430 likes | 626 Views
Jornada: Prevenció i protecció de dades de caràcter personal: plans d’auditoria EL COORDINADOR DE PROTECCIÓ DE DADES EN EL SECTOR PÚBLIC. Ricard Martínez Martínez. Prof. Dret Constitucional . Universitat de València. Punt de partida. Absència de models La UE.
E N D
Jornada: Prevenció i protecció de dades de caràcter personal: plans d’auditoriaEL COORDINADOR DE PROTECCIÓ DEDADES EN EL SECTOR PÚBLIC Ricard Martínez Martínez. Prof. Dret Constitucional . Universitat de València
Punt de partida Absència de models La UE
Directiva 95/46/CE del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades • DPO. Una figura opcional (art. 18.2 ) • Es permet la simplificació o l'omissió del deure de notificació quan el responsable del tractament designi, conforme al Dret nacional al que està subjecte, un encarregat de protecció de les dades personals que tingui per comesa, en particular: • fer aplicar en l'àmbit intern, de manera independent, les disposicions nacionals adoptades en virtut de la present Directiva, • dur un registre dels tractaments efectuats pel responsable del tractament
Reglament (CE) n° 45/2001 del Parlament Europeu i del Consell, de 18 de desembre de 2000, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals per les institucions i els organismes comunitaris i a la lliure circulació d'aquestes dades (arts. 24 i ss.) • DPO obligatori. • Funcions: • Garantir que els responsables del tractament i els interessats siguin informats dels seus drets i obligacions. • Respondre a les sol·licituds del Supervisor Europeu de Protecció de Dades i, en el marc de les seves competències. • Cooperar amb el Supervisor Europeu de Protecció de Dades a petició d'aquest o per iniciativa pròpia; • Garantir de forma independent l'aplicació interna de les disposicions del Reglament; • Dur el registre d'operacions de tractament realitzades pel responsable del tractament amb indicació de: • el nom i l'adreça del responsable del tractament i una indicació dels serveis d'una institució o organisme encarregats del tractament de dades personals per a una fi particular; • els objectius del tractament; • una descripció de la categoria o categories d'interessats i de les dades o categories de dades que es refereix el tractament; • el fonament jurídic del tractament al que van destinats les dades; • els destinataris o categories de destinataris als quals es poden comunicar les dades; • una indicació general dels terminis establerts per al bloqueig i la supressió de les diferents categories de dades; • les transmissions de dades previstes a tercers països o a organitzacions internacionals; • una descripció general que permeti avaluar de manera preliminar si les mesures adoptades en aplicació de l'article 22 resulten adequades per a garantir la seguretat del tractament. • notificar al Supervisor Europeu de Protecció de Dades les operacions de tractament que poguessin presentar riscos específics conformement a l'article 27. • Haurà de vetllar per que el tractament no tingui efectes adversos sobre els drets i les llibertats dels interessats.
Perfil: • Professionalitat: • Serà seleccionat en raó de les seves qualitats personals i professionals i, en particular, de la seva experiència en la protecció de dades. • Independència: • No haurà de poder derivar en un conflicte d'interessos entre la seva funció de responsable i altres obligacions professionals, en particular en relació amb l'aplicació de les disposicions del present Reglament. • El responsable de la protecció de dades no acceptarà instruccions de ningú respecte de l'exercici de les seves funcions. • Mandat limitat: • Nomenat per un mandat d'entre dos i cinc anys renovable en una ocasió. • Inamovilitat: • Només podrà ser destituït de la seva funció de responsable de la protecció de dades per la institució o organisme comunitari que li hagi nomenat, previ consentiment del Supervisor Europeu de Protecció de Dades, en cas que deixi de complir les condicions requerides per a l'exercici de les seves funcions. • Notificació a la autoritat: • Després d'haver nomenat al responsable de la protecció de dades, la institució o l'organisme que li hagi designat comunicarà el seu nom al Supervisor Europeu de Protecció de Dades. • Recursos: • La institució o organisme comunitari que li hagi designat assignarà al responsable de la protecció de dades el personal i els recursos necessaris per a l'execució de les seves funcions. • Definició funcional específica si escau: • Cada institució o organisme comunitari adoptarà normes complementàries respecte al responsable de la protecció de dades, conformement al disposat en l'annex. Tals normes es referiran, en concret, a les tasques, obligacions i competències del responsable de la protecció de dades.
