Aaa Normativa Sobre Proteccion de Datos LOPD

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma
para el desarrollo de la Sociedad del Conocimiento a travs de proyectos del mbito de la innovacin y la tecnologa. El Observatorio de la Seguridad de la Informacin es un referente nacional e internacional al servicio de los ciudadanos, empresas y administraciones espaolas para describir, analizar, asesorar y difundir la cultura de la seguridad y la confianza de la Sociedad de la Informacin. Datos de contacto: Instituto Nacional de Tecnologas de la Comunicacin (INTECO) Observatorio de la Seguridad de la Informacin Avda. Jos Aguado, 41. Edificio INTECO. 24005 Len Telfono: +(34) 987 877 189 / Email: observatorio@inteco.es www.inteco.es Depsito Legal: LE - 316 - 2009 Imprime: grficas CELARAYN, s.a.
ndice
1. Por qu esta gua? 2. A quin va dirigida? 3. Por qu es necesario proteger los datos personales? 4. Cronologa de la proteccin de datos en Espaa 5. Conceptos y agentes clave en la proteccin de datos 6. Proceso de adopcin de la normativa 7. FASE I: Adaptacin de los ficheros 8. FASE II: Legitimacin de datos 9. FASE III: Proteccin de datos e implantacin de medidas de seguridad 10. Quines somos? Anexo I Medidas de Seguridad 5 8 10 14 17 20 23 29
39 57 60
(3
1.
Por qu esta gua?
La proteccin de datos de carcter personal es un derecho fundamental reconocido en la Constitucin Espaola que atribuye al titular del derecho la facultad de controlar sus datos y a disponer y decidir sobre los mismos. La Ley Orgnica de Proteccin de Datos (LOPD) y su Reglamento de Desarrollo (RDLOPD) concretan y desarrollan este derecho. A nivel europeo, la Directiva Europea 95/46 CE del Parlamento Europeo y del Consejo reconoce la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales. La normativa sobre proteccin de datos responde a la necesidad de proteger todos los datos de carcter personal, para que no sean utilizados de forma inadecuada, ni tratados o cedidos a terceros sin consentimiento inequvoco del titular. En este contexto, se entiende por dato de carcter personal cualquier informacin concerniente a personas fsicas identificadas o identificables1 (art. 3 LOPD). La regulacin ofrece a los ciudadanos las garantas y mecanismos necesarios para proteger sus datos personales y controlar el uso que se realiza de los mismos. De cara a garantizar la proteccin del derecho, se establecen obligaciones para toda persona fsica o jurdica que posea ficheros con datos personales. Las empresas, en su calidad de agentes que manejan y tratan datos de carcter personal, estn obligadas a garantizar el derecho fundamental a la proteccin de los datos personales de que disponen. La normativa no contempla excepciones por tamao, facturacin o sector de actividad, de forma que cualquier empresa est incluida en el mbito de aplicacin de la legislacin, siempre que trabaje con ficheros con datos personales. De este modo, es necesario que las organizaciones, independientemente
1 La Directiva 95/46 CE define el trmino identificable como toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un nmero de identificacin o uno o varios elementos especficos, caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural o social.
Por qu esta gua?
(5
Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos
de sus dimensiones, establezcan una serie de medidas jurdicas y organizativas que garanticen el correcto tratamiento de los datos que son recogidos de clientes, proveedores, colaboradores, empleados, o cualquier otro dato de carcter personal que manejen. El nivel de exigencia en cuanto al cumplimiento de la LOPD es el mismo para todas las empresas, sin que se establezcan criterios distintos dependiendo de si es una gran empresa o una microempresa. La LOPD establece un marco general para todos y debe ser cumplida por todos. Esta gua nace, precisamente, para que la empresa, y muy particularmente la pequea y mediana empresa (PYME), se familiarice con la proteccin de datos: por qu es necesario proteger los datos de los ciudadanos, qu obligaciones afectan a la empresa y qu beneficios para el negocio se derivan de la adopcin de la normativa.
Del mismo modo, la gua ofrece pautas bsicas para la implementacin de la normativa, estableciendo el marco general definido en la LOPD y RDLOPD y detallando las disposiciones y obligaciones concretas que afectan a las empresas. Asimismo, profundiza en la ejecucin de algunas de las obligaciones, como es el caso de la declaracin de ficheros ante el Registro General de Proteccin de Datos, de la que se ofrece una gua clara y detallada para acometer con xito la inscripcin. La adaptacin a la normativa sobre proteccin de datos es un trabajo que exige una monitorizacin y seguimiento constantes. Por ello el esfuerzo por parte de la empresa ha de ser decidido y continuado. Lo que se ofrece en esta gua son unas pautas para las pymes que todava no se hayan iniciado en la proteccin de los datos personales.
6)
Por qu esta gua?
No obstante, en algunos casos, podra ser recomendable que la empresa cuente asesoramiento externo, bien por parte de organismos pblicos especializados o empresas expertas, de modo que se garantice la correcta y completa implementacin de las obligaciones. En este sentido, la Agencia Espaola de Proteccin de Datos (AEPD) dispone en su web www.agpd.es de un Canal del Responsable de Ficheros, que ofrece informacin detallada sobre las implicaciones de la normativa sobre proteccin de datos para las empresas (y resto de organizaciones), as como pautas para su correcta implementacin. Por otro lado, en www.inteco.es est disponible un catlogo de consultores de negocio, que incluye una relacin de profesionales especializados en ofrecer soluciones de seguridad y proteccin de datos a las pymes. Se trata de un listado no exhaustivo, pero puede constituir un punto de referencia para las empresas que necesiten un apoyo para adaptarse a la normativa sobre proteccin de datos. Adems, existen en el mercado paquetes de software que tienen como objetivo apoyar a las organizaciones (existen paquetes a medida de las pymes) tanto en la implantacin de la normativa (ley y reglamento) como en el mantenimiento posterior.
Por qu esta gua?
(7
2.
A quin va dirigida?
La gua est dirigida a cualquier empresa espaola, muy especialmente a la pequea y mediana empresa y a los profesionales autnomos. Entonces, qu circunstancias motivan la necesidad de una gua especfica para las pymes? En primer lugar, la relevancia del colectivo PYME en Espaa as lo aconseja. El tejido empresarial espaol est constituido en ms de un 99% por pequeas empresas de menos de 50 empleados, y entre ellas destacan con un peso especialmente notorio las empresas sin asalariados. Esta situacin, diferente a la del resto de pases industrializados, exige prestar una atencin especial al colectivo de pymes y micropymes, en tanto en cuanto son el motor principal de la economa y de la generacin de empleo en Espaa. Adems, el grado de cumplimiento de la normativa sobre proteccin de datos no ha sido el mismo entre las pymes y micropymes que entre las grandes empresas. Las empresas ms grandes fueron las primeras en adecuarse a la ley (la LOPD entr en vigor en 1999) y son las pequeas y medianas empresas las que todava estn en fase de adopcin e implementacin. La Agencia Espaola de Proteccin de Datos, organismo encargado de velar por el cumplimiento de la legislacin sobre proteccin de datos, estima que el ndice de cumplimiento se sita entre el 10% y el 15% de responsables que han cumplido con la obligacin de registrar ficheros. Sin duda, se trata de un colectivo que todava tiene que hacer un esfuerzo para adoptar la normativa, aunque la evolucin es positiva: en 2007 se registr un incremento en las inscripciones de ficheros en la AEPD del 20%, y se trata principalmente de ficheros pertenecientes a pymes y micropymes. No se puede obviar que, en trminos generales, la disponibilidad de recursos tcnicos, econmicos y humanos especficos en seguridad es ms reducida entre las pymes que entre las grandes empresas. Este hecho ha podido constituir una barrera para las pequeas empresas, y por ello es necesario paliar esta falta de recursos con acciones formativas, como esta
8)
A quin va dirigida?
