Asix M11 Uf1 8 Lopd

Seguretat i alta disponibilitat
UF 1: Seguretat fsica, lgica i legislaci Part 8
Llei de protecci de dades de carcter personal (LOPD)

Xavier Sala Pujolar Institut Cendrassos
LOPD
L'objectiu d'aquesta llei s regular el tractament de dades personals per tal de garantir i protegir

Les llibertats pbliques Els drets fonamentals de les persones L'honor La intimitat personal i familiar un marc per dir qu s'ha de reglamentar Defineix organismes reguladors i sancionadors
Defineix

Administraci de Sistemes Informtics i Xarxes
LOPD i el Reglament
La llei no defineix cap tipus de mesura que indiqui com han d'actuar les empreses per complir els objectius previstos Les mesures concretes a prendre apareixen en el Reglament de Desenvolupament de la LOPD que es va aprovar molt ms tard
LOPD
Reglament de la LOPD
A qu afecta la LOPD?
A les dades personals que estiguin registrades en qualsevol suport que en permeti el tractament i al seu s posterior
Bases de dades, fitxers, ...
No noms suports informtics
A qu NO afecta la LOPD?
No afecta als fitxers fets per s domstic o personal sempre que no siguin usats per activitats professionals
Llistats telefnics, etc..
A qui afecta la LOPD?
A totes les empreses i organitzacions de l'Estat espanyol que facin servir suports d'emmagatzematge de dades
Simplement tenint una senzilla base de dades de clients o de socis implica que s'ha de complir la LOPD
Per tant sn totes les empreses i organitzacions de l'Estat
A qui afecta la LOPD?
Afecta tant a organismes privats com pblics

Empreses Organismes pblics (Ajuntaments, etc...)
Tamb estan obligats a complir amb la Llei tot i que no poden ser multats
Qu protegeix?
cualquier informacin concerniente a personas fsicas identificadas o identificables

Article 3
Dades de carcter personal

Nom Adrea Estudis Rentes Propietats religi ideologia ADN Experincia professional DNI ideologia NSS Estat civil
Dades bancaries
Matricula del cotxe professi
correu electrnic imatge
ingressos
La imatge d'un treballador (foto o gravaci de vdeo):

la grabacin de la imagen de una persona, ya sea trabajador o no de la empresa, es un dato personal, siendo ste el criterio de la Agencia Espaola de Proteccin de Datos
(Resoluci R/00035/2006)
El correu electrnic
no existe duda de que la direccin decorreo electrnico identifica, incluso de forma directa, al titular de la cuenta, por lo que en todo caso dicha direccin ha de ser considerada como dato de carcter personal
(Informe Jurdic 0391/2007)
Dades de trnsit
Informaci sobre els llocs visitats, temps que hi ha estat, ordre en que s'ha visitat, forums en que s'ha participat, adreces de correu enviades o rebudes, ...
L'adrea IP Les cookies del navegador La gravaci de veu Dades biomtriques (empremtes digitals, iris, etc...) La imatge d'un client, amic o partidari ...
Dades especialment protegides
Es consideren dades especialment protegides les que donin informaci sobre:

Ideologia Afiliaci
sindical Religi o creences Origen racial Vida sexual Salud

LOPD
Recollida de dades
Recollida Dades
En general:
No es poden recollir dades de carcter personal sense l'autoritzaci de l'usuari

Segons les dades l'autoritzaci pot haver de ser per escrit
?
OK
Autoritzaci
Hi ha excepcions conegudes com dades de carcter pblic

Cens promocional Llistins telefnics Llistes de persones de grups professionals si noms tenen:
nom, ttol, professi, activitat, grau acadmic, adrea i indicaci de pertnyer al grup
Els diaris i butlletins oficials Els medis de comunicaci
Recollida Dades
Sempre: S'ha d'informar a l'usuari del motiu pel que es recullen les seves dades
Qualsevol canvi en l'objectiu invalida el perms de l'usuari Si s'arriba a l'objectiu les dades s'han d'eliminar
?
Bla, bla!
Recollida Dades
Sempre:
L'usuari ha de disposar d'un mecanisme per poder canviar o esborrar les seves dades
?
OK NO
OK
Informaci a l'afectat
Informaci a l'afectat
LOPD
Cessi o transferncia de dades
Recollida Dades
En general:
No es poden passar les dades recollides a cap altra empresa

No tenen el perms de l'usuari
?
OK
Cessi de dades
Noms es poden transferir dades en condicions restringides

