus datos de carácter personal, por lo que se reviste al consentimiento de una mayor seguridad jurídica. Por lo tanto, la prueba iuris tantum corresponde al responsable del fichero quien deberá acreditar la existencia de consentimiento otorgado por el afectado. 14
Principio de consentimiento •Consentimiento de los menores:  Puede pedirse el consentimiento de los mayores de 14 años.  En ningún caso, se les podrá pedir información sobre el resto de la unidad familiar.  Debe utilizarse un lenguaje que les resulte comprensible.  El responsable debe comprobar la edad del menor 15
Principio de consentimiento Revocación del consentimiento: • Se podrá ejercitar en los casos en los que hayamos tenido que prestar el consentimiento. • No es necesario que el afectado manifestase una causa para revocar su consentimiento, salvo si viene derivado del mantenimiento de una relación negocial, administrativa, fiscal o laboral. •La revocación tiene que poder realizarse por medios sencillos, gratuitos y que no impliquen ingreso alguno para el responsable del fichero.(envío prefranqueado, teléfonos gratuitos, mail..) 16
Principio de consentimiento • El responsable del fichero tiene un plazo de 10 días para cesar el tratamiento de esos datos de carácter personal desde la recepción de la oposición. • Si el interesado hubiera solicitado al responsable del tratamiento la confirmación del cese en el tratamiento de sus datos, el responsable deberá responder expresamente a la solicitud. 17
Principio de consentimiento Derecho de oposición: • En los casos en los que no es necesario el consentimiento del afectado para el tratamiento de los datos y siempre que no se disponga por ley lo contrario, el afectado podrá oponerse al tratamiento de sus datos –―cuando existan motivos fundados y legítimos relativos a una concreta situación personal‖-. 18
Principio de consentimiento  El derecho de oposición podrá ser total en el caso de datos obtenidos de fuentes accesibles al público y cuyo tratamiento sea para fines promocionales y publicitarios. El derecho de oposición será parcial en aquellos casos en los que el tratamiento venga del mantenimiento de una relación contractual o negocial, administrativa, laboral, etc… 19
Principio de consentimiento  El derecho de oposición podrá ser total en el caso de datos obtenidos de fuentes accesibles al público y cuyo tratamiento sea para fines promocionales y publicitarios. El derecho de oposición será parcial en aquellos casos en los que el tratamiento venga del mantenimiento de una relación contractual o negocial, administrativa, laboral, etc… 20
Principio de consentimiento 21
Principio de transparencia ¿Qué es? Es el derecho de información que tiene el titular de los datos y una obligación correlativa para el empresario. Los datos de carácter personal se pueden recabar:  Del propio interesado  De terceros  De fuentes accesibles al publico 22
Principio de transparencia Datos recabados del propio interesado: ¿Cuándo procede? Hay que informar en la recogida de datos. ¿Qué hay que informar? La existencia del fichero, la finalidad, de quien es el responsable del fichero, de los derechos, el carácter obligatorio o facultativo de la respuesta a preguntas, consecuencias de la negativa... ¿Cómo hacerlo? -Si son cuestionarios en papel o formularios informáticos: cláusula informativa legible. -Fuentes accesibles al publico y los utilizo con fines publicitarios: cláusula informativa en cada documento publicitario. 23
Principio de transparencia Ejemplo: “De conformidad con la Ley Orgánica 15/1999 de Protección de Datos Personales y a través de la cumplimentación del presente formulario, Vd. presta su consentimiento para el tratamiento de sus datos personales facilitados, que serán incorporados al fichero “XXXXXXX”, titularidad de la EMPRESA XXX, inscrito en el Registro General de la Agencia Española de Protección de Datos, cuya finalidad es la gestión fiscal, contable y administrativa de la relación contractual, así como el envío de información comercial sobre nuestros productos y servicios. Igualmente le informamos que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en dicha Ley, adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección: EMPRESA XXX. Departamento de Atención al Cliente LOPD. C/XXXXXX nº X. 46000 Valencia. Los campos señalados con * son obligatorios.”- 24
Principio de transparencia Datos recabados por terceros: • Es el caso de la cesión de datos. • En el caso de obtener datos que no hayan sido directamente recabados de los interesados, deberemos comunicar al interesado:  Procedencia de los datos.  El titular del Fichero.  Las finalidades del tratamiento.  El carácter obligatorio/facultativo de las respuestas.  De los derechos que le asisten y su posibilidad de ejercicio.  De la dirección para ejercer los derechos ARCO. 25
Principio de transparencia Excepciones: 1º.Que se le haya informado con anterioridad, por la empresa que recabó originariamente los datos. 2º.Que así lo prevea expresamente una Ley. 3º.Que el tratamiento tenga fines históricos, científicos o estadísticos. 4º.Cuando, a criterio de la Agencia Española de Protección de Datos, resulte imposible o exija un esfuerzo desproporcionado realizar tal comunicación, siempre atendiendo al número de interesados, antigüedad de los datos y a las posibles medidas compensatorias. 26
Principio de transparencia Datos recabados de fuentes accesibles al publico:  Cuando los datos proceden de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, se debe informar al interesado en cada comunicación que se le realice de:  El origen de los datos.  La identidad y dirección del Responsable del Fichero.  Las finalidades del tratamiento.  La posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. 27
Acceso a datos  ¿Qué es el acceso a los datos por cuenta de terceros? (Art 12 de la LOPD y Art. 20, 21 y 22 del RD 1720/2007) -El responsable del fichero permite a un tercero acceder a los datos de carácter personal para que preste un servicio relacionado con los mismos. -El tercero, denominado encargado de tratamiento se limita a tratar los datos por cuenta del responsable de los datos, es decir siguiendo sus instrucciones y devolviendo o destruyendo los datos una vez finalizado el servicio contratado. Ej: encargados de tratamiento serian las asesorías o gestorías que realizan la gestión contable, fiscal o laboral; servicios de Prevención de Riesgos; empresas de mantenimiento de Software o Hardware… 28
Acceso a datos  ¿Qué características deben darse pare que exista acceso a datos por cuenta de terceros? 1) Firma de un contrato de acceso a datos: El contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Se establecerán y detallarán las medidas de seguridad que deberá adoptar e implantar, de acuerdo al nivel de seguridad de los datos. 29
Acceso a datos 2) Una vez finalizado el servicio, o cumplida la prestación contractual, el encargado de tratamiento deberá destruir o devolver los datos de carácter personal. 3) En caso de que el encargado del tratamiento quiera subcontratar algún servicio que suponga el acceso a los datos a un tercero, deberá contar con el expreso consentimiento del Responsable del Fichero; consentimiento que deberá quedar establecido en el contrato. 30
Acceso a datos Responsabilidad de las partes: Del Encargado del Tratamiento: Asumirá personalmente las infracciones y sanciones que puedan derivarse del incumplimiento de sus obligaciones contractuales en relación con los datos de carácter personal. Del Responsable del Fichero: Asumirá personalmente las infracciones cometidas por el Encargado del Tratamiento cuando éste actúe de acuerdo a las instrucciones y obligaciones fijadas en el contrato. (Revisar el modelo de contrato de acceso a datos que aparece en la sección Biblioteca de la Plataforma) 31
Acceso a datos Si no se dan las características anteriores, no estaremos ante un caso de acceso a datos, sino ante un supuesto de comunicación de datos o cesión de datos. 32
Cesión de datos o Comunicación de Datos  ¿Qué es la cesión de datos? ―Toda revelación de datos realizada por persona distinta del interesado‖ Ej: Comunicación de Datos entre empresas de un mismo grupo empresarial; comunicación de datos a un empresa de publicidad para hacer campaña de telemarketing…  ¿Cuáles son las características de la cesión de datos? 1º. Se ceden datos a un tercero que trata los datos por su cuenta (no sigue instrucciones del fichero) y bajo su responsabilidad. 2º.El previo consentimiento informado del interesado. 33
Cesión de datos o Comunicación de Datos 3º. El tercero al que se le ceden los datos (cesionario) adquiere la condición de responsable del fichero. 34
Cesión de datos o Comunicación de datos Para poder obtener el consentimiento, hay que informar: a)Identificación, actividad y dirección del cesionario. b)Finalidad a la cual se destinarán los datos cedidos. c)La identidad y dirección del cesionario, d)La naturaleza de los datos cedidos, e)La finalidad del fichero. No será necesario proporcionar esta información al interesado cuando resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia Española de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. 35
Cesión de datos o Comunicación de datos  ¿Cuándo el consentimiento previo del interesado no es necesario en la cesión de sus datos? 1º.Cuando la cesión esté autorizada por una Ley. Cesiones Legales. 2º.Cuando se trate de datos recogidos de fuentes accesibles al público, siempre que el tratamiento de los datos sea necesario para la satisfacción del interés legítimo perseguido por el cedente o por el cesionario y se respeten los derechos de los interesados. 3º.- Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente conexión con ficheros de terceros. 36
Cesión de datos o Comunicación de datos 4º.- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas. 5º.- Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos. 6º.- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia 37
Cesión de datos o Comunicación de datos  ¿Cuándo es nulo el consentimiento dado en la cesión? Cuando el interesado otorgue su consentimiento a la cesión sin pleno conocimiento de quién es el destinatario de la misma, cuál es su actividad y para qué finalidad va a utilizar sus datos.  ¿Es revocable el consentimiento dado a la cesión de los datos? El consentimiento siempre es revocable, pero no tendrá efectos retroactivos a las cesiones que se realizaron mientras el consentimiento estaba activo. 38
Cesión de datos o Comunicación de datos  ¿A qué se obliga el cedente con la cesión? El cedente se obliga a informar al interesado en dos momentos: 1º.En el momento de la recogida de los datos, donde deberá recabar el previo consentimiento informado para la cesión de los datos. 2º.En el momento de proceder a la cesión efectiva de los datos, deberá comunicarle al interesado los datos del cesionario, finalidad del fichero y datos que han sido cedidos. 39
Cesión de datos o Comunicación de datos  ¿A qué se obliga el cesionario con la cesión? En la primera comunicación que dirija al interesado, deberá informarle de forma expresa, precisa e inequívoca de: a)Procedencia de los datos. b)Su incorporación a un fichero. c)Finalidad del tratamiento. d)Derechos que puede ejercitar (acceso, rectificación, cancelación y oposición). e)Datos identificativos y dirección. 40
Resumen 41
Resumen La diferencia radica ,principalmente ,en la responsabilidad: Acceso a Datos Cesión de datos • El tercero trata los datos • El tercero trata los datos por siguiendo las instrucciones del su cuenta (sin seguir responsable del fichero instrucciones del responsable) • Debe existir un contrato, • Debe existir un consentimiento normalmente por escrito, que previo del afectado. cumpla con los requisitos del art. 11 de la LOPD) • Una vez finalizado el servicio los datos se devuelven o hay que destruirlo. • El encargado del tratamiento • El tercero (cesionario) será responsable , solo en el adquiere la condición de caso de que incumpla las responsable del fichero. estipulaciones del contrato 42
Principio de Seguridad  La normativa sobre protección de datos liga el concepto de seguridad a: a) Confidencialidad: entendido como el acceso autorizado a los datos. b) Exactitud: la información no debe sufrir alteraciones no deseadas, en cuanto a su contenido. c) Disponibilidad: sólo las personas autorizadas pueden tener acceso a la información. 43
Principio de Seguridad  Las medidas que se establecen, son de dos tipos:  Medidas Organizativas: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros.  b) Medidas Técnicas: medidas destinadas principalmente a la conservar la integridad de la información (su no alteración, pérdida o robo) y en menor medida a la confidencialidad de los datos personales. Se encuentran delimitadas en función del nivel de seguridad de los datos tratados: básico, medio y alto. 44
Principio de Seguridad  Niveles de Seguridad:  Nivel Básico: Todos los ficheros  Nivel Medio: a) Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales. b) Ficheros que contengan datos sobre Hacienda Pública. c) Ficheros que contengan datos sobre Servicios Financieros. d) Ficheros que contengan datos sobre solvencia patrimonial y crédito. 45
Principio de Seguridad e) Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado. f) Ficheros titularidad de Entidades Gestoras y Servicios Comunes de la Seguridad Social, mutuas de trabajo y enfermedades profesionales de la SS.  Nivel Alto: Ideología ,afiliación sindical, religión creencias, origen racial, salud y vida sexual. Datos de violencia de genero. Datos recabados para fines policiales policiales sin consentimiento de los afectados. 46
Principio de Seguridad Excepción: Los datos especialmente protegidos podrán considerarse de Nivel Básico en los siguientes casos:  Para el pago de cuotas de asociaciones  En ficheros en papel que los contengan de manera accidental.  Los datos propios para hacer frente a las obligaciones legales, tales como seguridad social, hacienda, etc. respecto de los trabajadores—altas, bajas, porcentaje de minusvalía, detracción cuota sindical, pagos a entidades bancarias, etc. 47