Gua, que proporciona una base informativa y normalizadora para que las pequeas empresas aborden con xito la adopcin de la normativa sobre proteccin de datos. Adems, es necesario terminar con la creencia generalizada entre las empresas de que adaptarse a la legislacin es complicado y costoso. Por ltimo, es una realidad que, hoy por hoy, las pymes estn presentes en todos los sectores de actividad econmica. Este hecho dificulta, sin duda, el establecimiento de un patrn de comportamiento comn que se aplique por igual a tipologas de negocio tan diversas como la hostelera, el pequeo comercio, los profesionales liberales o las gestoras, por mencionar slo unos ejemplos. Dentro de las pymes, como colectivo, existen a su vez sectores ms concienciados sobre la proteccin de datos y otros con menor nivel de cumplimiento. As, parece lgico pensar que empresas y profesionales que trabajan con datos sensibles (consultas mdicas, oficinas de farmacias, etc) y aqullas especialmente concienciadas sobre la seguridad y/o proteccin de los datos (consultoras de negocio, despachos de abogados, etc) pueden, a priori, mostrar mayores ndices de cumplimiento de la normativa, mientras que pymes cuyo objeto de negocio no tiene relacin directa con la materia suelen mostrar mayor desconocimiento de la misma. En resumen: La Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos se ha enfocado puntualmente en este tejido empresarial, y en particular a la Direccin de la PYME y sus departamentos administrativo, jurdico y de informtica, sobre los que normalmente suelen recaer las tareas de implantacin y seguimiento de cumplimiento respecto de la ley . No obstante, el espritu de cumplimiento y concienciacin de la normativa debe estar presente en todos los mbitos de la empresa. El equipo ejecutivo responsable del cumplimiento normativo, debe proporcionar evidencias de su compromiso para establecer, implantar, y poner en marcha medidas para la adaptacin de la empresa a la LOPD.
A quin va dirigida?
(9
3.
Por qu es necesario proteger los datos personales?
Por lo explicado hasta ahora, se perfilan una serie de razones que justifican la necesidad de proteger los datos de carcter personal. Algunas son de carcter operativo, y tienen que ver con mejoras o beneficios que afectan directamente al negocio que recoge y trata los datos; otras son de carcter legal, y derivan de la obligatoriedad de adoptar las medidas necesarias para garantizar el derecho fundamental a la proteccin de datos. Se profundiza a continuacin en cada uno de ellas. Los datos personales son un activo valioso para la empresa Los datos son informacin, y la informacin es valiosa. Su valor reside en el hecho de ser, en muchos casos, indispensable para continuar con la actividad de la empresa: datos sobre clientes, proveedores o empleados constituyen una informacin clave, y pocas veces la pyme se plantea las consecuencias negativas de la prdida de estos datos. Por ello, es necesario hacer un esfuerzo por protegerlos para garantizar su confidencialidad (tanto interna como externa) y evitar posibles incidencias de seguridad: prdida, fuga o robo de informacin que puede hacer llegar los datos a personas inadecuadas (empresas de la competencia, medios de comunicacin, empleados malintencionados, etc.). La informacin ordenada y sistematizada ayuda a aumentar la calidad de las operaciones de la empresa La adaptacin de la pyme para el cumplimiento de la LOPD contribuye a mejorar los procesos de manejo de la informacin, ya que proporciona una cultura de calidad en el tratamiento de los datos y la gestin del negocio que puede trasladarse a otros procesos de la empresa. Una cuestin tan bsica como poner en orden la informacin contribuye, en ocasiones, a detectar problemas o carencias del negocio.
10 )
Una empresa que garantiza la proteccin de los datos personales con los que trabaja ofrece una mayor confianza La imagen corporativa que clientes, proveedores y opinin pblica en general puedan percibir de una empresa es mejor si muestra una poltica favorable a la proteccin de datos. La opinin pblica es cada vez ms sensible al tratamiento que se hace con los datos personales, y en este sentido no son infrecuentes en los medios de comunicacin referencias a empresas que han llevado a cabo algn comportamiento contrario a la normativa sobre proteccin de datos. As, algunas situaciones como el extravo de bases de datos de grandes empresas sin que hubiese copias de respaldo, el tratamiento inadecuado de datos personales (por ejemplo, currcula vitae de demandantes de empleo encontrados en contenedores de basura) o la recepcin indiscriminada de publicidad son manifestaciones que, adems de preocupar a la persona fsica titular del derecho que est siendo vulnerado, suponen un impacto negativo en la imagen de la empresa. Por todo ello, la adopcin de la normativa sobre proteccin de datos es una referencia y garanta de seriedad y confianza para los actores que se relacionan con las pymes en su trfico diario, principalmente clientes y proveedores, pero tambin empresas de la competencia. As, algunas pymes reconocen haber iniciado el proceso de adaptacin a la ley ante una solicitud de alguno de sus clientes, o ante la generalizacin de la cultura de proteccin de datos entre empresas pertenecientes a su sector de actividad. En general, se trata de un beneficio para la propia imagen y una manifestacin de la responsabilidad social corporativa.
( 11
La proteccin de datos es un derecho fundamental, y por tanto se debe velar por su garanta y respeto La proteccin de datos es un derecho fundamental que ampara a todos los ciudadanos, y para su garanta efectiva las empresas han de cumplir las disposiciones previstas en la ley. De lo contrario, pueden verse afectadas por denuncias e incluso sanciones. La Agencia Espaola de Proteccin de Datos, como rgano competente declarado en la Ley, tiene las atribuciones necesarias para realizar inspecciones y sancionar a los que incumplen la normativa. Las empresas que disponen de datos de carcter personal pueden verse involucradas en sanciones realizadas bajo denuncias de los diferentes agentes que participan en el negocio ya sea por parte de sus clientes, colaboradores o empleados. Es decir, en tanto en cuanto el incumplimiento de la normativa sobre proteccin de datos puede llevar implcitas sanciones que podran alcanzar los 600.000 en los casos ms graves, es claro que las pymes deben hacer el esfuerzo de adaptarse a la normativa, ya que es la nica forma de estar protegidas efectivamente ante una posible denuncia o sancin. El epgrafe 4 repasa la cronologa de la proteccin de datos en Espaa desde un punto de vista normativo. Adaptarse a la normativa sobre proteccin de datos es ms sencillo de lo que se podra pensar La propia Agencia Espaola de Proteccin de Datos insiste en que el cumplimiento es ms sencillo y gil de lo que inicialmente pueden considerar las pymes. As, desde la AEPD se han puesto en marcha numerosas acciones facilitadoras para simplificar los trmites forma-
12 )
les de los responsables de los ficheros: sesiones abiertas de difusin, guas con pautas para el correcto cumplimiento (la AEPD ha publicado la Gua del Responsable de ficheros y la Gua de Seguridad de datos2), implementacin del sistema NOTA, modelos de notificacin precumplimentados para inscribir los ficheros, gratuidad de la inscripcin Igualmente, INTECO, a travs de esta misma Gua, proporciona pautas e informacin de inters para aquellas empresas que estn implementando la normativa sobre proteccin de datos. Adems, en las pymes concurren una serie de circunstancias que, hablando en trminos generales, pueden facilitar la organizacin de la informacin. As, parece lgico pensar que el menor tamao y flujo de negocio que maneja una pyme, en comparacin con una gran empresa, puede implicar un menor volumen de informacin manejada y por tanto facilitar su ordenacin y control. La adopcin de la normativa sobre proteccin de datos puede constituir el primer paso para orientar a la empresa hacia un entorno de seguridad ms ambicioso Existen en la actualidad sistemas de gestin de seguridad de la informacin (SGSI) que persiguen, por un lado, incorporar la seguridad en los sistemas de informacin de las empresas como elemento de la mejora de la gestin y de la competitividad y, por otro, ofrecer proteccin contra los riesgos y prdidas asociados al creciente uso de tecnologas de la informacin y de la comunicacin en las empresas.
