1 / 207

Para más información: Tel. +34 91 781 61 60 ecija

MBA: Protección de datos 29 y 30 de septiembre de 2009. ECIJA - Firma líder en Servicios Legales y de Seguridad de la Información. Carlos A. Sáiz Peña Fco. Javier Carbayo Vázquez Esmeralda Saracibar Serradilla Nathaly Rey Arenas. Madrid, 29 y 30 de septiembre de 2009. Para más información:

chancellor-dale
Download Presentation

Para más información: Tel. +34 91 781 61 60 ecija

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. MBA: Protección de datos 29 y 30 de septiembre de 2009 ECIJA - Firma líder en Servicios Legales y de Seguridad de la Información Carlos A. Sáiz PeñaFco. Javier Carbayo VázquezEsmeralda Saracibar SerradillaNathaly Rey Arenas Madrid, 29 y 30 de septiembre de 2009 Para más información: Tel. +34 91 781 61 60 www.ecija.com

  2. Sobre ECIJA - Firma líder en Servicios Legales y de Seguridad de la Información ECIJA es una Firma que fusiona Derecho y Tecnología. • En ECIJA somos expertos en la prestación de servicios legales en los sectores de TMT (Tecnología, Media y Telecomunicaciones) y la primera Firma especializada en Seguridad de la Información. • En la actualidad contamos con más de 250 profesionales. • Más de la mitad de las empresas del IBEX 35 han depositado su confianza en los servicios y soluciones integrales de ECIJA. • La trayectoria de ECIJA en estos ámbitos ha sido reconocida año tras año por los más prestigiosos directorios y rankings nacionales e internacionales: Expansión, CHAMBERS & PARTNERS, LEGAL 500.

  3. Red Internacional de ECIJA Nuestra Red Internacional • El liderazgo de ECIJAa nivel nacional la ha lanzado a la apertura de nuevas oficinas internacionales, estando presente directamente en EEUU y Latinoamérica con laapertura en 2008 de Miami y en las capitales más relevantes del mundo a través de su red estratégica internacional

  4. ECIJA – Reconocimientos • Chambers Europe 2008/ 2009 • Hugo Ecija named best Media Lawyer • Chambers Europe 2007/ 2008 • Leaders in TMT: Media • Chambers Global 2008 • Leaders in Intellectual Property in Spain • The Legal 500 2008/ 2009 • Top Tier in TMT and recommended in IP, Corporate and Real Estate • The Legal 500 2009 • EXPANSIÓN • Top Tier in TMT • Recommended in IP Corporate, Litigation • and Real Estate • Ranked among the top 10 Spanish law firms • LA GACETA • European Legal Experts 2008 • Ranked among the top 15 Spanish law firms • Leaders in Corporate & Commercial and IT & Telecom • Chambers Global 2007 • Leaders in TMT in Spain • Iberian Lawyer • Top 40 under 40 Awards 2007 • Hugo and Álvaro Écija are selected among the Top 40 lawyers under 40 in the Iberian Market

  5. ECIJA – Nuestros Clientes

  6. ECIJA – Credenciales "Llevamos depositando nuestra confianza en ECIJAdesde hace seis años. Siempre nos ha impresionado la alta calidad de los servicios jurídicos que recibimos". Mar Sánchez, Responsable de Proyectos de BT "ECIJAy su grupo de profesionales técnicos y jurídicos han sido responsables tanto de los servicios de consultoría como de la implantación de la herramienta software DP Server, destinada a facilitar el control y la gestión de todos los procedimientos relativos a la LOPD en más de 300 entidades del Grupo FCC". Gianluca D'Antonio, Director de Seguridad de la Información del Grupo FCC "Siempre hemos encontrado una disposición máxima por parte de todos los integrantes del despacho, con un altísimo nivel de calidad en la asesoría recibida, siendo nuestro índice de satisfacción excelente". Alejandro de Simón, Asesoría Jurídica de Lilly "Como empresa perteneciente a un medio de comunicación, sabemos que debemos innovar y adaptarnos a los nuevos gustos y necesidades de los espectadores, dándoles algún valor diferencial sobre la competencia. Necesitábamos abogados que nos acompañasen y apoyasen en la andadura garantizando que siempre cumplimos los marcos jurídicos correspondientes. Desde hace años confiamos en ECIJApara esto y no sólo nos han ayudado, sino que hemos conseguido establecer nueva jurisprudencia trabajando en los primeros casos de España de uso de cámara oculta". Melchor Miralles, Director General del Mundo TV

