1 / 14

FORMACION Protección de datos de carácter personal (LOPD) 07 /08

FORMACION Protección de datos de carácter personal (LOPD) 07 /08. Formación Interna. Ley Orgánica 15/99 de 13 de Diciembre, de Protección de datos de Carácter Personal. Introducción a la LOPD.

sachi
Download Presentation

FORMACION Protección de datos de carácter personal (LOPD) 07 /08

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. FORMACIONProtección de datos de carácter personal (LOPD) 07/08 Formación Interna

  2. Ley Orgánica 15/99 de 13 de Diciembre, de Protección de datos de Carácter Personal Introducción a la LOPD Reglamento de desarrollo de la Ley Orgánica 15/99 (RD 1720/2007 de 21 de Diciembre, publicado en el BOE el 19/1/08) • El 13 de diciembre de 1999 se aprobaba la Ley Orgánica 15/99 de Datos de Carácter Personal (LOPD) . Se daba así comienzo a la actividad reguladora del tratamiento informatizado de datos personales, necesario para evitar los abusos y perjuicios que pueden producirse. • Acaba de publicarse el nuevo Reglamento de protección de datos, correspondiente a la ley en vigor desde 1999. • La LOPD estipula la obligación de registrar en el Registro al efecto de la Agencia de Protección de Datos, todos los ficheros automatizados y no automatizados con datos de carácter personal que existan en poder de la empresa. • Dependiendo del tipo de datos objeto del tratamiento, la LOPD establece tres niveles diferentes de seguridad, cada uno de ellos con exigencias diferentes.

  3. Introducción a la LOPD • Las sanciones por incumplimiento de la ley (articulo 43) se estipulan en (a titulo personal o de empresa): • infracciones leves: Sanción de 600 a 60.000 € • infracciones graves: Sanción de 60.000 a 300.000 € • infracciones muy graves: Sanción de 300.000 a 600.000 € • La protección de datos a que se refiere la Ley 15/99, tiene un ámbito mayor que el mero almacenamiento y acceso a los datos: Protege todo el tratamiento de los mismos: • Recopilación de datos (conocimiento y consentimiento). • Almacenamiento y seguridad • Acceso, modificación y rectificación de datos por parte del propietario de la BD y del titular de los mismos. • Cesión (consentimiento obligatorio). • Eliminación. • Finalidad y proporcionalidad de los datos

  4. Marco Legal y Normativas • Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de carácter personal • Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. • Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

  5. Marco Legal • Instrucciones dictadas por la APD: • Instrucción 1/1995 de Prestación de Servicios de Información sobre solvencia patrimonial y crédito. • Instrucción 2/1995 de medidas para garantizar la intimidad de los datos personales recabados en la contratación de un seguro de vida conjuntamente con un préstamo hipotecario personal. • Instrucción 1/1996 de ficheros automatizados para el control del acceso a edificios. • Instrucción 2/1996 de ficheros automatizados para el control de acceso a casinos y salas de bingo. • Instrucción 1/1998 relativa al Ejercicio de los Derechos de Acceso, Rectificación y Cancelación. • Instrucción 1/2000 relativa a las normas por las se rigen los movimientos internacionales de datos. • ……………………

  6. Obligaciones • Técnicas • Control acceso lógico • Identificación y Autenticación • Gestión de Soportes • Backups y Recuperación de los datos • Pruebas con datos reales • Registro de accesos • Telecomunicaciones • Control acceso físico • Formales • Registro ficheros RGAPD • Documento Seguridad • Organizativas • Implementar documento seguridad • Formación de los afectados (Difusión) • Responsable de Seguridad • Notificación y Gestión de Incidencias • Control de acceso físico • Distribución y etiquetado de soportes • Auditoria • Información ejercicio derechos / Deber de informar • Cesión / Encargados del tratamiento

  7. Aplicación niveles seguridad • Todos los ficheros que contengan datos de carácter personal, adoptarán las medidas de nivel básico. • Los que contengan datos financieros, hacienda pública o relativos a la comisión de infracciones administrativas o penales adoptarán las medidas de nivel básico y de nivel medio. • Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, adoptarán las medidas de nivel alto (además de las de nivel medio y bajo).