Quan hi ha un problema: • S’ha exercit un dret ARCO. • S’han perdut dades. • S’han dipositat papers en les escombraries. • S’han usat indegudament dades. • Hi ha una denúncia.
Què guanya l'organització? • Coneixement de tots els seus processos basats en TIC. • Capacitat decisòria. • Seguretat. • Confiança. • Qualitat
Es requereix… • Suport clar, compromís directiu. • Compromís del personal informàtic. • Un alt grau d'especialització jurídica. • Polítiques de formació. • Canvi cultural.
Opcions de perfil i contractació: • Externalització. • Personal específic. • Si la organització és complexa una barreja dels dos. • Perfil: • Jurídic. • Tècnic. • Equips integrats. • General v. especial.
Una organització complexa: • 16 centres • Un centenar de departaments. • Una desena d’instituts d’investigació. • Unitats d’investigació. • Tres fundacions. • Un hospital universitari. • Dues clíniques (odontològica i podòlogica) amb gestió fundacional. • Empreses participades. • Serveis d’assistència en salut, psicologia, integració de persones amb discapacitat. • Serveis relacionats amb l’oci, cultura, esports, formació complementària, promoció del voluntariat, inserció laboral... • Relacions amb tercers: • Serveis de tota mena: de obrir portes a la topologia de xarxa. • Convenis de consum. • Contractes d’investigació. • Relacions internacionals: Erasmus, Amèrica, professors convidats, certificacions acadèmiques als EUA. • Entorn d’aula virtual. • Una universitat participativa “a les xarxes”. • I per damunt de tot: pluralitat de centres decisoris.
REPTES • El pacient sempre menteix • L'usuari concep la LOPD i el RLOPD com una obligació addicional “excessiva”: • Les mesures es plantegen com objectius inassolibles. • Resulten impossibles d'implantar. • Els usuaris són incapaços d'aplicar-les a causa de la seva dificultat jurídica i tècnica. • Els costos que provoquen són inasumibles o excessius. • Un ambient d’innovació permanent: • Investigació. • Web 2.0
Estructura • Direcció política designada pel rector. • Responsable de seguretat (cap del Servei d’Informàtica). • Tècnic de control de bases de dades (ASS. Jurídic). • Responsables de centres, departaments i de les unitats de gestió. • Responsables de tercers relacionats (Fundacions, empreses participades).
Direcció política designada pel rector. Funcions de coordinació general. Responsable de seguretat (cap del Servei d’Informàtica). Servei d’informàtica Anàlisi i programació. Recursos propis. Externalització. Seguretat. Responsables de centres, departaments, serveis, fundacions. Gestió ordinària de les dades. Obligacions definides al document de seguretat (qualitat, seguretat, secret). Deure de: Sol·licitar si es cau autoritzacions. Sol·licitar assistència jurídica o tècnica. Tècnic de control de bases de dades: Adscripció orgànica: ASS. Jurídic inserit en S. Informàtica. Adscripció funcional: Secretaria General. Tasques. Preauditories LOPD. Assessorament en els processos decisoris per a la creació i inscripció de fitxers. Avaluació sobre viabilitat jurídica. Redacció de les disposicions de creació. Inscripció davant el RGPD. Supervisió del manteniment del document de seguretat (gestió web). Relacions amb tercers: Suport previ al servei de contractació (licitacions). Redacció i formalització de contractes de l’art. 12. Redacció de contractes “sense accés a dades”. Suport jurídic al compliment: Acompanyament als processos de gestió. Informes jurídics. “Casos difícils”. Atenció de Drets ARCO. Elaboració de clàusules informatives i polítiques de privacitat. Protocols d'actuació. . Fitxers manuals: l'arxiu. Videovigilància. Els professors… Suport a processos d’implementació de l’administració electrònica. Plans de formació.
