caso práctico de aplicación de la lopd sesión de preparatic 26 de noviembre de 2011

Caso práctico de aplicación de la LOPDSesión de Preparatic 26 de noviembre de 2011

-1-

José Antonio PérezJefe de Área - Registro General de Protección de DatosAgencia Española de Protección de Datos

Caso práctico: Aplicación de la LOPD

-2-

•Recientemente se ha creado una Agencia de titularidad pública dentro de la AGE cuya finalidad es gestionar subvenciones y ayudas a autónomos. Dentro de su plan estratégico de lanzamiento, ha decidido externalizar en una empresa de hosting la gestión de los sistemas de información utilizados para la gestión de las ayudas. El resto de la información gestionada por la Agencia se almacenará y tratará en sistemas propios.

•Los solicitantes de ayudas deben aportar, entre otros, los siguientes datos: Nombre y apellidos, NIF, nº de afiliación a la seguridad social, últimos tres recibos abonados a la Seguridad Social como autónomos.

•Para la gestión interna de su personal, la Agencia ha previsto la implantación de un sistema de fichaje mediante huella digital. En su sede, los empleados deberán portar una tarjeta identificativa con su fotografía.

•La Agencia cuenta entre su personal con algunos empleados que tienen reconocido un cierto grado de minusvalía, aspecto que debe ser tenido en cuenta en la gestión de las nóminas a efectos de aplicación de las correspondientes deducciones en el tipo de IRPF aplicable. Dentro del expediente de El servicio médico de la Agencia almacena un historial clínico de cada empleado, en formato papel que posteriormente se digitaliza.

Caso práctico: Aplicación de la LOPD

-3-

•Por otra parte, la Agencia ha contratado la seguridad de sus instalaciones con una empresa privada. Se han instalado cámaras y un circuito cerrado de TV (CCTV) para el visionado de imágenes de dichas instalaciones. No está previsto el almacenamiento de dichas imágenes para su posterior reproducción.

•Los únicos proveedores de la Agencia son empresas. Existe un fichero de proveedores en los que se almacenan los datos de contacto profesionales de sus representantes: teléfono, fax, email y dirección postal. Cuando asisten a reuniones en la sede de la Agencia, Seguridad recaba su DNI a efectos de control de visitas.

•Diseñar un plan de adecuación que resuma las acciones principales que deberá llevar a cabo la citada Agencia para cumplir la normativa de protección de datos, con especial énfasis en las medidas de seguridad a implantar.

Solución caso práctico: Plan de adecuación a la LOPD

-4-

1. Identificación de los ficheros o tratamientos de datos personales que realiza la Agencia, y el nivel de seguridad aplicable. Una posible relación de ficheros podría ser la siguiente:

Ayudas a autónomos

Básico

Proveedores BásicoSólo se almacenan datos de contacto profesionales (teléfono, email, puesto desempeñado), que están excluidos del ámbito de aplicación del RLOPD (art. 2.1). Si existieran proveedores que fueran personas físicas (autónomos) sí que se estaría dentro del ámbito del RLOPD.

Empleados Básico

Nóminas Básico Aunque el grado de minusvalía es un dato de salud, su uso en este caso constituye una de las excepciones previstas en el artículo 81.6 del RLOPD, por lo que sólo sería exigible el nivel de medidas de seguridad básico.

Gestión económico administrativa Básico

Control de visitas Básico La Agencia es responsable del fichero, aunque la gestión del mismo la realice la empresa de seguridad

Videovigilancia Básico Hay tratamiento de datos pero no existe fichero, puesto que las imágenes no se almacenan. No procede inscripción en RGPD. Persisten no obstante el resto de obligaciones

Fichero/Tratam. Nivel medidas de seguridad Observaciones

Historiales clínicos empleados Alto Almacena datos de salud. Sistema de tratamiento mixto:

automatizado y no automatizado

¡NO!--

--

--


-5-

2. Determinar y formalizar los contratos de prestación de servicios que implican tratamiento de datos personales:

•Por un lado, tenemos la empresa externa que realiza el hosting del sistema de información que gestiona las solicitudes de subvenciones y ayudas a autónomos.