Autoritzaci
per Llei o per un jutge Si sn dades de fonts pbliques Les Administracions pbliques per fins estadstics, histrics o cientfics Per urgncies de salut Si s'ha evitat que puguin ser reconegudes les persones
Accs per tercers
No es considera cessi quan l'accs es faci per un tercer per la prestaci d'un servei al responsable

Agncia: clcul de nmines d'una empresa Comunitat de vens: Emissi de rebuts
Per:
Ha d'estar regulat per un contracte i s'han de prendre les mesures de seguretat pertinents S'han de destruir les dades un cop acabat el servei
Transferncies internacionals
S'accepten les cessions a pasos que tinguin una protecci de dades semblant
Uni Europea, Argentina, Sussa Els Estats Units no!
Empreses amb un codi tic acceptat
Safe Harbor
Pels altres cal perms del Director de l'APD

LOPD
Obligacions de les organitzacions
Registrar els fitxers
Sempre que es tingui un fitxer amb dades de carcter personal s'ha de registrar S'ha de notificar al registre de l'Agncia de Protecci de Dades Es pot fer per Internet
Inscripci al registre
Al registrar un fitxer s'han d'especificar els diferents responsables:

Responsable del fitxer (propietari)
s qui n'especifica el contingut i en far s Qui se n'encarregar del tractament de les dades en nom del responsable Se n'encarrega de controlar que es compleixen els mecanismes de seguretat implantats. No cal sempre
Encarregat del tractament
Responsable de seguretat
Obligacions del propietari del fitxer

Informar als afectats i garantir l's adequat de les dades
DADES
Prendre les mesures de seguretat adequades Declarar el fitxer en el Registre General
L'encarregat del tractament
Fer el tractament de dades
Ha de tenir en compte els principis de secret professional T la obligaci de guardar-les correctament Les empreses han d'informar als empleats del deure de secret i de les conseqncies del seu incompliment
Tractament
Resultats
Mantenir la qualitat
El responsable del tractament ha de garantir la qualitat de les dades:
Les dades han de ser tractades de forma legal i lcita Noms es poden recollir per fins concrets i determinats Les dades han de ser exactes i mantenir-se actualitzades Noms s'han de conservar el temps estrictament necessari
El responsable de seguretat
No s obligatori sempre
Definir el document de seguretat i controlar-ne les mesures Mantenir la llista d'usuaris i permisos d'accs Informar als usuaris Fer backups i registrar les incidncies
Document de seguretat
Sempre s'ha de crear un document de seguretat on hi han d'haver:
Les mesures tcniques i organitzatives necessries per garantir la seguretat de les dades i evitin la seva:
Alteraci, prdua i tractament o accs no autoritzat
Document de seguretat
El document ha de tenir com a mnim:

mbit d'actuaci (fitxers, sistemes, persones) Mesures, normes i procediments per garantir el nivell de seguretat Funcions i obligacions del personal amb les dades Estructura dels fitxers amb dades de carcter personal Procediment de notificaci, gesti i resposta als incidents Mesures a adoptar pel transport de suports i documents i com es far per destruir-los
Auditoria de seguretat
La auditoria de la LOPD se n'encarrega de revisar:

En quin entorn es troben els fitxers De la existncia de controls adequats per garantir el tractament segur de les dades

Quins usuaris tenen accs Poltiques de renovaci d'usuaris Accessos remots a la empresa Control dels accessos Fitxers temporals
Controlar els procediments que es segueixen per garantir els mecanismes de seguretat
Mesures de seguretat
El Reglament defineix quines sn les mesures de seguretat a aplicar segons siguin les dades Es defineixen tres nivells de mesures segons el tipus de dades que s'emmagatzemin
Nivell
bsic Nivell mig Nivell alt
Dades protegides
Dades de nivell bsic
Nom, cognoms, dades de contacte (qualsevol), altres dades que no siguin de nivell mig o alt
Dades de nivell mig

Dades sobre infraccions penals o administratives, que ofereixin definici de caracterstiques de personalitat o caracterstiques i permetin avaluar la seva personalitat o comportament , dades responsabilitat d'Hisenda, dades responsabilitat dels bancs, dades responsabilitat de la Seguretat Social, Dades de provedors de Telecomunicacions
Dades de nivell alt

Ideologia, afiliaci sindical, religi i creences, origen racial, salut, vida sexual, dades per fins policials sense consentiment, dades derivades de la violncia de gnere
Classificaci de les mesures
Es defineixen les mesures a prendre en funci del nivell de seguretat de les dades que continguin Sn acumulatives:
Mesures nivell bsic
Mesures nivell mig
Mesures nivell alt
Mesures de nivell bsic

Mesures de nivell bsic Creaci d'un document de seguretat d'obligat compliment pel personal que tingui accs a les dades Adopci de mesures perqu el personal conegui les normes de seguretat