2 https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/index-ides-idphp.php
( 13
4.
Cronologa de la proteccin de datos en Espaa
La primera referencia sobre la necesidad de proteger la intimidad personal en el mbito informtico data del ao 1978. El artculo 18.4 de la Constitucin espaola dispone que la ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Aunque no hace mencin explcita a los datos de carcter personal, stos forman parte de la intimidad de las personas, puesto que pertenecen al mbito ms privado de las mismas. En 1992 aparece la primera Ley espaola que regula de forma especfica la cuestin de los datos personales. Se trata de la Ley Orgnica 5/92 de Regulacin del Tratamiento Automatizado de los Datos de Carcter Personal de 26 de Octubre (LORTAD, hoy derogada), y su objetivo es proporcionar cobertura a lo establecido en el artculo 18.4 de la Constitucin espaola. Su mbito de aplicacin se circunscribe exclusivamente a los ficheros de carcter automatizado. El 24 de Octubre de 1995 se dicta la Directiva Europea 95/46 CE del Parlamento Europeo y del Consejo relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales. La directiva establece principios de orientacin para determinar la licitud de dicho tratamiento. Es a finales de 1999 cuando se publica en Espaa la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD), que resuelve el vaco legal existente desde 1992 referente a los ficheros de carcter no automatizado, ampliando el mbito de aplicacin a todo tipo de ficheros, independientemente del soporte en el cul sean tratados. Esta ley, que deroga la LORTAD, se adecua a lo establecido en la Directiva Europea 95/46 CE, y establece las obligaciones relativas a la recogida de los datos, consentimiento, almacenaje, conservacin, uso, datos especialmente protegidos, comunicacin o cesin de los mismos y transferencias internacionales de datos. La LOPD marca el inicio de una nueva etapa del derecho de intimidad de las personas, ms completa y ajustada a
14 )
la realidad de cualquier presentacin de informacin sobre la vida privada de un individuo. La LOPD se apoy operativamente en el Reglamento de Medidas de Seguridad (RMS, Real Decreto 994/1999 de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal de 11 de Junio de 1999) como instrumento para facilitar los mecanismos prcticos para cumplir con las prescripciones establecidas en la LOPD. El RMS, hoy derogado por el RDLOPD, regulaba las medidas tcnicas y organizativas que deban aplicarse a los sistemas de informacin en los cuales se traten datos de carcter personal de forma automatizada. La Sentencia 292/2000 del Tribunal Constitucional, de 30 de noviembre, marca un hito en el mbito de la proteccin de datos al recoger de manera expresa el derecho fundamental a la proteccin de datos como un derecho autnomo e independiente del derecho de intimidad. Finalmente, aparece el Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgnica de Proteccin de Datos de Carcter Personal (RDLOPD aprobado en Consejo de Ministros de 21/12/2007 y publicado en el Boletn Oficial del Estado el 19 de Enero de 2008). Este reglamento deroga al RMS de 1999 y desarrolla de forma completa la Ley Orgnica 15/1999 de Proteccin de Datos de carcter personal. El reglamento contribuye a conseguir una mayor claridad en la aplicacin de la norma y a adaptar sus previsiones a la realidad existente en la actualidad. La LOPD es tan general, y pretende aplicarse a tal universo de supuestos distintos, que necesitaba de un reglamento que la desarrollase y concretase al mximo, adaptndola a la realidad actual y a sectores muy diferentes. El reglamento de desarrollo de la LOPD contiene nuevas implicaciones para las empresas, como son las extensiones de medidas de seguridad para los ficheros no automatizados, los cambios de niveles de seguridad aplicables a
( 15
distintas tipologas de datos o las transferencias de datos entre grupos internacionales de empresas, entre otras. As, establece las normas, medidas, procedimientos y mecanismos que se han de adoptar obligatoriamente para garantizar la seguridad respecto a los ficheros automatizados y no automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carcter personal. La Agencia Espaola de Proteccin de Datos (AEPD) es un ente de Derecho pblico, con personalidad jurdica propia y plena capacidad pblica y privada, que acta con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones. Su misin es velar porque se garantice el derecho de la proteccin de datos, lo que significa recibir las denuncias de cualquier ciudadano, investigarlas y sancionarlas, si corresponde. Adems, a la Agencia le corresponde asesorar a ciudadanos y al conjunto de las administraciones pblicas sobre cmo garantizar el derecho. En concreto, las funciones ms destacadas de la Agencia son: Informar sobre el contenido, los principios y las garantas del derecho fundamental a la proteccin de datos. Ayudar al ciudadano a ejercitar sus derechos, y a los responsables y encargados de tratamientos a cumplir las obligaciones que establece la LOPD. Tutelar al ciudadano en el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin cuando no han sido atendidos adecuadamente por los responsables de los ficheros. Garantizar el derecho a la proteccin de datos, investigando aquellas actuaciones de los responsables o encargados de ficheros que puedan ser contrarias a los principios y garantas contenidos en la LOPD, e imponer, en su caso, la correspondiente sancin.
16 )
5.
Conceptos y agentes clave en la proteccin de datos
En este apartado se enumeran y definen una serie de conceptos bsicos que pueden resultar de ayuda en la fase de adaptacin a la normativa. Se trata de aspectos generales, y su correcta comprensin es clave para la interiorizacin los epgrafes siguientes que resumen el proceso de adopcin de la normativa sobre proteccin de datos que deben llevar a cabo las empresas. Datos de carcter personal: cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier tipo concerniente a personas fsicas identificadas o identificables. Segn esta definicin el nombre, la direccin, los datos de contacto, el curriculum vitae, el salario constituyen datos de carcter personal. Fichero: conjunto organizado de datos de carcter personal, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. Es, por tanto, el soporte fsico, ya sea automatizado, no automatizado o mixto, en el que se recoge y almacena, de manera organizada, el conjunto de datos de carcter personal que integran la informacin. Fichero automatizado: cuando los datos se encuentran almacenados en dispositivos informticos (discos duros, ordenadores, DVD) que requieren de herramientas capaces de descifrar la informacin que contienen para su tratamiento, se habla de ficheros automatizados. Fichero no automatizado: en el caso en que el conjunto de datos estn almacenados en soportes que no requieren de herramientas para su tratamiento, como el papel, se habla de fichero no automatizado o manual (siempre y cuando el fichero est estructurado conforme a criterios especficos relativos a personas fsicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales). Se incluyen en esta definicin archivos donde se recojan -de forma estructuradadocumentos en papel del tipo, por ejemplo, currcula vitae de candi-
( 17
datos a un puesto de trabajo, facturas de proveedores, albaranes de clientes, tarjeteros con contactos Fichero mixto: se denominan ficheros mixtos a aqullos cuyos datos estn distribuidos entre soportes automatizados y no automatizados. Tratamiento de datos: cualquier operacin o procedimiento tcnico, sea o no automatizado, que permita la recogida, grabacin, conservacin, elaboracin, modificacin, consulta, utilizacin, cancelacin, bloqueo o supresin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Cesin o comunicacin de datos: modalidad de tratamiento de datos que supone su revelacin a una persona distinta del propio interesado. Es decir, puede haber ocasiones en que sea necesario que la empresa que cuenta con los datos personales los ceda a una tercera persona o empresa, diferente del titular del derecho. Este concepto es muy amplio, puesto que revelacin recoge tanto la entrega, comunicacin, consulta, interconexin, transferencia, difusin o cualquier otra forma que facilite el acceso a los datos de un fichero a un tercero, distinto del interesado. Niveles de seguridad: la ley identifica tres niveles de medidas de seguridad aplicables a los ficheros que contengan datos de carcter personal: bsico, medio y alto. El establecimiento de uno u otro nivel de seguridad se adopta en funcin de la diferente sensibilidad de los datos personales incluidos en los archivos, considerndose de nivel bsico los ficheros con informacin menos sensible y de nivel alto aqullos que recogen informacin de naturaleza especialmente sensible. Se vern con detalle en el epgrafe 9.