•La empresa de seguridad también realiza tratamiento de datos personales, ya que tiene acceso a la base de datos del personal autorizado a entrar en las instalaciones, visiona las imágenes de las cámaras de seguridad y realiza toda la gestión asociada al control de visitas.

•De acuerdo con lo establecido en el artículo 12 de la LOPD, estos tratamientos de datos deberán estar regulados en un contrato escrito. En dichos contratos:

•se establecerá expresamente que el encargado de tratamiento (la empresa de hosting y la empresa de seguridad) únicamente tratará los datos conforme a las instrucciones de la Agencia; que no los utilizará con un fin distinto al que figure en el contrato, ni los comunicará a otras personas.

•se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar.


-6-

3. Elaboración del Documento de Seguridad•Está regulado en el art. 88 del RLOPD. Su elaboración es preceptiva por parte de

cualquier entidad que sea responsable de ficheros o tratamientos de datos personales. Es un documento interno de la organización.

•Debe recoger las medidas de índole técnica y organizativa definidas para garantizar la seguridad de los datos personales, siendo de obligado cumplimiento para el personal con acceso a los datos.

•Puede ser único y comprensivo de todos los ficheros o tratamientos o bien individualizado para cada fichero o tratamiento.

•Contenido mínimo:•Ámbito de aplicación.•Medidas, normas procedimientos para garantizar el nivel de seguridad preceptivo.•Funciones y obligaciones del personal•Estructura de los ficheros de datos personales y de los SSII que los tratan•Procedimiento de notificación, gestión y respuesta a incidencias.•Procedimientos de realización de copias de respaldo y recuperación de los datos•Medidas para el transporte de soportes y documentos, así como para la destrucción de

los documentos y soportes.

•Puesto que existne tratamientos de datos por cuenta de terceros, el DS debe identificar los ficheros/tratamientos que tratan los encargados, con referencia expresa al contrato de prestación de servicios que los regula.


-7-

3. Nombramiento del Responsable de Seguridad

•Puesto que a uno de los ficheros le son de aplicación las medidas de seguridad de nivel alto, debe designarse un responsable de seguridad (es preceptivo a partir de nivel medio). En el Documento de Seguridad debe identificarse el responsable de seguridad nombrado por la organización

•El responsable de seguridad es la persona a la que la organización ha otorgado la responsabilidad de coordinar y asegurar el cumplimiento de las medidas recogidas en el documento de seguridad.

•Puede existir más de un responsable de seguridad.


-8-

4. Implantación de las medidas de seguridad recogidas en el documento de seguridad

•Para los ficheros y tratamientos de nivel básico, podrían implantarse, entre otras las siguientes medidas:

Impartir programas de formación al personal que trata datos personales, de forma que conozca sus funciones y obligaciones.

Elaborar e implantar un procedimiento de notificación y gestión de incidencias.Elaborar de relación de usuarios y perfiles de usuarios y los accesos autorizados para

cada uno de ellos.Establecer mecanismos para evitar que un usuario pueda acceder a datos no autorizados,

así como de aquellos que garanticen la correcta identificación y autenticación de usuarios. Por ejemplo: usuario/contraseña, o certificados electrónicos almacenados en tarjetas criptográficas.

Elaboración de un inventario de soportes que contengan datos de carácter personal: servidores, ordenadores personales, discos, cintas, DVD, pen drives, archivadores de documentos en papel, etc. Identificación de los soportes con etiquetas indicativas de su contenido.

Definición de los procedimientos de realización de copias de respaldo, y ejecución de los mismos al menos con periodicidad semanal.

Almacenamiento de los ficheros en soporte papel en archivadores dotados de mecanismos que obstaculicen su apertura (ej.: cerraduras)


-9-

4. Implantación de las medidas de seguridad recogidas en el documento de seguridad

•Para el fichero de historias clínicas de los empleados habría que implantar las medidas de nivel medio y alto:

Realizar auditorías de medidas de seguridad al menos cada dos años.Establecimiento de un registro de entrada y salida de soportes. En caso de distribución de

estos soportes, los datos deberían estar cifrados.Implantación de mecanismos que limiten la posibilidad de intentar reiteradamente el acceso

no autorizado al fichero automatizado.Los servidores u ordenadores en los que se almacene el fichero informático de historias

clínicas deben instalarse en una sala a la que sólo tenga acceso el personal autorizado en el documento de seguridad.

