1
Dirección de Seguridad yMedio Ambiente
Ley Orgánica de Protección de Datos de Carácter Personal y Reglamento de Medidas de Seguridad
FORMACIÓN
28 de Noviembre 2007
2
Dirección de Seguridad yMedio Ambiente
Índice
Introducción a la Ley de Protección de Datos.IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datos.n de Datos.
Medidas de seguridad en la gestión de archivos, informáticos y físicos.Medidas de seguridad en la gestiMedidas de seguridad en la gestióón de archivos, informn de archivos, informááticos y fticos y fíísicos.sicos.222
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.333
Acceso a la información sobre LOPD y planes de actuación.Acceso a la informaciAcceso a la informacióón sobre LOPD y planes de actuacin sobre LOPD y planes de actuacióón.n.444
111
3
Dirección de Seguridad yMedio Ambiente
Introducción a la Ley de Protección de Datos.
4
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
CONCEPTOS BÁSICOS LOPD
¿Qué es la LOPD?
•La LOPD tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
•Se creó con el fin de dar cumplimiento al artículo 18.4 de la Constitución Española que establece la necesidad de limitar el uso de la informática para:
Garantizar la intimidad Personal y Familiar.
Proteger el legítimo ejercicio de las libertades públicas y los derechos fundamentales.
OBJETIVOOBJETIVO: Evitar que la información personal de los individuos sea divulgada y utilizada con fines no éticos.
• Garantizar la seguridad de los datos personales
5
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
CONCEPTOS BÁSICOS LOPD
Datos de carácter personal
•Se entiende por “datos de carácter personal” cualquier información concerniente a personas físicas identificadas o identificables: Nombre, apellidos, DNI, dirección, datos bancarios, fotografía, huellas, voz, dirección de e-mail.
•Entre los datos de carácter personal hay unos especialmente sensibles que tienen mayores restricciones según la LOPD: Ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual.
6
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
CONCEPTOS BÁSICOS LOPD
ALTODatos sensibles
Ideología, religión, creencias, origen racial, salud y vida sexual
MEDIODatos de comisión de infracciones penales y adm, hacienda pública,
servicios financieros
BÁSICOTodos los ficheros con datos de carácter personal
Niveles de Seguridad
7
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Para garantizar la seguridad de los datos personales es necesario considerar:
INTEGRIDADDatos están seguros y son correctos
DISPONIBILIDADDatos están disponibles en el
momento necesario
CONFIDENCIALIDADDatos accesibles sólo para el personal
autorizado
SEGURIDAD
CONCEPTOS BÁSICOS LOPD
8
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Calidad de los datos personales:
• Sólo pueden recogerse cuando sean pertinentes y no excesivos.• Sólo pueden usarse datos de carácter personal para la finalidad con la que fueron recogidos.• Los datos serán cancelados cuando dejen de ser necesarios para la finalidad con que fueron creados.• Los datos deben ser en todo momento exactos y reflejar fielmente la situación real del afectado.
Derecho de información en la recogida de datos:
• La existencia de un fichero que contendrá sus datos, finalidad de la recogida de datos y destinatario de la información.• La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.• La identidad y dirección del responsable del tratamiento.• Si los datos no han sido recabados directamente del afectado, el responsable del fichero debe informarle debidamente en el plazo de 3 meses.
CONCEPTOS BÁSICOS LOPD
9
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Consentimiento del afectado:
• El tratamiento de datos personales requerirá el consentimiento inequívoco del afectado. Sin embargo, dicho consentimiento no es necesario, entre otros casos, cuando:
• Exista un contrato o precontrato referente a una relación de negocio, laboral o administrativa y los datos sean necesarios para su mantenimiento o cumplimiento.
• Los datos figuren en fuentes accesibles al público y cumplan unos requisitos adicionales.
• Hay datos especialmente protegidos (ideología, afiliación sindical, religión y creencias) que requieren consentimiento expreso y por escrito..
Deber de secreto:
• El responsable del fichero y quienes intervengan en su tratamiento están obligados a guardar secreto profesional.
