El cumplimiento de la LOPD, paso a paso - AVPD

Las medidas de seguridad enel Reglamento RD-1720/2007El cumplimiento de laseguridad en la LOPD,paso a paso

Resumen de principales novedades 1…• Se incluye el concepto de tratamiento no automatizado (ficherosmanuales)• Niveles de seguridad de los ficheros– Nivel básico: queda igual– Nivel medio: se matiza su aplicación– Nivel alto: violencia de género• Documento de Seguridad– Puede ser único para toda la organización, individual para cada fichero otratamiento o agrupado por sistema de tratamiento.– Art 5: identificación de los ficheros tratados por cuenta de terceros– Art 6: delegación del Documento de Seguridad al encargado del tratamiento• Identificación y autenticación– La identificación inequívoca y personalizada de todo usuario pasa del nivelmedio al básico. Art 93.1Abril, 2008 Las medidas de seguridad del RD-LOPD 2

…y 2 Resumen de principales novedades• Control de acceso– Se incluye el concepto de usuario, perfil de usuario y acceso autorizado.• Gestión y distribución de soportes y documentos– Las medidas para impedir la recuperación de datos en caso de desecho debajan del nivel medio al básico.– Se incluye el concepto de “crypto-etiquetado” para el nivel alto (art 101.1)– Se incluye el concepto de documento, además del de soporte• Copias de respaldo y recuperación– Se incluye una verificación semestral de los procedimientos de copia– Se incluye la cláusula de las pruebas con datos reales• Registro de accesos– Se incluye una excepción (art 103.6) a la existencia de este registro– Además de lo anterior se añade toda la parte de las medidas de seguridadpara los tratamientos no automatizadosAbril, 2008 Las medidas de seguridad del RD-LOPD 3

Resumen medidas nivel BásicoFicheros automatizados y no automatizadosArt. 89. Funciones y obligaciones del personalArt. 90. Registro de incidenciasArt. 91. Control de accesoArt. 92. Gestión de soportes y documentosSólo automatizadosSólo no automatizadosArt. 93. Identificación yautenticaciónArt. 94. Copias de respaldo yrecuperaciónArt. 106. Criterios de archivo- posibilitar derechos ARCOArt. 107. Dispositivos de almacenamiento- mecanismos aperturaArt. 108. Custodia de los soportes- en el proceso de tramitaciónAbril, 2008 Las medidas de seguridad del RD-LOPD 4

Resumen medidas nivel MedioFicheros automatizados y no automatizadosArts. 95 y 109: Responsable de seguridadArts. 96 y 110: AuditoriaSólo automatizadosSólo no automatizadosArt. 97. Gestión de soportesArt. 98. Identificación y autenticaciónArt. 99. Control de acceso físicoArt. 100. Registro de incidenciasAbril, 2008 Las medidas de seguridad del RD-LOPD 5

Resumen medidas nivel AltoSólo automatizadosArt. 101. Gestión y distribución desoportes–Cifrado de datos. Evitardispositivos que no permitan elcifradoArt. 102. Copias de respaldo yrecuperaciónArt. 103. Registro de accesos–Excepción: Responsable personafísica y único usuarioArt. 104. Telecomunicaciones– Cifrado en redes públicas oinalámbricasSólo no automatizadosArt. 111. Almacenamiento de lainformación–Archivadores, áreas restringidasArt. 112. Copia o reproducción–Personal autorizadoArt. 113. Acceso a la documentación–Mecanismo identificación accesos pordiferentes usuariosArt. 114. Traslado de documentación–Impedir acceso, manipulaciónAbril, 2008 Las medidas de seguridad del RD-LOPD 6

El cumplimiento de la LOPD,A. Documéntesepaso a pasoB. Cumpla con los requisitos formalesC. Cumpla con las obligacionesmaterialesD. Vigile y haga vigilar las medidas deseguridadAbril, 2008 Las medidas de seguridad del RD-LOPD 7

A.- Documentándose sobre la LOPD1. Como punto de partida, examine nuestrapágina web (www.avpd.es).2. Lea la Ley Orgánica de Protección de Datos(LOPD, Ley 15/1999),3. Lea la Ley Autonómica de Creación de laAgencia Vasca de Protección de Datos(LAVPD, Ley 2/2004),4. Lea el nuevo Reglamento (RD-1720/2007),de Desarrollo de la LOPDAbril, 2008 Las medidas de seguridad del RD-LOPD 8