En el registro de incidencias deben recogerse los procedimientos de recuperación de datos ejecutados.

Las copias de respaldo deben almacenarse en una ubicación diferente a la de los equipos informáticos que los tratan. Si esto no fuera posible, se deberían habilitar medios alternativos (p.ej. armarios ignífugos).

Registro de accesos al fichero automatizado, que deberá conservarse al menos dos años. En el caso del fichero en soporte papel, sólo sería necesario si accede a él más de una persona.

El fihcero en soporte papel debe ubicarse en un área en el que el acceso esté protegido con con puertas de acceso dotadas de cerradura o mecanismo equivalente.


5. Publicación de la disposición general de creación de los ficheros en el Boletín Oficial del Estado, por tratarse de ficheros de titularidad pública.

6. Notificación a la AEPD de los ficheros de datos personales señalados en el punto 1, para su inscripción en el Registro General de Protección de Datos.

• Tal y como se expuso en el primer punto, no procede la inscripción del fichero de videovigilancia, ya que sólo existe visionado de imágenes, y no almacenamiento de las mismas. Sí sería preceptiva si las imágenes fueran almacenadas.

7. Como consecuencia del tratamiento de datos personales de nivel alto, debe establecerse un plan de auditoría de medidas de seguridad, que habrán de realizarse al menos cada dos años (art. 96 RLOPD).


8. Deben incluirse en todos los formularios de recogida de datos de personas físicas cláusulas informativas conforme a lo establecido en el artículo 5 de la LOPD.

• El cumplimiento del deber de información en el caso del visionado de imágenes del circuito cerrado de TV debe hacerse efectivo mediante la colocación de distintivos informativos ubicados en lugares suficientemente visibles (Instrucción 1/2006, de 8 de noviembre, de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras).

9. Habilitar los medios para el ejercicio de los derechos de acceso, rectificación, oposición y cancelación.

• Así, por ejemplo, podrían establecerse diversos canales de atención: número telefónico gratuito, dirección postal, correo electrónico, formulario electrónico en la página web del organismo, así como los medios humanos encargados de atender estas solicitudes.

Anexo: Las medidas de seguridad en el reglamento de desarrollo de la LOPD

Artículo 5.2. Definiciones Título VIII. MEDIDAS DE SEGURIDAD en el tratamiento de datos de carácter

personal Capítulo I. Disposiciones generales (arts. 79 - 87) Capítulo II. Del documento de seguridad (art. 88) Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos

AUTOMATIZADOS• Sección Primera. Medidas de seguridad de nivel básico (arts. 89 - 94)• Sección Segunda. Medidas de seguridad de nivel medio (arts. 95 - 100)• Sección Tercera. Medidas de seguridad de nivel alto (arts. 101 - 104)

Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos NO AUTOMATIZADOS• Sección Primera. Medidas de seguridad de nivel básico (arts. 105 - 108)• Sección Segunda. Medidas de seguridad de nivel medio (arts. 109 - 110)• Sección Tercera. Medidas de seguridad de nivel alto (arts. 111 - 114)

-13-

Reglamento LOPD: Título VIII Medidas de seguridad

Definiciones (art. 5.2) Documento Unidad diferenciada de información escrito, gráfico, sonido, imagen Ficheros temporales Tratamiento ocasional, paso intermedio en un tratamiento de datos IncidenciaAnomalía que afecte o pudiera afectar a la seguridad de los dato Perfil de usuario accesos autorizados a un grupo de usuarios Sistema de tratamiento Modo en que se organiza un sistema de información: automatizado, no

automatizado o parcialmente automatizado AutenticaciónComprobación de la identidad de un usuario

-14-


Disposiciones generales Niveles de seguridad: Básico, Medio y Alto. Aplicación de los niveles de seguridad:

ALTO Datos especialmente protegidos:Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexualFines policiales sin consentimiento de las personas afectadasViolencia de género

Los creados para el cumplimiento de las disposiciones de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo

MEDIO Infracciones administrativas o penalesServicios de información sobre solvencia patrimonial y créditoAdministraciones Tributarias - potestades tributariasEntidades financieras - servicios financierosSeguridad Social, Mutuas Elaboración de perfiles

