Transcript Caso Práctico de Aplicación de la LOPD

Caso práctico de aplicación de la LOPD
Sesión de Preparatic 26 de noviembre de 2011
José Antonio Pérez
Jefe de Área - Registro General de Protección de Datos
Agencia Española de Protección de Datos
-1-
Caso práctico: Aplicación de la LOPD
• Recientemente se ha creado una Agencia de titularidad pública dentro de la
AGE cuya finalidad es gestionar subvenciones y ayudas a autónomos. Dentro de
su plan estratégico de lanzamiento, ha decidido externalizar en una empresa de
hosting la gestión de los sistemas de información utilizados para la gestión de las
ayudas. El resto de la información gestionada por la Agencia se almacenará y
tratará en sistemas propios.
• Los solicitantes de ayudas deben aportar, entre otros, los siguientes datos:
Nombre y apellidos, NIF, nº de afiliación a la seguridad social, últimos tres recibos
abonados a la Seguridad Social como autónomos.
• Para la gestión interna de su personal, la Agencia ha previsto la implantación de
un sistema de fichaje mediante huella digital. En su sede, los empleados deberán
portar una tarjeta identificativa con su fotografía.
• La Agencia cuenta entre su personal con algunos empleados que tienen
reconocido un cierto grado de minusvalía, aspecto que debe ser tenido en cuenta
en la gestión de las nóminas a efectos de aplicación de las correspondientes
deducciones en el tipo de IRPF aplicable. Dentro del expediente de El servicio
médico de la Agencia almacena un historial clínico de cada empleado, en formato
papel que posteriormente se digitaliza.
-2-
Caso práctico: Aplicación de la LOPD
• Por otra parte, la Agencia ha contratado la seguridad de sus instalaciones con
una empresa privada. Se han instalado cámaras y un circuito cerrado de TV
(CCTV) para el visionado de imágenes de dichas instalaciones. No está previsto
el almacenamiento de dichas imágenes para su posterior reproducción.
• Los únicos proveedores de la Agencia son empresas. Existe un fichero de
proveedores en los que se almacenan los datos de contacto profesionales de sus
representantes: teléfono, fax, email y dirección postal. Cuando asisten a
reuniones en la sede de la Agencia, Seguridad recaba su DNI a efectos de control
de visitas.
• Diseñar un plan de adecuación que resuma las acciones principales que deberá
llevar a cabo la citada Agencia para cumplir la normativa de protección de datos,
con especial énfasis en las medidas de seguridad a implantar.
-3-
Solución caso práctico: Plan de adecuación a la LOPD
1.
Identificación de los ficheros o tratamientos de datos personales que realiza la Agencia, y
el nivel de seguridad aplicable. Una posible relación de ficheros podría ser la siguiente:
Fichero/Tratam.
Nivel medidas de seguridad
Ayudas a
autónomos
Básico
Proveedores
Básico
Empleados
Básico
Nóminas
Básico
Gestión económico
administrativa
Básico
Control de visitas
Básico
Videovigilancia
Básico
Historiales clínicos
empleados
Alto
Observaciones
-Sólo se almacenan datos de contacto profesionales (teléfono,
email, puesto desempeñado), que están excluidos del ámbito
de aplicación del RLOPD (art. 2.1). Si existieran proveedores
que fueran personas físicas (autónomos) sí que se estaría
dentro del ámbito del RLOPD.
-Aunque el grado de minusvalía es un dato de salud, su uso
en este caso constituye una de las excepciones previstas en
el artículo 81.6 del RLOPD, por lo que sólo sería exigible el
nivel de medidas de seguridad básico.
-La Agencia es responsable del fichero, aunque la gestión del
mismo la realice la empresa de seguridad
Hay tratamiento de datos pero no existe fichero, puesto que
las imágenes no se almacenan. No procede inscripción en
RGPD. Persisten no obstante el resto de obligaciones
Almacena datos de salud. Sistema de tratamiento mixto:
automatizado y no automatizado
-4-
Solución caso práctico: Plan de adecuación a la LOPD
2.
Determinar y formalizar los contratos de prestación de servicios que implican
tratamiento de datos personales:
• Por un lado, tenemos la empresa externa que realiza el hosting del sistema de
información que gestiona las solicitudes de subvenciones y ayudas a autónomos.
• La empresa de seguridad también realiza tratamiento de datos personales, ya
que tiene acceso a la base de datos del personal autorizado a entrar en las
instalaciones, visiona las imágenes de las cámaras de seguridad y realiza toda la
gestión asociada al control de visitas.