Principio de Seguridad NIVEL BASICO NIVEL MEDIO NIVEL ALTO Datos de Carácter Infracciones penales y/o Religión y creencias ,Origen identificativo (Nombre y administrativas, datos de racial, Salud, Ideología y TIPOS DE apellidos, DNI, Teléfono, Hacienda Pública, Vida sexual DATOS domicilio…) ,Imagen Información de Servicios financieros… -Documento de Seguridad -Documento de Seguridad -Documento de Seguridad -Registro de incidencias -Registro de incidencias -Registro de incidencias -Funciones y obligaciones -Funciones y obligaciones -Funciones y obligaciones de personal de personal de personal -Contraseñas de acceso -Contraseñas de acceso -Contraseñas de acceso -Copias de Seguridad -Copias de Seguridad -Copias de Seguridad -Inventario de soportes -Inventario de soportes -Inventario de soportes -Control de acceso físico -Control de acceso físico -Control de acceso físico -Responsable de Seguridad -Responsable de Seguridad MEDIDAS DE -Auditoria Bianual -Auditoria Bianual SEGURIDAD -Registro de acceso a datos -Almacenar las copias de seguridad fuera del local. -Cifrado de Datos SANCIONES De 900€ a 40.000€ De 40.001€ a 300.000€ De 300.001€ a 600.000€ 48
Principio de Seguridad  Medidas aplicables a los diferentes niveles de seguridad de ficheros automatizados El RD establece unas medidas de seguridad que se aplican independientemente del nivel de seguridad de los ficheros tratados: a) Acceso a través de redes de telecomunicaciones Las medidas de seguridad exigibles para el acceso a través de redes de telecomunicaciones deberá garantizar un nivel equivalente al correspondiente a los accesos en modo local. 49
Principio de Seguridad b) Régimen de trabajo fuera de los locales de la ubicación del fichero  Autorizado por el responsable en Documento de Seguridad. La autorización puede tener un periodo de validez c) Ficheros Temporales (art.7).  Los ficheros temporales deberán cumplir el mismo nivel de seguridad que el fichero del tienen origen.  Destrucción o borrado seguro cuando haya dejado de ser necesario para la finalidad que motivó su creación. 50
Principio de Seguridad  Medidas de seguridad de Nivel Básico 1) Documento de Seguridad: El Documento de Seguridad es un documento de carácter privado y de obligado cumplimiento para todo el personal de la Empresa que acceda a los Ficheros de datos de carácter personal y a los Sistemas de Información, en el que deben quedar plasmadas y recogidas todas las políticas, reglas, medidas y procedimientos de seguridad establecidos por el Responsable del Fichero. 51
Principio de Seguridad Contenido del Documento de Seguridad a) Ámbito de aplicación del Documento con especificación detallada de los recursos protegidos  Ficheros de datos de carácter personal protegidos por la normativa.  Descripción de los equipos informáticos utilizados para su tratamiento (servidores, terminales, ordenadores).  Aplicaciones informáticas utilizadas para el tratamiento de los ficheros de datos (como Bases de datos SQL, Programas de gestión,…)  Descripción de la red de comunicaciones.  Locales e ubicaciones donde será de aplicación la normativa. 52
Principio de Seguridad b) Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido.  Los procedimientos y normas de acceso físico a las ubicaciones y locales:  Los procedimientos y normas de acceso al sistema informático: asignación, distribución, almacenamiento y cambio de contraseñas de acceso al sistema y red.  Los procedimientos, normas y medidas de seguridad lógica adoptados para la defensa ante ataques externos (antivirus, firewalls, cifrado de redes, control de puertos, etc…).  Los procedimientos de acceso y normas de utilización de aplicaciones informáticas concretas. 53
Principio de Seguridad  Los procedimientos de acceso y normas de utilización de aplicaciones informáticas concretas.  Los procedimientos, normas y medidas de acceso a través de Redes de Telecomunicaciones.  Los procedimientos, autorizaciones y normas de trabajo en ubicaciones distintas a la principal.  Las directrices de seguridad para la utilización de determinados programas de correo electrónico, protectores de pantalla, conservación de documentos, generación de contraseñas… c) Funciones y obligaciones del personal. Listado actualizado de usuarios con acceso a los datos de carácter personal. 54
Principio de Seguridad d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información. Se especifica el nombre de la aplicación informática que se utiliza para el tratamiento de los datos; datos referentes al equipo- servidor en el que se encuentra almacenado el fichero. f) Los procedimientos de realización de copias de respaldo y recuperación de datos. Debe establecerse y definirse en el Documento de Seguridad cuándo, cómo y qué se incorpora a las copias de seguridad; y, en caso de que sea necesaria la restauración de los datos, cuál es el procedimiento de actuación a seguir. 55
Principio de Seguridad g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos , así como la destrucción de los mismos o su reutilización.  Si existe tratamiento por cuenta de terceros debe aparecer en el documento de seguridad.  El documento de seguridad debe mantenerse en todo momento actualizado. 56
Principio de Seguridad 2) Funciones y obligaciones de personal con acceso a los datos:  Deben de estar claramente definidas y documentadas  El personal deberá conocer las normas de seguridad establecidas y las consecuencias de su incumplimiento. 3) Registro de Incidencias  Tipo de incidencia  Momento en que se ha producido,  Persona que realiza la notificación,  Persona a quien se le comunica, y  Efectos que se hubieran derivado de la incidencia. 57
Principio de Seguridad 4) Control de acceso:  El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.  Solo el personal autorizado podrá acceder a la información. 5) Identificación y autenticación  Identificación de forma inequívoca y personal Identificación= usuario autenticación=contraseña 58
Principio de Seguridad  Procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Recomendaciones para las contraseñas:  Si la contraseña es generada por el Administrador del Sistema y luego es cambiada, en el primer acceso al sistema, por una contraseña personal por parte del usuario, o por el contrario no podrá ser modificada por el usuario.  La longitud mínima (6 a 8 caracteres)  Composición Alfanumérica (letras, números, mayúsculas y minúsculas y /o símbolos)  Vigencia no superior a un año. 59
Principio de Seguridad  Establecer los procedimientos para el cambio de contraseña y los casos en los que deberá procederse a su cambio por haberse visto comprometida.  Establecer los procedimientos de bloqueo y desbloqueo de cuenta por utilización reiterada de contraseñas incorrectas.  Establecer los procedimientos de generación, conservación y almacenamiento seguro de contraseñas. 6) Gestión de soportes y documentos:  Los soportes o documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen.  La salida de soportes y documentos que contengan datos de carácter personal, fuera de los locales en los que está ubicado el fichero, debe ser autorizado por el responsable del fichero. 60
Principio de Seguridad Posibles medidas a adoptar:  Inventariado y almacenamiento de todos los soportes informáticos.  Modelo de autorización y registro de salida de soportes informáticos.  Conservación y almacenamiento de soportes papel /documentación en armarios/archivadores.  Cada vez que un usuario accede a documentos y/o soportes (informáticos y/o en papel) que contengan datos de carácter personal, una vez finalizado su uso deberá devolverlo a su armario/archivador.  Inventariado y almacenamiento con acceso restringido a documentos y soportes calificados como confidenciales. 61
Principio de Seguridad 7) Copias de respaldo y recuperación: Copias de seguridad a) Verificar la definición y correcta aplicación de los procedimientos de ejecución de copias de respaldo y recuperación de los datos. b) Los procedimientos de backup deberán garantizar la reconstrucción de los datos al estado en que se encontraban al momento anterior de producirse la pérdida o destrucción. c) Deberán realizarse copias de respaldo al menos semanalmente d) El responsable del fichero se encargara de verificar cada 6 meses la correcta definición, funcionamiento y aplicación del procedimiento de copias de seguridad. 62
Principio de Seguridad  Medidas de seguridad de Nivel Medio 1) Documento de Seguridad:  Identificar el responsable/s de seguridad  Los controles periódicos que se deban realizar para verificar el cumplimiento del documento de seguridad. 2) Responsable de Seguridad  La persona encargada de velar por el cumplimiento de las medidas, reglas y normas de seguridad establecidas por el Responsable del Fichero.  Debe establecerse en el documento de seguridad sus funciones y obligaciones. 63
Principio de Seguridad 3) Auditoría:  Auditoria Bianual interna o externa obligatoria.  El Informe de Auditoría deberá dictaminar sobre el grado de adecuación y cumplimiento de las medidas de seguridad, identificar sus deficiencias y proponer las medidas correctoras necesarias. 4) Identificación y Autenticación: Se debe limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 5) Control de acceso físico: Solo el personal autorizado podrá acceder a los lugares donde se hallen los equipos físicos. 64
Principio de Seguridad 6) Registro de incidencias:  Deberá además señalarse la persona que ejecuto el proceso, los datos restaurados, y en su caso, que datos ha sido grabar manualmente en el proceso de recuperación.  El responsable del fichero deberá autorizar los procedimientos de recuperación de datos. 7) Gestión de soportes y documentos:  Debe existir un registro de entrada y salida de soportes que identifique: tipo de documento o soporte, fecha y hora, emisor/destinatario , numero de documento, tipo de información que contienen, forma de envío, responsable de la recepción o entrega. 65
Principio de Seguridad  Medidas de seguridad de Nivel Alto Se establecen medidas de seguridad especificas para este nivel:  La utilización de mecanismos de encriptación y cifrado de los datos.  El registro, control y almacenamiento de logs de accesos a los ficheros.  El almacenamiento de copia de seguridad en ubicación distinta. 66
Principio de Seguridad  Medidas de seguridad de Nivel Alto Se establecen medidas de seguridad especificas para este nivel:  La utilización de mecanismos de encriptación y cifrado de los datos.  El registro, control y almacenamiento de logs de accesos a los ficheros.  El almacenamiento de copia de seguridad en ubicación distinta. 67
Principio de Seguridad 1) Gestión y Distribución de soportes:  Identificación de los soportes mediante sistemas de etiquetado que permitan identificar su contenido.  Distribución de los soportes cifrada u otro mecanismo que impida su manipulación durante su transporte. 2) Copias de Respaldo y Recuperación: Los ficheros de datos de nivel alto deberán conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente a aquél en que se encuentran los equipos informáticos que los tratan cumpliendo, en todo caso, las medidas de seguridad exigidas. 68
Principio de Seguridad 3) Registro de accesos  De cada acceso, se guardarán como mínimo: a) La identificación del usuario b) Fecha y la hora en que se realizó el acceso c) Fichero accedido, d) Tipo de acceso: autorizado o denegado, e) Y en el caso que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.  Los mecanismos que permiten el registro de los datos detallados anteriormente estarán bajo el control directo del responsable de seguridad 69
Principio de Seguridad  El periodo mínimo de conservación de estos datos ser a de años.  El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados Excepciones al Registro de acceso:  Cuando el responsable del fichero sea una persona física y  Que el responsable del fichero garantice que únicamente el tiene acceso. Si concurren ambas circunstancias debe hacerse constar en el Documento de Seguridad 70
Principio de Seguridad 4) Telecomunicaciones La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Resumen: (Ver el cuadro resumen de medidas de seguridad de la Agencia Española de Protección de Datos que esta en la sección Biblioteca) 71
Principio de Seguridad  Medidas aplicables a los diferentes niveles de seguridad para ficheros no automatizados  Se regulan los medios a través de los cuales se deben custodiar, almacenar y/o guardar, y acceder a aquellos por parte de las personas que están autorizadas. Sin embargo, deja plena libertad a la hora de configurar por el responsable del fichero las medidas a implantar para este tipo de soportes.  Se les aplica gran parte de lo exigido para los soportes automatizados:  Inscripción en la AGPD  Niveles de Seguridad  Encargado del tratamiento  Documento de seguridad  Copias de trabajo 72
Principio de Seguridad  Delegación de autorizaciones  Régimen de trabajo fuera de los locales  Funciones y obligaciones de personal  Registro de incidencias  Control de acceso  Gestión de Soportes 73
Principio de Seguridad  Medidas de seguridad de Nivel Básico: 1) Criterios de Archivo  Establecidos por la normativa especifica o el responsable del fichero  Deben permitir la conservación, localización y consulta de los documentos y posibilitar el ejercicio de los Derechos ARCO. 2) Dispositivos de almacenamiento  Limitar el acceso a los documentos de las personas no autorizadas mediante mecanismos que obstaculicen la apertura. 3) Custodia de soportes  En el proceso previo o posterior al archivo, la persona responsable deberá custodiar los documentos. 74
Principio de Seguridad  Medidas de seguridad de Nivel Medio: 1) Designar uno o varios responsables de seguridad. 2) Auditoria de Protección de Datos de Carácter Personal  Auditoria Bianual Obligatoria 75
Principio de Seguridad  Medidas de seguridad de Nivel Alto: 1) Almacenamiento de la información:  Solo personal autorizado puede tener acceso a los armarios, archivadores…que almacenen los ficheros  Dichas aéreas deben permanecer cerradas cuando no sea preciso el acceso. 2) Copia o reproducción  Solo podrá realizarse por personal autorizado 3) Acceso a la documentación  Solo personal autorizado  Establecer mecanismos para saber quien a accedido al documento cuando existan varios usuarios 76
Principio de Seguridad  Medidas de seguridad de Nivel Alto: 4) Traslado de documentación  Tomar medidas para evitar el acceso o la manipulación durante el traslado. 77
Principio de Seguridad 78