18 )
Los principales actores que la normativa sobre proteccin de datos contempla son los siguientes: Afectado o interesado: persona fsica titular de los datos que sean objeto de tratamiento. Es decir, el cliente, empleado, proveedor, candidato a formar parte de la empresa, paciente, etc., cuyos datos estn siendo tratados por la empresa. Responsable del fichero o responsable de tratamiento: persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Es decir, la propia empresa ser la responsable de los ficheros que contienen datos relativos a sus empleados, proveedores, clientes, etc. Encargado de tratamiento: persona fsica o jurdica, de naturaleza pblica o privada, u organismo administrativo, que trate datos personales por cuenta del responsable del fichero o responsable de tratamiento. Cesionario de datos: es la persona fsica o jurdica, pblica o privada u rgano administrativo, al que se le revelan los datos. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad. Su funcin es proteger y salvaguardar la informacin sensible dentro de la empresa. Usuario: es la persona que realiza el tratamiento de los datos recopilados en un fichero en diferentes momentos de un tratamiento de datos, ya sea mediante herramientas especficas (por ejemplo, aplicaciones informticas), o accediendo a los mismos en ficheros de papel.
( 19
6.
Proceso de adopcin de la normativa
La adopcin de una cultura de proteccin de datos por parte de la empresa supone una oportunidad de mejora para los procesos del negocio. Ello requerir la implementacin de una serie de medidas organizativas y tcnicas que deben ser adoptadas por todo el personal de la empresa en los procesos en los que se vean afectados datos de carcter personal. Se describen en este epgrafe las fases propuestas para acometer con xito la implementacin de la normativa sobre proteccin de datos por parte de las pymes. Se debe entender como un proceso orientativo, que requiere recursos destinados al efecto y revisiones constantes. Orientativo: el proceso que se detalla a continuacin describe las principales obligaciones previstas en la normativa sobre proteccin de datos y la secuencia temporal en el que se pueden afrontar. Se trata de recomendaciones de carcter genrico, que ofrecen una visin global sobre el tipo de actuaciones necesarias y ejemplos prcticos de cmo implementar algunas de ellas. No obstante, este proceso requiere de una serie de conocimientos tcnicos y jurdicos; por ello, en caso de duda, pudiera ser conveniente contar con el apoyo de los servicios de consulta gratuitos de que dispone la Administracin o bien con la participacin de un profesional en la materia. Todo ello, para asegurar una adopcin correcta y completa. Necesidad de recursos: con carcter general, las obligaciones previstas en la normativa tienen carcter gratuito para la empresa (por ejemplo, la notificacin de ficheros ante el Registro de la AEPD, obligacin en la que se profundizar ms adelante). No obstante, algunas de las medidas de seguridad pueden implicar la adaptacin, modificacin o sustitucin de sistemas. Es posible que la empresa deba destinar recursos humanos y, en ocasiones, econmicos para la implementacin de la normativa. Revisiones constantes: la adopcin de la ley y de su reglamento de desarrollo no debe afrontarse como un hecho puntual de cumplimiento,
20 )
sino que supone un esfuerzo permanente de mantenimiento y revisin. La empresa deber tener presente que el proceso de proteccin de datos es continuo. En este sentido, deben establecerse procedimientos de control para garantizar el cumplimiento de la normativa en todo momento. Asimismo, es recomendable insistir a los empleados de la empresa peridicamente sobre sus responsabilidades y obligaciones, con el objetivo que se adquieran hbitos de trabajo en esta lnea. La siguiente ilustracin muestra un esquema del proceso de implementacin de la normativa sobre proteccin de datos.
Proceso de implantacin de la normativa sobre proteccin de datos
( 21
Fase I. Adaptacin de ficheros: una de las principales implicaciones que la normativa sobre proteccin de datos tiene para las empresas es la necesidad de notificar sus ficheros ante el Registro de la AEPD. Para ello, como paso previo, es necesario que la empresa identifique los datos de carcter personal que se estn manejando en su mbito y cmo se encuentran stos organizados (ficheros automatizados, no automatizados, mixtos). Fase II. Legitimacin de datos: todos los datos de carcter personal recogidos por la empresa, deben contar con el consentimiento del afectado, as como cumplir una serie de principios y obligaciones bsicas previstas en la normativa, que se tratarn en detalle en este apartado. Fase III. Polticas de seguridad de datos: la LOPD y el RDLOPD establecen una serie de medidas de carcter tcnico y organizativo que garanticen la seguridad de los datos de carcter personal, que habrn de adoptarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboracin de un documento de seguridad en el que se detallarn los datos almacenados, las medidas de seguridad adoptadas, as como las personas que tienen acceso a esos datos.
22 )
7.
FASE I: Adaptacin de los ficheros
El primer paso es identificar los ficheros con datos personales que estn siendo manejados por la empresa y que estn sujetos a las disposiciones sobre proteccin de datos.
El 96% de las pequeas empresas espaolas disponen de ficheros que contienen datos personales3, ya sea en soporte automatizado o no automatizado. La presencia, por tanto, de este tipo de ficheros es prcticamente universal entre este colectivo. Para saber si, efectivamente, la empresa trabaja con datos personales organizados en ficheros, es suficiente con reflexionar sobre el tipo de datos personales que maneja (datos de proveedores, clientes, candidatos, empleados, por ejemplo), y analizar si estos datos son almacenados de forma organizada (es decir, siguiendo un criterio de ordenacin de algn tipo: alfabtico, cronolgico...), de tal forma que sea posible acceder sin esfuerzos desproporcionados a los mismos. De esta forma, constituiran ficheros de datos personales los siguientes ejemplos: una base de datos de clientes y/o proveedores, la relacin de empleados, un archivo con facturas de proveedores y/o albaranes de clientes o currcula vitae de demandantes de empleo. Tambin se debe determinar el soporte en el que estn almacenados los ficheros, pudiendo tratarse de ficheros automatizados, no automatizados o mixtos (ver definiciones en apartado 5). Una vez determinada la existencia efectiva de ficheros con datos personales, el primer requisito es la notificacin de los mismos ante el registro de la AEPD.
3 Datos del Estudio sobre el grado de adaptacin de las Pequeas y Medianas Empresas espaolas a la Ley Orgnica de Proteccin de Datos (LOPD) y su nuevo Reglamento de desarrollo (RDLOPD), disponible en: http://www.inteco.es/Seguridad/Observatorio/Actualidad_Observatorio/Estudio_LOPD_PYMES
( 23
La notificacin se debe realizar con carcter previo a su creacin, y en el caso de ficheros ya existentes sta debe hacerse a la mayor brevedad. El proceso de notificacin es gratuito y se puede realizar a travs del formulario interactivo NOTA (Notificaciones Telemticas a la Agencia ), disponible online en el portal de la AEPD www.agpd.es, tal y como refleja la Ilustracin. El proceso es muy sencillo, y en la web se ofrecen manuales y preguntas frecuentas para facilitar su ejecucin con xito. Se ofrecen aqu pautas visuales para llevarla a cabo.
Obtencin del formulario NOTA (www.agpd.es)
24 )
Dentro de NOTA, a su vez, se despliegan una serie de opciones referentes a la inscripcin de ficheros. En ellas, la Agencia ofrece informacin til sobre el proceso: los apartados con informacin sobre Quin debe notificar, Preguntas frecuentes, Qu es el sistema NOTA o cules son los Pasos para la notificacin de un fichero, por ejemplo, deberan ser ledas antes de proceder efectivamente a la Obtencin del formulario NOTA (men de la izquierda).