• De acuerdo con lo establecido en el artículo 12 de la LOPD, estos tratamientos de
datos deberán estar regulados en un contrato escrito. En dichos contratos:
• se establecerá expresamente que el encargado de tratamiento (la empresa
de hosting y la empresa de seguridad) únicamente tratará los datos conforme a
las instrucciones de la Agencia; que no los utilizará con un fin distinto al que
figure en el contrato, ni los comunicará a otras personas.
• se estipularán las medidas de seguridad que el encargado del tratamiento
está obligado a implementar.
-5-
Solución caso práctico: Plan de adecuación a la LOPD
3.
Elaboración del Documento de Seguridad
• Está regulado en el art. 88 del RLOPD. Su elaboración es preceptiva por parte de
cualquier entidad que sea responsable de ficheros o tratamientos de datos personales. Es
un documento interno de la organización.
• Debe recoger las medidas de índole técnica y organizativa definidas para garantizar la
seguridad de los datos personales, siendo de obligado cumplimiento para el personal con
acceso a los datos.
• Puede ser único y comprensivo de todos los ficheros o tratamientos o bien individualizado
para cada fichero o tratamiento.
• Contenido mínimo:
• Ámbito de aplicación.
• Medidas, normas procedimientos para garantizar el nivel de seguridad preceptivo.
• Funciones y obligaciones del personal
• Estructura de los ficheros de datos personales y de los SSII que los tratan
• Procedimiento de notificación, gestión y respuesta a incidencias.
• Procedimientos de realización de copias de respaldo y recuperación de los datos
• Medidas para el transporte de soportes y documentos, así como para la destrucción de los
documentos y soportes.
• Puesto que existne tratamientos de datos por cuenta de terceros, el DS debe identificar los
ficheros/tratamientos que tratan los encargados, con referencia expresa al contrato de
prestación de servicios que los regula.
-6-
Solución caso práctico: Plan de adecuación a la LOPD
3.
Nombramiento del Responsable de Seguridad
• Puesto que a uno de los ficheros le son de aplicación las medidas de seguridad de
nivel alto, debe designarse un responsable de seguridad (es preceptivo a partir de
nivel medio). En el Documento de Seguridad debe identificarse el responsable de
seguridad nombrado por la organización
• El responsable de seguridad es la persona a la que la organización ha otorgado la
responsabilidad de coordinar y asegurar el cumplimiento de las medidas recogidas en
el documento de seguridad.
• Puede existir más de un responsable de seguridad.
-7-
Solución caso práctico: Plan de adecuación a la LOPD
4.
Implantación de las medidas de seguridad recogidas en el documento de seguridad
• Para los ficheros y tratamientos de nivel básico, podrían implantarse, entre otras las
siguientes medidas:
 Impartir programas de formación al personal que trata datos personales, de forma que
conozca sus funciones y obligaciones.
 Elaborar e implantar un procedimiento de notificación y gestión de incidencias.
 Elaborar de relación de usuarios y perfiles de usuarios y los accesos autorizados para cada
uno de ellos.
 Establecer mecanismos para evitar que un usuario pueda acceder a datos no autorizados,
así como de aquellos que garanticen la correcta identificación y autenticación de usuarios. Por
ejemplo: usuario/contraseña, o certificados electrónicos almacenados en tarjetas
criptográficas.
 Elaboración de un inventario de soportes que contengan datos de carácter personal:
servidores, ordenadores personales, discos, cintas, DVD, pen drives, archivadores de
documentos en papel, etc. Identificación de los soportes con etiquetas indicativas de su
contenido.
 Definición de los procedimientos de realización de copias de respaldo, y ejecución de los
mismos al menos con periodicidad semanal.
 Almacenamiento de los ficheros en soporte papel en archivadores dotados de mecanismos
que obstaculicen su apertura (ej.: cerraduras)
-8-
Solución caso práctico: Plan de adecuación a la LOPD
4.
Implantación de las medidas de seguridad recogidas en el documento de seguridad
• Para el fichero de historias clínicas de los empleados habría que implantar las medidas
de nivel medio y alto:
 Realizar auditorías de medidas de seguridad al menos cada dos años.
 Establecimiento de un registro de entrada y salida de soportes. En caso de distribución de
estos soportes, los datos deberían estar cifrados.
 Implantación de mecanismos que limiten la posibilidad de intentar reiteradamente el acceso
no autorizado al fichero automatizado.
 Los servidores u ordenadores en los que se almacene el fichero informático de historias
clínicas deben instalarse en una sala a la que sólo tenga acceso el personal autorizado en el
documento de seguridad.
 En el registro de incidencias deben recogerse los procedimientos de recuperación de datos
ejecutados.