CONCEPTOS BÁSICOS LOPD
10
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Comunicación o cesión de datos:
• Los datos personales sólo podrán ser comunicados o cedidos a un tercero para el cumplimiento de los fines del cedente y del cesionario con el previo consentimiento del interesado, salvo en determinados casos.
• La prestación de servicios de outsourcing que involucren el tratamiento de los datos personales por un tercero no se considera una Cesión de Datos.
CONCEPTOS BÁSICOS LOPD
Acceso a datos por cuenta de terceros:
• Debe regularse en un contrato que establezca:- Que el encargado tratará los datos según las instrucciones del responsable
del tratamiento y no los utilizará para fines distintos ni los comunicará a otros.- Las medidas de seguridad que se deben cumplir. - Cumplida la prestación contractual, los datos deben ser destruidos o
devueltos al responsable del tratamiento.
• A diferencia de la cesión de datos, no es necesario el consentimiento del afectado para que sea posible el tratamiento de los datos por parte de un tercero.
11
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
PROCESO DE SELECCIÓN
1.1 RECEPCIÓN DE CURRÍCULOSCláusula a enviar en caso de recepción
de Currículum Vitae (por cualquier vía)
•Deber de información•Recabar consentimiento tácito.•Cesión de datos resto entidades MAPFRE•Información de los derechos ARCO.
•Se deben almacenar estos envíos.•Esta documentación debe estar accesible y bien organizada.
12
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
1.2. DECLARACIÓN DE DATOS PERSONALES
Firma de la cláusula:
• Deber de información• Recabar consentimiento expreso.• Cesión de datos resto entidades
MAPFRE• Información de los derechos
ARCO.
•Los currículos que no interesen se deben destruir en destructora.•Los currículos se deben almacenar en armarios con llave.
PROCESO DE SELECCIÓN
13
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Infracciones y sanciones:
Incumplimiento de las Medidas de Seguridad
El responsable del fichero esta sujeto al régimen sancionador dispuesto en la ley 15 de 1999 (LOPD).
SANCIONESLevesEntre
600 y 60.000 euros.
GravesEntre
60.000 y 300.000 euros.
Muy GravesEntre
300.000 y 600.000 euros.
La cuantía de las infracciones depende:• Del volumen de los tratamientos efectuados.• Del grado de intencionalidad.• De los daños causados.
Las multas se aplican por fichero
14
Dirección de Seguridad yMedio Ambiente
LEVES:
No atender las solicitudes de rectificación o cancelación de los datos personales.
No proporcionar la información que solicite la agencia de protección de datos.
Recoger datos de carácter personal de los afectados sin comunicarles la finalidad deltratamiento ni el responsable de los datos.
Incumplir con el deber de secreto.
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Infracciones y sanciones:
15
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Infracciones y sanciones:
GRAVES:
Recoger datos de carácter personal sin el consentimiento del afectado.
Mantener datos personales inexactos o no efectuar actualizaciones o cancelaciones cuando procedan, afectando los derechos de las personas.
Obstaculizar o impedir el derecho de acceso y oposición a proporcionar información de carácter personal.
Mantener ficheros, programas o equipos que contengan datos personales sin las Medidas de Seguridad adecuadas (según Real Decreto).
16
Dirección de Seguridad yMedio Ambiente
IntroducciIntroduccióón a la Ley de Proteccin a la Ley de Proteccióón de Datosn de Datos
Infracciones y sanciones:
MUY GRAVES:
La recogida de datos de forma engañosa o fraudulenta.
La comunicación o cesión de datos personales fuera de los casos en los que estén permitidas.
Recabar datos de nivel alto sin el consentimiento del afectado.
Tratar con menosprecio los datos personales o de forma ilegitima, atentando contra los derechos fundamentales.
Incumplir el deber de secreto con datos de nivel alto.
Obstaculizar reiteradamente el derecho de acceso, rectificación o cancelación.
17
Dirección de Seguridad yMedio Ambiente
Medidas de seguridad en la gestión de archivos informáticos y físicos.