Exemples de Protocol d’actuació
Criteris d’actuació. a) La creació de fitxers per la Universitat requereix la publicació de les característiques del fitxer mitjançant una disposició de caire general. e) La satisfacció dels drets dels titulars: informació en la recollida, oposició al tractament, consentiment, accés, rectificació i cancel·lació. i) Aplicació de mesures de seguretat. o) Identificació i regulació de les relacions amb tercers als que es comuniquen dades o ens presten un servei que comporte l’accés a dades. u) Desenvolupament de procediments interns i formació que garantisca el compliment de la LOPD.
Procediment • Imprès disponible al Servei d’informàtica http://www.uv.es/ciuv/cat/usuaris/formulari.pdf: • Unitat responsable de la seva creació. • Finalitat. • Tipus de dades que tracteu. • Camps i/o taules que incloga la base de dades. • Tipus o categoria de persones de les qual tracteu dades. • Origen de les dades. • Comunicació o ús per part de tercers aliens a la Universitat.
Enviament a Secretaria general / Protecció de dades. • Informe tècnic. • Autorització per a la creació de la base de dades. • Anàlisi jurídic previ al desenvolupament tècnic.
Comunicació de dades • Qualsevol revelació de dades efectuada a una persona diferent de l’interessat i no pertanyent a la Universitat de València.
Criteris d’actuació. • Quan per qualsevol raó un tercer aliè a la Universitat de València demane l’accés a dades personals contingudes en els fitxers que gestioneu i això no estiga previst a la disposició de creació del fitxer caldrà demanar necessàriament un informe al respecte, llevat que es tracte del legítim exercici del dret d’accés per part del propi titular de les dades. • La publicació de dades personal en el web de la Universitat constitueix una comunicació de dades. Qualsevol comunicació de dades d’aquesta natura requerirà necessàriament un informe al respecte. • Si escau la Secretaria General indicarà al responsable competent els criteris a aplicar en cada cas.
Accés a les dades per compte de tercers Encarregats del tractament
Accés a les dades per compte de tercers • Realització d’un contracte d’accés a les dades per compte de tercers (art. 12 LOPD) • Instruccions del responsable del tractament. • Prohibició d’ús amb una finalitat diferent de la que figure en el contracte esmentat. • Prohibició de comunicacions a altres persones, ni tan sols per conservar-les. • Mesures de seguretat. • Destrucció i/ o devolució de les dades. • Responsabilitat de l’encarregat per les infraccions.
Criteris d’actuació. • Notificar l’existència o necessitat d’encomanar un servei que comporta el tractament de dades. • Procedir a la redacció del corresponent contracte que únicament podrà realitzar el tècnic de la Universitat competent. • Qualsevol licitació o contractació de serveis que comporten un accés a dades personals per part de tercers requerirà d’aquest assessorament tècnic.
Per a la solució qualsevol supòsit o problema relacionat amb la protecció de dades que no pugueu resoldre o que us plantege dubtes caldrà sol·licitar l’oportú informe. • Aquest informe serà necessari en els casos específicament previstos a aquest protocol.
Auditories LOPD. • Un eina molt adient per tal d’ajustar els criteris d’actuació es l’anomenada “Auditoria LOPD”. • Es tracta d’un procés mitjançant el qual es determinen tots i cadascun dels tractaments de dades d’una determinada unitat o centre i es recomanen criteris d’actuació al respecte. • La Universitat mitjançant la Secretaria General programarà la realització d’actuacions d’aquesta mena tot i que aquelles unitats o centres que rebre aquest servei podran sol·licitar-ho.
Protocol:Ús d'instal·lacions de videovigilància en la Universitat de València Ricard Martínez Martínez Tècnic de Control de Bases de Dades Servei d’Informàtica
Necessitat de criteris d’actuació • Les imatges són dades de caràcter personal. • Persones físiques identificables. • Dret fonamental a la protecció de dades. • LOPD • Tractaments/fitxers
Instrucció 1/2006 sobre tractaments amb finalitats de videovigilància. Artículo 1. Ámbito objetivo. 1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma.