B.- Cumpliendo con los requisitosformales:1. Efectuar el inventario más completo posible de los posiblesficheros de datos personales2. Identificar las características necesarias para su declaración,recogidas en el artículo 20 de la LOPD y desarrolladas en elartículo 54 del RD-1720/20073. Cumplimentar, a modo de borrador, el Programa deAutodeclaración que facilita la AVPD en su página webwww.avpd.es4. Confeccionar la disposición de regulación de ficheros5. Aprobar dicha disposición y publicarla en el Boletín Oficial quecorresponda6. Cumplimentar definitivamente el Programa de Autodeclaracióny remitir la declaración a la AVPDAbril, 2008 Las medidas de seguridad del RD-LOPD 9

C.– Cumpliendo con lasobligaciones materiales1. Tratar adecuadamente los Datos Personales– Recogida de datos– Mantenimiento y actualización.– Secreto Profesional2. Facilitar a quienes figuren en los ficheros el ejerciciode sus derechos A.R.C.O.– (Acceso, Rectificación, Cancelación y Oposición)3. Otras Recomendaciones:– Adopción de Códigos Tipo o Manuales de Buenas Prácticas– Prestar atención a los contratos con terceros– Proporcionar apoyo y formación al personalAbril, 2008 Las medidas de seguridad del RD-LOPD 10

D.- El Decálogo de lasmedidas de seguridad1. Disponer de un Documento de Seguridad,… y aplicarlo!!!2. Designar un Responsable de Seguridad3. Efectuar Auditorías y Controles periódicos4. Definir y documentar las funciones y obligaciones del personal5. Prever y gestionar las incidencias de seguridad6. Disponer de controles y registros de accesos7. Identificar y autenticar a los usuarios8. Gestionar los accesos a través de la redes de comunicaciones9. Gestionar los soportes y documentos donde se almacena lainformación10. Procedimentar las copias de respaldo y recuperaciónAbril, 2008 Las medidas de seguridad del RD-LOPD 11

1.- Documento de SeguridadNivel Básico Nivel Medio Nivel AltoEstablece y recopila: El Ámbito de aplicación. Las medidas, normas, procedimientos yestándares de seguridad. Las funciones y obligaciones del personal. La estructura de los ficheros y la descripciónde los sistemas de información. Los procedimientos de gestión y respuestaante incidencias. Los procedimientos de realización de lascopias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción yreutilización de soportes.Aplicable a ficheros automatizados y manualesAdemás debe contener: La Identificación delresponsable deseguridad. Los Controles periódicosdel cumplimiento deldocumento.Abril, 2008 Las medidas de seguridad del RD-LOPD 12

2.- Responsable de SeguridadNivel Básico Nivel Medio Nivel Alto Debe existir uno o varios, designados por elresponsable del fichero. Es el encargado de coordinar y controlar lasmedidas del documento de seguridad. En ningún caso esta designación supone unaexoneración de la responsabilidad quecorresponde al responsable del ficheroAplicable a ficheros automatizados y manualesAbril, 2008 Las medidas de seguridad del RD-LOPD 13

3.- Auditorías y Controles periódicosdel Documento de SeguridadNivel Básico Nivel Medio Nivel Alto Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: Adecuación de medidas y controles. Deficiencias identificadas Medidas correctoras necesarias. El responsable de seguridad debe: Analizar el informe de Auditoría Elevar sus conclusiones al responsable delfichero A disposición de la AVPDAplicable a ficheros automatizados y manualesAbril, 2008 Las medidas de seguridad del RD-LOPD 14

4.- Funciones y obligacionesdel PersonalNivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones habrán de estarclaramente definidas y documentadas. Deben definirse las funciones de control yautorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de suincumplimiento.Aplicable a ficheros automatizados y manualesAbril, 2008 Las medidas de seguridad del RD-LOPD 15

5.- Procedimiento deGestión de IncidenciasNivel Básico Nivel Medio Nivel Alto Debe existir unRegistro deIncidencias con: tipo de incidencia, cuándo se haproducido, persona que lanotificia, persona a quien secomunica efectos derivados.Aplicable a ficherosautomatizados y manuales Además, debe contener: Procedimientos efectuadospara recuperación de losdatos, persona que lo ejecuta, datos restaurados datos grabados manualmente. Es necesaria la autorizaciónpor escrito del responsabledel fichero para surecuperación.Aplicable solo a ficheros automatizadosAbril, 2008 Las medidas de seguridad del RD-LOPD 16