  7. ÁREAS JURÍDICAS ECIJA – Servicios Legales ÁREAS SECTORIALES • Corporate y Mercantil • Fusiones y Adquisiciones • Media y Entretenimiento • Propiedad Intelectual e Industrial • Procesal y Arbitraje • Protección de Datos • Público - Regulatorio • Laboral • Fiscal • Tecnología, Media y Telecomunicaciones • IT Compliance • Finanzas y Seguros • Farmacia, Seguros y Biotecnología • Deporte y Entretenimiento • Energías Renovables • Inmobiliario y Turismo • Private Equity • Fundaciones

  8. ECIJA | Firma líder en Servicios Legales y de Seguridad de la Información "Los problemas de seguridad de la información requieren con frecuencia soluciones que van más allá de lo meramente técnico y exigen una visión más amplia. ECIJA destaca por su capacidad para integrar visiones complejas que incluyen tanto aspectos técnicos como legales y jurídicos, así como su entorno de aplicación adecuado." • ECIJA | CONSULTING & SECURITY es la primera Firma especializada en Seguridad de la Información del mercado español. • En ECIJA | CONSULTING & SECURITY somos especialistas en servicios de Seguridad Gestionada, Certificación Electrónica, Gestión de Seguridad de la Información, Hacking Ético, Fuga de Información, Antifraude y Abuso de Marca, Compliance (Cumplimiento normativo) y Soluciones de Compliance para entidades públicas y privadas. • ECIJA | CONSULTING & SECURITY trabaja con las últimas tecnologías en gestión de seguridad de las TIC, y forma equipos multidisciplinares de profesionales con un perfil técnico-jurídico altamente cualificado para ofrecer un servicio integral único adaptado a cada cliente.

  9. Soluciones: ECIJA |Compliance – Herramientas para el Cumplimiento Normativo ECIJA | SGSI ECIJA | LISI ECIJA | PCN La aplicación que realizará un Análisis de los Riesgos que afectan a los Activos de su Empresa, así como una posterior Gestión de los mismos. Es la Solución integral de validación, firma electrónica, vía Internet y móvil, y custodia de documentos basada en claves públicas. La herramienta para la Gestión de la Continuidad de Negocio. ECIJA | DPServer ECIJA | MiFID ECIJA | eAdministración La herramienta que permite a las Administraciones Públicas la atención al ciudadano por vía telemática. La herramienta de Software para la adecuación a la LOPD dirigida a grandes organizaciones públicas y privadas. Es la herramienta de gestión para que las empresas de inversión se adapten a la normativa MiFID.

  10. ÍNDICE • Seguridad de la Información • Normativa aplicable • ¿Por qué es importante cumplir la LOPD? • Conceptos, Principios y Obligaciones • Ciclo de Vida del Dato • Reglamento de desarrollo de la LOPD • Proceso de adecuación al Reglamento de desarrollo de la LOPD • Fichero. Creación, propiedad e inventario • Cómo afecta la LOPD en una empresa • Las Medidas de Seguridad • La Auditoría LOPD • Los derechos A.R.C.O. • Autoridades de Control • Inspección por la Autoridad de Control • Concienciación del personal • Especial referencia: Videovigilancia • Normativa relacionada | www.ecija.com | www.legal4.com | www.datospersonales.com |