 Las copias de respaldo deben almacenarse en una ubicación diferente a la de los equipos
informáticos que los tratan. Si esto no fuera posible, se deberían habilitar medios alternativos
(p.ej. armarios ignífugos).
 Registro de accesos al fichero automatizado, que deberá conservarse al menos dos años. En
el caso del fichero en soporte papel, sólo sería necesario si accede a él más de una persona.
 El fihcero en soporte papel debe ubicarse en un área en el que el acceso esté protegido con
con puertas de acceso dotadas de cerradura o mecanismo equivalente.
-9-
Solución caso práctico: Plan de adecuación a la LOPD
5. Publicación de la disposición general de creación de los ficheros en el
Boletín Oficial del Estado, por tratarse de ficheros de titularidad pública.
6. Notificación a la AEPD de los ficheros de datos personales señalados en
el punto 1, para su inscripción en el Registro General de Protección de
Datos.
• Tal y como se expuso en el primer punto, no procede la inscripción del
fichero de videovigilancia, ya que sólo existe visionado de imágenes, y
no almacenamiento de las mismas. Sí sería preceptiva si las imágenes
fueran almacenadas.
7. Como consecuencia del tratamiento de datos personales de nivel alto,
debe establecerse un plan de auditoría de medidas de seguridad, que
habrán de realizarse al menos cada dos años (art. 96 RLOPD).
Solución caso práctico: Plan de adecuación a la LOPD
8. Deben incluirse en todos los formularios de recogida de datos de
personas físicas cláusulas informativas conforme a lo establecido en el
artículo 5 de la LOPD.
• El cumplimiento del deber de información en el caso del visionado de
imágenes del circuito cerrado de TV debe hacerse efectivo mediante la
colocación de distintivos informativos ubicados en lugares
suficientemente visibles (Instrucción 1/2006, de 8 de noviembre, de la
AEPD sobre el tratamiento de datos personales con fines de vigilancia a
través de sistemas de cámaras o videocámaras).
9. Habilitar los medios para el ejercicio de los derechos de acceso,
rectificación, oposición y cancelación.
• Así, por ejemplo, podrían establecerse diversos canales de atención:
número telefónico gratuito, dirección postal, correo electrónico,
formulario electrónico en la página web del organismo, así como los
medios humanos encargados de atender estas solicitudes.
Anexo: Las medidas de seguridad en el reglamento de
desarrollo de la LOPD
Reglamento LOPD: Título VIII Medidas de seguridad

Artículo 5.2. Definiciones

Título VIII. MEDIDAS DE SEGURIDAD en el tratamiento de datos de carácter
personal

Capítulo I. Disposiciones generales (arts. 79 - 87)

Capítulo II. Del documento de seguridad (art. 88)

Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos
AUTOMATIZADOS
• Sección Primera. Medidas de seguridad de nivel básico (arts. 89 - 94)
• Sección Segunda. Medidas de seguridad de nivel medio (arts. 95 - 100)
• Sección Tercera. Medidas de seguridad de nivel alto (arts. 101 - 104)

Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos NO
AUTOMATIZADOS
• Sección Primera. Medidas de seguridad de nivel básico (arts. 105 - 108)
• Sección Segunda. Medidas de seguridad de nivel medio (arts. 109 - 110)
• Sección Tercera. Medidas de seguridad de nivel alto (arts. 111 - 114)
-13-
Reglamento LOPD: Título VIII Medidas de seguridad
Definiciones (art. 5.2)
 Documento
Unidad diferenciada de información  escrito, gráfico, sonido, imagen
 Ficheros temporales
Tratamiento ocasional, paso intermedio en un tratamiento de datos
 Incidencia
Anomalía que afecte o pudiera afectar a la seguridad de los dato
 Perfil de usuario
accesos autorizados a un grupo de usuarios
 Sistema de tratamiento
Modo en que se organiza un sistema de información: automatizado, no
automatizado o parcialmente automatizado
 Autenticación
Comprobación de la identidad de un usuario
-14-
Reglamento LOPD: Título VIII Medidas de seguridad
 Disposiciones generales
Niveles de seguridad: Básico, Medio y Alto. Aplicación de los niveles de seguridad:
ALTO
Datos especialmente protegidos:
Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual
Fines policiales sin consentimiento de las personas afectadas
Violencia de género
Los creados para el cumplimiento de las disposiciones de la Ley 10/2010, de 28 de abril, de
prevención del blanqueo de capitales y de la financiación del terrorismo
MEDIO Infracciones administrativas o penales
Servicios de información sobre solvencia patrimonial y crédito
Administraciones Tributarias - potestades tributarias
Entidades financieras - servicios financieros