6.- Controles y Registros de Accesospara ficheros automatizadosNivel Básico Nivel Medio Nivel Alto Los usuariosaccederán únicamentea los datos y recursosnecesarios para susfunciones. Habrá mecanismospara evitar el accesocon distintos derechosde los autorizados. La concesión dederechos de accesosólo la dará personalautorizado.Aplicable a ficherosautomatizados y manuales Existiráncontroles deaccesofísico a loslocalesdonde seencuentrenubicados lossistemas deinformación. Existirá un Registro deAccesos donde figurará: usuario, hora, fichero, tipo acceso registro accedido. Estará bajo el control delresponsable deseguridad. Se hará un informemensual. Se conservará al menosdurante 2 años.Aplicable solo a ficheros automatizadosAbril, 2008 Las medidas de seguridad del RD-LOPD 17

6.- Controles y Registros de Accesospara ficheros manualesNivel Básico Nivel Medio Nivel Alto Los usuarios accederánúnicamente a los datos yrecursos necesarios parasus funciones. Habrá mecanismos paraevitar el acceso con distintosderechos de los autorizados. La concesión de derechosde acceso sólo la darápersonal autorizado. El acceso se limitará al personalautorizado. Habrá mecanismos para identificarlos accesos a documentosdisponibles para múltiples usuarios Procedimiento en el Documento deSeguridad para registrar los accesosde otras personasAplicable a ficherosautomatizados y manualesAplicable solo a ficheros manualesAbril, 2008 Las medidas de seguridad del RD-LOPD 18

7.- Identificación y AutenticaciónNivel Básico Nivel Medio Nivel Alto Ha de existir una relaciónactualizada de usuarios y susaccesos autorizados. Se requiere un procedimiento deasignación y gestión decontraseñas Existirá un periodo de caducidadpara las contraseñas. Se almacenarán de formaininteligible. Se identificará univocay personalmente a cadausuario Existirá un límite alnúmero de intentosreiterados de acceso noautorizado.Aplicable solo a ficheros automatizadosAbril, 2008 Las medidas de seguridad del RD-LOPD 19

8.- Acceso y transmisión medianteTelecomunicacionesNivel Básico Nivel Medio Nivel Alto Las medidas de seguridadexigibles a los accesosmediante redes decomunicaciones deberán degarantizar un nivel deseguridad equivalente al losaccesos en modo local La transmisión de datos através de redes detelecomunicaciones serealizará cifrando los datos omediante cualquier otromecanismo que garanticeque la información no seainteligible ni manipulada portercerosAplicable solo a ficheros automatizadosAbril, 2008 Las medidas de seguridad del RD-LOPD 20

9.- Gestión de Soportespara ficheros automatizadosNivel Básico Nivel Medio Nivel Alto Debe identificarse eltipo de datos quecontienen. Existirá uninventario desoportes Se almacenarán enun lugar conacceso restringido. Deberá autorizarsela salida desoportes.Aplicable a ficherosautomatizados y manuales Habrá un registro deentrada y salida desoportes. Se adoptaránmedidas paraimpedir larecuperaciónposterior deinformación de unsoporte que vaya aser desechado oreutilizado. Cuando seanecesario distribuirsoportes, se harácifrando los datos omediante cualquierotro mecanismo quegarantice que lainformación no seainteligible nimanipulada porterceros.Aplicable solo a ficheros automatizadosAbril, 2008 Las medidas de seguridad del RD-LOPD 21

9.- Gestión de Soportes y Documentospara ficheros manualesNivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de archivoque permitan la conservación,localización y consulta Los dispositivos dealmacenamiento tendránmecanismos que obstaculicensu apertura Cuando la documentación no seencuentre archivada, sudepositario deberá custodiarla eimpedir accesos no autorizadosAplicable solo a ficheros manuales El acceso a armarios,archivadores, etc. estaráprotegido mediante puertas concerradura. Cuando no seacceda, permanecerán cerradas. Soluciones alternativas,motivadas en el Documento deSeguridad Siempre que se proceda altraslado físico de documentación,deberán adoptarse medidas paraimpedir su acceso o manipulaciónAbril, 2008 Las medidas de seguridad del RD-LOPD 22

10.- Procedimientos deRespaldo y RecuperaciónNivel Básico Nivel Medio Nivel Alto Habrá procedimientos de copias derespaldo y recuperación y se verificará sudefinición y aplicación Se debe garantizar la reconstrucción de losdatos al mismo estado en que seencontraban en el momento de producirsela pérdida o destrucción. Se deberán efectuar copias de respaldo, almenos de forma semanalAplicable solo a ficheros automatizados Las copias derespaldo y losprocedimientosde recuperaciónse conservaránen un lugardiferente dedonde seencuentren losequipos.Abril, 2008 Las medidas de seguridad del RD-LOPD 23