18
Dirección de Seguridad yMedio Ambiente
Medidas de seguridad en la gestiMedidas de seguridad en la gestióón de archivos informn de archivos informááticos y fticos y fíísicos.sicos.
DOCUMENTO DE SEGURIDAD:
Para todos los niveles se requiere un documento de seguridad que describa:
• Ámbito de aplicación del Documento y descripción de los ficheros protegidos
• Funciones y Obligaciones del personal con acceso a los datos de carácter personal.
• Estructura de los ficheros de carácter personal y descripción de los sistemas de información.
• Procedimiento de notificación, gestión y resolución de incidencias.
• Procedimientos de realización de copias de seguridad y recuperación de datos.
19
Dirección de Seguridad yMedio Ambiente
Medidas de seguridad en la gestiMedidas de seguridad en la gestióón de archivos informn de archivos informááticos y fticos y fíísicos.sicos.
REGLAMENTO DE MEDIDAS DE SEGURIDAD (RMS)
El Reglamento, que entró en vigor el 26/06/99, determina las medidas de seguridad técnicas y organizativas que garanticen la integridad y confidencialidad de la información de carácter personal.
Disposiciones generales:Independientemente del nivel de los datos tratados, el reglamento establece que:
– Las medidas de seguridad para el tratamiento de datos a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente a los accesos en modo local.
– Cuando se trabaje con los ficheros fuera de los locales en los que se ha declarado que se realiza su tratamiento, éste deberá ser autorizado y llevarse a cabo garantizando los mismos niveles de seguridad.
– Cuando se trabaje con ficheros temporales, éstos deberán ser borrados una vez finalizada su utilidad y durante su existencia deberán tener las mimas medidas de seguridad que los originales de los que han sido extraídos.
20
Dirección de Seguridad yMedio Ambiente
Medidas de seguridad en la gestiMedidas de seguridad en la gestióón de archivos informn de archivos informááticos y fticos y fíísicos.sicos.
MEDIDAS DE SEGURIDAD SEGÚN EL RMS:
NIVEL BÁSICO
Documento de Seguridad (1)
- Registro de incidencias
- Identificación y Autenticación
- Control de Acceso
- Gestión de soportes
- Copias de Respaldo y recuperación
Documento de Seguridad (2)
- Nivel Básico
- Responsable de Seguridad
- Auditorias Bianuales
- Identificación y Autenticación
- Control de Acceso Físico
- Gestión de soportes
- Registro de Incidencias
- Pruebas con datos reales
Documento de Seguridad (3)
- Nivel Básico y Medio
- Distribución de soportes
- Registro de Accesos
- Copias de respaldo y
recuperación
- Telecomunicaciones
NIVEL MEDIO NIVEL ALTO
21
Dirección de Seguridad yMedio Ambiente
Medidas de seguridad en la gestiMedidas de seguridad en la gestióón de archivos informn de archivos informááticos y fticos y fíísicos.sicos.
Normativa MAPFRE:Identificador de usuario NUUMA
Personalización de privilegios Sí, según funciones
Usuarios genéricos NO, salvo circunstancias especiales
Longitud de contraseñas 6 para usuarios/ 8 para administradores (incluyendo al menos 2 numéricos
y dos alfanuméricos)
Histórico de contraseñas si, con un tamaño de 6
Cambio obligatorio de contraseña como máximo 40 días
Periodo mínimo de vida como mínimo 1 día
Cambio obligatorio de contraseña en primer acceso Si
Bloqueo de usuarios por inactividad Si, a los 40 días
Bloqueo de usuarios por reintento Si, a los 5 intentos
Recomendables Aviso antes de caducidad al menos 6 días
Obligatorias
22
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.
23
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• SDSI. Sistema Documental de Seguridad de la Información
– El SDSI, en lo concerniente a protección de datos de carácter personal, recoge el cumplimiento de la normativa legal vigente a través de diferentes Normas y Estándares.
– Aprobado por la Dirección de Seguridad y Medio Ambiente.– Disponible en el Portal Interno de MAPFRE.– Cada Entidad puede definir sus propios procedimientos, siempre en cumplimiento de la
normativa aprobada en el SDSI.
