Protección de Datos Personales

(1)

Cambios en la adaptación, Asesoramiento y

Auditoría con respecto a la LOPD y su

Reglamento de Desarrollo

(2)

Índice

►

Protección de Datos Personales

► Antecedentes en Protección de Datos Personales

► Objetivos de los trabajos de Protección de Datos

► Marco de Trabajo

► Metodología y Fases de un Proyecto “Tipo”

► Novedades del “Nuevo Reglamento” y su impacto

► Régimen transitorio de aplicación: Plazos de adaptación

► Equipo de Trabajo en materia de Protección de Datos

► Alcance, Planificación y Honorarios

(3)

Antecedentes en Protección de Datos

Personales

► _{29 de octubre de 1992 - “LORTAD”: Ley Orgánica 5/1992 de Regulación del}

Tratamiento Automatizado de los Datos de Carácter Personal

Tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de

carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de

sus derechos.

► _{11 de junio de 1999 - RD 994/1999 “El Reglamento”: Reglamento de medidas}

de seguridad de los ficheros automatizados que contengan datos de carácter

personal.

Aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter

personal. El objetivo de esta reglamentación es establecer las medidas de índole técnica y organizativa necesarias para

garantizar la confidencialidad e integridad de los datos de carácter personal, preservando el honor y la intimidad

personal y familiar y el pleno ejercicio de los derechos de los ciudadanos.

En el Reglamento se distinguen tres niveles de seguridad (básico, medio y alto) según el tipo de datos. Para cada uno

de estos niveles se determinan las medidas de seguridad que deben estar implantadas, cubriendo las áreas que

suponen un mayor riesgo en cuanto a la seguridad de los datos. Una de las medidas establecidas es la elaboración e

implantación de un Documento de Seguridad.

(4)

Antecedentes en Protección de Datos

Personales

► _{13 de diciembre de 1999 - “LOPD”: Ley Orgánica 15/1999 de Protección de}

Datos de Carácter Personal

La LOPD establece un estricto procedimiento sancionador que se aplicará atendiendo a la gravedad de la infracción

cometida.

► _{21 de diciembre de 2007 - RD 1720/2007 “El nuevo Reglamento”:}

Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de

datos de carácter personal

Incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y

fija criterios específicos de las medidas de seguridad que deben cumplir, así como resuelve determinadas cuestiones o

lagunas interpretativas que quedaban sin resolver de la LOPD.

(5)

Antecedentes en Protección de Datos

Personales

►

_{Las sanciones previstas por dicha norma pueden oscilar entre las}

siguientes cuantías:

► _{Infracciones Leves: De 600€ a 60.101,21€}

► _{Infracciones Graves: De 60.101,21 € a 300.506, 05 €} ► Infracciones Muy Graves: De 300.506,05€ a 601.012,10€.

►

_{Estas sanciones que se aplican por cada uno de los}

incumplimientos, tienen un carácter acumulativo y los

procedimientos pueden iniciarse por denuncia de un afectado o

por inspección de oficio por parte de la Agencia Española de

Protección de Datos.

►

_{El 19 de enero de 2008 se aprueba en el BOE el}

_{Real Decreto}

1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgánica 15/1999 de

protección de datos de carácter personal

. Éste nuevo marco

normativo desarrolla y clasifica las cuestiones más controvertidas

de la LOPD, entrando en vigor a los 3 meses de su publicación, es

decir el 19 de abril de 2008, otorgando mayor seguridad jurídica

pero también aumentando ostensiblemente las medidas legales y

técnicas exigidas lo que obligará a las empresas a la

correspondiente adaptación.

►

_{En Ernst & Young, como expertos en Asesoramiento Legal en}

materia de protección de datos así como Auditoría y Seguridad

Informática, contamos con toda la experiencia y formación

necesarias para colaborar con

su Compañía

en la adaptación a la

normativa aplicable en

materia de protección de datos desde

un punto de vista legal y técnico.