MEDIO (+ registro de accesos) Operadores TELECO – tráfico y localización

BÁSICO Cualquier otro fichero o tratamiento de datos de carácter personal. También en datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:

•transferencia dineraria a entidades de las que los afectados sean asociados o miembros,•tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad•Salud (grado o condición de discapacidad o invalidez - cumplimiento de deberes públicos)

-15-


Las medidas de seguridad tienen que aplicarse a cualquier fichero o tratamiento de datos de carácter personal, con independencia: de quién realice el tratamiento

• Encargado del tratamiento Diferentes modos de prestación del servicio (art. 82)

• Prestación de servicios sin acceso a datos personales Cláusula informativa en el contrato (art. 83)

desde dónde se realice• Acceso a datos a través de redes de comunicaciones, sean o no públicas

(art. 85)• Régimen de trabajo fuera de los locales del responsable del fichero o

encargado del tratamiento Dispositivos portátiles (art. 86)

cómo se realice• Ficheros temporales o copias de trabajo de documentos (art. 87)

-16-


Documento de seguridad (art. 88)

Documento interno de la organización que recoge las medidas de índole técnica y organizativa que han de aplicarse para garantizar la seguridad de los datos

Su elaboración es obligatoria para todo responsable de ficheros o tratamientos

Las medidas y procedimientos contenidos en él son de obligado cumplimiento para el personal con acceso a los sistemas de información

Contenido mínimo (art. 88.3) Ámbito de aplicación Medidas, normas, procedimientos de actuación y estándares para garantizar el

nivel de seguridad exigido en el RLOPD. Funciones y obligaciones del personal en relación con el tratamiento de datos de

carácter personal Estructura de los ficheros de datos personales y descripción de los sistemas de

información que los tratan. Procedimientos de notificación, gestión y respuesta ante las incidencias Procedimientos de realización de copias de respaldo y de recuperación de datos

en los ficheros y tratamientos automatizados Medidas para el transporte de soportes, así como para la destrucción de

documentos y soportes. -17-


Documento de seguridad (art. 88) Además, si fueran de aplicación medidas de nivel medio o alto, contendrá:

• Identificación del responsable de seguridad• Los controles periódicos para verificar el cumplimiento del documento

En caso de que el tratamiento de los datos se realice exclusivamente en los sistemas del encargado del tratamiento, puede delegarse en éste la llevanza del documento de seguridad

Debe mantenerse actualizado en todo momento y adecuarse siempre a las disposiciones vigentes en materia de seguridad de los datos de carácter personal

-18-


El Reglamento aporta aclaraciones y flexibilidad para cumplir las medidas de seguridad

Segregación de ficheros por niveles (art. 81.8) Delegación de autorizaciones (art. 84) Perfiles de usuario (art. 5.2.j) Documento de seguridad (art. 88)

• Único o individualizado, en función de sistemas de tratamiento, otros criterios del responsable

• Recogerá las delegaciones de autorizaciones• Recogerá las situaciones excepcionales:

Prestaciones de servicios, uso de dispositivos portátiles, Medidas compensatorias, imposibilidad aplicación medidas previstas

• Interno, actualizado

-19-


Reglamento LOPD. MEDIDAS DE SEGURIDADNivel Básico

Ficheros automatizados y no automatizados

Art. 89. Funciones y obligaciones del personal•Claramente definidas en el documento de seguridad•Adopción de las medidas necesarias para que sean conocidas por el personal

Art. 90. Registro de incidencias. Debe existir:•Un procedimiento de notificación y gestión de incidencias•Un registro de incidencias en el que se indique: tipo, fecha/hora, impacto, quién realiza la

notificación y destino de la misma, acciones correctoras.Art. 91. Control de acceso

•Acceso de los usuarios sólo a los recursos que se precisen para el desarrollo de su trabajo•Relación actualizada de usuarios y perfiles de usuarios•Mecanismos para evitar el acceso a recursos distintos de los autorizados•Sólo el personal autorizado en el DS puede conceder, alterar o anular el acceso autorizado.