Obtencin del formulario NOTA (II) (www.agpd.es)
Una vez dentro de Obtencin del formulario NOTA, la AEPD ofrece, entre otros documentos, la Gua rpida del formulario NOTA, un Manual del formulario electrnico de notificacin de ficheros de Titularidad Privada y un apartado de Preguntas ms Frecuentes4. La lectura de los tres documentos
4 Los tres documentos estn disponibles en: https://www.agpd.es/portalweb/canalresponsable/inscripcion_ficheros/Obtencion_formulario/index-ides-idphp.php
( 25
es recomendable antes de proceder a la notificacin. En ellos se detallan los pasos para rellenar el formulario, las diferentes formas de presentacin del mismo ante la Agencia, los pasos para modificar o suprimir la inscripcin, pautas para la correcta cumplimentacin del formulario y las dudas ms frecuentes con que se enfrentan los ciudadanos a la hora de proceder a la notificacin de ficheros. Con ello, la empresa est en condiciones de iniciar el proceso a travs del link Formulario NOTA de titularidad privada.
Obtencin del formulario NOTA (III) (www.agpd.es)
A partir de aqu, el programa va guiando al usuario a travs de una serie de pantallas intuitivas que solicitan distintos datos al solicitante. Una lectura a las guas de apoyo que la AEPD pone a disposicin del internauta es suficiente para superar con xito el proceso, que es muy sencillo y rpido. Algunos detalles prcticos que pueden resultar de inters al empresario son los siguientes: La AEPD, para facilitar el proceso de notificacin, ofrece dos modelos de declaracin: el modelo normal y el modelo tipo. El modelo tipo
26 )
es un modelo predeterminado, que cubre los casos ms frecuentes en el entorno PYME (ficheros de clientes, proveedores y nminas, entre otros mostrados en la siguiente ilustracin). Es ms sencillo de rellenar que el modelo normal, y en muchas ocasiones ser suficiente con este modelo para la notificacin de los ficheros ms habituales del trfico de la pyme.
Tipos de ficheros previstos en el modelo tipo del formulario NOTA (www.agpd.es)
Para la presentacin de la documentacin la AEPD pone a disposicin del empresario tres modalidades: en papel, a travs de Internet, y a travs de Internet con certificado digital (firma electrnica). En cualquiera de los tres casos las solicitudes de inscripcin de ficheros debern realizarse a travs del formulario electrnico de Notificaciones Telemticas a la AEPD (NOTA) descrito en esta Gua.
( 27
Vista general del formulario NOTA (www.agpd.es)
28 )
8.
FASE II: Legitimacin de datos
Esta fase prev la observacin de una serie de principios bsicos y obligaciones que deben regir el tratamiento y recogida de datos por parte de las pymes.
Se trata en todos los casos de actuaciones tendentes a asegurar la efectiva garanta del derecho fundamental a la proteccin de datos que ampara a cualquier ciudadano espaol. Este apartado debe ser entendido como una introduccin a la materia, con explicaciones que intentan ser didcticas y de carcter prctico. Se enumeran a continuacin algunos principios que deben ser observados por el responsable en el tratamiento de los datos, y que tienen que ver con la calidad de los mismos. El hecho de que los datos que tratan y almacenan se encuentren actualizados es realmente importante; la no actualizacin de los mismos puede suponer costes econmicos importantes ya que disminuye la eficacia en la toma de decisiones, acciones comerciales, nuevos productos o, simplemente, para el seguimiento o mantenimiento de relaciones contractuales. Los datos deben tratarse de manera leal y lcita, garantizando as los derechos de las personas a que sus datos sean protegidos desde su obtencin y uso hasta la finalizacin de su tratamiento. Los datos deben recogerse con fines determinados, explcitos y legtimos. Los datos deben ser exactos y mantenerse actualizados, de manera que respondan con veracidad a la situacin actual de su titular. Los datos personales slo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para el que han sido recogidos. Deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para el fin con que se obtuvieron.
( 29
Para cumplir con xito esta segunda fase de implementacin de la normativa sobre proteccin de datos, la pyme deber, adems de observar los principios mencionados anteriormente, cumplir con las siguientes obligaciones: Informar al interesado sobre la recogida de datos. Solicitar el consentimiento del interesado para que la empresa pueda utilizar sus datos. Atender los derechos de acceso, rectificacin, cancelacin y oposicin (derechos A.R.C.O.) que ejerzan los ciudadanos titulares de los datos. Recabar el consentimiento del interesado en el caso de cesin de los datos del mismo a terceros. Observar las disposiciones previstas en la ley en los casos en que se transmitan los datos fuera del Espacio Econmico Europeo. Deber de guardar secreto. Se detallan a continuacin las implicaciones principales y algunas generalidades sobre estas obligaciones.
30 )
8.1.
INFORMAR AL INTERESADO SOBRE LA RECOGIDA DE DATOS
Se debe informar al interesado sobre la recogida de datos, con carcter previo a la recepcin de los mismos por parte de la empresa. Esta informacin se deber ofrecer a travs de un medio que permita acreditar su cumplimiento (es decir, no es vlido si se informa al interesado de forma verbal sin que quede registrado de ningn modo). La ley indica que se debe informar de los siguientes extremos: De la existencia de un fichero de datos de carcter personal, de su finalidad y sus destinatarios. Del carcter obligatorio o facultativo de la respuesta a las preguntas que les sean planteadas. De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos. De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin. De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante.
( 31
8.2.
SOLICITAR EL CONSENTIMIENTO DEL INTERESADO La empresa debe solicitar el consentimiento del interesado para poder usar sus datos. El consentimiento del afectado es la manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la cual el interesado consiente el tratamiento de sus datos personales.
El consentimiento va ntimamente ligado a la obligacin de informar, puesto que la Ley entiende que a partir de dicha informacin el afectado adquiere conocimiento de la existencia del tratamiento que se va a realizar, las finalidades y los derechos que le asisten. Si los datos personales se refieren a la salud del interesado, el consentimiento debe ser expreso, y si afectan a ideologa, afiliacin sindical, religin y creencias, ste debe ser expreso y por escrito. Tambin se contemplan medidas especiales en el caso de los datos de menores de 14 aos. Para la recogida y tratamiento de datos de menores de 14 aos es necesario el consentimiento del padre o tutor del menor. Consentimiento tcito Consentimiento expreso Consentimiento expreso por escrito En la mayora de los casos. Datos de salud. Ideologa, afiliacin sindical, religin y creencias.
32 )
8.3.
GESTIONAR LOS DERECHOS DE ACCESO, RECTIFICACIN, CANCELACIN Y OPOSICIN (DERECHOS A.R.C.O.) Los responsables de ficheros deben atender a los interesados que soliciten sus derechos de acceso, rectificacin, cancelacin y oposicin (derechos A.R.C.O.).