Empfohlen

Precedentes vinculantes y plenos jurisdiccionales en Perú
Precedentes vinculantes y plenos jurisdiccionales en Perú Precedentes vinculantes y plenos jurisdiccionales en Perú
Precedentes vinculantes y plenos jurisdiccionales en Perú Heiner Rivera
 
La acumulación de pretensiones
La acumulación de pretensionesLa acumulación de pretensiones
La acumulación de pretensionesOscar Vielich Saavedra
 
Cabala judia los 72 genios de la kabala
Cabala judia los 72 genios de la kabalaCabala judia los 72 genios de la kabala
Cabala judia los 72 genios de la kabalaSINEXTRA CORP C.A.
 
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Severo Tabares
 
3 7 2008_cuadro_age_4_6254
3 7 2008_cuadro_age_4_62543 7 2008_cuadro_age_4_6254
3 7 2008_cuadro_age_4_6254gusoiu
 
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...NUGAR PMO
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterasociacionadia
 
Situación del acceso y la calidad de la información pública en Venezuela
Situación del acceso y la calidad de la información pública en VenezuelaSituación del acceso y la calidad de la información pública en Venezuela
Situación del acceso y la calidad de la información pública en VenezuelaCoalicionProAcceso
 

Empfohlen

Precedentes vinculantes y plenos jurisdiccionales en Perú
Precedentes vinculantes y plenos jurisdiccionales en Perú Precedentes vinculantes y plenos jurisdiccionales en Perú
Precedentes vinculantes y plenos jurisdiccionales en Perú Heiner Rivera
 
La acumulación de pretensiones
La acumulación de pretensionesLa acumulación de pretensiones
La acumulación de pretensionesOscar Vielich Saavedra
 
Cabala judia los 72 genios de la kabala
Cabala judia los 72 genios de la kabalaCabala judia los 72 genios de la kabala
Cabala judia los 72 genios de la kabalaSINEXTRA CORP C.A.
 