►

_{El 25 de junio de 1999 se publicó en el B.O.E. el}

_{Real Decreto}

994/1999, de 11 de junio, por el que se aprueba el Reglamento

de Medidas de Seguridad de los ficheros automatizados que

contengan datos de carácter personal

(el “Reglamento”). El

objetivo de esta reglamentación era la de establecer las medidas

de índole técnica y organizativa necesarias para garantizar la

confidencialidad e integridad de los datos de carácter personal,

preservando el honor y la intimidad personal y familiar y el pleno

ejercicio de los derechos de los ciudadanos.

►

En el Reglamento se distinguían tres niveles de seguridad (básico,

medio y alto) según el tipo de datos. Para cada uno de estos

niveles se determinan las medidas de seguridad que deben estar

implantadas, cubriendo las áreas que suponen un mayor riesgo en

cuanto a la seguridad de los datos. Una de las medidas

establecidas es la elaboración e implantación de un Documento de

Seguridad.

►

_{Asimismo, el Reglamento establece unos plazos de adaptación de}

las empresas a esta reglamentación, que en el caso del nivel

básico era el 26 de diciembre de 1999, (prorrogado hasta el 26 de

marzo de 2000 según Real Decreto 195/2000).

►

_{Posteriormente, el 14 de Enero de 2000, entró en vigor la}

_Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de Datos

de Carácter Personal

(en adelante, la “LOPD”) derogando

anterior ley, la Ley Orgánica 5/1992, de 29 de Octubre, de

regulación del Tratamiento automatizado de los datos de carácter

personal (la “LORTAD”). La LOPD establece un estricto

procedimiento sancionador que se aplica atendiendo a la gravedad

de la infracción cometida.

(6)

Antecedentes en Protección de Datos

Personales

LEY ORGÁNICA 15/1999

, de 13 de

diciembre, de Protección de Datos de

Carácter Personal.

REAL DECRETO 1720/2007,

de 21 de

diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgánica

15/1999 de protección de datos de carácter

personal.

REAL DECRETO 994/1999

, de 11 de junio,

por el que se aprueba el Reglamento de

Medidas de Seguridad de los ficheros

automatizados que contengan datos de

carácter personal.

REAL DECRETO 195/2000

, de 11 de

febrero, por el que se establece el plazo para

implementar las Medidas de Seguridad de

los Ficheros Automatizados previstas por el

Reglamento aprobado por el R.D. 994/1999

de 11 de junio.

REAL DECRETO 1332/1994

, de 20 de junio,

por el que se desarrollan algunos preceptos

de la Ley Orgánica.

INSTRUCCION 1/1998

, de 19 de enero, de la

Agencia de Protección de Datos, relativa al

Ejercicio de los Derechos de Acceso,

Rectificación y Cancelación.

INSTRUCCIÓN 1/1996

, de 1 de marzo, de la

Agencia de Protección de Datos, sobre

ficheros automatizados establecidos con la

finalidad de controlar el acceso a los

edificios.

INSTRUCCIÓN 1/2000

, de 1 de diciembre,

de la Agencia de Protección de Datos,

relativa a las normas por las que se rigen los

movimientos internacionales de datos.

INSTRUCCIÓN 2/1995

, de 4 de mayo, de la

Agencia de Protección de Datos, sobre

medidas que garantizan la intimidad de los

datos

personales

recabados

como

consecuencia de la contratación de un

seguro de vida de forma conjunta con la

concesión de un préstamo hipotecario o

personal.

INSTRUCCIÓN 1/1995

, de 1 de marzo, de la

Agencia de Protección de Datos, relativa a

prestación de servicios de información sobre

solvencia patrimonial y crédito.

DIRECTIVA 95/46/CE DEL PARLAMENTO

EUROPEO Y DEL CONSEJO

, de 24 de

octubre de 1995, relativa a la protección de

las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre

circulación de estos datos.

DIRECTIVA 97/66/CE DEL PARLAMENTO

EUROPEO Y DEL CONSEJO

, de 15 de

diciembre de 1997, relativa al tratamiento de

los datos de carácter personal y la

protección de la intimidad en el sector de las

telecomunicaciones.

