Segundo Taller Práctico LOPD -...

Segundo Taller Práctico LOPD:“Obligaciones técnico-organizativas y medidas de seguridad. Documento de

Seguridad. Auditorías bienales”

Vitoria – Gasteiz a 9 de julio de 2.014

2

Objetivos específicos de este 2º Taller LOPD

1 Repaso del concepto de fichero LOPD y resolución de posibles dudas o consultas en relación a la inscripción de ficheros

2 Mostrar el contenido del Documento de Seguridad

3 Proporcionar una visión práctica de los aspectos organizativos y técnicos relacionados con la implantación de la Ley Orgánica de Protección de Datos y de su Reglamento

4 Informar a los asistentes del proceso de implantación de medidas técnico – organizativas: recomendaciones y soluciones

5 Dar a conocer en qué consisten las auditorías bienales reglamentarias

3

¿Dudas sobre la inscripción de ficheros en RAEPD?

Repaso: Ficheros LOPD

4

1. Obligaciones LOPD

Derecho a la seguridad de los datos:

Los RF deben adoptar las medidas técnicas y organizativas que garanticen la seguridad de los DCP y eviten su alteración, pérdida, tratamiento o acceso no autorizado (Art. 9 LOPD)

Derecho a la seguridad de los datos:

Los RF deben adoptar las medidas técnicas y organizativas que garanticen la seguridad de los DCP y eviten su alteración, pérdida, tratamiento o acceso no autorizado (Art. 9 LOPD)

5

1. Obligaciones LOPD

TÍTULO VIII RDLOPD: De las medidas de seguridad en el tratamiento de datos de carácter personal

CAPÍTULO I.- Disposiciones generales

Artículo 79 Alcance

Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Título, con independencia de cual sea su sistema de tratamiento.

Artículo 80 Niveles de seguridad

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

TÍTULO VIII RDLOPD: De las medidas de seguridad en el tratamiento de datos de carácter personal

CAPÍTULO I.- Disposiciones generales

Artículo 79 Alcance

Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Título, con independencia de cual sea su sistema de tratamiento.

Artículo 80 Niveles de seguridad

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

6

TÉCNICASTÉCNICAS

ORGANIZATIVASORGANIZATIVAS

NIVELES: BÁSICOMEDIOALTO

NIVELES: BÁSICOMEDIOALTO

Por ej.: Llaves en armarios, contraseñas de accesos, copias de seguridad, Documento de Seguridad

Por ej.: Llaves en armarios, contraseñas de accesos, copias de seguridad, Documento de Seguridad

1. Obligaciones LOPD

7

Roles funcionales en LOPDRoles funcionales en LOPD

2. Roles de seguridad

8

Persona Jurídica (RF): de cara al exterior Persona Física (RFF): internamente

Funciones:Tomar las decisiones sobre la finalidad y usos de los ficherosNombrar, en su caso, a una o varias persona/s como Responsables de ficherosNotificación de Fichero/s en el Registro de la AEPDLa interlocución con las personas titulares de los datos (ejercicio de Dº ARCO)Difusión de la normativa de seguridad internamenteOtros…

Responsable de ficherosResponsable de ficheros

2. Roles de seguridad

9

• Debe ser designado formalmente y hacer constar esta designación en el Documento de Seguridad.

• Puede ser uno o varios RS

Funciones:

Controlar y coordinar el cumplimiento de las medidas de seguridad exigidas reglamentariamente

Responsable de seguridad (RS)Responsable de seguridad (RS)

2. Roles de seguridad

10

3. Medidas de seguridad

11

“El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”.

Artículo 88 del RDLOPD:Documento de Seguridad

3. Medidas de seguridad

12

¿Cómo debe ser el Documento de Seguridad?

• Podrá ser único y comprensivo de todos los ficheros o

tratamientos, o bien;

• Individualizado para cada fichero o tratamiento

3. Medidas de seguridad

13

¿Cómo debe ser el Documento de Seguridad?

• Pueden elaborarse distintos documentos de seguridad

agrupando ficheros o tratamientos según el sistema de

tratamiento utilizado para su organización, o bien;

• Atendiendo a criterios organizativos del responsable

3. Medidas de seguridad

14

¿Cómo debe ser el Documento de Seguridad?

• En todo caso, tendrá el carácter de documento interno

de la organización

¡NO HAY QUE PUBLICARLO

NI ENVIARLO A NINGÚN SITIO!

3. Medidas de seguridad

15

Cuerpo del DS: Ámbito de aplicación Medidas de seguridad, normas y procedimientos Funciones y obligaciones del personal Estructura de los ficheros y descripción de los sistemas

de información Notificación, gestión y respuesta ante incidencias Copias de respaldo y recuperación, etc. Medidas para el transporte de soportes y documentos y

para la destrucción

Anexos al DS

Contenido mínimo del DS

3. Medidas de seguridad

16

Modelo de DS de la AEPD

Otros modelos de DS

- Política de Seguridad- DS- Estructura de Datos por cada fichero- Anexos

3. Medidas de seguridad

17

El responsable del fichero adoptará las medidas necesarias

para que el personal conozca de una forma comprensible

las normas de seguridad que afecten al desarrollo de sus

funciones así como las consecuencias en que pudiera

incurrir en caso de incumplimiento

Difusión del DS

3. Medidas de seguridad

18

Desconocimiento de obligaciones y funciones de seguridad

3. Medidas de seguridad

19

Soporte físico:

Automatizado:

Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos

No Automatizados:

Documentación en general en soporte papel

3. Medidas de seguridad

20

Inventario de soportes:

Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.

3. Medidas de seguridad

21

Registro de Salida de soportes:

La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser AUTORIZADA por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

3. Medidas de seguridad

22

Registro de Entrada de soportes:

Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente AUTORIZADA.

3. Medidas de seguridad

23

Cifrado de soportes:

• Regla: Se evitará el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado.

• Excepción: En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

3. Medidas de seguridad

24

Registro de incidencias:

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Nivel medio y altoSera necesaria la autorización del RFF para la ejecución de los procedimientos de recuperación de los datos.

Incidencia:

Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

3. Medidas de seguridad

25

Control de acceso:

Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. Medidas de seguridad

26

Registro de accesos:

• En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

• El período mínimo de conservación de los datos registrados será de dos años.

• El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

3. Medidas de seguridad

27

Registro de accesos:

3. Medidas de seguridad

Excepción prevista:

•No será necesario el registro de accesos si se dan las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona físicab) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales

•Se deberá reflejar esta excepción en el documento de seguridad.

28

Identificación y autenticación

• Sistema identificación personalizado (no passwords genéricas)• Reglas de contraseñas• Cambio periódico contraseñas (mín. 1 año)• Listado de usuarios

Control de accesos

• Perfiles del personal• Almacenamiento ininteligible• Registro de accesos realizados

3. Medidas de seguridad

29

Identificación y autenticación

•Bloqueo ante intentos reiterados de acceso a los SSII

•Bloqueo de pantalla manual

•Bloqueo de pantalla ante períodos de inactividad

3. Medidas de seguridad

30

Control de acceso físico

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información

3. Medidas de seguridad

31

Cifrado de telecomunicaciones

Cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

3. Medidas de seguridad

32

FNA: Soporte papel

3. Medidas de seguridad

33

AUDITORÍA BIENAL RDLOPD AUDITORÍA BIENAL RDLOPD

Artículo 96 RDLOPD 1720 / 2007, 21 de Diciembre

A partir del NIVEL MEDIO ………………..DOS AÑOS

ANTES…

con carácter EXTRAORDINARIO

4. Auditoría bienal RDLOPD

34

… To be concluded

3er Taller Práctico (Septiembre)

35

MUCHAS GRACIAS

MILA ESKER