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter ...Severo Tabares
 
3 7 2008_cuadro_age_4_6254
3 7 2008_cuadro_age_4_62543 7 2008_cuadro_age_4_6254
3 7 2008_cuadro_age_4_6254gusoiu
 
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...NUGAR PMO
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterasociacionadia
 
Situación del acceso y la calidad de la información pública en Venezuela
Situación del acceso y la calidad de la información pública en VenezuelaSituación del acceso y la calidad de la información pública en Venezuela
Situación del acceso y la calidad de la información pública en VenezuelaCoalicionProAcceso
 
Metodología para la creación de un corpus para evaluar el sitio de gobierno a...
Metodología para la creación de un corpus para evaluar el sitio de gobierno a...Metodología para la creación de un corpus para evaluar el sitio de gobierno a...
Metodología para la creación de un corpus para evaluar el sitio de gobierno a...Claudia Gutiérrez
 
Calendario examanes 3 evaluacion
Calendario examanes 3 evaluacionCalendario examanes 3 evaluacion
Calendario examanes 3 evaluacionfamiliarodriguezroig
 
Mk comunicacion III
Mk comunicacion IIIMk comunicacion III
Mk comunicacion IIIfamiliarodriguezroig
 
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978DpFilosofia Quevedo
 
Mk distribucion II
Mk distribucion IIMk distribucion II
Mk distribucion IIfamiliarodriguezroig
 
Sistema eductivo-LOMCE
Sistema eductivo-LOMCESistema eductivo-LOMCE
Sistema eductivo-LOMCEfamiliarodriguezroig
 
Manual ciudadano para el libre acceso a la informacion poder ciudadano
Manual ciudadano para el libre acceso a la informacion poder ciudadanoManual ciudadano para el libre acceso a la informacion poder ciudadano
Manual ciudadano para el libre acceso a la informacion poder ciudadanoPoder Ciudadano
 
Mk distribucion II
Mk distribucion IIMk distribucion II
Mk distribucion IIfamiliarodriguezroig
 
Datos de Carácter Personal
Datos de Carácter PersonalDatos de Carácter Personal
Datos de Carácter Personal🌐 Manuel Enrique Morales
 
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...EUROsociAL II
 
Pasaporte al paraíso
Pasaporte al paraísoPasaporte al paraíso
Pasaporte al paraísogusoiu
 
14 2 ayto_2009_derecho_peticion_municipio_7183
14 2 ayto_2009_derecho_peticion_municipio_718314 2 ayto_2009_derecho_peticion_municipio_7183
14 2 ayto_2009_derecho_peticion_municipio_7183gusoiu
 
Presentación Ley de la propiedad intelectual
Presentación Ley de la propiedad intelectualPresentación Ley de la propiedad intelectual
Presentación Ley de la propiedad intelectualJennifuentes
 
Mk comunicacion I
Mk comunicacion IMk comunicacion I
Mk comunicacion Ifamiliarodriguezroig
 
Ley de Proteccion De Datos
Ley de Proteccion De Datos Ley de Proteccion De Datos
Ley de Proteccion De Datos Magaby123
 
Ud 2 el gobierno y la age
Ud 2 el gobierno y la ageUd 2 el gobierno y la age
Ud 2 el gobierno y la agefamiliarodriguezroig
 
Ley de Acceso a la Información Pública (Versión Comentada)
Ley de Acceso a la Información Pública (Versión Comentada)Ley de Acceso a la Información Pública (Versión Comentada)
Ley de Acceso a la Información Pública (Versión Comentada)FUSADES
 
Ley de proteccion de datos
Ley de proteccion de datosLey de proteccion de datos
Ley de proteccion de datoserickg98
 
El Libro I de la Ley de Propiedad Intelectual
El Libro I de la Ley de Propiedad IntelectualEl Libro I de la Ley de Propiedad Intelectual
El Libro I de la Ley de Propiedad IntelectualEmi Fernndez
 
Principios de contabilidad generalmente aceptados
Principios de contabilidad generalmente aceptadosPrincipios de contabilidad generalmente aceptados
Principios de contabilidad generalmente aceptadosMarco Antonio Ojeda Prado
 
Leyes
LeyesLeyes
LeyesCRHGZS
 
Diapositivas de las leyes
Diapositivas de las leyesDiapositivas de las leyes
Diapositivas de las leyesCRHGZS
 

Weitere ähnliche Inhalte

Andere mochten auch

Metodología para la creación de un corpus para evaluar el sitio de gobierno a...
Metodología para la creación de un corpus para evaluar el sitio de gobierno a...Metodología para la creación de un corpus para evaluar el sitio de gobierno a...
Metodología para la creación de un corpus para evaluar el sitio de gobierno a...Claudia Gutiérrez
 
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978DpFilosofia Quevedo
 
Manual ciudadano para el libre acceso a la informacion poder ciudadano
Manual ciudadano para el libre acceso a la informacion poder ciudadanoManual ciudadano para el libre acceso a la informacion poder ciudadano
Manual ciudadano para el libre acceso a la informacion poder ciudadanoPoder Ciudadano
 
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...EUROsociAL II
 
Pasaporte al paraíso
Pasaporte al paraísoPasaporte al paraíso
Pasaporte al paraísogusoiu
 
14 2 ayto_2009_derecho_peticion_municipio_7183
14 2 ayto_2009_derecho_peticion_municipio_718314 2 ayto_2009_derecho_peticion_municipio_7183
14 2 ayto_2009_derecho_peticion_municipio_7183gusoiu
 
Presentación Ley de la propiedad intelectual
Presentación Ley de la propiedad intelectualPresentación Ley de la propiedad intelectual
Presentación Ley de la propiedad intelectualJennifuentes
 
Ley de Proteccion De Datos
Ley de Proteccion De Datos Ley de Proteccion De Datos
Ley de Proteccion De Datos Magaby123
 
Ley de Acceso a la Información Pública (Versión Comentada)
Ley de Acceso a la Información Pública (Versión Comentada)Ley de Acceso a la Información Pública (Versión Comentada)
Ley de Acceso a la Información Pública (Versión Comentada)FUSADES
 
Ley de proteccion de datos
Ley de proteccion de datosLey de proteccion de datos
Ley de proteccion de datoserickg98
 
El Libro I de la Ley de Propiedad Intelectual
El Libro I de la Ley de Propiedad IntelectualEl Libro I de la Ley de Propiedad Intelectual
El Libro I de la Ley de Propiedad IntelectualEmi Fernndez
 
Principios de contabilidad generalmente aceptados
Principios de contabilidad generalmente aceptadosPrincipios de contabilidad generalmente aceptados
Principios de contabilidad generalmente aceptadosMarco Antonio Ojeda Prado
 

Andere mochten auch (20)

Metodología para la creación de un corpus para evaluar el sitio de gobierno a...
Metodología para la creación de un corpus para evaluar el sitio de gobierno a...Metodología para la creación de un corpus para evaluar el sitio de gobierno a...
Metodología para la creación de un corpus para evaluar el sitio de gobierno a...
 
Calendario examanes 3 evaluacion
Calendario examanes 3 evaluacionCalendario examanes 3 evaluacion
Calendario examanes 3 evaluacion
 
Mk comunicacion III
Mk comunicacion IIIMk comunicacion III
Mk comunicacion III
 
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978
TRANSITOLOGIA POLITICA ESPAÑOLA: LA CONSTITUCION DE 1978
 
Mk distribucion II
Mk distribucion IIMk distribucion II
Mk distribucion II
 
Sistema eductivo-LOMCE
Sistema eductivo-LOMCESistema eductivo-LOMCE
Sistema eductivo-LOMCE
 
Manual ciudadano para el libre acceso a la informacion poder ciudadano
Manual ciudadano para el libre acceso a la informacion poder ciudadanoManual ciudadano para el libre acceso a la informacion poder ciudadano
Manual ciudadano para el libre acceso a la informacion poder ciudadano
 
Mk distribucion II
Mk distribucion IIMk distribucion II
Mk distribucion II
 
Datos de Carácter Personal
Datos de Carácter PersonalDatos de Carácter Personal
Datos de Carácter Personal
 
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...
Novedades Legislativas y de Aplicación sobre la Normativa de Protección de Da...
 