Estos derechos proporcionan al titular de los datos las siguientes facultades: Conocer qu datos tiene el responsable del fichero o tratamiento sobre su persona (derecho de acceso). El interesado puede solicitar y obtener informacin de sus datos de carcter personal sometidos a tratamiento, y del origen de dichos datos. Rectificar los datos cuando stos sean errneos o incompletos (derecho de rectificacin). Supone la actualizacin o correccin de sus datos personales. Cancelar los datos cuando stos sean errneos o incompletos (derecho de cancelacin). El interesado tiene derecho a que los datos inexactos o errneos sean borrados o suprimidos. Oponerse al tratamiento de los datos que le conciernan (derecho de oposicin), lo que significa que sus datos no sean tratados. La contraparte de estos derechos es la obligacin de la empresa de atender las peticiones recibidas por parte de los titulares de los derechos, hacerlo por medios que permitan acreditar el envo y la recepcin de la notificacin, y respetando los plazos previstos en la normativa sobre proteccin de datos. Para hacerlo, tendr que tener en cuenta las particularidades inherentes a cada uno de los derechos:
( 33
Derecho de acceso El responsable del fichero o tratamiento tiene que resolver la solicitud de acceso en el plazo mximo de un mes a contar desde la fecha en que haya recibido la solicitud. En caso de estimar la solicitud, el acceso debe hacerse efectivo en el plazo de los diez das siguientes a la notificacin. La obligacin de contestar a la solicitud ha de producirse con independencia de que figuren o no datos personales del ciudadano en sus ficheros. La contestacin al derecho de acceso ha de practicarse utilizando cualquier medio que permita acreditar el envo y la recepcin de la misma. La pyme puede negar la solicitud de acceso en el caso en que el interesado ejercite este derecho ms de una vez en el periodo de un ao, excepto si se acredita una causa legtima. En el supuesto de que la empresa no conteste dentro de plazo, o lo haga de forma incompleta, el sujeto afectado podr acudir a la Agencia Espaola de Proteccin de Datos, que a su vez puede iniciar, si existe base para ello, un expediente sancionador. Derecho de rectificacin El responsable del fichero o tratamiento tiene el deber de atender el derecho de rectificacin en el plazo de diez das naturales. Deber contestar de forma motivada a la solicitud que se le dirija, debiendo utilizar cualquier medio que permita acreditar el envo y la recepcin de su respuesta. Asimismo, si los datos rectificados hubieran sido cedidos previamente a un tercero, el responsable del fichero tiene la obligacin de notificar al cesionario la rectificacin practicada. En el caso de la rectificacin, la peticin del interesado habr de recoger mencin expresa del dato o datos errneos, as como con la propuesta de correccin, acompaando a tal fin la documentacin que fuese necesaria.
34 )
Derecho de cancelacin El responsable del fichero o tratamiento tiene la obligacin de hacer efectivo el derecho de cancelacin en el plazo de diez das naturales. Deber contestar de forma motivada a la solicitud que se le dirija, debiendo utilizar cualquier medio que permita acreditar el envo y la recepcin de su respuesta. Igualmente, si los datos cancelados hubieran sido cedidos previamente a un tercero, el responsable del fichero deber notificar al cesionario la cancelacin efectuada. La cancelacin dar lugar al borrado fsico de los datos. Si esto resultase imposible (por razones tcnicas, o debido a las caractersticas del soporte utilizado) se proceder al bloqueo de dichos datos, conservndose nicamente a disposicin de las Administraciones Pblicas, jueces y tribunales. No obstante lo anterior, para aquel caso en el que se demuestre que la obtencin de los datos fue realizada de modo fraudulento, desleal o ilcito, la cancelacin habr de comportar, obligada e inexcusablemente, la destruccin fsica del soporte en el que estn dichos datos. Tambin en este caso, si el responsable del fichero no atiende la peticin del solicitante en plazo y/o forma, el interesado podr acudir a la Agencia Espaola de Proteccin de Datos. Derecho de oposicin El responsable del fichero o tratamiento tiene un plazo mximo de un mes a contar desde la recepcin de la peticin, para resolver la solicitud de oposicin. Si transcurrido este plazo no se ha recibido de forma expresa una respuesta a la peticin de acceso, sta puede entenderse desestimada a los efectos de presentar una reclamacin de tutela de derechos ante la AEPD. En el caso de que sea procedente acceder a la oposicin, el responsable del fichero ha de excluir del tratamiento los datos del ciudadano solicitante.
( 35
En relacin al tratamiento de datos con fines de publicidad y de prospeccin comercial, los ciudadanos pueden ejercer el derecho de oposicin y, a su simple solicitud, el responsable ha de dar de baja sus datos personales en el tratamiento, cancelando de este modo las informaciones que figuraban en el mismo. En resumen, existe la obligacin para las pymes de establecer algn mecanismo gratuito mediante el cual los afectados puedan ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin.
8.4.
RECABAR EL CONSENTIMIENTO DEL INTERESADO EN EL CASO DE CESIN DE LOS DATOS DEL MISMO A TERCEROS
Es frecuente, en el trfico empresarial, que las empresas cedan datos a terceros. As, al comunicar datos a terceros es necesario el consentimiento previo del interesado. El responsable del fichero o tratamiento deber informar al titular en el momento en que se efecte la primera cesin indicando la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y direccin del cesionario. No ser necesario el consentimiento del interesado para la cesin en los siguientes casos: Que tenga por objeto la satisfaccin de un inters legtimo del cesionario y lo autorice una norma con rango de Ley o una norma de derecho siempre que no prevalezca el inters a los derechos y libertades fundamentales de los interesados previstos en el artculo 1 de la LOPD o cuando la cesin de los datos sea necesaria para cumplir un deber que imponga una de dichas normas.
36 )
Que est autorizada por Ley. Cuando se trate de datos recogidos de fuentes accesibles al pblico. En caso de que exista una relacin jurdica que implique la cesin y sta se limite a la finalidad que la justifique. Cuando el destinatario sea el Ministerio Fiscal, los Jueces y Tribunales, el Defensor del Pueblo o el Tribunal de Cuentas, o sus anlogos autonmicos. En caso de urgencia relativa a la salud o para la realizacin de estudios epidemiolgicos en los casos legalmente previstos. 8.5. OBSERVAR LAS DISPOSICIONES PREVISTAS EN LA LEY EN LOS CASOS EN QUE SE TRANSMITAN LOS DATOS FUERA DE ESPAA La comunicacin de datos con origen en Espaa y con destino en un tercer pas est sujeta a la autorizacin previa del director de la Agencia Espaola de Proteccin de Datos. La ley contempla una serie de excepciones a esta obligacin. As, si el pas de destino pertenece a la Unin Europea, o es un pas considerado con un nivel de proteccin adecuado, no ser necesario obtener la autorizacin previa de la AEPD, aunque s notificar la realizacin de la transferencia a la Agencia e informar de la cesin a los interesados. En cualquier caso, la prctica de comunicar datos fuera del territorio espaol no est muy extendida entre las pymes espaolas. As, slo el 3% efecta
( 37
transferencias internacionales de datos5. Dado el escaso impacto de la situacin entre el colectivo de pymes en Espaa, la presente gua no profundiza en la obligacin y las excepciones previstas en la ley. En cualquier caso, stas se encuentran recogidas en los artculos 33 y 34 de la LOPD. La Gua del Responsable de Ficheros de la AEPD tambin menciona la casustica a seguir en el caso de transferencias internacionales de datos. Se recomienda a la pyme que necesite profundizar en los conceptos que se dirija a las referidas fuentes.
5 Datos del Estudio sobre el grado de adaptacin de las pymes a la Ley Orgnica de Proteccin de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD), publicado por INTECO en Agosto de 2008 y disponible en: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/ estudio_lopd_pymes
38 )
9.
FASE III: Proteccin de datos e implantacin de medidas de seguridad
Las empresas deben adoptar las medidas de carcter tcnico, organizativo y/o jurdico que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado. Estas medidas se fijan en funcin del nivel de seguridad correspondiente al fichero, y en funcin del soporte del mismo (automatizado o no automatizado). Existen tres niveles de seguridad en funcin de la mayor o menor sensibilidad de los datos recogidos en ellos, tal y como muestra la siguiente tabla.
Niveles de seguridad
NIVEL BSICO
Nombre Apellidos Datos de contacto (direccin, telfono, e-mail...) Cualquier otro dato que no sea nivel medio o alto.