  11. 1. SEGURIDAD DE LA INFORMACIÓN

  12. 1. Seguridad de la Información • SEGURIDAD DE LA INFORMACIÓN COMO MECANISMO DE PROTECCIÓN DE ACTIVOS ESTRATÉGICOS: • Las necesidades de una Entidad en materia de Buen Gobierno Corporativo, afectan a todos los elementos, tangibles e intangibles, que se aplican al desarrollo de su actividad. Necesidad de un adecuado alineamiento de los elementos, tangibles e intangibles, entre sí y de los mismos, respecto a Buen Gobierno Corporativo. • Seguridad de la Información -> alineamiento con los Procesos de Negocio de la Entidad, colaborar y responsabilizarse de la consecución de los objetivos sobre Buen Gobierno Corporativo, así como tener en cuenta la seguridad física como actividad crítica para los procesos de negocio. B) EL PROCESO DE NEGOCIO SE ENCUENTRA AFECTADO POR LA FALTA DE SEGURIDAD: La protección de los activos intangibles de información, de la imagen y de la reputación de una Entidad, afecta al grado de protección que se procure a los stakeholders (clientes, accionistas, empleados, órganos reguladores y proveedores). Necesidad -> invertir gran esfuerzo en materia de Seguridad de la Información y Gobierno de las Tecnologías de la Información, buscando el análisis y control de los riesgos asociados a su utilización y el cumplimiento de las normativas aplicables. La Seguridad de la Información -> la protección de los elementos intangibles de información necesarios para los Procesos de Negocio y de los intereses de los stakeholders. Necesidad de alineamiento con el Buen Gobierno Corporativo y la Responsabilidad Social Corporativa.

  13. 1. Seguridad de la Información

  14. 2. NORMATIVA APLICABLE

  15. TODAS LAS Compañías TODAS LAS ÁREAS / DPTOS. 2. Normativa aplicable • LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD). REGLAMENTO DE DESARROLLO DE LA LOPD (REAL DECRETO 1720/2007, ENTRADA EN VIGOR: 19 DE ABRIL) Actuaciones AEPD (resoluciones, instrucciones, recomendaciones, etc.) Si hay DATOS PERSONALES LA EXPOSICIÓN NORMATIVA PUEDE SER MAYOR EN ALGUNOS DEPARTAMENTOS, PERO LA IMPORTANCIA DEL CUMPLIMIENTO LOPD ES COMÚN A TODOS ELLOS

  16. 2. Normativa aplicable • Panorama Legislativo Básico Instrucciones de la Agencia Española de Protección de Datos sobre diversas materias. Recomendaciones e Informes Jurídicos de la Agencia Española de Protección de Datos. Legislación sectorial.

  17. Normativa relacionada El cumplimiento de LOPD se está configurando cada vez más como una materia a gestionar y con el que convivir en el día a día dentro de la compañía. Cada vez más normativas afectan a LOPD: Seguros, sanidad, bancario, telecomunicaciones. Blanqueo de capitales Bancos de tejidos, datos genéticos, etc. Lucha contra la morosidad Retención de datos para la lucha contra el terrorismo Ley de Impulso a la Sociedad de la Información Administración Electrónica y Servicios de la Sociedad de la Información Cumplimientos normativos, controles financieros y protección de accionistas (Buen Gobierno, SOX, Basilea, etc.) Más estudios del WG art. 29 Directiva Cumplimientos legales en estándares de seguridad (27001, 27002, etc.) Etc. 2. Normativa aplicable

  18. 3. ¿POR QUÉ ES IMPORTANTE CUMPLIR LA LOPD?

  19. Posibles repercusiones derivadas del incumplimiento de la LOPD y normativa de desarrollo: Aparición en prensa económica Daño a la imagen corporativa Desconfianza en el mercado por parte de clientes Desconfianza en las medidas de seguridad de la entidad Denuncias, inspecciones de la Agencia Española de Protección de Datos (AEPD) y de las Autoridades de Control Sanciones económicas elevadas de hasta 600.000 euros 3. ¿Por qué es importante cumplir la LOPD? NOTA: AEPD y Autoridades de Control: • Agencia de Protección de Datos de la Comunidad de Madrid • Agencia Vasca de Protección de Datos • Agencia Catalana de Protección de Datos

  20. 3. ¿Por qué es importante cumplir la LOPD?

  21. 3. ¿Por qué es importante cumplir la LOPD?

  22. 3. ¿Por qué es importante cumplir la LOPD?

  23. 3. ¿Por qué es importante cumplir la LOPD?

  24. 3. ¿Por qué es importante cumplir la LOPD?

  25. 3. ¿Por qué es importante cumplir la LOPD?

  26. 3. ¿Por qué es importante cumplir la LOPD?

  27. 3. ¿Por qué es importante cumplir la LOPD?