Pasaporte al paraíso
Pasaporte al paraísoPasaporte al paraíso
Pasaporte al paraíso
 
14 2 ayto_2009_derecho_peticion_municipio_7183
14 2 ayto_2009_derecho_peticion_municipio_718314 2 ayto_2009_derecho_peticion_municipio_7183
14 2 ayto_2009_derecho_peticion_municipio_7183
 
Presentación Ley de la propiedad intelectual
Presentación Ley de la propiedad intelectualPresentación Ley de la propiedad intelectual
Presentación Ley de la propiedad intelectual
 
Mk comunicacion I
Mk comunicacion IMk comunicacion I
Mk comunicacion I
 
Ley de Proteccion De Datos
Ley de Proteccion De Datos Ley de Proteccion De Datos
Ley de Proteccion De Datos
 
Ud 2 el gobierno y la age
Ud 2 el gobierno y la ageUd 2 el gobierno y la age
Ud 2 el gobierno y la age
 
Ley de Acceso a la Información Pública (Versión Comentada)
Ley de Acceso a la Información Pública (Versión Comentada)Ley de Acceso a la Información Pública (Versión Comentada)
Ley de Acceso a la Información Pública (Versión Comentada)
 
Ley de proteccion de datos
Ley de proteccion de datosLey de proteccion de datos
Ley de proteccion de datos
 
El Libro I de la Ley de Propiedad Intelectual
El Libro I de la Ley de Propiedad IntelectualEl Libro I de la Ley de Propiedad Intelectual
El Libro I de la Ley de Propiedad Intelectual
 
Principios de contabilidad generalmente aceptados
Principios de contabilidad generalmente aceptadosPrincipios de contabilidad generalmente aceptados
Principios de contabilidad generalmente aceptados
 

Ähnlich wie Ud 1.2 principios de la proteccion de datos de caracter personal

Diapositivas de las leyes
Diapositivas de las leyesDiapositivas de las leyes
Diapositivas de las leyesCRHGZS
 
Protección de Datos Personales en el Ámbito Laboral en Colombia
Protección de Datos Personales en el Ámbito Laboral en ColombiaProtección de Datos Personales en el Ámbito Laboral en Colombia
Protección de Datos Personales en el Ámbito Laboral en ColombiaMarrugo Rivera & Asociados
 
Ley de Protección de Datos y el Ámbito Laboral en Colombia.
Ley de Protección de Datos y el Ámbito Laboral en Colombia.Ley de Protección de Datos y el Ámbito Laboral en Colombia.
Ley de Protección de Datos y el Ámbito Laboral en Colombia.Marrugo Rivera & Asociados
 
Cultura Digital Equipo 2.pptxJaidiwospwp
Cultura Digital Equipo 2.pptxJaidiwospwpCultura Digital Equipo 2.pptxJaidiwospwp
Cultura Digital Equipo 2.pptxJaidiwospwpDanielarroyo451
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
Ley Orgánica de Protección de Datos Personales (LOPD).pptx
Ley Orgánica de Protección de Datos Personales (LOPD).pptxLey Orgánica de Protección de Datos Personales (LOPD).pptx
Ley Orgánica de Protección de Datos Personales (LOPD).pptxAndreaPiedra6
 
Datos Personales Alfredo Reyes Kraft
Datos Personales Alfredo Reyes KraftDatos Personales Alfredo Reyes Kraft
Datos Personales Alfredo Reyes KraftAMIPCI
 
Propuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datosPropuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datosAdigital
 
Los datos personales y su protección
Los datos personales y su protecciónLos datos personales y su protección
Los datos personales y su protecciónMarcos Berttoni
 
Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Future Experts
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datosIRIARTETXE
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datosIRIARTETXE
 
Protección de Datos Personales en Argentina @facambronero
Protección de Datos Personales en Argentina @facambroneroProtección de Datos Personales en Argentina @facambronero
Protección de Datos Personales en Argentina @facambroneroFátima Cambronero
 
Comunicacion digital y política de privacidad
Comunicacion digital y política de privacidadComunicacion digital y política de privacidad
Comunicacion digital y política de privacidadAdigital
 
Implicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesImplicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesAdigital
 
Protección de datos y comunicación digital
Protección de datos y comunicación digitalProtección de datos y comunicación digital
Protección de datos y comunicación digitalAdigital
 

Ähnlich wie Ud 1.2 principios de la proteccion de datos de caracter personal (20)

Leyes
LeyesLeyes
Leyes
 
Diapositivas de las leyes
Diapositivas de las leyesDiapositivas de las leyes
Diapositivas de las leyes
 
Trabajo lopd
Trabajo lopdTrabajo lopd
Trabajo lopd
 
Protección de Datos Personales en el Ámbito Laboral en Colombia
Protección de Datos Personales en el Ámbito Laboral en ColombiaProtección de Datos Personales en el Ámbito Laboral en Colombia
Protección de Datos Personales en el Ámbito Laboral en Colombia
 
Ley de Protección de Datos y el Ámbito Laboral en Colombia.
Ley de Protección de Datos y el Ámbito Laboral en Colombia.Ley de Protección de Datos y el Ámbito Laboral en Colombia.
Ley de Protección de Datos y el Ámbito Laboral en Colombia.
 
LEY 1581 DE 2012 (HABEAS DATA)
LEY 1581 DE 2012 (HABEAS DATA)LEY 1581 DE 2012 (HABEAS DATA)
LEY 1581 DE 2012 (HABEAS DATA)
 
Cultura Digital Equipo 2.pptxJaidiwospwp
Cultura Digital Equipo 2.pptxJaidiwospwpCultura Digital Equipo 2.pptxJaidiwospwp
Cultura Digital Equipo 2.pptxJaidiwospwp
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
Ley Orgánica de Protección de Datos Personales (LOPD).pptx
Ley Orgánica de Protección de Datos Personales (LOPD).pptxLey Orgánica de Protección de Datos Personales (LOPD).pptx
Ley Orgánica de Protección de Datos Personales (LOPD).pptx
 
Datos Personales Alfredo Reyes Kraft
Datos Personales Alfredo Reyes KraftDatos Personales Alfredo Reyes Kraft
Datos Personales Alfredo Reyes Kraft
 
Propuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datosPropuesta de Reglamento Europeo sobre protección de datos
Propuesta de Reglamento Europeo sobre protección de datos
 
Los datos personales y su protección
Los datos personales y su protecciónLos datos personales y su protección
Los datos personales y su protección
 
Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)Leyfedprotecciondatospersonales(2) (3)
Leyfedprotecciondatospersonales(2) (3)
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datos
 
Ley organica de proteccion de datos
Ley organica de proteccion de datosLey organica de proteccion de datos
Ley organica de proteccion de datos
 
Protección de Datos Personales en Argentina @facambronero
Protección de Datos Personales en Argentina @facambroneroProtección de Datos Personales en Argentina @facambronero
Protección de Datos Personales en Argentina @facambronero
 
Comunicacion digital y política de privacidad
Comunicacion digital y política de privacidadComunicacion digital y política de privacidad
Comunicacion digital y política de privacidad
 
Implicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesImplicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitales
 
Protección de datos y comunicación digital
Protección de datos y comunicación digitalProtección de datos y comunicación digital
Protección de datos y comunicación digital
 