NIVEL MEDIO
Datos relativos a la comisin de infracciones administrativas o penales Datos de los que sean responsables las Administraciones tributarias Datos de los que sean responsables las entidades financieras Datos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social Datos de los que sean responsables los operadores que presten servicios de comunicaciones electrnicas Datos que ofrezcan una definicin de las caractersticas o personalidad de los ciudadanos y permitan evaluar aspectos de su personalidad o comportamiento.
NIVEL ALTO
Ideologa Afiliacin sindical Religin y creencias Origen racial Salud y vida sexual Datos recabados para fines policiales sin consentimiento de las personas afectadas Datos derivados de actos de violencia de gnero.
Debe tenerse en cuenta que los niveles de seguridad son acumulativos, es decir, los ficheros de nivel alto deben cumplir las medidas previstas para los ficheros de nivel alto, medio y bsico, y los ficheros de nivel medio deben hacer lo propio con respecto a los niveles medio y bsico. El Anexo I recoge de forma esquemtica las medidas de seguridad previstas en el Reglamen-
( 39
to, y sus particularidades en cuanto a los ficheros donde se deben aplicar (de nivel bsico, medio o alto, y en soporte automatizado o no automatizado). A continuacin se ofrece una breve descripcin de las implicaciones de las medidas de seguridad ms relevantes. 9.1. ELABORAR EL DOCUMENTO DE SEGURIDAD
El documento de seguridad recoge las medidas tcnicas y organizativas de obligado cumplimiento para el personal con acceso a los sistemas de informacin cuando stos incorporen datos de carcter personal. Tal y como establece la propia Agencia Espaola de Proteccin de Datos en su Gua de seguridad de datos6, se trata de un documento interno de la organizacin, que debe mantenerse siempre actualizado. Disponer del documento de seguridad es una obligacin para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.. El documento deber contener, atendiendo a la naturaleza de los datos, las medidas de ndole tcnica y organizativa necesaria que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado. El documento deber contener, como mnimo, los siguientes aspectos: 1) mbito de aplicacin del documento con especificacin detallada de los recursos protegidos: ficheros que contienen datos de carcter personal que se hallan bajo la responsabilidad de la empresa, incluyendo los sistemas de informacin, soportes y equipos empleados para el tratamiento de datos de carcter personal, que deban ser protegidos
6 Documento completo en: https://www.agpd.es/portalweb/canalresponsable/guia_documento/index-idesidphp.php##
40 )
de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. 2) Medidas, normas, procedimientos de actuacin, reglas y estndares encaminados a garantizar el nivel de seguridad exigido en el reglamento. 3) Funciones y obligaciones del personal en relacin con el tratamiento de los datos de carcter personal incluidos en los ficheros. 4) Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de informacin que los tratan. 5) Procedimiento de notificacin, gestin y respuesta ante las incidencias. 6) Procedimientos de realizacin de copias de respaldo y de recuperacin de los datos en los ficheros o tratamientos automatizados. 7) Medidas que sea necesario adoptar para el transporte de soportes y documentos, as como para la destruccin de los documentos y soportes, o en su caso, la reutilizacin de estos ltimos. A partir del nivel medio de medidas de seguridad, adems de los apartados anteriores, debern incluirse los siguientes: 8) Identificacin del responsable o responsables de seguridad 9) Los controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. La Gua de Seguridad de datos7 antes referida constituye un valioso apoyo para los responsables que deban enfrentarse a la elaboracin del docu7 Documento completo en: https://www.agpd.es/portalweb/canalresponsable/guia_documento/indexides-idphp.php##
( 41
mento de seguridad. Con pautas y modelos prcticos para la ejecucin del documento, puede ser de ayuda a las pymes en su proceso de adopcin de la normativa de proteccin de datos. 9.2. DEFINIR UN RESPONSABLE DE SEGURIDAD El responsable de seguridad coordina y controla las medidas de seguridad implementadas en la empresa. As, estar siempre informado acerca de cualquier suceso que pueda afectar a los ficheros con datos de carcter personal. La obligacin de designar un responsable de seguridad est definida para los tratamientos de ficheros de nivel medio y alto. Si la empresa trabaja exclusivamente con ficheros de carcter bsico, no existe obligacin de definir esta figura. En los casos en que efectivamente sea obligatorio, el responsable de seguridad deber estar definido e identificado de forma personal o funcional (dentro del organigrama), en el documento de seguridad. Sus funciones comprenden: 1) Recopilar y describir las medidas, normas, procedimientos, reglas y estndares de seguridad adoptados por la empresa. 2) Determinar el mbito de aplicacin del documento de seguridad. 3) Establecer y comprobar la aplicacin de las normas y procedimientos del documento de seguridad, entre otros, los procedimientos de notificacin, tratamiento y registro de incidencias, de realizacin de copias de respaldo y recuperacin de datos, de identificacin y autenticacin de usuarios, de asignacin, distribucin y almacenamiento de contraseas, de cambio peridico de las contraseas de los usuarios, de gestin de soportes.
42 )
4) Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al sistema informtico de la empresa, con especificacin del nivel de acceso que tiene cada usuario. Asimismo, establecer y comprobar la aplicacin de un sistema que limite el acceso de los usuarios nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones y autorizados por el responsable del fichero. 5) Conceder, alterar o anular el acceso autorizados a los datos y recursos, de acuerdo con los criterios establecidos por el Responsable del Fichero. 6) Velar por el cumplimiento de las normas de seguridad contenidas en el documento de seguridad. 9.3. DIVULGAR LA NORMATIVA DE SEGURIDAD AL PERSONAL Se deben adoptar las medidas necesarias para que todo el personal de la empresa conozca las normas de seguridad que afectan al desarrollo de sus funciones. La empresa deber realizar las acciones necesarias para que sus empleados tengan un buen conocimiento de sus funciones y obligaciones en materia de proteccin de datos de carcter personal, as como las consecuencias del incumplimiento de las mismas. La realizacin de una formacin especfica (ya sea en la modalidad presencial u online), o la difusin entre los empleados de la normativa, procedimientos, implicaciones para los empleados y funciones, son ejemplos de cmo asegurar que todos los empleados estn al corriente. La empresa debera considerar la necesidad de obtener formalmente la aceptacin de las normas y procedimientos por parte de sus empleados.
( 43
9.4.
ESTABLECER UN PROCEDIMIENTO DE NOTIFICACIN, GESTIN Y RESPUESTA ANTE LAS INCIDENCIAS El registro de incidencias permite disponer de un control completo, exacto y detallado de cualquier problema que pueda ocurrir dentro de los sistemas de informacin que traten con datos de carcter personal, con el fin de definir las responsabilidades y medidas correctivas a ejecutar en caso de ocurrir dichas irregularidades.
Se entiende por incidencia cualquier anomala que afecte o pudiera afectar a la seguridad, a la integridad, confidencialidad o disponibilidad de los datos. Existe la obligacin de disponer de un procedimiento para la notificacin de incidencias, que debe indicar quin tiene que notificar la incidencia, a quin y de qu modo, as como quin gestionar la incidencia. Adems, es necesario contar con un registro de incidencias, que se podr almacenar de forma manual o informtica, y en el que debern constar el tipo de incidencia, el momento en que se ha producido (o detectado), la persona que realiza la notificacin, a quin se comunica, los efectos derivados de la misma y las medidas correctoras aplicadas. En caso de gestin automatizada se indicar adems el sistema informtico utilizado. Estas obligaciones (procedimiento y registro de incidencias) afectan a ficheros de cualquier nivel. Para ficheros de nivel medio y alto, adems de disponer del registro de incidencias y un procedimiento de notificacin y gestin de las mismas, existe la obligacin de adjuntar informacin sobre el procedimiento de recuperacin de datos, que deber incluir la persona que ejecuta el proceso, datos que han sido restaurados, datos que han sido corregidos de forma manual, y autorizacin por escrito del responsable del fichero para reparar la incidencia.