Seguridad Social, Mutuas
Elaboración de perfiles
MEDIO (+ registro de accesos) Operadores TELECO – tráfico y localización
BÁSICO  Cualquier otro fichero o tratamiento de datos de carácter personal. También en datos de
ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
• transferencia dineraria a entidades de las que los afectados sean asociados o miembros,
• tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad
• Salud (grado o condición de discapacidad o invalidez - cumplimiento de deberes públicos)
-15-
Reglamento LOPD: Título VIII Medidas de seguridad
Las medidas de seguridad tienen que aplicarse a cualquier fichero o
tratamiento de datos de carácter personal, con independencia:
 de quién realice el tratamiento
• Encargado del tratamiento
 Diferentes modos de prestación del servicio (art. 82)
• Prestación de servicios sin acceso a datos personales
 Cláusula informativa en el contrato (art. 83)
 desde dónde se realice
• Acceso a datos a través de redes de comunicaciones, sean o no públicas
(art. 85)
• Régimen de trabajo fuera de los locales del responsable del fichero o
encargado del tratamiento
 Dispositivos portátiles (art. 86)
 cómo se realice
• Ficheros temporales o copias de trabajo de documentos (art. 87)
-16-
Reglamento LOPD: Título VIII Medidas de seguridad
Documento de seguridad (art. 88)
 Documento interno de la organización que recoge las medidas de índole técnica
y organizativa que han de aplicarse para garantizar la seguridad de los datos
 Su elaboración es obligatoria para todo responsable de ficheros o tratamientos
 Las medidas y procedimientos contenidos en él son de obligado cumplimiento
para el personal con acceso a los sistemas de información
 Contenido mínimo (art. 88.3)
-
-
-
Ámbito de aplicación
Medidas, normas, procedimientos de actuación y estándares para garantizar el
nivel de seguridad exigido en el RLOPD.
Funciones y obligaciones del personal en relación con el tratamiento de datos de
carácter personal
Estructura de los ficheros de datos personales y descripción de los sistemas de
información que los tratan.
Procedimientos de notificación, gestión y respuesta ante las incidencias
Procedimientos de realización de copias de respaldo y de recuperación de datos
en los ficheros y tratamientos automatizados
Medidas para el transporte de soportes, así como para la destrucción de
documentos y soportes.
-17-
Reglamento LOPD: Título VIII Medidas de seguridad
Documento de seguridad (art. 88)
 Además, si fueran de aplicación medidas de nivel medio o alto, contendrá:
•
•
Identificación del responsable de seguridad
Los controles periódicos para verificar el cumplimiento del documento
 En caso de que el tratamiento de los datos se realice exclusivamente en los
sistemas del encargado del tratamiento, puede delegarse en éste la llevanza del
documento de seguridad
 Debe mantenerse actualizado en todo momento y adecuarse siempre a las
disposiciones vigentes en materia de seguridad de los datos de carácter personal
-18-
Reglamento LOPD: Título VIII Medidas de seguridad
El Reglamento aporta aclaraciones y flexibilidad para cumplir las medidas
de seguridad
 Segregación de ficheros por niveles (art. 81.8)
 Delegación de autorizaciones (art. 84)
 Perfiles de usuario (art. 5.2.j)
 Documento de seguridad (art. 88)
• Único o individualizado, en función de sistemas de tratamiento, otros
criterios del responsable
• Recogerá las delegaciones de autorizaciones
• Recogerá las situaciones excepcionales:
 Prestaciones de servicios, uso de dispositivos portátiles,
 Medidas compensatorias, imposibilidad aplicación medidas previstas
• Interno, actualizado
-19-
Reglamento LOPD. MEDIDAS DE SEGURIDAD
Nivel Básico
Ficheros automatizados y no automatizados
Art. 89. Funciones y obligaciones del personal
• Claramente definidas en el documento de seguridad
• Adopción de las medidas necesarias para que sean conocidas por el personal
Art. 90. Registro de incidencias. Debe existir:
• Un procedimiento de notificación y gestión de incidencias
• Un registro de incidencias en el que se indique: tipo, fecha/hora, impacto, quién realiza la
notificación y destino de la misma, acciones correctoras.
Art. 91. Control de acceso
• Acceso de los usuarios sólo a los recursos que se precisen para el desarrollo de su trabajo
• Relación actualizada de usuarios y perfiles de usuarios
• Mecanismos para evitar el acceso a recursos distintos de los autorizados
• Sólo el personal autorizado en el DS puede conceder, alterar o anular el acceso autorizado.