RESOLUCIÓN 22/2001,

de 22 de junio, por

la que se publica el Acuerdo del Consejo de

Ministros que concreta el plazo para la

implantación de medidas de seguridad de

nivel alto en determinados sistemas de

información.

(7)

Objetivos de los trabajos de Protección de

Datos

Los objetivos de estos trabajos consistirán en el asesoramiento jurídico y técnico en materia de protección de datos personales conforme a la

LOPD y normativa de desarrollo, a su Compañía

,

todo ello bajo los objetivos que se detallan a continuación:

► Conocer la casuística de su Compañía sujeta a la normativa aplicable en materia de

protección de datos, identificando los datos de carácter personal de su

responsabilidad.

► Revisar el cumplimiento de las obligaciones legales que afectan a la declaración de

ficheros, al derecho de información de los afectados, a su consentimiento, a la

obtención y cesión de datos de carácter personal, así como a los contratos existentes

con terceros en el caso de que dichos terceros traten datos titularidad de su Compañía

(Ley Orgánica 15/1999).

► Detectar las posibles incidencias o puntos débiles, desde el punto de vista de

cumplimiento legal aplicable, proponiendo sugerencias y mejoras en los

procedimientos.

► Desarrollar un Documento de Seguridad para su Compañía de acuerdo a lo

establecido en el Reglamento de Medidas de Seguridad.

► Revisar las medidas de seguridad que su Compañía tiene implantadas en los ficheros

de datos de carácter personal titularidad de la mismas, verificando si estas medidas

son las exigidas por el Real Decreto 994/1999. De esta forma, se cubrirá con el

requerimiento de

auditoría bienal reglamentaria establecida en el Art. 96 del RD

1720/2007

.

► Recomendar las acciones oportunas que se deriven del presente proyecto,

encaminadas a que su Compañía cumpla con las medidas de seguridad exigidas

reglamentariamente.

► Conocer el impacto que el nuevo Reglamento de desarrollo de la LOPD tiene sobre su

Compañía así como proponer las medidas de índole legal y técnica para adaptarse a

los requerimientos de este nuevo reglamento.

Será objetivo de nuestra trabajo, priorizar las

acciones que desde el punto de vista legal

aplicable requieran una urgencia mayor en su

adaptación a los requerimientos del RD

1720/2007 anteriormente al 19 de Abril de

2008:

►

_{Declaraciones y/o modificaciones de}

los ficheros;

►

_{Revisión y adaptación de los contratos;}

►

_{Adecuación de los procedimientos}

relacionados con los derechos ARCO;

►

_{Actualización y adecuación de los}

(8)

► Nuevos procedimientos para tratamientos de datos con finalidades distintas a la ejecución de los contratos;

Nuevos procedimientos para tratamientos de datos con finalidades distintas a la ejecución de los contratos;

► Nuevos plazos para garantizar los derechos de los afectados;

Nuevos plazos para garantizar los derechos de los afectados;

► Nuevos criterios de conservación de los datos;

Nuevos criterios de conservación de los datos;

► Nuevas obligaciones en relación con los menores de edad;

Nuevas obligaciones en relación con los menores de edad;

► Nuevos procedimientos para revocar el consentimiento;

Nuevos procedimientos para revocar el consentimiento;

► Acreditación del cumplimiento del deber de información;

Acreditación del cumplimiento del deber de información;

► Adaptación de procedimientos de ejercicios de derechos de los afectados;

Adaptación de procedimientos de ejercicios de derechos de los afectados;

► Subcontratación de servicios;

Subcontratación de servicios;

► Nuevo régimen aplicable a los ficheros de solvencia patrimonial y crédito;

Nuevo régimen aplicable a los ficheros de solvencia patrimonial y crédito;

► Nuevas obligaciones para tratamientos de datos con fines publicitarios y de prospección comercial;

Nuevas obligaciones para tratamientos de datos con fines publicitarios y de prospección comercial;

► Nuevos procedimientos para efectuar transferencias internacionales de datos;

Nuevos procedimientos para efectuar transferencias internacionales de datos;

► Informe de auditoría legal.