• Procedimientos propios:
– Gestión de incidencias– Gestión de soportes– Ficheros temporales– Gestión del papel
24
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• GESTIÓN DE INCIDENCIAS
– Cualquier persona que sea conocedora de una incidencia tiene la obligación de comunicarlo al Responsable de Seguridad. Para ello cumplimentará los siguientes datos en el formulario de notificación de incidencias:
◦ Tipo de incidencia: Descripción del hecho observado.◦ Día y hora en que se ha producido: ◦ Persona que notifica la incidencia: Nombre y apellidos ◦ Persona destinataria de la notificación: Responsable Seguridad del fichero◦ Efectos derivados de la incidencia: Consecuencias que ha provocado el hecho
Observado, en caso de existir y conocerlas.◦ Procedimientos realizados de recuperación de los datos: Se indicará además la
persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.
25
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• GESTIÓN DE INCIDENCIAS– Detección. Directamente por el usuario:
Concepto de incidencia LOPD: El RMS define “Incidencia” como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”. Deberá entenderse como “incidencia”:
- Los accesos no autorizados: intrusión en salas restringidas, acceso a datos por usuarios no autorizados, divulgación, pérdida o no modificación de las contraseñas de acceso, etc.
- La pérdida de datos: extravío de soportes físicos, borrado injustificado de datos del fichero, defectos detectados en el procedimiento de realización de copias de respaldo, etc.
- La incorrecta gestión de soportes: no identificación del contenido de los mismos, existencia de soportes no inventariados, deficiente control de las entradas y salidas de soportes, etc.
- Las averías de equipos: averías en discos, en robots, en unidades de cinta, etc.- El funcionamiento incorrecto de programas.- El defectuoso funcionamiento del procedimiento de notificación y gestión de
incidencias: no comunicación de las incidencias por la persona que la detecta, - Cualquier otra irregularidad, defecto o fallo que pudiera afectar a la seguridad de los
datos de carácter personal contenidos en los ficheros de la entidad.
26
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• GESTIÓN DE INCIDENCIAS
– Notificación:Una vez ha detectado la incidencia y cumplimentado el modelo de comunicación, se enviará al Responsable de Seguridad del Fichero por correo electrónico con acuse de recibo o bien a la dirección:
Dirección de Seguridad y Medio AmbienteElena Mora 91581 [email protected]
Katsuko Saito 91581 [email protected]. Pozuelo, 52 28220, Majadahonda
27
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• GESTIÓN DE SOPORTES
– ENTRADA DE SOPORTES:• Una vez recepcionado el fichero, la persona correspondiente se pondrá en contacto
con Responsable Seguridad al que hay que suministrarle la siguiente información:- Descripción del fichero recibido.- Tipo de soporte.- Fecha y hora de entrada o recepción.- Emisor del fichero.- Número de soportes.- Tipo de información.- Persona responsable de la recepción.- Tratamiento y fin del fichero.
• El Responsable de Seguridad de Ficheros procederá a registrar el fichero correspondiente, dándolo de alta en el inventario de soportes.
28
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• GESTIÓN DE SOPORTES
– SALIDA DE SOPORTES:• Siempre que sea necesario enviar soportes con datos de carácter personal fuera de
las instalaciones de MAPFRE, deberá indicarse al Responsable de Seguridad de MAPFRE con el objetivo de:
• Asegurar el cumplimiento de las medidas de seguridad necesarias.• Proceder al etiquetado e inventariado del soporte. • Definir las medidas que se van a exigir al destinatario relativas a ese soporte. • Tomar las medidas contractuales que garanticen que quien recibe el soporte va
a proceder conforme a la LOPD. • Proceder a registrar el envío de información.
• El Responsable de Seguridad procederá al registro del mismo.• Mensualmente, el Responsable de Seguridad hará un control de la recepción de
soportes y verificará la destrucción de los datos.