  28. 4. CONCEPTOS, PRINCIPIOS Y OBLIGACIONES

  29. Email Nombre y Apellidos DNI o SS Identifican o hacen identificable Datos personales Económicos Bienes Aplicación no específica Estructurado Aplicaciones específicas Fichero Extracciones Ofimática Recoger Tratamiento Todo lo que se haga Tratar Entregar Modificar Destruir

  30. Conceptos Básicos (I) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. Datos especialmente protegidos:ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Fichero:conjunto organizado de datos personales, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso, con independencia de la aplicación informática utilizada (Access, Oracle, SQL o cualquier otra que no sea típicamente una base de datos, p.e. Word, así como fichero en papel). 4. Conceptos, principios y obligaciones

  31. Conceptos Básicos (II) Responsable del Fichero: persona física o jurídica, pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 4. Conceptos, principios y obligaciones

  32. Otros Conceptos Encargado del tratamiento: persona física o jurídica, autoridad pública servicio o cualquier otro organismo que, sólo o conjuntamente, trate datos personales por cuenta del Responsable del Fichero. Fuente de acceso público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación. Responsable de Seguridad: Persona o personas a quienes el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Sistemas de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. 4. Conceptos, principios y obligaciones

  33. Principios y Obligaciones Calidad de los datos (art. 4 LOPD). - Adecuados, pertinentes, no excesivos y actuales. - Cancelar datos cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubiesen sido recabados Información en la recogida (art. 5 LOPD). - Informar al titular de los datos, en el momento de la recogida, de diversos aspectos: de la existencia de un fichero, la finalidad y los destinatarios de las consecuencias de la obtención de los datos o la negativa a suministrarlos de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición de la identidad y dirección del responsable del tratamiento - No titular de los datos -> Informar al titular de los datos en el plazo de tres meses 4. Conceptos, principios y obligaciones

  34. Principios y Obligaciones Consentimiento del afectado (art. 6 LOPD). Es indispensable el consentimiento inequívoco del afectado: Expreso/Tácito Excepciones: Ejercicio de las funciones propias de las Administraciones Públicas. Partes de un Contrato y sean necesarios para su cumplimiento o mantenimiento. Proteger un interés vital del interesado (prevención y diagnóstico médicos, etc.). Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo. 4. Conceptos, principios y obligaciones

  35. Principios y Obligaciones Consentimiento para el tratamiento de los datos de menores (art. 13 RLOPD). ESPECIALIDADES Mayores de 14 años: Solo es necesario su consentimiento, salvo que una LEY pida asistencia de titulares, patria potestad o tutela. Menores de 14 años: En todo caso consentimiento de padres o tutores. SIEMPRE Lenguaje claro e informar expresamente de lo recogido en el art. 13 RLOPD. Nunca recabar datos sobre los demás miembros de la familia (actividad profesional, información económica, etc.), salvo Identidad y dirección para solicitar consentimiento. Comprobar edad y autenticidad, en su caso, del consentimiento. 4. Conceptos, principios y obligaciones

  36. Datos especialmente protegidos: consentimiento expreso (origen racial, salud y vida sexual) o expresoy porescrito del interesado (ideología, afiliación sindical, religión y creencias), salvo: Prevención/Diagnóstico médico. Prestación asistencia sanitaria o tratamientos médicos. Gestión servicios sanitarios. Requisitos. 4. Conceptos, principios y obligaciones

  37. Regla general: SIEMPRE ES NECESARIO EL CONSENTIMIENTO INFORMADO Y ACREDITABLE CLÁUSULAS DE PROTECCIÓN DE DATOS Determinan el alcance del tratamiento Firmadas? Siempre que sea posible Conservación Contrato de servicios o de otro tipo Normativa Sectorial, AAPP, etc. Excepciones: -> NECESARIO POR LEY -> RELACIÓN CONTRACTUAL

  38. 4. Conceptos, principios y obligaciones • Deber de secreto (art. 10 LOPD). - Empleados internos vs. empleados externos. • Ejercicio de derechos A.R.C.O. (art. 15 y ss. LOPD) - Derecho de acceso - Derecho de rectificación y cancelación - Derecho de oposición • Inscripción de ficheros (art. 25 y ss. LOPD) - Deber de la Entidad. - Todos los ficheros y tratamientos. - Sistema NOTA: Especificaciones para desarrolladores.