Informe de auditoría legal.

Principales novedades legales:

Novedades del “Nuevo Reglamento” y su

impacto

(9)

Nuevos procedimientos para tratamientos de datos con finalidades distintas a la ejecución de los contratos Nuevos procedimientos para tratamientos de datos con finalidades distintas a la ejecución de los contratos

► Uso de datos de clientes con otras finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual inicialmente prevista.

► Se establecen nuevos procedimientos para tratamientos de datos con finalidades más extensas, que vayan más allá, de la propia relación contractual inicialmente pactada por la Compañía con sus clientes, por ejemplo, para envíos de comunicaciones comerciales, elaboración de encuestas de satisfacción, etc.

► Se entenderá cumplida esta obligación cuando se permita al afectado la marcación de una casilla.

Nuevos plazos para garantizar los derechos de los afectados Nuevos plazos para garantizar los derechos de los afectados

► Se establecen nuevos plazos para garantizar el principio de calidad de los datos. Se exige que los datos personales sean exactos y estén actualizados.

► Se prevén dos supuestos:

1. Que los datos sean exactos: se prevé que los recabados por el propio interesado serán exactos por el mero hecho de ser facilitados por él mismo, y,

2.- Que sean inexactos:

► Deberán ser cancelados y sustituidos de oficio, en todo o en parte, por los datos rectificados en el plazo de 10 días desde que se tuviera conocimiento de la inexactitud.

► Cuando los datos hubieran sido comunicados previamente por un tercero, se le exige al responsable del fichero o tratamiento que notifique al cesionario, en el plazo de 10 días, la rectificación o cancelación efectuada.

IMPACTO

MEDIO

IMPACTO

MEDIO

Novedades del “Nuevo Reglamento” y su

impacto

(10)

Nuevos criterios de conservación de los datos Nuevos criterios de conservación de los datos

► Se permite la conservación de los datos personales siempre y cuando estén respaldados por unas finalidades que por primera vez se especifican.

► Una vez que han dejado de ser necesarios o pertinentes con respecto a la finalidad para la que fueron recabados, los datos podrán conservarse durante el tiempo necesario en que pueda exigirse alguna responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas pre-contractuales solicitadas por el interesado.

Nuevas obligaciones en relación con los menores de edad Nuevas obligaciones en relación con los menores de edad

► Se prohíbe expresamente recabar datos de familiares o miembros del grupo familiar de los menores a través de los mismos.

► Se prevé el tratamiento de datos de mayores de 14 años con su consentimiento.

► En relación a los menores de 14 años, se exige la autorización de los padres o tutores para recabar o tratar sus datos personales.

► Se han de establecer procedimientos para comprobar la edad del menor y la autenticidad del consentimiento prestado por padres o tutores.

► Las cláusulas relativas al tratamiento de los datos de menores de edad deberán redactarse de tal modo que puedan ser fácilmente entendidas por éstos.

Nuevos procedimientos para revocar el consentimiento Nuevos procedimientos para revocar el consentimiento

► Consiste en establecer medios sencillos y gratuitos que garanticen el derecho del afectado a revocar en cualquier momento el tratamiento de sus datos.

► Se prohíbe expresamente cualquier medio de revocación del consentimiento que suponga o pueda presuponer cualquier tipo de ingreso y se recomienda en el propio Reglamento envíos prefranqueados, teléfonos gratuitos, o el servicio de atención al público.

IMPACTO

MEDIO

IMPACTO

ALTO

IMPACTO

ALTO

Novedades del “Nuevo Reglamento” y su

impacto

(11)

Acreditación del cumplimiento del deber de información Acreditación del cumplimiento del deber de información

► A partir de ahora, con la entrada en vigor del Nuevo Reglamento, se exige la acreditación de la obligación del artículo 5 LOPD, teniendo que ser el Responsable del Fichero quien demuestre el cumplimiento de esta obligación de información.