Art. 92. Gestión de soportes y documentos•Identificación del tipo de información que contienen + inventario de soportes•La salida fuera de locales del responsable debe estar autorizada; adopción de medidas de

seguridad en el traslado de soportes para evitar su sustracción, pérdida o acceso no autorizado•Borrado o destrucción previa de la información si se va desechar el soporte

-20-

Reglamento LOPD. MEDIDAS DE SEGURIDADNivel Básico

Sólo automatizados Sólo no automatizados

Art. 93. Identificación y autenticación-Inequívoca y personalizada-Cuando el mecanismo de autenticación se

base en contraseñas, debe existir un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad

-Las contraseñas tienen que ser cambiadas al menos con periodicidad anualArt. 94. Copias de respaldo y recuperación

-Al menos con periodicidad semanal, a menos que no se hubieran producido cambios

-Procedimientos para la recuperación de datos

-Verificación de los procedimientos de realización de copias de seguridad y recuperación de datos al menos cada seis meses

-Pruebas previas a la implantación del SI con datos no reales, a menos que se garantice el nivel de seguridad correspondiente

Art. 106. Criterios de archivo•Posibilitar derechos ARCO•Correcta conservación de los documentos

Art. 107. Dispositivos de almacenamiento•Deben disponer de mecanismos que

obstaculicen su apertura (p.ej, cerraduras)•Si las características físicas de aquéllos no

permiten adoptar la medida anterior, se adoptarán medidas que impidan el acceso de personas no autorizadas.

•Art. 108. Custodia de los soportes•Mientras la documentación no se encuentre

archivada (p.ej., por encontrase en proceso de revisión o tramitación), la persona a cargo debe custodiarla y evitar que sea accedida por personas no autorizadas

-21-

Reglamento LOPD. MEDIDAS DE SEGURIDAD

Nivel MedioFicheros automatizados y no automatizados

Responsable de seguridad (art. 95, art. 109). Uno o variosAuditoría (art. 96, art. 110) Al menos cada dos años. Interna o externa.

Sólo automatizados

Art. 97. Gestión de soportes•Sistema de registro de entrada y salida de soportes

Art. 98. Identificación y autenticación•Mecanismo que limite la posibilidad de intentar reiteradamente el acceso no

autorizado al sistema de informaciónArt. 99. Control de acceso físico

•Sólo el personal autorizado en el documento de seguridad podrá tener acceso a los lugares en los que se hallen instalados los equipos que den soporte a los sistemas de informaciónArt. 100. Registro de incidencias

•En el registro deberán consignarse los procedimientos realizados de recuperación de datos. Éstos deberán ser autorizados por el responsable de seguridad.

-22-

Reglamento LOPD. MEDIDAS DE SEGURIDADNivel Alto

Ficheros automatizados Ficheros no automatizadosArt. 101. Gestión y distribución de soportes

•La distribución de soportes que contengan datos personales se hará cifrado dichos datos.

•Se cifrarán los datos los dispositivos portátiles, cuando se encuentren fuera de las instalaciones del responsableArt. 102. Copias de respaldo y recuperación

•Una copia de respaldo y de los procedimientos de recuperación de datos en un lugar diferente al de los equipos informáticos que los tratanArt. 103. Registro de accesos

•Se guardarán durante un periodo mínimo de dos años un registro de todos los acceso. Excepción: cuando el responsable sea una persona física y garantice que es el único que accede y trata los datos personales.Art. 104. Telecomunicaciones

•Cifrado de los datos personales cuando se transmitan por redes públicas o inalámbricas de comunicaciones electrónicas

Art. 111. Almacenamiento de la información•Los armarios o archivadores deberán

encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de llave o dispositivo equivalente.

•Medidas alternativas cuando las características de los locales no hagan posible el cumplimiento del punto anterior.Art. 112. Copia o reproducción

•Sólo bajo el control de personal autorizado•Destrucción de copias desechadas

Art. 113. Acceso a la documentación•Mecanismo que permitan identificar los

accesos realizados (sólo si pueden acceder varios usuarios) Art. 114. Traslado de documentación

•En caso de traslado físico, adopción de medidas que impidan el acceso o manipulación de la información

-23-

-24-

Disposición adicional única

Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto


caso práctico de aplicación de la lopd sesión de preparatic 26 de noviembre de 2011

Documents