Trabajo 1
Trabajo 1Trabajo 1
Trabajo 1
 

Ud 1.2 principios de la proteccion de datos de caracter personal

  • 1. UD 1.2 PRINCIPIOS DE LA PROTECCION DE DATOS
  • 2. UD1.2 Principios de la protección de datos Principio de Proporcionalidad y Calidad de Datos Principio de Consentimiento Principio de Transparencia (Información en la recogida) Principio de Limitación de Objetivos (Finalidad) Principio de Acceso a los Datos por Cuenta de Terceros Principio de Comunicación de Datos Principio de Seguridad 2
  • 3. UD1.2 Principios de la protección de datos La LOPD establece una serie de limitaciones al tratamiento de los datos; limitaciones fijadas para garantizar un uso adecuado, lícito, no excesivo y con las debidas medidas de seguridad que impidan la alteración, pérdida o tratamiento no autorizado de los datos, por eso la ley fija como contrapeso la necesidad de observar la voluntad del interesado o consentimiento. En la mayoría de los supuestos, la ley fija como contrapeso la necesidad de obtener voluntad el consentimiento del afectado 3
  • 4. Principio de calidad  La Ley tiende a establecer unos principios generales de Calidad tendentes a garantizar un uso adecuado de los datos, fijando que: 1º.Los datos personales deben de adecuarse a la finalidad para la que fueron recabados, 2º.Deben ser exactos y actualizados, 3º.No deben mantenerse indefinidamente sin justificación 4º.Deben haber sido recogidos de forma lícita. 4
  • 5. Principio de calidad  Finalidad: Los datos sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.  Exactitud de los datos:  De oficio por el Responsable del Fichero, cuando conozca dicha inexactitud.  A través del ejercicio del derecho de rectificación de los datos por el propio interesado. 5
  • 6. Principio de calidad  Cancelación de datos: La cancelación se producirá directamente por el Responsable del Fichero en el momento en que el dato no sea necesario. En el caso de que una ley establezca que se deben conservar los datos, la cancelación se hará mediante el bloqueo o disociación de los mismos.  Lealtad: Se impone la prohibición de recoger los datos por medios fraudulentos, desleales o ilícitos. 6
  • 8. Principio de consentimiento El consentimiento no es más que la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de sus datos personales. a) Libre: deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento. b) Específico: referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del Responsable del Fichero. c) Informado: el usuario debe conocer, con anterioridad al tratamiento, la existencia y las finalidades para las que se recogen los datos. 8
  • 9. Principio de consentimiento d) Inequívoco: es preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento (no resulta admisible el consentimiento presunto).  En principio, el consentimiento dado abarca todas y cada una de las operaciones que engloban el tratamiento; encontrando sólo una excepción, que es en el caso de la cesión de datos, donde el consentimiento para la cesión será previo e informado. 9
  • 10. Principio de consentimiento En la recogida de datos:  Como es previa al tratamiento de datos, el consentimiento suele ser tácito.  No obstante, es necesario informar al afectado de los siguientes puntos:  El titular del Fichero.  Las finalidades del tratamiento.  El carácter obligatorio/facultativo de las respuestas.  De los derechos que le asisten y su posibilidad de ejercicio.  De la dirección y, en su caso, las condiciones para ejercitar tales derechos. 10
  • 11. Principio de consentimiento  No obstante el consentimiento deberá de ser expreso:  Para el tratamiento de datos de salud, origen racial y vida sexual  Para el tratamiento de datos de ideología, afiliación sindical, religión y creencias, además el consentimiento expreso será por escrito. 11
  • 12. Principio de consentimiento  Excepciones a la obligación de obtener el consentimiento:  Una ley así lo disponga.  Cuando los datos se recojan para el ejercicio de las funciones publicas por las Administraciones Publicas.  Los datos se refieran a las partes de un contrato o precontrato negocial, administrativo, o se recojan dentro del ámbito de una relación laboral, y son necesarios para su mantenimiento o cumplimiento  Cuando el tratamiento se haga por finalidad del interés vital del afectado.  Los datos figuren en fuentes de acceso público, como por ejemplo, boletines oficiales, listas censales o repertorios telefónicos. 12
  • 13. Principio de consentimiento Tratamiento de datos:  El tratamiento en si consiste en las operaciones de grabación de datos, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones y acceso a los datos.  El afectado siempre podrá ejercer los derechos que le concede la Ley (impugnación de valoraciones, acceso, rectificación, cancelación y oposición) 13
  • 14. Principio de consentimiento Además existen una serie de principios y obligaciones específicos impuestos para garantizar su correcto tratamiento, conservación, acceso y destrucción. El responsable del fichero deberá informar detenidamente al afectado respecto de la utilización de sus datos de carácter personal, por lo que se reviste al consentimiento de una mayor seguridad jurídica. Por lo tanto, la prueba iuris tantum corresponde al responsable del fichero quien deberá acreditar la existencia de consentimiento otorgado por el afectado. 14
  • 15. Principio de consentimiento •Consentimiento de los menores:  Puede pedirse el consentimiento de los mayores de 14 años.  En ningún caso, se les podrá pedir información sobre el resto de la unidad familiar.  Debe utilizarse un lenguaje que les resulte comprensible.  El responsable debe comprobar la edad del menor 15
  • 16. Principio de consentimiento Revocación del consentimiento: • Se podrá ejercitar en los casos en los que hayamos tenido que prestar el consentimiento. • No es necesario que el afectado manifestase una causa para revocar su consentimiento, salvo si viene derivado del mantenimiento de una relación negocial, administrativa, fiscal o laboral. •La revocación tiene que poder realizarse por medios sencillos, gratuitos y que no impliquen ingreso alguno para el responsable del fichero.(envío prefranqueado, teléfonos gratuitos, mail..) 16
  • 17. Principio de consentimiento • El responsable del fichero tiene un plazo de 10 días para cesar el tratamiento de esos datos de carácter personal desde la recepción de la oposición. • Si el interesado hubiera solicitado al responsable del tratamiento la confirmación del cese en el tratamiento de sus datos, el responsable deberá responder expresamente a la solicitud. 17
  • 18. Principio de consentimiento Derecho de oposición: • En los casos en los que no es necesario el consentimiento del afectado para el tratamiento de los datos y siempre que no se disponga por ley lo contrario, el afectado podrá oponerse al tratamiento de sus datos –―cuando existan motivos fundados y legítimos relativos a una concreta situación personal‖-. 18
  • 19. Principio de consentimiento  El derecho de oposición podrá ser total en el caso de datos obtenidos de fuentes accesibles al público y cuyo tratamiento sea para fines promocionales y publicitarios. El derecho de oposición será parcial en aquellos casos en los que el tratamiento venga del mantenimiento de una relación contractual o negocial, administrativa, laboral, etc… 19
  • 20. Principio de consentimiento  El derecho de oposición podrá ser total en el caso de datos obtenidos de fuentes accesibles al público y cuyo tratamiento sea para fines promocionales y publicitarios. El derecho de oposición será parcial en aquellos casos en los que el tratamiento venga del mantenimiento de una relación contractual o negocial, administrativa, laboral, etc… 20
  • 22. Principio de transparencia ¿Qué es? Es el derecho de información que tiene el titular de los datos y una obligación correlativa para el empresario. Los datos de carácter personal se pueden recabar:  Del propio interesado  De terceros  De fuentes accesibles al publico 22
  • 23. Principio de transparencia Datos recabados del propio interesado: ¿Cuándo procede? Hay que informar en la recogida de datos. ¿Qué hay que informar? La existencia del fichero, la finalidad, de quien es el responsable del fichero, de los derechos, el carácter obligatorio o facultativo de la respuesta a preguntas, consecuencias de la negativa... ¿Cómo hacerlo? -Si son cuestionarios en papel o formularios informáticos: cláusula informativa legible. -Fuentes accesibles al publico y los utilizo con fines publicitarios: cláusula informativa en cada documento publicitario. 23
  • 24. Principio de transparencia Ejemplo: “De conformidad con la Ley Orgánica 15/1999 de Protección de Datos Personales y a través de la cumplimentación del presente formulario, Vd. presta su consentimiento para el tratamiento de sus datos personales facilitados, que serán incorporados al fichero “XXXXXXX”, titularidad de la EMPRESA XXX, inscrito en el Registro General de la Agencia Española de Protección de Datos, cuya finalidad es la gestión fiscal, contable y administrativa de la relación contractual, así como el envío de información comercial sobre nuestros productos y servicios. Igualmente le informamos que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en dicha Ley, adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección: EMPRESA XXX. Departamento de Atención al Cliente LOPD. C/XXXXXX nº X. 46000 Valencia. Los campos señalados con * son obligatorios.”- 24
  • 25. Principio de transparencia Datos recabados por terceros: • Es el caso de la cesión de datos. • En el caso de obtener datos que no hayan sido directamente recabados de los interesados, deberemos comunicar al interesado:  Procedencia de los datos.  El titular del Fichero.  Las finalidades del tratamiento.  El carácter obligatorio/facultativo de las respuestas.  De los derechos que le asisten y su posibilidad de ejercicio.  De la dirección para ejercer los derechos ARCO. 25
  • 26. Principio de transparencia Excepciones: 1º.Que se le haya informado con anterioridad, por la empresa que recabó originariamente los datos. 2º.Que así lo prevea expresamente una Ley. 3º.Que el tratamiento tenga fines históricos, científicos o estadísticos. 4º.Cuando, a criterio de la Agencia Española de Protección de Datos, resulte imposible o exija un esfuerzo desproporcionado realizar tal comunicación, siempre atendiendo al número de interesados, antigüedad de los datos y a las posibles medidas compensatorias. 26
  • 27. Principio de transparencia Datos recabados de fuentes accesibles al publico:  Cuando los datos proceden de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, se debe informar al interesado en cada comunicación que se le realice de:  El origen de los datos.  La identidad y dirección del Responsable del Fichero.  Las finalidades del tratamiento.  La posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. 27
  • 28. Acceso a datos  ¿Qué es el acceso a los datos por cuenta de terceros? (Art 12 de la LOPD y Art. 20, 21 y 22 del RD 1720/2007) -El responsable del fichero permite a un tercero acceder a los datos de carácter personal para que preste un servicio relacionado con los mismos. -El tercero, denominado encargado de tratamiento se limita a tratar los datos por cuenta del responsable de los datos, es decir siguiendo sus instrucciones y devolviendo o destruyendo los datos una vez finalizado el servicio contratado. Ej: encargados de tratamiento serian las asesorías o gestorías que realizan la gestión contable, fiscal o laboral; servicios de Prevención de Riesgos; empresas de mantenimiento de Software o Hardware… 28