► Se podrá dar por cumplido el derecho de información si en el plazo de 30 días tras la comunicación realizada no obtiene respuesta por parte del afectado. Pero en tal caso deberá acreditar que la comunicación ha sido recibida por el mismo y además debe facilitar al interesado medios gratuitos y sencillos para que este pueda manifestar la negativa al tratamiento de los datos.

► Se puede dar por cumplida esta obligación informando del artículo 5 LOPD en las comunicaciones periódicas que realiza a sus clientes.

► Cuando se solicite el consentimiento del interesado a través de estos procedimientos nuevos, se deberá garantizar que no vuelve a solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de 1 año a contar desde la fecha de la anterior solicitud.

Adaptación de procedimientos de ejercicios de derechos de los afectados Adaptación de procedimientos de ejercicios de derechos de los afectados

► Se deben proporcionar a los afectados medios sencillos y gratuitos para que estos puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición. Se prohíbe expresamente cualquier medio que suponga un ingreso adicional.

► Se recomienda poner a disposición del afectado los servicios de atención al cliente para el ejercicio de sus derechos.

► En cualquier caso, se deberá atender la solicitud del afectado aún en el caso de que éste no haya utilizado los medios previstos por la Compañía.

► Se prevé el ejercicio de estos derechos también ante el encargado del tratamiento.

IMPACTO

ALTO

IMPACTO

ALTO

Nuevos procedimientos para efectuar transferencias internacionales de datos Nuevos procedimientos para efectuar transferencias internacionales de datos

► Se determinan nuevas obligaciones para determinadas transferencias internacionales en función del país donde se envíen dichos datos.

► Se prevé la posibilidad de adoptar en el seno de la Compañía normas o reglas internas en las que se establezcan una serie de garantías de respeto a la protección de la intimidad y el derecho fundamental a la protección de datos de los afectados garantizándose el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la normativa de protección de datos.

IMPACTO

ALTO

Novedades del “Nuevo Reglamento” y su

impacto

(12)

Nuevo régimen aplicable a los ficheros de solvencia patrimonial y crédito Nuevo régimen aplicable a los ficheros de solvencia patrimonial y crédito

► El tratamiento de datos de carácter personal sobre solvencia patrimonial y crédito a partir de la entrada en vigor del Nuevo Reglamento se someterá a nuevas obligaciones y procedimientos.

► Se deberá guardar la documentación necesaria para probar que la inclusión de un sujeto en un fichero de solvencia patrimonial cumple con una serie de requisitos:

► Deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral, etc

► Que no hayan pasado 6 años desde la fecha en que hubo de procederse al pago de la misma.

► Que hay existido requerimiento previo.

► Se establece la obligación de informar previamente al deudor, de la posibilidad de que en caso de impago y cuando se den los requisitos mencionados anteriormente, pueda incluirse al mismo en un fichero de solvencia patrimonial y crédito.

► Notificación de inclusión en dicho fichero en el plazo de 30 días desde que se efectuó el registro.

► La notificación deberá efectuarse a través de medios fiables, auditables e independientes de la Compañía notificante que permita acreditar la realización de los envíos.

► Sólo se conservarán los datos que respondan con veracidad a la situación de la deuda en cada momento: obligación de que estos ficheros estén actualizados.

IMPACTO

ALTO

Nuevas obligaciones para tratamientos de datos con fines publicitarios y de prospección comercial Nuevas obligaciones para tratamientos de datos con fines publicitarios y de prospección comercial

► Se reducen los datos personales que podrán ser utilizados con estos fines y por otro lado se aumenta el número de requisitos legales exigidos para el tratamiento de datos en campañas publicitarias.

► En el caso de que externalice la actividad publicitaria de sus productos o servicios podrá ser considerado responsable del tratamiento de los datos en el supuesto de que establece a la empresa de márketing o publicidad los parámetros identificativos de los destinatarios de la campaña.

► La Compañía deberá adoptar todas las medidas necesarias que aseguren que la empresa de publicidad ha recabado los datos cumpliendo con todas las exigencias establecidas en la normativa de protección de datos.