  8. Medidas por Nivel de Seguridad

  9. Medidas Nivel Medio • Responsable Seguridad • Auditoria LOPD Bianual. • Identificación única y personalizada del acceso a los ficheros nivel medio. • Límite de accesos erróneos al fichero. • Control de acceso físico a los ficheros. • Gestión Soportes: Anotar entrada/salida de soportes que contengan el fichero de nivel medio (Tipo soporte, fecha y hora, destinatario, número de soportes, tipo de información contenida, forma de envío, persona responsable de la recepción). • Registro de Incidencias: Autorización por escrito del responsable del fichero en caso de recuperación, y anotación del procedimiento efectuado, persona que lo realiza y datos recuperados.

  10. Medidas Nivel Alto • Distribución de Soportes: Se ha de cifrar la distribución de los soportes que contengan datos de carácter personal. • Registro de accesos al fichero: Se ha de guardad de cada acceso identificación del usuario, fecha y hora del acceso, tipo de acceso y si ha sido autorizado o no. Es información se debe guardar 2 años mínimo. El Responsable de Seguridad ha de realizar un informe mensual de revisiones realizadas y problemas detectadas. • Copias de Seguridad: Se debe guardar una copia del fichero en lugar físico diferente. • La transmisión de datos de datos de carácter personal a través de redes de Telecomunicaciones se realizará cifrando datos.

  11. Documento de seguridad. Estructura CAPÍTULO 1 AMBITO DE APLICACION / RECURSOS PROTEGIDOS. CAPÍTULO 2 MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTANDARS ENCAMINADOS A GARANTIZAR EL NIVEL DE SEGURIDAD EXIGIDA EN EL REGLAMENTO. CAPÍTULO 3 FUNCIONES Y OBLIGACIONES DEL PERSONAL. CAPÍTULO 4 ESTRUCTURA DE LOS FICHEROS CON DATOS DE CARACTER PERSONAL Y DESCRIPCION DE LOS SISTEMAS DE INFORMACION QUE LOS TRATAN. CAPÍTULO 5 PROCEDIMIENTO DE NOTIFICACION, GESTION Y RESPUESTA ENTORNO A LAS INCIDENCIAS. CAPÍTULO 6 COPIAS DE SEGURIDAD Y GESTIÓN DE SOPORTES. CAPÍTULO 7 PROCEDIMIENTO DE COPIA DE SEGURIDAD. COMPROBACIÓN. CAPÍTULO 8 PROCEDIMIENTO DE RESTAURACIÓN. CAPÍTULO 9 FUNCIONES Y RESPONSABILIDADES DEL RESPOSABLE DE SEGURIDAD. CAPÍTULO 10 CESIÓN DE DATOS. CAPÍTULO 11 COMUNICACIÓN DE DATOS E INFORMACIÓN. CAPITULO 12 ACCESO Y RECTIFICACION DE DATOS. CAPITULO 13 PROCEDIMIENTO Y CUSTODIA DEL ARCHIVO FÍSICO. CAPITULO 14 POLITICA DE INTERNET Y CONTROL DE VIRUS. CAPITULO 15 TRATAMIENTO FICHEROS TEMPORALES. CAPÍTULO 16 JURISDICCIÓN APLICABLE.

  12. Obligaciones del trabajador • Conocimiento y obligatorio cumplimiento del Documento de Seguridad y la normativa allí definidas (Manual de seguridad): • Confidencialidad en los datos accedidos • Cumplimiento de permisos definidos en el documento de seguridad • Confidencialidad de los datos utilizados para sus tareas laborales. • Obligación de informar de cualquier incidencia con datos de carácter personal al Responsable de Seguridad. • Prohibición de guardar ningún tipo de información en modo local. El trabajador es responsable de la información residente en el ordenador. • Prohibición de grabación de datos de carácter personal (CD, usb, diskette,etc) sin autorización del responsable de Seguridad • Prohibición de instalación de software en la estación cliente sin autorización del responsable de seguridad (ni bajar programas de internet) • Cambio de contraseña trimestral • Otros ……….. (Documento de seguridad)

  13. A tener en cuenta !!! • Ficheros manuales estructurados: guardar en lugar cerrado con llave. • Responsable de Seguridad: Sergi Ros • No hacer copias de seguridad de los datos: ya existe procedimiento habilitado en los recursos definidos • No se pueden guardar informes médicos ni datos de salud • Documento de seguridad de obligatorio cumplimiento (se ha de revisar y confirmar que se ha leído). Lo exige la LOPD. Si no se lee, no exime del cumplimiento • Las multas por incumplimiento son a título personal (y de empresa)

  14. Ficheros identificados • Ficheros identificados en todas las empresas y responsable:

More Related