44 )
A continuacin se adjunta un ejemplo de un registro de incidencias con la informacin ms significativa que se debe registrar. Los datos que figuran en el mismo (nombres y cargos) no son reales, y se han utilizado exclusivamente para ilustrar el ejemplo.
Tipo de incidencia: Recuperacin de datos Descripcin: la presidenta y propietaria de la compaa ha solicitado recuperar la base de datos de nminas del personal de la empresa de 2007 con el objetivo de realizar un control sobre la evolucin del coste de nminas a lo largo de este ejercicio. Fecha: 17 de septiembre de 2008. Hora: 10:15h. Notificada por: Sra. Carmen Garca (Presidenta). Notificada a: Sr. Manuel Gmez (Jefe de Personal). Efectos producidos: se han recuperado los datos histricos del ejercicio. Procedimiento de recuperacin de datos: 1) Se notifica la peticin al responsable del fichero de nminas (Sr. Manuel Gmez) que autoriza el acceso. 2) Se notifica la peticin al servicio de informtica subcontratado que todos los jueves desplaza a un tcnico a nuestras instalaciones, el cual procede a recuperar los datos mencionados en la carpeta de red interna (F:\Presidencia\Revision) con acceso restringido para el departamento de auditora interna. Persona que ejecut la recuperacin: Sra. Nuria Sanz (Tcnico de Informtica). Datos que han sido restaurados: Base de datos de nminas de enero de 2007 a diciembre de 2007. Datos que ha sido necesario grabar manualmente: n/a. Fecha de cierre de la incidencia: 20 de septiembre de 2008. Hora de cierre de la incidencia: 15:30h
( 45
9.5. DEFINIR Y DOCUMENTAR LOS PROCEDIMIENTOS DE CONTROL DE ACCESO El acceso a los recursos informticos y documentales dentro de la empresa debe estar restringido y autorizado, con el objetivo de asegurar que la informacin est disponible slo para los usuarios afectados o interesados. Para asegurar un control de accesos efectivo es necesario definir los privilegios de acceso en el sistema, lo que supone atribuir diferentes permisos en funcin de las categoras funcionales o jerrquicas del empleado. El personal slo acceder a aquellos datos y recursos que precise para el desarrollo de sus funciones. Por ejemplo, puede ocurrir que existan determinados archivos a los que slo deberan acceder algunas personas o departamentos. As, parece lgico pensar que solamente el departamento de Recursos Humanos (quizs slo algunas personas dentro del departamento) debera tener acceso a los currcula vitae de los candidatos. El responsable del fichero establecer mecanismos para evitar que un usuario puede acceder a recursos con derechos distintos de los autorizados. Tambin puede darse el caso de ficheros que, si bien contienen datos que pueden ser consultados por todos los empleados, incluyen adems informacin a la que slo deberan acceder determinadas personas. Sera el caso de un fichero con los empleados de la empresa; quizs sea lgico que cualquier empleado pueda consultar los datos de contacto bsicos de cualquier persona, pero no informacin relativa al importe de su nmina, por ejemplo. Todas estas limitaciones garantizan un uso ms eficiente de la informacin, asegurando que los datos estn disponibles para los empleados que, por razn de su funcin o cargo, as lo requieran, y limitando el acceso para aquellos otros empleados que no necesitan trabajar con esta informacin.
46 )
De este modo, se reduce el riesgo de prdida de informacin debido al factor humano. En cualquier caso, depende de la propia empresa la decisin sobre la definicin de privilegios, es decir, asignar permisos a cada empleado. La normativa prev particularidades en funcin de los distintos niveles de seguridad del fichero (bsico, medio, alto) y el soporte del mismo (automatizado o no automatizado). As, en los accesos a los datos de los ficheros de nivel alto de carcter automatizado, se realizar por cada acceso la identificacin del usuario, fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si el acceso fue autorizado, se almacenar tambin la informacin que permita identificar el registro accedido. Los datos del registro de accesos se conservarn durante, al menos, dos aos. El responsable de seguridad revisar, al menos, una vez al mes la informacin de control registrada y elaborar un informe. 9.6. ESTABLECER MECANISMOS DE IDENTIFICACIN Y AUTENTICACIN La identificacin es el procedimiento por el que un usuario es reconocido dentro del sistema de informacin que trata con datos de carcter personal (a travs del nombre del usuario), mientras que la autenticacin tiene por objetivo la comprobacin de la identidad en el sistema (la contrasea de acceso asociada al nombre de usuario). El responsable del fichero debe elaborar un listado actualizado de usuarios con acceso autorizado a los sistemas de informacin y, por consiguiente, a los datos de carcter personal que tratan. Sobre estos usuarios se han de establecer procedimientos de identificacin y autenticacin para dicho acceso. Se establece como necesaria la identificacin y autenticacin de forma inequvoca y personalizada de todos los usuarios autorizados en el sistema.
( 47
Ello supone que cada usuario tendr un nombre de usuario individual y una contrasea asociada al mismo, de uso personal e intransferible, que se valida cada vez que accede al sistema. En el caso de acceso a datos personales en ficheros automatizados, si la autenticacin se realiza mediante contraseas, se debe detallar el procedimiento de asignacin, distribucin y almacenamiento que deber garantizar su confidencialidad e integridad, y se debern cambiar con una periodicidad no superior a un ao. En el caso de las contraseas, se debe asegurar que las mismas sean robustas, que no sean fcilmente deducibles, y que no estn a la vista del resto de empleados8. Es conveniente fijar unos requisitos que deben cumplir las cadenas utilizadas como contrasea (longitud mnima, combinacin de caracteres alfanumricos). A partir del tratamiento de ficheros de nivel medio, adems, existe la obligacin de limitar los intentos reiterados de acceso al sistema, lo que supone bloquear el identificador de usuario despus de un nmero limitado de intentos de acceso. 9.7. DEFINIR EL PROCEDIMIENTO Y GESTIN DE SOPORTES
Con el fin de preservar y asegurar la informacin durante su transporte y manipulacin, y en particular la correspondiente a los datos de carcter personal, la normativa actual exige tener dicha informacin protegida mediante la aplicacin de procedimientos de gestin de los soportes que la contienen. En concreto, la empresa debe disponer de procedimientos que garanticen los siguientes puntos:
8 En este sentido, se recomienda la lectura del artculo Recomendaciones para la creacin y uso de contraseas seguras, disponible en: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/ Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas
48 )
a. La identificacin de la informacin almacenada en los soportes, que debern ser inventariados y cuyo acceso deber estar restringido nicamente al personal autorizado para su manipulacin en el documento de seguridad. b. La salida de soportes de los locales de tratamiento deber ser autorizada especficamente por el Responsable de Seguridad, y/o deber estar detallada previamente en el documento de seguridad. La obligacin de contar con procedimientos de gestin de soportes que contienen datos de carcter personal est definida a partir del tratamiento de ficheros de nivel bsico. Entre otras, las principales iniciativas que deber realizar la empresa son las siguientes: Formalizar/documentar el procedimiento de gestin de soportes que contienen datos de carcter personal. Establecer un inventario de los soportes fsicos que contienen datos de carcter personal. Restringir el acceso a los soportes fsicos que contienen datos de carcter personal. Autorizar formalmente cualquier movimiento de soportes fsicos que contienen datos de carcter personal, por ejemplo, la salida de soportes fuera de las instalaciones de tratamiento de datos. A continuacin se ha adjuntado un ejemplo de una ficha de inventario de soportes. Los datos que aparecen en l no son reales, se han utilizado para ilustrar el ejemplo.
( 49
Fecha de actualizacin: 31 de diciembre de 2007. Identificador del soporte: NOM-31122007 Descripcin del soporte: copia de seguridad de los datos de nminas de los empleados de la empresa a fecha de 31 de diciembre de 2007. Responsable del fichero al que pertenece: Sr. