Upload
euquality
View
391
Download
1
Embed Size (px)
Citation preview
EuQuality NetworksEuQuality Networks
Sistemas de Protección de DatosSistemas de Protección de Datos
EuQuality NetworksEuQuality Networks
Sistemas de Protección de DatosSistemas de Protección de Datos
La LOPD (LOPDCP)
Objeto
Definiciones
Clasificación de los ficheros
Medidas de seguridad
Obligaciones legales
Infracciones y sanciones
Proyecto de Adaptación a la LOPDCP
Objetivos
Fases
Organización
Planificación
Resultado esperado
Condiciones económicas
Índice
LOPD: Objeto
Con motivo de la entrada en vigor de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, surgen una serie de obligaciones para aquellas empresas cuyos ficheros contengan datos de carácter personal susceptibles de tratamiento.
En lo que concierne a las medidas de seguridad de los ficheros informatizados, es aplicable el Reglamento de Medidas de Seguridad aprobado por Real Decreto 1720/2007, de 19 de Enero, que regula las medidas de índole técnica y organizativa que los responsables de los ficheros deben adoptar para garantizar la protección de los datos personales. Estas medidas afectan a los sistemas informáticos, soportes de almacenamiento, locales, personal, procedimientos operativos, etc.
“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”
A efectos de la LOPD se entenderá por:
Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Responsable del fichero: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Cesión de datos: toda revelación de datos realizada a una persona distinta del interesado.
LOPD: Definiciones
Los ficheros se clasifican en tres niveles: básico, medio y alto (dependiendo del tipo de datos que contienen)
Básico: todos los ficheros que contengan cualquier dato de carácter personal • nombre • apellidos• direcciones de contacto• teléfono (fijo o móvil)
Medio: los ficheros que contengan datos relativos a • comisión de infracciones administrativas o penales• información de Hacienda Pública• información de servicios financieros• solvencia patrimonial • crédito
Alto: los ficheros que contengan datos • ideología• religión• creencia• Afiliación sindical• origen racial• salud• vida sexual• para fines policiales sin consentimiento de las personas afectadas
LOPD: Clasificación de los ficheros
Medidas para ficheros clasificados de nivel Básico:• Documento de Seguridad• Régimen de funciones y obligaciones del personal• Registro de incidencias• Identificación y autenticación de usuarios • Control de acceso• Gestión de soportes• Copias de respaldo y restaurado
Medidas para ficheros clasificados de nivel Medio:• Las medidas de seguridad del nivel básico• Identificación del responsable de Seguridad• Auditoría Bianual• Medidas adicionales de identificación y autenticación de usuarios, gestión de soportes,
registro de incidencias• Control de acceso físico
Medidas para ficheros clasificados de nivel Alto:• Las medidas de seguridad del nivel básico y medio• Seguridad en la distribución de soportes• Registro de accesos• Medidas adicionales de copias de respaldo y restauración• Cifrado de telecomunicaciones
LOPD: Medidas de Seguridad
Medidas de seguridad obligatorias a aplicar para cada tipo de fichero
Todo responsable de fichero debe:
Confeccionar el Documento de Seguridad: el responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento, cuyo contenido mínimo viene legalmente establecido, de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información
Efectuar la inscripción de los ficheros en el RGPD: los ficheros que contengan datos de carácter personal deberán ser inscritos en el Registro General de Protección de Datos
Someterse a una Auditoría bienal (en caso de ficheros calificados de nivel medio y alto): los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos cada dos años
Otras obligaciones: el responsable del fichero deberá dar cumplimiento a todas las obligaciones que la Ley va fijando a lo largo de su articulado (deberes de información, de calidad de datos, contrato regulador del acceso por cuenta de terceros….)
Obligaciones previstas en la Ley
LOPD: Obligaciones legales
Confección del preceptivo Documento de Seguridad conforme a los requerimientos establecidos en el Reglamento de Medidas de Seguridad
Notificación y Registro de los ficheros en el Registro General de Protección de Datos
Elaboración de toda la documentación necesaria para garantizar el grado de confidencialidad exigido por la Ley
Auditoría (en caso de ficheros calificados de nivel medio y alto) de los sistemas de información e instalaciones de tratamiento de datos
Los objetivos a alcanzar en el proyecto de adaptación a la LOPD consisten en determinar el nivel actual de adaptación al Reglamento de Medidas de Seguridad y proceder a la:
Desarrollo del proyecto - Objetivos
El proyecto consta de las siguientes fases:
Fase 0: detallar y aprobar la propuesta de servicios a realizar
Fase 1: recogida de información, entrevistas con los responsables de los sistemas de información y servicios jurídicos, análisis de la información automatizada y no automatizada y clasificación de los ficheros
Fase 2: confección del Documento de Seguridad de conformidad con lo establecido
en el Reglamento
Fase 3: revisión y elaboración de los documentos necesarios para garantizar la confidencialidad de la información en los circuitos internos de la propia empresa y en su relación con terceros. Confección de recomendaciones jurídicas, organizativas y técnicas. Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por cuenta de terceros y las cesiones y comunicaciones de datos
Fase 4: notificación e inscripción de los ficheros en el Registro General de Protección de Datos
Desarrollo del proyecto - Fases
Al margen de estas actividades, la Organización deberá trabajar en la puesta en marcha del Sistema con el soporte del consultor. Hay que añadir la Auditoria Interna cuando el proceso esté completamente desarrollado.
Entrega del trabajo realizado
Notificación de los ficheros al R.G.P.D.Fase 4
Elaboración de RecomendacionesFase 3
Confección del Documento de Seguridad Fase 2
Análisis y evolución de la situación actualFase 1
Arranque del ProyectoFase 0
321Planificación
Meses de Trabajo
Revisión pre-inscripción por parte del cliente
control
Desarrollo del proyecto - Planificación
A la finalización del trabajo, el cliente dispondrá de:
Documento de Seguridad
Inscripción de todos los ficheros que contengan datos personales en el Registro General de Protección de Datos
Pliego de recomendaciones en los ámbitos jurídico, organizativo y técnico
Desarrollo del proyecto – Resultado esperado
EuQuality NetworksEuQuality Networks
902.196.851
EuQuality NetworksEuQuality Networks
902.196.851
Síguenos en: y www.EuQuality.netwww.EuQuality.net