  • 29. Acceso a datos  ¿Qué características deben darse pare que exista acceso a datos por cuenta de terceros? 1) Firma de un contrato de acceso a datos: El contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Se establecerán y detallarán las medidas de seguridad que deberá adoptar e implantar, de acuerdo al nivel de seguridad de los datos. 29
  • 30. Acceso a datos 2) Una vez finalizado el servicio, o cumplida la prestación contractual, el encargado de tratamiento deberá destruir o devolver los datos de carácter personal. 3) En caso de que el encargado del tratamiento quiera subcontratar algún servicio que suponga el acceso a los datos a un tercero, deberá contar con el expreso consentimiento del Responsable del Fichero; consentimiento que deberá quedar establecido en el contrato. 30
  • 31. Acceso a datos Responsabilidad de las partes: Del Encargado del Tratamiento: Asumirá personalmente las infracciones y sanciones que puedan derivarse del incumplimiento de sus obligaciones contractuales en relación con los datos de carácter personal. Del Responsable del Fichero: Asumirá personalmente las infracciones cometidas por el Encargado del Tratamiento cuando éste actúe de acuerdo a las instrucciones y obligaciones fijadas en el contrato. (Revisar el modelo de contrato de acceso a datos que aparece en la sección Biblioteca de la Plataforma) 31
  • 32. Acceso a datos Si no se dan las características anteriores, no estaremos ante un caso de acceso a datos, sino ante un supuesto de comunicación de datos o cesión de datos. 32
  • 33. Cesión de datos o Comunicación de Datos  ¿Qué es la cesión de datos? ―Toda revelación de datos realizada por persona distinta del interesado‖ Ej: Comunicación de Datos entre empresas de un mismo grupo empresarial; comunicación de datos a un empresa de publicidad para hacer campaña de telemarketing…  ¿Cuáles son las características de la cesión de datos? 1º. Se ceden datos a un tercero que trata los datos por su cuenta (no sigue instrucciones del fichero) y bajo su responsabilidad. 2º.El previo consentimiento informado del interesado. 33
  • 34. Cesión de datos o Comunicación de Datos 3º. El tercero al que se le ceden los datos (cesionario) adquiere la condición de responsable del fichero. 34
  • 35. Cesión de datos o Comunicación de datos Para poder obtener el consentimiento, hay que informar: a)Identificación, actividad y dirección del cesionario. b)Finalidad a la cual se destinarán los datos cedidos. c)La identidad y dirección del cesionario, d)La naturaleza de los datos cedidos, e)La finalidad del fichero. No será necesario proporcionar esta información al interesado cuando resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia Española de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. 35
  • 36. Cesión de datos o Comunicación de datos  ¿Cuándo el consentimiento previo del interesado no es necesario en la cesión de sus datos? 1º.Cuando la cesión esté autorizada por una Ley. Cesiones Legales. 2º.Cuando se trate de datos recogidos de fuentes accesibles al público, siempre que el tratamiento de los datos sea necesario para la satisfacción del interés legítimo perseguido por el cedente o por el cesionario y se respeten los derechos de los interesados. 3º.- Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente conexión con ficheros de terceros. 36
  • 37. Cesión de datos o Comunicación de datos 4º.- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas. 5º.- Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos. 6º.- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia 37
  • 38. Cesión de datos o Comunicación de datos  ¿Cuándo es nulo el consentimiento dado en la cesión? Cuando el interesado otorgue su consentimiento a la cesión sin pleno conocimiento de quién es el destinatario de la misma, cuál es su actividad y para qué finalidad va a utilizar sus datos.  ¿Es revocable el consentimiento dado a la cesión de los datos? El consentimiento siempre es revocable, pero no tendrá efectos retroactivos a las cesiones que se realizaron mientras el consentimiento estaba activo. 38
  • 39. Cesión de datos o Comunicación de datos  ¿A qué se obliga el cedente con la cesión? El cedente se obliga a informar al interesado en dos momentos: 1º.En el momento de la recogida de los datos, donde deberá recabar el previo consentimiento informado para la cesión de los datos. 2º.En el momento de proceder a la cesión efectiva de los datos, deberá comunicarle al interesado los datos del cesionario, finalidad del fichero y datos que han sido cedidos. 39
  • 40. Cesión de datos o Comunicación de datos  ¿A qué se obliga el cesionario con la cesión? En la primera comunicación que dirija al interesado, deberá informarle de forma expresa, precisa e inequívoca de: a)Procedencia de los datos. b)Su incorporación a un fichero. c)Finalidad del tratamiento. d)Derechos que puede ejercitar (acceso, rectificación, cancelación y oposición). e)Datos identificativos y dirección. 40
  • 41. Resumen 41
  • 42. Resumen La diferencia radica ,principalmente ,en la responsabilidad: Acceso a Datos Cesión de datos • El tercero trata los datos • El tercero trata los datos por siguiendo las instrucciones del su cuenta (sin seguir responsable del fichero instrucciones del responsable) • Debe existir un contrato, • Debe existir un consentimiento normalmente por escrito, que previo del afectado. cumpla con los requisitos del art. 11 de la LOPD) • Una vez finalizado el servicio los datos se devuelven o hay que destruirlo. • El encargado del tratamiento • El tercero (cesionario) será responsable , solo en el adquiere la condición de caso de que incumpla las responsable del fichero. estipulaciones del contrato 42
  • 43. Principio de Seguridad  La normativa sobre protección de datos liga el concepto de seguridad a: a) Confidencialidad: entendido como el acceso autorizado a los datos. b) Exactitud: la información no debe sufrir alteraciones no deseadas, en cuanto a su contenido. c) Disponibilidad: sólo las personas autorizadas pueden tener acceso a la información. 43
  • 44. Principio de Seguridad  Las medidas que se establecen, son de dos tipos:  Medidas Organizativas: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros.  b) Medidas Técnicas: medidas destinadas principalmente a la conservar la integridad de la información (su no alteración, pérdida o robo) y en menor medida a la confidencialidad de los datos personales. Se encuentran delimitadas en función del nivel de seguridad de los datos tratados: básico, medio y alto. 44
  • 45. Principio de Seguridad  Niveles de Seguridad:  Nivel Básico: Todos los ficheros  Nivel Medio: a) Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales. b) Ficheros que contengan datos sobre Hacienda Pública. c) Ficheros que contengan datos sobre Servicios Financieros. d) Ficheros que contengan datos sobre solvencia patrimonial y crédito. 45
  • 46. Principio de Seguridad e) Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado. f) Ficheros titularidad de Entidades Gestoras y Servicios Comunes de la Seguridad Social, mutuas de trabajo y enfermedades profesionales de la SS.  Nivel Alto: Ideología ,afiliación sindical, religión creencias, origen racial, salud y vida sexual. Datos de violencia de genero. Datos recabados para fines policiales policiales sin consentimiento de los afectados. 46
  • 47. Principio de Seguridad Excepción: Los datos especialmente protegidos podrán considerarse de Nivel Básico en los siguientes casos:  Para el pago de cuotas de asociaciones  En ficheros en papel que los contengan de manera accidental.  Los datos propios para hacer frente a las obligaciones legales, tales como seguridad social, hacienda, etc. respecto de los trabajadores—altas, bajas, porcentaje de minusvalía, detracción cuota sindical, pagos a entidades bancarias, etc. 47
  • 48. Principio de Seguridad NIVEL BASICO NIVEL MEDIO NIVEL ALTO Datos de Carácter Infracciones penales y/o Religión y creencias ,Origen identificativo (Nombre y administrativas, datos de racial, Salud, Ideología y TIPOS DE apellidos, DNI, Teléfono, Hacienda Pública, Vida sexual DATOS domicilio…) ,Imagen Información de Servicios financieros… -Documento de Seguridad -Documento de Seguridad -Documento de Seguridad -Registro de incidencias -Registro de incidencias -Registro de incidencias -Funciones y obligaciones -Funciones y obligaciones -Funciones y obligaciones de personal de personal de personal -Contraseñas de acceso -Contraseñas de acceso -Contraseñas de acceso -Copias de Seguridad -Copias de Seguridad -Copias de Seguridad -Inventario de soportes -Inventario de soportes -Inventario de soportes -Control de acceso físico -Control de acceso físico -Control de acceso físico -Responsable de Seguridad -Responsable de Seguridad MEDIDAS DE -Auditoria Bianual -Auditoria Bianual SEGURIDAD -Registro de acceso a datos -Almacenar las copias de seguridad fuera del local. -Cifrado de Datos SANCIONES De 900€ a 40.000€ De 40.001€ a 300.000€ De 300.001€ a 600.000€ 48
  • 49. Principio de Seguridad  Medidas aplicables a los diferentes niveles de seguridad de ficheros automatizados El RD establece unas medidas de seguridad que se aplican independientemente del nivel de seguridad de los ficheros tratados: a) Acceso a través de redes de telecomunicaciones Las medidas de seguridad exigibles para el acceso a través de redes de telecomunicaciones deberá garantizar un nivel equivalente al correspondiente a los accesos en modo local. 49
  • 50. Principio de Seguridad b) Régimen de trabajo fuera de los locales de la ubicación del fichero  Autorizado por el responsable en Documento de Seguridad. La autorización puede tener un periodo de validez c) Ficheros Temporales (art.7).  Los ficheros temporales deberán cumplir el mismo nivel de seguridad que el fichero del tienen origen.  Destrucción o borrado seguro cuando haya dejado de ser necesario para la finalidad que motivó su creación. 50
  • 51. Principio de Seguridad  Medidas de seguridad de Nivel Básico 1) Documento de Seguridad: El Documento de Seguridad es un documento de carácter privado y de obligado cumplimiento para todo el personal de la Empresa que acceda a los Ficheros de datos de carácter personal y a los Sistemas de Información, en el que deben quedar plasmadas y recogidas todas las políticas, reglas, medidas y procedimientos de seguridad establecidos por el Responsable del Fichero. 51
  • 52. Principio de Seguridad Contenido del Documento de Seguridad a) Ámbito de aplicación del Documento con especificación detallada de los recursos protegidos  Ficheros de datos de carácter personal protegidos por la normativa.  Descripción de los equipos informáticos utilizados para su tratamiento (servidores, terminales, ordenadores).  Aplicaciones informáticas utilizadas para el tratamiento de los ficheros de datos (como Bases de datos SQL, Programas de gestión,…)  Descripción de la red de comunicaciones.  Locales e ubicaciones donde será de aplicación la normativa. 52
