Professional Documents
Culture Documents
LOPD
L'objectiu d'aquesta llei s regular el tractament de dades personals per tal de garantir i protegir
Les llibertats pbliques Els drets fonamentals de les persones L'honor La intimitat personal i familiar un marc per dir qu s'ha de reglamentar Defineix organismes reguladors i sancionadors
Defineix
LOPD i el Reglament
La llei no defineix cap tipus de mesura que indiqui com han d'actuar les empreses per complir els objectius previstos Les mesures concretes a prendre apareixen en el Reglament de Desenvolupament de la LOPD que es va aprovar molt ms tard
LOPD
Reglament de la LOPD
Administraci de Sistemes Informtics i Xarxes
A qu afecta la LOPD?
A les dades personals que estiguin registrades en qualsevol suport que en permeti el tractament i al seu s posterior
A qu NO afecta la LOPD?
No afecta als fitxers fets per s domstic o personal sempre que no siguin usats per activitats professionals
A totes les empreses i organitzacions de l'Estat espanyol que facin servir suports d'emmagatzematge de dades
Simplement tenint una senzilla base de dades de clients o de socis implica que s'ha de complir la LOPD
Tamb estan obligats a complir amb la Llei tot i que no poden ser multats
Qu protegeix?
Dades bancaries
ingressos
El correu electrnic
no existe duda de que la direccin decorreo electrnico identifica, incluso de forma directa, al titular de la cuenta, por lo que en todo caso dicha direccin ha de ser considerada como dato de carcter personal
(Informe Jurdic 0391/2007)
Administraci de Sistemes Informtics i Xarxes
Dades de trnsit
Informaci sobre els llocs visitats, temps que hi ha estat, ordre en que s'ha visitat, forums en que s'ha participat, adreces de correu enviades o rebudes, ...
L'adrea IP Les cookies del navegador La gravaci de veu Dades biomtriques (empremtes digitals, iris, etc...) La imatge d'un client, amic o partidari ...
Administraci de Sistemes Informtics i Xarxes
LOPD
Recollida de dades
Recollida Dades
En general:
?
OK
Autoritzaci
Cens promocional Llistins telefnics Llistes de persones de grups professionals si noms tenen:
nom, ttol, professi, activitat, grau acadmic, adrea i indicaci de pertnyer al grup
Recollida Dades
Sempre: S'ha d'informar a l'usuari del motiu pel que es recullen les seves dades
Qualsevol canvi en l'objectiu invalida el perms de l'usuari Si s'arriba a l'objectiu les dades s'han d'eliminar
?
Bla, bla!
Recollida Dades
Sempre:
L'usuari ha de disposar d'un mecanisme per poder canviar o esborrar les seves dades
?
OK NO
OK
Administraci de Sistemes Informtics i Xarxes
Informaci a l'afectat
Informaci a l'afectat
LOPD
Recollida Dades
En general:
?
OK
Cessi de dades
per Llei o per un jutge Si sn dades de fonts pbliques Les Administracions pbliques per fins estadstics, histrics o cientfics Per urgncies de salut Si s'ha evitat que puguin ser reconegudes les persones
Administraci de Sistemes Informtics i Xarxes
No es considera cessi quan l'accs es faci per un tercer per la prestaci d'un servei al responsable
Per:
Ha d'estar regulat per un contracte i s'han de prendre les mesures de seguretat pertinents S'han de destruir les dades un cop acabat el servei
Transferncies internacionals
S'accepten les cessions a pasos que tinguin una protecci de dades semblant
Safe Harbor
LOPD
Sempre que es tingui un fitxer amb dades de carcter personal s'ha de registrar S'ha de notificar al registre de l'Agncia de Protecci de Dades Es pot fer per Internet
Inscripci al registre
s qui n'especifica el contingut i en far s Qui se n'encarregar del tractament de les dades en nom del responsable Se n'encarrega de controlar que es compleixen els mecanismes de seguretat implantats. No cal sempre
Responsable de seguretat
DADES
Ha de tenir en compte els principis de secret professional T la obligaci de guardar-les correctament Les empreses han d'informar als empleats del deure de secret i de les conseqncies del seu incompliment
Administraci de Sistemes Informtics i Xarxes
Tractament
Resultats
Mantenir la qualitat
Les dades han de ser tractades de forma legal i lcita Noms es poden recollir per fins concrets i determinats Les dades han de ser exactes i mantenir-se actualitzades Noms s'han de conservar el temps estrictament necessari
El responsable de seguretat
No s obligatori sempre
Definir el document de seguretat i controlar-ne les mesures Mantenir la llista d'usuaris i permisos d'accs Informar als usuaris Fer backups i registrar les incidncies
Administraci de Sistemes Informtics i Xarxes
Document de seguretat
Les mesures tcniques i organitzatives necessries per garantir la seguretat de les dades i evitin la seva:
Document de seguretat
mbit d'actuaci (fitxers, sistemes, persones) Mesures, normes i procediments per garantir el nivell de seguretat Funcions i obligacions del personal amb les dades Estructura dels fitxers amb dades de carcter personal Procediment de notificaci, gesti i resposta als incidents Mesures a adoptar pel transport de suports i documents i com es far per destruir-los
Auditoria de seguretat
En quin entorn es troben els fitxers De la existncia de controls adequats per garantir el tractament segur de les dades