IMPACTO

ALTO

Novedades del “Nuevo Reglamento” y su

impacto

(13)

► Variaciones en los niveles de seguridad de ficheros:

Variaciones en los niveles de seguridad de ficheros:

► Nóminas pasa a ser de nivel básico.

Nóminas pasa a ser de nivel básico.

► Nivel medio: Mutuas de accidentes de trabajo, ficheros de personalidad o comportamiento.

Nivel medio: Mutuas de accidentes de trabajo, ficheros de personalidad o comportamiento.

► Organización del Documento de Seguridad.

Organización del Documento de Seguridad.

► Inclusión de las relaciones con proveedores en el Documento de Seguridad.

Inclusión de las relaciones con proveedores en el Documento de Seguridad.

► Medidas de seguridad en ficheros automatizados:

Medidas de seguridad en ficheros automatizados:

► Nivel básico:

Nivel básico:

► No se permiten usuarios genéricos

No se permiten usuarios genéricos

► Caducidad de contraseñas < 1 año

Caducidad de contraseñas < 1 año

► Cada seis meses se revisará los procedimientos de copias de respaldo y de recuperación

Cada seis meses se revisará los procedimientos de copias de respaldo y de recuperación

► Nivel medio: Ampliación del alcance de la auditoría a apartados legales conexos con el RD 1720/2007

Nivel medio: Ampliación del alcance de la auditoría a apartados legales conexos con el RD 1720/2007

► Nivel alto: Cifrado de dispositivos portátiles

Nivel alto: Cifrado de dispositivos portátiles

► Definición de medidas para ficheros que contengan datos de carácter personal no automatizados.

Definición de medidas para ficheros que contengan datos de carácter personal no automatizados.

Principales Novedades en Medidas de Seguridad

Novedades del “Nuevo Reglamento” y su

impacto

(14)

Nivel básico Nivel básico

► Todos los ficheros o tratamientos de datos de carácter personal

► Datos del grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos

► Datos de ideología, afiliación sindical, religión, origen racial, salud o vida sexual serán de nivel básico cuando:

► Se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros

► Ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad

Nivel medio Nivel medio

► Entidades Financieras: servicios financieros

► Administraciones Tributarias

► Solvencia patrimonial y crédito

► Infracciones administrativas o penales

► Entidades Gestoras y Servicios Comunes de la Seguridad Social

► Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social

► Aspectos de la personalidad o del comportamiento de los ciudadanos

► Datos de tráfico y de localización (operadores de comunicaciones electrónicas)

IMPACTO

BAJO

IMPACTO

MEDIO

Novedades del “Nuevo Reglamento” y su

impacto

(15)

Nivel alto Nivel alto

► Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual

► Fines policiales sin consentimiento de las personas afectadas

► Violencia de género

► Datos de tráfico y de localización (operadores de comunicaciones electrónicas) (artículo 103 de registro de accesos)

Documento de Seguridad Documento de Seguridad

► Documento interno que recoge las medidas de índole técnica y organizativa

► Único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento, o sistema de tratamiento, o bien atendiendo a criterios organizativos del responsable

► Contenido:

► Ámbito de aplicación

► Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido

► Funciones y obligaciones del personal, identificando las funciones de control o autorizaciones delegadas por el responsable del fichero

► Estructura de los ficheros

► Procedimiento de notificación, gestión y respuesta ante las incidencias

► Procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados

► Las medidas que sea necesario adoptar para el transporte de soportes y documentos

► Relaciones de tratamiento de datos por cuenta de terceros

IMPACTO

BAJO

IMPACTO

MEDIO

Novedades del “Nuevo Reglamento” y su

impacto

(16)

Prestación de servicios Prestación de servicios

► Con acceso a datos personales

► Prestación en sistemas del responsable del fichero independientemente del lugar

► Identificar la situación en el Documento de Seguridad del responsable del fichero