  39. Cesión de datos (art. 11 LOPD). 4. Conceptos, principios y obligaciones CEDENTE CESIONARIO EMPRESA: RR.HH. HACIENDA PÚBLICA/S. Social • Requisitos: • Necesidad de consentimiento. Excepciones. • Cesionario: Inscripción del Fichero • Recomendación: adopción del Contrato • Ej.: cesión a Empresas del Grupo MUCHAS SANCIONES PROVIENEN DEL INCUMPLIMIENTO DE ESTE PRECEPTO

  40. 4. Conceptos, principios y obligaciones • Encargo de tratamiento (art. 12 LOPD) Encargado Tratamiento Responsable Fichero • Prestación de Servicios por el 3º al Responsable • No necesidad de consentimiento • No deber de Información por Encargado • No inscripción del fichero por Encargado • Sí notificación del Encargo de Tratamiento en el RGPD cuando el Responsable inscriba el fichero • Contrato escrito obligatorio • Subcontrataciones.

  41. 4. Conceptos, principios y obligaciones • Contratos de prestación de servicios SIN acceso a datos. • NO son encargos de tratamiento • Prohibición expresa de acceso a datos personales. • Obligación de secreto respecto a los datos personales que se hubieran podido conocer. ¿Y si hay duda sobre si accede o no a datos personales? Solución más rigurosa: encargo de tratamiento

  42. NUEVAS EMPRESAS EMPRESAS DEL GRUPO cesión encargo cesión COMERCIALES encargo ENTIDADES FINANCIERAS (PAGOS) cesión PROVEEDORES DE DIRECCIONES ADMINISTRACIONES PÚBLICAS cesión cesión FORMACIÓN OTROS TERCEROS POR NORMATIVA SECTORIAL EMPRESA cesión encargo cesión SERVICIOS EXTERNOS DE APOYO SERV. INFO. EMPRESAS encargo cesión EMPRESAS EN OTROS PAÍSES OUTSOURCING encargo cesión

  43. 4. Conceptos, principios y obligaciones • Transferencia Internacional (art. 33 y 34 LOPD) No pueden realizarse transferencias temporales, ni definitivas de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable al español sin autorización del Director de la Agencia Española de Protección de Datos, siempre que se obtengan garantías adecuadas para la transferencia. Excepciones: a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

  44. 4. Conceptos, principios y obligaciones • Transferencia Internacional (art. 33 y 34 LOPD) Excepciones: f) Cuando la transferencia sea necesaria para la ejecución de un Contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público (solicitada por la Administración Fiscal o Aduanera). i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

  45. 5. CICLO DE VIDA DEL DATO

  46. 5. Ciclo de vida del dato Entrega a 3ª empresa con fines de publicidad Externalización de servicios informáticos (hosting, mantenimiento) Almacenamiento en un fichero Recogida de datos a través de formularios Solicitud de información sobre los datos que posee la empresa Solicitud de Borrado de los datos Solicitud de Modificación de los datos

  47. La normativa de protección de datos tiene incidencia durante toda la vida del dato cuando es tratado por una Entidad 5. Ciclo de vida del dato Deber de información Consentimiento del afectado Principio de calidad Recogida Finalidad determinada Medidas de seguridad Respeto derechos de acceso, rectificación, cancelación y oposición Tratamiento Regulación contractual: encargo, cesión, transferencia internacional, etc. Disociación Medidas de Seguridad en el envío Transmisión

  48. 5. Ciclo de vida del dato NEGOCIO Cumplimiento normativo Cumplimiento LOPD SISTEMAS DE INFORMACIÓN ¿CÓMO? • Normas, políticas, procedimientos, etc. • Identificación proactiva de requerimientos • Comprobación de cumplimiento: Controles periódicos y Auditoría (interna y externa)

  49. 6. REGLAMENTO DE DESARROLLO DE LA LOPD

  50. Primer desarrollo legislativo de la LOPD. Contiene desarrollos jurídicos, técnicos, organizativos y procedimentales. Tratamientos automatizados y tratamientos no automatizados. Publicación: 19 de enero de 2008 y entrada en vigor: 19 de abril de 2008. Disposición Derogatoria Única: 6. Reglamento de desarrollo de la LOPD EN VIGOR A PARTIR DEL 19 DE ABRIL DE 2008 Excepto para medidas de seguridad: - 12, 18 ó 24 meses para ficheros no automatizados. - 12 a 18 meses para ficheros automatizados. • RD 994/99, desarrollo de la LORTAD • RD 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD

More Related