  • 53. Principio de Seguridad b) Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido.  Los procedimientos y normas de acceso físico a las ubicaciones y locales:  Los procedimientos y normas de acceso al sistema informático: asignación, distribución, almacenamiento y cambio de contraseñas de acceso al sistema y red.  Los procedimientos, normas y medidas de seguridad lógica adoptados para la defensa ante ataques externos (antivirus, firewalls, cifrado de redes, control de puertos, etc…).  Los procedimientos de acceso y normas de utilización de aplicaciones informáticas concretas. 53
  • 54. Principio de Seguridad  Los procedimientos de acceso y normas de utilización de aplicaciones informáticas concretas.  Los procedimientos, normas y medidas de acceso a través de Redes de Telecomunicaciones.  Los procedimientos, autorizaciones y normas de trabajo en ubicaciones distintas a la principal.  Las directrices de seguridad para la utilización de determinados programas de correo electrónico, protectores de pantalla, conservación de documentos, generación de contraseñas… c) Funciones y obligaciones del personal. Listado actualizado de usuarios con acceso a los datos de carácter personal. 54
  • 55. Principio de Seguridad d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información. Se especifica el nombre de la aplicación informática que se utiliza para el tratamiento de los datos; datos referentes al equipo- servidor en el que se encuentra almacenado el fichero. f) Los procedimientos de realización de copias de respaldo y recuperación de datos. Debe establecerse y definirse en el Documento de Seguridad cuándo, cómo y qué se incorpora a las copias de seguridad; y, en caso de que sea necesaria la restauración de los datos, cuál es el procedimiento de actuación a seguir. 55
  • 56. Principio de Seguridad g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos , así como la destrucción de los mismos o su reutilización.  Si existe tratamiento por cuenta de terceros debe aparecer en el documento de seguridad.  El documento de seguridad debe mantenerse en todo momento actualizado. 56
  • 57. Principio de Seguridad 2) Funciones y obligaciones de personal con acceso a los datos:  Deben de estar claramente definidas y documentadas  El personal deberá conocer las normas de seguridad establecidas y las consecuencias de su incumplimiento. 3) Registro de Incidencias  Tipo de incidencia  Momento en que se ha producido,  Persona que realiza la notificación,  Persona a quien se le comunica, y  Efectos que se hubieran derivado de la incidencia. 57
  • 58. Principio de Seguridad 4) Control de acceso:  El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.  Solo el personal autorizado podrá acceder a la información. 5) Identificación y autenticación  Identificación de forma inequívoca y personal Identificación= usuario autenticación=contraseña 58
  • 59. Principio de Seguridad  Procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Recomendaciones para las contraseñas:  Si la contraseña es generada por el Administrador del Sistema y luego es cambiada, en el primer acceso al sistema, por una contraseña personal por parte del usuario, o por el contrario no podrá ser modificada por el usuario.  La longitud mínima (6 a 8 caracteres)  Composición Alfanumérica (letras, números, mayúsculas y minúsculas y /o símbolos)  Vigencia no superior a un año. 59
  • 60. Principio de Seguridad  Establecer los procedimientos para el cambio de contraseña y los casos en los que deberá procederse a su cambio por haberse visto comprometida.  Establecer los procedimientos de bloqueo y desbloqueo de cuenta por utilización reiterada de contraseñas incorrectas.  Establecer los procedimientos de generación, conservación y almacenamiento seguro de contraseñas. 6) Gestión de soportes y documentos:  Los soportes o documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen.  La salida de soportes y documentos que contengan datos de carácter personal, fuera de los locales en los que está ubicado el fichero, debe ser autorizado por el responsable del fichero. 60
  • 61. Principio de Seguridad Posibles medidas a adoptar:  Inventariado y almacenamiento de todos los soportes informáticos.  Modelo de autorización y registro de salida de soportes informáticos.  Conservación y almacenamiento de soportes papel /documentación en armarios/archivadores.  Cada vez que un usuario accede a documentos y/o soportes (informáticos y/o en papel) que contengan datos de carácter personal, una vez finalizado su uso deberá devolverlo a su armario/archivador.  Inventariado y almacenamiento con acceso restringido a documentos y soportes calificados como confidenciales. 61
  • 62. Principio de Seguridad 7) Copias de respaldo y recuperación: Copias de seguridad a) Verificar la definición y correcta aplicación de los procedimientos de ejecución de copias de respaldo y recuperación de los datos. b) Los procedimientos de backup deberán garantizar la reconstrucción de los datos al estado en que se encontraban al momento anterior de producirse la pérdida o destrucción. c) Deberán realizarse copias de respaldo al menos semanalmente d) El responsable del fichero se encargara de verificar cada 6 meses la correcta definición, funcionamiento y aplicación del procedimiento de copias de seguridad. 62
  • 63. Principio de Seguridad  Medidas de seguridad de Nivel Medio 1) Documento de Seguridad:  Identificar el responsable/s de seguridad  Los controles periódicos que se deban realizar para verificar el cumplimiento del documento de seguridad. 2) Responsable de Seguridad  La persona encargada de velar por el cumplimiento de las medidas, reglas y normas de seguridad establecidas por el Responsable del Fichero.  Debe establecerse en el documento de seguridad sus funciones y obligaciones. 63
  • 64. Principio de Seguridad 3) Auditoría:  Auditoria Bianual interna o externa obligatoria.  El Informe de Auditoría deberá dictaminar sobre el grado de adecuación y cumplimiento de las medidas de seguridad, identificar sus deficiencias y proponer las medidas correctoras necesarias. 4) Identificación y Autenticación: Se debe limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 5) Control de acceso físico: Solo el personal autorizado podrá acceder a los lugares donde se hallen los equipos físicos. 64
  • 65. Principio de Seguridad 6) Registro de incidencias:  Deberá además señalarse la persona que ejecuto el proceso, los datos restaurados, y en su caso, que datos ha sido grabar manualmente en el proceso de recuperación.  El responsable del fichero deberá autorizar los procedimientos de recuperación de datos. 7) Gestión de soportes y documentos:  Debe existir un registro de entrada y salida de soportes que identifique: tipo de documento o soporte, fecha y hora, emisor/destinatario , numero de documento, tipo de información que contienen, forma de envío, responsable de la recepción o entrega. 65
  • 66. Principio de Seguridad  Medidas de seguridad de Nivel Alto Se establecen medidas de seguridad especificas para este nivel:  La utilización de mecanismos de encriptación y cifrado de los datos.  El registro, control y almacenamiento de logs de accesos a los ficheros.  El almacenamiento de copia de seguridad en ubicación distinta. 66
  • 67. Principio de Seguridad  Medidas de seguridad de Nivel Alto Se establecen medidas de seguridad especificas para este nivel:  La utilización de mecanismos de encriptación y cifrado de los datos.  El registro, control y almacenamiento de logs de accesos a los ficheros.  El almacenamiento de copia de seguridad en ubicación distinta. 67
  • 68. Principio de Seguridad 1) Gestión y Distribución de soportes:  Identificación de los soportes mediante sistemas de etiquetado que permitan identificar su contenido.  Distribución de los soportes cifrada u otro mecanismo que impida su manipulación durante su transporte. 2) Copias de Respaldo y Recuperación: Los ficheros de datos de nivel alto deberán conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente a aquél en que se encuentran los equipos informáticos que los tratan cumpliendo, en todo caso, las medidas de seguridad exigidas. 68
  • 69. Principio de Seguridad 3) Registro de accesos  De cada acceso, se guardarán como mínimo: a) La identificación del usuario b) Fecha y la hora en que se realizó el acceso c) Fichero accedido, d) Tipo de acceso: autorizado o denegado, e) Y en el caso que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.  Los mecanismos que permiten el registro de los datos detallados anteriormente estarán bajo el control directo del responsable de seguridad 69
  • 70. Principio de Seguridad  El periodo mínimo de conservación de estos datos ser a de años.  El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados Excepciones al Registro de acceso:  Cuando el responsable del fichero sea una persona física y  Que el responsable del fichero garantice que únicamente el tiene acceso. Si concurren ambas circunstancias debe hacerse constar en el Documento de Seguridad 70
  • 71. Principio de Seguridad 4) Telecomunicaciones La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Resumen: (Ver el cuadro resumen de medidas de seguridad de la Agencia Española de Protección de Datos que esta en la sección Biblioteca) 71
  • 72. Principio de Seguridad  Medidas aplicables a los diferentes niveles de seguridad para ficheros no automatizados  Se regulan los medios a través de los cuales se deben custodiar, almacenar y/o guardar, y acceder a aquellos por parte de las personas que están autorizadas. Sin embargo, deja plena libertad a la hora de configurar por el responsable del fichero las medidas a implantar para este tipo de soportes.  Se les aplica gran parte de lo exigido para los soportes automatizados:  Inscripción en la AGPD  Niveles de Seguridad  Encargado del tratamiento  Documento de seguridad  Copias de trabajo 72
  • 73. Principio de Seguridad  Delegación de autorizaciones  Régimen de trabajo fuera de los locales  Funciones y obligaciones de personal  Registro de incidencias  Control de acceso  Gestión de Soportes 73
  • 74. Principio de Seguridad  Medidas de seguridad de Nivel Básico: 1) Criterios de Archivo  Establecidos por la normativa especifica o el responsable del fichero  Deben permitir la conservación, localización y consulta de los documentos y posibilitar el ejercicio de los Derechos ARCO. 2) Dispositivos de almacenamiento  Limitar el acceso a los documentos de las personas no autorizadas mediante mecanismos que obstaculicen la apertura. 3) Custodia de soportes  En el proceso previo o posterior al archivo, la persona responsable deberá custodiar los documentos. 74
  • 75. Principio de Seguridad  Medidas de seguridad de Nivel Medio: 1) Designar uno o varios responsables de seguridad. 2) Auditoria de Protección de Datos de Carácter Personal  Auditoria Bianual Obligatoria 75
  • 76. Principio de Seguridad  Medidas de seguridad de Nivel Alto: 1) Almacenamiento de la información:  Solo personal autorizado puede tener acceso a los armarios, archivadores…que almacenen los ficheros  Dichas aéreas deben permanecer cerradas cuando no sea preciso el acceso. 2) Copia o reproducción  Solo podrá realizarse por personal autorizado 3) Acceso a la documentación  Solo personal autorizado  Establecer mecanismos para saber quien a accedido al documento cuando existan varios usuarios 76
  • 77. Principio de Seguridad  Medidas de seguridad de Nivel Alto: 4) Traslado de documentación  Tomar medidas para evitar el acceso o la manipulación durante el traslado. 77