Formación Interna

Introducción a la LOPD El 13 de diciembre de 1999 se aprobaba la

Ley Orgánica 15/99 de Datos de Carácter Personal (LOPD) . Se daba así comienzo a la actividad reguladora del tratamiento informatizado de datos personales, necesario para evitar los abusos y perjuicios que pueden producirse.

Acaba de publicarse el nuevo Reglamento de protección de datos, correspondiente a la ley en vigor desde 1999.

La LOPD estipula la obligación de registrar en el Registro al efecto de la Agencia de Protección de Datos, todos los ficheros automatizados y no automatizados con datos de carácter personal que existan en poder de la empresa.

Dependiendo del tipo de datos objeto del tratamiento, la LOPD establece tres niveles diferentes de seguridad, cada uno de ellos con exigencias diferentes.

Reglamento de desarrollo de la Ley Orgánica 15/99 (RD 1720/2007 de 21 de Diciembre, publicado en el BOE el 19/1/08)

Ley Orgánica 15/99 de 13 de Diciembre, de Protección de datos de Carácter Personal

Las sanciones por incumplimiento de la ley (articulo 43) se estipulan en (a titulo personal o de empresa):

infracciones leves: Sanción de 600 a 60.000 € infracciones graves: Sanción de 60.000 a 300.000 € infracciones muy graves: Sanción de 300.000 a 600.000 €

La protección de datos a que se refiere la Ley 15/99, tiene un ámbito mayor que el mero almacenamiento y acceso a los datos: Protege todo el tratamiento de los mismos:

Recopilación de datos (conocimiento y consentimiento). Almacenamiento y seguridad Acceso, modificación y rectificación de datos por parte del

propietario de la BD y del titular de los mismos. Cesión (consentimiento obligatorio). Eliminación. Finalidad y proporcionalidad de los datos

Introducción a la LOPD

Marco Legal y Normativas

Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de carácter personal

Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Marco Legal

Instrucciones dictadas por la APD: Instrucción 1/1995 de Prestación de Servicios de Información sobre

solvencia patrimonial y crédito. Instrucción 2/1995 de medidas para garantizar la intimidad de los

datos personales recabados en la contratación de un seguro de vida conjuntamente con un préstamo hipotecario personal.

Instrucción 1/1996 de ficheros automatizados para el control del acceso a edificios.

Instrucción 2/1996 de ficheros automatizados para el control de acceso a casinos y salas de bingo.

Instrucción 1/1998 relativa al Ejercicio de los Derechos de Acceso, Rectificación y Cancelación.

Instrucción 1/2000 relativa a las normas por las se rigen los movimientos internacionales de datos.

……………………

Obligaciones

Formales Registro ficheros RGAPD Documento Seguridad

Organizativas Implementar documento seguridad Formación de los afectados (Difusión) Responsable de Seguridad Notificación y Gestión de Incidencias Control de acceso físico Distribución y etiquetado de soportes Auditoria Información ejercicio derechos /

Deber de informar Cesión / Encargados del tratamiento

Técnicas Control acceso lógico Identificación y Autenticación Gestión de Soportes Backups y Recuperación de los

datos Pruebas con datos reales Registro de accesos Telecomunicaciones Control acceso físico

Aplicación niveles seguridad

Todos los ficheros que contengan datos de carácter personal, adoptarán las medidas de nivel básico.

Los que contengan datos financieros, hacienda pública o relativos a la comisión de infracciones administrativas o penales adoptarán las medidas de nivel básico y de nivel medio.

Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, adoptarán las medidas de nivel alto (además de las de nivel medio y bajo).

Medidas por Nivel de SeguridadMedidas Básico Medio Alto

Documento Seguridad ● ● ●

Funciones y obligaciones Personal + Difusión ● ● ●

Registro Incidencias ● ● ●

Identificación y Autenticación ● ● ●

Control de acceso lógico ● ● ●

Gestión de Soportes ● ● ●

Copias de Respaldo y Recuperación ● ● ●

Auditoria ● ●

Pruebas con datos reales ● ●

Responsable de Seguridad ● ●

Control de acceso físico ● ●

Distribución de Soportes ●

Registro de accesos ●

Telecomunicaciones ●

Medidas Nivel Medio

Responsable Seguridad Auditoria LOPD Bianual. Identificación única y personalizada del acceso a los

ficheros nivel medio. Límite de accesos erróneos al fichero. Control de acceso físico a los ficheros. Gestión Soportes: Anotar entrada/salida de soportes que

contengan el fichero de nivel medio (Tipo soporte, fecha y hora, destinatario, número de soportes, tipo de información contenida, forma de envío, persona responsable de la recepción).