Finalitats • Control d’accés als edificis o a part d’ells. • Control d’accés a pàrquings i garatges. • Seguretat interior. • Seguretat en instal·lacions esportives • Custòdia de béns valuosos. • Seguretat en el treball i prevenció de riscos laborals.
No s’admeten • Control laboral. • Difusió externa d’imatges a través d’Internet. • Captació d’imatges en espais protegits pel dret fonamental a la intimitat. • S’entén legítima la captació d’imatges amb fins docents i d’investigació encara que haurà de notificar-se amb caràcter previ a fi de proporcionar un adequat suport jurídic a l’activitat
Autorització • Mitjançantimprés. Contindrà: • Identificació del responsable de la unitat. • Finalitat de la instal·lació. • Edifici on s’instal·laran les videocàmeres. • Espai objecte de vigilància. • Característiques de les videocàmeres. • Suport que conté les imatges i lloc d’emmagatzematge. • Existència de serveis d’una empresa externa..
Criteris d’ús • Degudament autoritzades per a les finalitats descrites. • Els monitors o terminals utilitzats per a la videovigilància hauran d'instal·lar-se de manera que no resulten accessibles a tercers no autoritzats. • Les imatges es conservaran durant un període màxim d'un mes.
Prohibicions • Captació intencional d'imatges en la via pública, en vivendes o espais aliens a la Universitat protegits pels drets a la intimitat personal i familiar, la pròpia imatge i la inviolabilitat del domicili. • Captació d'imatges en espais privats com banys, vestuaris, taquilles personals o altres d'anàlegs. • Captació de sons i en especial de conversacions privades. • Difusió per qualsevol mitjà de les imatges captades.
Seguretat • Criteris relatius a: • Accés físic controlat o mecanismes impedir l'accés a informació per tercers aliens a la instal·lació. • Conservació, etiquetat i inventari dels suports d’enregistrament. • Relació dels usuaris. • Reutilització i rebutjat de suports. • Incidències. • Control d'accés lògic en sistemes automatitzats. • Protecció de l’accés al fitxer a través de xarxes de comunicacions. • Enregistraments a disco.uv.es. • Obligacions dels usuaris.
Informació i drets • Senyalètica • Imprés informatiu: • Existència d'un fitxer, la finalitat i dels destinataris de la informació. • Drets d'accés, rectificació, cancel·lació i oposició. • Identitat i adreça del responsable. • Criteris per a l’exercici dels drets: • Escrit a Secretaria General • Identificació del titular (fotografia)+NIF
Enregistrament d’infraccions o delictes • Denuncia a l'autoritat competent en un termini de 72 hores. • Es farà constar de mode exprés l'existència del fitxer “Videovigilància” de la Universitat de València” i la identificació del suport que les conté en el corresponent inventari. • Les imatges es posaran immediatament a disposició de l’autoritat. • Si el suport que conté les imatges queda en poder de l'autoritat competent es documentarà en el corresponent inventari. • Si s’entrega una còpia conservant-se les imatges en sistemes de la Universitat, estes no seran esborrades o cancel·lades transcorregut el termini dels 30 dies fixats en este protocol. • Es notificaran els fets a la Secretaria General amb còpia de la denúncia.
Encarregats del tractament • Realització d’un contracte d’accés a les dades per compte de tercers (art. 12 LOPD) • Instruccions del responsable del tractament. • Prohibició d’ús amb una finalitat diferent de la que figure en el contracte esmentat. • Prohibició de comunicacions a altres persones, ni tan sols per conservar-les. • Mesures de seguretat. • Destrucció i/ o devolució de les dades. • Responsabilitat de l’encarregat per les infraccions.
Gr cies • Web: www.apep.es • Email:contacto@apep.es, Ricard.Martinez@uv.es • Twitter: @AsociacionAPEP, @ricardmm