► Prestación en sistemas del encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un Documento de Seguridad o completar el que ya hubiera elaborado identificando el fichero o tratamiento y el responsable del mismo

► Sin acceso a datos personales

► Limitación al acceso del personal a datos personales (soportes o recursos)

► El contrato recogerá expresamente la prohibición de acceso a los datos personales y la obligación de secreto

IMPACTO

ALTO

Novedades del “Nuevo Reglamento” y su

impacto

(17)

Ficheros automatizados Ficheros automatizados

► Nivel básico

► Identificación y autenticación

► Identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado

► La periodicidad de caducidad de las contraseñas en ningún caso será superior a un año

► Copias de respaldo y recuperación

► Verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos

► Si se realizan pruebas con datos reales se anotará en el Documento de Seguridad y previamente deberá haberse realizado una copia de seguridad

► Nivel medio

► Auditoría

► El informe de auditoría también deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario

► Control de acceso físico

► Exclusivamente el personal autorizado en el Documento de Seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información

IMPACTO

MEDIO

Novedades del “Nuevo Reglamento” y su

impacto

(18)

Ficheros automatizados Ficheros automatizados

► Nivel alto

► Gestión y distribución de soportes

► Se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero

► Registro de accesos

► No será necesario el registro de accesos cuando el responsable del fichero o del tratamiento sea una persona física y se garantice que es el único que tiene acceso y trata los datos personales

► Telecomunicaciones

► La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros

IMPACTO

MEDIO

Novedades del “Nuevo Reglamento” y su

impacto

(19)

Ficheros no automatizados Ficheros no automatizados

► Nivel básico

► Obligaciones comunes:

► Encargado del tratamiento

► Prestaciones de servicio sin acceso a datos

► Delegación de autorizaciones

► Copias de trabajo de documentos

► Documento de Seguridad

► Funciones y obligaciones del personal

► Registro de incidencias

► Control de acceso

► Gestión de soportes y documentos

► Archivo:

► Garantizar la conservación, localización y consulta

► Ejercicio de derechos (acceso, rectificación, cancelación y oposición)

► Almacenamiento:

► Mecanismos que obstaculicen la apertura de dispositivos de almacenamiento

► Custodia:

► Documentación en proceso de revisión o tramitación custodiada por la persona a cargo e impedir acceso no autorizado

IMPACTO

ALTO

Novedades del “Nuevo Reglamento” y su

impacto

(20)

Ficheros no automatizados Ficheros no automatizados ► Nivel medio ► Responsable de seguridad ► Auditoría ► Nivel alto ► Almacenamiento:

► Acceso protegido mediante llave u otro dispositivo

► Áreas cerradas cuando no sea preciso el acceso

► Copia:

► La generación de copias o reproducción de documentos controlado por personas autorizadas

► Destrucción de copias que impida acceso o recuperación

► Acceso:

► Limitación estricta al personal autorizado

► Identificación de los accesos realizados

► Traslado:

► Impedir el acceso o manipulación de la información objeto de traslado

IMPACTO

ALTO

Novedades del “Nuevo Reglamento” y su

impacto

(21)

Implantación de las obligaciones legales: - Declaración de ficheros - Contratos - Derechos ARCO Publicación BOE 19 Enero 2008 Entrada en vigor

19 Abril 2008 19 Abril 2009 19 Octubre 2009 19 Abril 2010

Implantación de las Medidas de Seguridad de nivel medio para ficheros automatizados. Auditoría de los apartados legales conexos a las M. Seguridad

Implantación de las Medidas de Seguridad de nivel alto para ficheros automatizados Implantación de las Medidas de Seguridad adicionales:

- Documento de Seguridad - Relaciones con terceros y encargados de tratamiento - Usuarios genéricos, caducidad de contraseñas, pruebas backup

Implantación de las Medidas de Seguridad de nivel básico para ficheros no automatizados.

Implantación de las Medidas de Seguridad de nivel medio para ficheros no automatizados

Implantación de las Medidas de Seguridad de nivel alto para ficheros no automatizados