Quins usuaris tenen accs Poltiques de renovaci d'usuaris Accessos remots a la empresa Control dels accessos Fitxers temporals
Controlar els procediments que es segueixen per garantir els mecanismes de seguretat
Administraci de Sistemes Informtics i Xarxes
Mesures de seguretat
El Reglament defineix quines sn les mesures de seguretat a aplicar segons siguin les dades Es defineixen tres nivells de mesures segons el tipus de dades que s'emmagatzemin
Nivell
Dades protegides
Dades de nivell bsic
Nom, cognoms, dades de contacte (qualsevol), altres dades que no siguin de nivell mig o alt
Es defineixen les mesures a prendre en funci del nivell de seguretat de les dades que continguin Sn acumulatives:
Creaci d'una relaci d'usuaris (processos o persones) que tinguin accs al sistema d'informaci
Control peridic per verificar el compliment del document de seguretat Definir les mesures per eliminar els suports de cpies de seguretat
Mecanismes per identificar a tots els usuaris que intentin accedir al sistema i limitar el nmero d'intents
Distribuci i gesti de suports de cpies de seguretat Registres d'accs lgics (usuari, hora, tipus) Control i registre d'accessos fsics Cpies de seguretat i recuperaci
Resum de mesures
Bsic Mig Alt
Disposar d'un document de seguretat Nomenar un responsable de seguretat Explicar les funcions de seguretat al personal Portar un registre d'incidncies (restauracions, etc..) Implementar mecanismes d'identificaci i autentificaci Sistemes de control d'accs lgic Sistemes de control d'accs fsic Gesti i control dels suports i documents. Registre entrada/sortida Fer i controlar les cpies de seguretat (1 fora del lloc) Fer una auditoria cada dos anys No fer proves amb dades reals Distribuir els suports d'emmagatzematge Tenir un registre d'accs Xifrat de les telecomunicacions
X X X X X X X
X X X X X X X X X X X
X X X X X X X X X X X X X X
LOPD
Drets ARCO
Els ciutadans continuen tenint una srie de drets sobre les dades que s'hagin cedit a una organitzaci Es coneixen com drets ARCO (accs, rectificaci, cancellaci i oposici) El seu objectiu segons el tribunal Constitucional s:
Garantir a la persona un poder de control sobre les seves dades personals, cosa que noms s possible i efectiu imposant a tercers els drets mencionats
Dret d'informaci
Quan es demani una dada per emmagatzemar s'ha de dir de forma clara perqu es demana i perqu es far servir S'ha d'informar a l'individu dels seus drets i la identitat del responsable del tractament
DADES
Dret d'informaci
Qualsevol ciutad t dret a saber les dades que emmagatzema l'empresa consultant el registre
Cualquier persona podr conocer, recabando a tal fin la informacin oportuna del Registro General de Proteccin de Datos, la existencia de tratamientos de datos de carcter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General ser de consulta pblica y gratuita. Article 14
Dret d'informaci
DADES
Empresa
Dret d'accs
Quines dades tenen sobre ell Quina s la finalitat del tractament Informaci sobre l'origen de les dades Comunicacions de dades que s'han fet o que es volen fer
Administraci de Sistemes Informtics i Xarxes
Pot demanar que es modifiquin les dades inexactes, inadequades, excessives o incompletes
cancellar / modificar
FET
Dret d'oposici
El ciutad es pot dirigir al responsable per demanar-li que deixi de treballar amb les seves dades:
No vull que es facin servir
OK
Si no hi ha consentiment (encara que sigui perms legalment) Si es fa per publicitat o prospecci comercial En base al tractament automatitzat
Tutela de dret
Si a un ciutad se li denegen els seus drets pot interposar una denuncia a la AGPD Possible indemnitzaci Multa
Petici
NO
LOPD
La llei defineix la creaci de l'Agencia Espaola de Proteccin de Datos (AEPD) que se n'encarrega de :
En algunes comunitats les tasques han estat transferides i tenen la seva prpia agncia:
http://www.apdcat.net/
Tamb es crea el Registre General de Protecci de Dades Els fitxers hi han d'estar inscrits i registrats
Es pot fer a travs de formularis electrnics en la web de l'AEPD A Catalunya a travs de la web de l'ACPD
Administraci de Sistemes Informtics i Xarxes
Infraccions
Una altra de les funcions de l'Agncia s imposar multes pels incompliments de la llei Les sancions poden ser:
Eliminaci de dades de pgines web Inclusions errnies a Llistes de morosos Problemes amb la Videovigilncia
Administraci de Sistemes Informtics i Xarxes
Infraccions i sancions
Infraccions lleus
de 600 fins a 60.101
No inscriure el fitxer en el registre Recollir dades sense informar al titular de: - L'existncia del fitxer - De perqu es faran servir - Dels drets de l'usuari - De qui s el responsable del fitxer No atendre a les sollicituds dels afectats
Infraccions greus
Infraccions greus
Fins a 300.506
Recollir dades sense el consentiment de l'afectat Destinar dades a una finalitat diferent a la per la que es va demanar Crear un fitxer pblic sense autoritzaci especial No adoptar les mesures de seguretat estipulades Mantenir dades inexactes i no fer les correccions o cancellacions
No atendre als drets dels usuaris sistemticament Recollida de dades de forma enganyosa o fraudulenta Comunicar o cedir dades illegalment