Art. 92. Gestión de soportes y documentos
• Identificación del tipo de información que contienen + inventario de soportes
• La salida fuera de locales del responsable debe estar autorizada; adopción de medidas de
seguridad en el traslado de soportes para evitar su sustracción, pérdida o acceso no autorizado
• Borrado o destrucción previa de la información si se va desechar el soporte
-20-
Reglamento LOPD. MEDIDAS DE SEGURIDAD
Nivel Básico
Sólo automatizados
Sólo no automatizados
Art. 93. Identificación y autenticación
- Inequívoca y personalizada
- Cuando el mecanismo de autenticación se
base en contraseñas, debe existir un
procedimiento de asignación, distribución y
almacenamiento que garantice su
confidencialidad
- Las contraseñas tienen que ser cambiadas al
menos con periodicidad anual
Art. 94. Copias de respaldo y recuperación
- Al menos con periodicidad semanal, a menos
que no se hubieran producido cambios
- Procedimientos para la recuperación de datos
- Verificación de los procedimientos de
realización de copias de seguridad y
recuperación de datos al menos cada seis
meses
- Pruebas previas a la implantación del SI con
datos no reales, a menos que se garantice el
nivel de seguridad correspondiente
Art. 106. Criterios de archivo
• Posibilitar derechos ARCO
• Correcta conservación de los documentos
Art. 107. Dispositivos de almacenamiento
• Deben disponer de mecanismos que
obstaculicen su apertura (p.ej, cerraduras)
• Si las características físicas de aquéllos no
permiten adoptar la medida anterior, se adoptarán
medidas que impidan el acceso de personas no
autorizadas.
• Art. 108. Custodia de los soportes
• Mientras la documentación no se encuentre
archivada (p.ej., por encontrase en proceso de
revisión o tramitación), la persona a cargo debe
custodiarla y evitar que sea accedida por
personas no autorizadas
-21-
Reglamento LOPD. MEDIDAS DE SEGURIDAD
Nivel Medio
Ficheros automatizados y no automatizados
Responsable de seguridad (art. 95, art. 109). Uno o varios
Auditoría (art. 96, art. 110)  Al menos cada dos años. Interna o externa.
Sólo automatizados
Art. 97. Gestión de soportes
• Sistema de registro de entrada y salida de soportes
Art. 98. Identificación y autenticación
• Mecanismo que limite la posibilidad de intentar reiteradamente el acceso no
autorizado al sistema de información
Art. 99. Control de acceso físico
• Sólo el personal autorizado en el documento de seguridad podrá tener acceso a los
lugares en los que se hallen instalados los equipos que den soporte a los sistemas
de información
Art. 100. Registro de incidencias
• En el registro deberán consignarse los procedimientos realizados de recuperación
de datos. Éstos deberán ser autorizados por el responsable de seguridad.
-22-
Reglamento LOPD. MEDIDAS DE SEGURIDAD
Nivel Alto
Ficheros automatizados
Ficheros no automatizados
Art. 101. Gestión y distribución de soportes
• La distribución de soportes que contengan
datos personales se hará cifrado dichos datos.
• Se cifrarán los datos los dispositivos portátiles,
cuando se encuentren fuera de las instalaciones
del responsable
Art. 102. Copias de respaldo y recuperación
• Una copia de respaldo y de los procedimientos
de recuperación de datos en un lugar diferente al
de los equipos informáticos que los tratan
Art. 103. Registro de accesos
• Se guardarán durante un periodo mínimo de
dos años un registro de todos los acceso.
Excepción: cuando el responsable sea una
persona física y garantice que es el único que
accede y trata los datos personales.
Art. 104. Telecomunicaciones
• Cifrado de los datos personales cuando se
transmitan por redes públicas o inalámbricas de
comunicaciones electrónicas
Art. 111. Almacenamiento de la información
• Los armarios o archivadores deberán
encontrarse en áreas en las que el acceso esté
protegido con puertas de acceso dotadas de llave
o dispositivo equivalente.
• Medidas alternativas cuando las características
de los locales no hagan posible el cumplimiento
del punto anterior.
Art. 112. Copia o reproducción
• Sólo bajo el control de personal autorizado
• Destrucción de copias desechadas
Art. 113. Acceso a la documentación
• Mecanismo que permitan identificar los accesos
realizados (sólo si pueden acceder varios
usuarios)
Art. 114. Traslado de documentación
• En caso de traslado físico, adopción de
medidas que impidan el acceso o manipulación
de la información
-23-
Reglamento LOPD: Título VIII Medidas de seguridad
 Disposición adicional única
Los productos de software destinados al tratamiento automatizado
de datos personales deberán incluir en su descripción técnica el
nivel de seguridad, básico, medio o alto
-24-