Creaci d'un registre d'incidncies
Creaci d'una relaci d'usuaris (processos o persones) que tinguin accs al sistema d'informaci

Establir mecanismes de control d'accs
Establir mecanismes de control dels suports i de les cpies de seguretat
Mesures de nivell mig

Mesures de nivell mig

Totes les de nivell bsic Identificaci del responsable de seguretat
Control peridic per verificar el compliment del document de seguretat Definir les mesures per eliminar els suports de cpies de seguretat

Auditoria interna o externa almenys cada 2 anys
Mecanismes per identificar a tots els usuaris que intentin accedir al sistema i limitar el nmero d'intents
Normes de gesti de suports de cpies

Mesures de nivell alt

Mesures de nivell alt
S'han de complir totes les normes dels nivells bsic i mig

Hi ha una srie de mesures extres en
Distribuci i gesti de suports de cpies de seguretat Registres d'accs lgics (usuari, hora, tipus) Control i registre d'accessos fsics Cpies de seguretat i recuperaci
Les comunicacions de dades han d'estar xifrades
Resum de mesures
Bsic Mig Alt
Disposar d'un document de seguretat Nomenar un responsable de seguretat Explicar les funcions de seguretat al personal Portar un registre d'incidncies (restauracions, etc..) Implementar mecanismes d'identificaci i autentificaci Sistemes de control d'accs lgic Sistemes de control d'accs fsic Gesti i control dels suports i documents. Registre entrada/sortida Fer i controlar les cpies de seguretat (1 fora del lloc) Fer una auditoria cada dos anys No fer proves amb dades reals Distribuir els suports d'emmagatzematge Tenir un registre d'accs Xifrat de les telecomunicacions
X X X X X X X
X X X X X X X X X X X
X X X X X X X X X X X X X X
LOPD
Drets de les persones
Drets ARCO
Els ciutadans continuen tenint una srie de drets sobre les dades que s'hagin cedit a una organitzaci Es coneixen com drets ARCO (accs, rectificaci, cancellaci i oposici) El seu objectiu segons el tribunal Constitucional s:
Garantir a la persona un poder de control sobre les seves dades personals, cosa que noms s possible i efectiu imposant a tercers els drets mencionats
Dret d'informaci
Quan es demani una dada per emmagatzemar s'ha de dir de forma clara perqu es demana i perqu es far servir S'ha d'informar a l'individu dels seus drets i la identitat del responsable del tractament
DADES
Dret d'informaci
Qualsevol ciutad t dret a saber les dades que emmagatzema l'empresa consultant el registre
Cualquier persona podr conocer, recabando a tal fin la informacin oportuna del Registro General de Proteccin de Datos, la existencia de tratamientos de datos de carcter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General ser de consulta pblica y gratuita. Article 14
Dret d'informaci
El ciutad t dret a consultar el Registre General de Protecci de Dades

Quines dades emmagatzema L'empresa?
COMUNICACI DEL FITXER
DADES
Empresa
Dret d'accs
Permet al ciutad dirigir-se al responsable del fitxer i demanar-li gratutament:
Quines dades tenen sobre ell Quina s la finalitat del tractament Informaci sobre l'origen de les dades Comunicacions de dades que s'han fet o que es volen fer
Dret de rectificaci i cancellaci
Pot demanar que es modifiquin les dades inexactes, inadequades, excessives o incompletes
cancellar / modificar
FET
Pot demanar que les dades siguin esborrades
Excepcions en administracions, jutges o tribunals per han d'estar bloquejades
Dret d'oposici
El ciutad es pot dirigir al responsable per demanar-li que deixi de treballar amb les seves dades:
No vull que es facin servir
OK
Si no hi ha consentiment (encara que sigui perms legalment) Si es fa per publicitat o prospecci comercial En base al tractament automatitzat
Tutela de dret
Si a un ciutad se li denegen els seus drets pot interposar una denuncia a la AGPD Possible indemnitzaci Multa
Petici
NO
LOPD
Agncia de protecci de dades
Agncia de Protecci de Dades
La llei defineix la creaci de l'Agencia Espaola de Proteccin de Datos (AEPD) que se n'encarrega de :

Regular el compliment de la normativa Sancionar els incompliments Gestionar el Registre de fitxers
Agncia Catalana de Protecci de Dades
En algunes comunitats les tasques han estat transferides i tenen la seva prpia agncia:
Catalunya, Madrid i Euskadi
A Catalunya hi ha l'Agncia Catalana de Protecci de dades
http://www.apdcat.net/
Agncia de Protecci de Dades
Tamb es crea el Registre General de Protecci de Dades Els fitxers hi han d'estar inscrits i registrats
Es pot fer a travs de formularis electrnics en la web de l'AEPD A Catalunya a travs de la web de l'ACPD
Infraccions
Una altra de les funcions de l'Agncia s imposar multes pels incompliments de la llei Les sancions poden ser:

Lleus Greus Molt greus
Segons l'agncia les denuncies ms fetes durant el 2009 han estat:
Eliminaci de dades de pgines web Inclusions errnies a Llistes de morosos Problemes amb la Videovigilncia
Infraccions i sancions
Infraccions lleus
de 600 fins a 60.101
No inscriure el fitxer en el registre Recollir dades sense informar al titular de: - L'existncia del fitxer - De perqu es faran servir - Dels drets de l'usuari - De qui s el responsable del fitxer No atendre a les sollicituds dels afectats
Infraccions greus
Infraccions greus
Fins a 300.506
Recollir dades sense el consentiment de l'afectat Destinar dades a una finalitat diferent a la per la que es va demanar Crear un fitxer pblic sense autoritzaci especial No adoptar les mesures de seguretat estipulades Mantenir dades inexactes i no fer les correccions o cancellacions
Infraccions molt greus

Infraccions molt greus
Fins a 601.102
No atendre als drets dels usuaris sistemticament Recollida de dades de forma enganyosa o fraudulenta Comunicar o cedir dades illegalment

Asix M11 Uf1 8 Lopd

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Asix M11 Uf1 8 Lopd

Uploaded by

Copyright:

Available Formats

Seguretat i alta disponibilitat

UF 1: Seguretat fsica, lgica i legislaci Part 8

Llei de protecci de dades de carcter personal (LOPD)

Administraci de Sistemes Informtics i Xarxes

Bases de dades, fitxers, ...

No noms suports informtics

Administraci de Sistemes Informtics i Xarxes

Llistats telefnics, etc..

Administraci de Sistemes Informtics i Xarxes

A qui afecta la LOPD?

Per tant sn totes les empreses i organitzacions de l'Estat

Administraci de Sistemes Informtics i Xarxes

A qui afecta la LOPD?

Afecta tant a organismes privats com pblics

Empreses Organismes pblics (Ajuntaments, etc...)

Administraci de Sistemes Informtics i Xarxes

cualquier informacin concerniente a personas fsicas identificadas o identificables

Administraci de Sistemes Informtics i Xarxes

Dades de carcter personal

Matricula del cotxe professi

correu electrnic imatge

Administraci de Sistemes Informtics i Xarxes

Dades de carcter personal

La imatge d'un treballador (foto o gravaci de vdeo):

Dades de carcter personal

Dades especialment protegides

Es consideren dades especialment protegides les que donin informaci sobre:

sindical Religi o creences Origen racial Vida sexual Salud

Administraci de Sistemes Informtics i Xarxes

No es poden recollir dades de carcter personal sense l'autoritzaci de l'usuari

Administraci de Sistemes Informtics i Xarxes

Hi ha excepcions conegudes com dades de carcter pblic

Els diaris i butlletins oficials Els medis de comunicaci

Administraci de Sistemes Informtics i Xarxes

Administraci de Sistemes Informtics i Xarxes

Administraci de Sistemes Informtics i Xarxes

Administraci de Sistemes Informtics i Xarxes

Cessi o transferncia de dades

Administraci de Sistemes Informtics i Xarxes

No es poden passar les dades recollides a cap altra empresa

Administraci de Sistemes Informtics i Xarxes

Noms es poden transferir dades en condicions restringides

Accs per tercers

Agncia: clcul de nmines d'una empresa Comunitat de vens: Emissi de rebuts

Administraci de Sistemes Informtics i Xarxes

Uni Europea, Argentina, Sussa Els Estats Units no!

Empreses amb un codi tic acceptat

Pels altres cal perms del Director de l'APD

Obligacions de les organitzacions

Administraci de Sistemes Informtics i Xarxes

Registrar els fitxers

Administraci de Sistemes Informtics i Xarxes

Al registrar un fitxer s'han d'especificar els diferents responsables:

Responsable del fitxer (propietari)

Encarregat del tractament

Administraci de Sistemes Informtics i Xarxes

Obligacions del propietari del fitxer

Prendre les mesures de seguretat adequades Declarar el fitxer en el Registre General

Administraci de Sistemes Informtics i Xarxes

L'encarregat del tractament

Fer el tractament de dades

El responsable del tractament ha de garantir la qualitat de les dades:

Administraci de Sistemes Informtics i Xarxes