29
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• FICHEROS TEMPORALES
– Se entiende por fichero temporal aquel fichero distinto del original cuya finalidad es un procesamiento paralelo de los datos originales sin afectar al fichero original:
• Ficheros temporales generados automáticamente por sistemas o aplicaciones necesarios para su funcionamiento.
• Ficheros temporales obtenidos por usuarios a partir de los datos contenidos en los sistemas o aplicaciones con objeto de utilizarlos para una finalidad específica durante un período de tiempo limitado.
• Información recabada directamente del interesado por parte de usuario y almacenada en ficheros temporales.
30
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
• FICHEROS TEMPORALES
– Ficheros temporales de usuarios:
• Si es posible, deberán eliminarse del fichero aquellos datos que pudieran identificara cualquier persona física.
• En el caso de que los usuarios generen ficheros temporales que con motivo de sus funciones y obligaciones contengan datos de carácter personal, será responsabilidad de los mismos el borrado de estos ficheros una vez que no sean necesarios.
• Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a la calificación de los datos personales orígenes.
• Todo fichero temporal será borrado una vez haya dejado de ser necesario para los fines que motivaron su creación.
31
Dirección de Seguridad yMedio Ambiente
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
– Se recomienda la centralización de los currículum vitae que se reciban en un único lugar.– La información sólo se podrá mantener durante el tiempo que se estime conveniente y
necesario.– Destrucción de la documentación que contenga datos de carácter personal en
contenedores de destrucción confidencial habilitados para tal fin.– No reutilizar papel con información confidencial.– Controlar la impresión de papel que contenga datos de carácter personal.– Establecer un procedimiento seguro para la recepción de faxes.– No mantener documentación sensible al alcance de la vista.
– Futuro RMS afectará a la gestión del papel: procedimientos de gestión de incidencias, entrada/salida de información en papel, registro de accesos a la sala,…
GESTIÓN DEL PAPEL
32
Dirección de Seguridad yMedio Ambiente
Conclusiones
33
Dirección de Seguridad yMedio Ambiente
Conclusiones.Conclusiones.
¿Qué debo hacer?:
Te mostramos una pequeña serie de cosas que puedes hacer para colaborar
• Las contraseñas son la mejor forma de impedir que alguien acceda a tus datos.¡Utilízalas!. Cámbialas periódicamente.
• Si detectas que alguien ha accedido a tu usuario o conoce tu contraseña, comunícalo al responsable de seguridad LOPD.
• Almacena la información en la red. De esta forma no perderás datos si ocurre algún problema y estará protegida.
• Sigue las normas de uso de los Sistemas de Información y comunicaciones y telefonía.
34
Dirección de Seguridad yMedio Ambiente
Conclusiones.Conclusiones.
¿Qué no debo hacer?:
• Comunicar a otros tu contraseña de acceso.
• Permitir el uso de tu ordenador a personas no autorizadas.
• Usar la información irresponsablemente transmitiéndola o facilitando el acceso a personas ajenas a tu trabajo.
• Si tienes dudas sobre una determinada conducta en relación con el uso de datos personales, no actúes, pregunta.
35
Dirección de Seguridad yMedio Ambiente
Conclusiones.Conclusiones.
Contraseñas:• Utiliza una contraseña para impedir el acceso a tu ordenador y a las
aplicaciones.
• Tú eres el responsable de la confidencialidad de tu contraseña.
• Utiliza contraseñas de al menos 7 caracteres y que sean difíciles de adivinar (p.e. combina letras y número, mayúsculas y minúsculas).
• No utilices una contraseña que sea igual que tu identificador, nombre, apellido, fecha de nacimiento, o cualquier otro valor que sea fácilmente asociable a tu persona.
• No la anotes en lugares visibles ni la compartas con los demás.
• Cambia de contraseña la primera vez que accedas al sistema y periódicamente, según lo estipulado por el sistema que utilices.
36
Dirección de Seguridad yMedio Ambiente
Ley Orgánica de Protección de Datos de Carácter Personal y Reglamento de Medidas de Seguridad
Muchas Gracias
28 de Noviembre 2007
Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.Procedimientos de seguridad de acuerdo con la LOPD.
Top Related