Registro de Incidencias: Autorización por escrito del responsable del fichero en caso de recuperación, y anotación del procedimiento efectuado, persona que lo realiza y datos recuperados.

Medidas Nivel Alto

Distribución de Soportes: Se ha de cifrar la distribución de los soportes que contengan datos de carácter personal.

Registro de accesos al fichero: Se ha de guardad de cada acceso identificación del usuario, fecha y hora del acceso, tipo de acceso y si ha sido autorizado o no. Es información se debe guardar 2 años mínimo. El Responsable de Seguridad ha de realizar un informe mensual de revisiones realizadas y problemas detectadas.

Copias de Seguridad: Se debe guardar una copia del fichero en lugar físico diferente.

La transmisión de datos de datos de carácter personal a través de redes de Telecomunicaciones se realizará cifrando datos.

Documento de seguridad. Estructura

CAPÍTULO 1

AMBITO DE APLICACION / RECURSOS PROTEGIDOS.

CAPÍTULO 2

MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTANDARS ENCAMINADOS A GARANTIZAR EL NIVEL DE SEGURIDAD EXIGIDA EN EL REGLAMENTO.

CAPÍTULO 3

FUNCIONES Y OBLIGACIONES DEL PERSONAL.

CAPÍTULO 4

ESTRUCTURA DE LOS FICHEROS CON DATOS DE CARACTER PERSONAL Y DESCRIPCION DE LOS SISTEMAS DE INFORMACION QUE LOS TRATAN.

CAPÍTULO 5

PROCEDIMIENTO DE NOTIFICACION, GESTION Y RESPUESTA ENTORNO A LAS INCIDENCIAS.

CAPÍTULO 6

COPIAS DE SEGURIDAD Y GESTIÓN DE SOPORTES.

CAPÍTULO 7

PROCEDIMIENTO DE COPIA DE SEGURIDAD. COMPROBACIÓN.

CAPÍTULO 8

PROCEDIMIENTO DE RESTAURACIÓN.

CAPÍTULO 9

FUNCIONES Y RESPONSABILIDADES DEL RESPOSABLE DE SEGURIDAD.

CAPÍTULO 10

CESIÓN DE DATOS.

CAPÍTULO 11

COMUNICACIÓN DE DATOS E INFORMACIÓN.

CAPITULO 12

ACCESO Y RECTIFICACION DE DATOS.

CAPITULO 13

PROCEDIMIENTO Y CUSTODIA DEL ARCHIVO FÍSICO.

CAPITULO 14

POLITICA DE INTERNET Y CONTROL DE VIRUS.

CAPITULO 15

TRATAMIENTO FICHEROS TEMPORALES.

CAPÍTULO 16

JURISDICCIÓN APLICABLE.

Obligaciones del trabajador

Conocimiento y obligatorio cumplimiento del Documento de Seguridad y la normativa allí definidas (Manual de seguridad):

Confidencialidad en los datos accedidos Cumplimiento de permisos definidos en el documento de seguridad Confidencialidad de los datos utilizados para sus tareas laborales. Obligación de informar de cualquier incidencia con datos de

carácter personal al Responsable de Seguridad. Prohibición de guardar ningún tipo de información en modo local. El

trabajador es responsable de la información residente en el ordenador.

Prohibición de grabación de datos de carácter personal (CD, usb, diskette,etc) sin autorización del responsable de Seguridad

Prohibición de instalación de software en la estación cliente sin autorización del responsable de seguridad (ni bajar programas de internet)

Cambio de contraseña trimestral Otros ……….. (Documento de seguridad)

A tener en cuenta !!! Ficheros manuales estructurados: guardar en lugar

cerrado con llave. Responsable de Seguridad: Sergi Ros No hacer copias de seguridad de los datos: ya existe

procedimiento habilitado en los recursos definidos No se pueden guardar informes médicos ni datos

de salud Documento de seguridad de obligatorio

cumplimiento (se ha de revisar y confirmar que se ha leído). Lo exige la LOPD. Si no se lee, no exime del cumplimiento

Las multas por incumplimiento son a título personal (y de empresa)

Ficheros identificados Ficheros identificados en todas las empresas y

responsable: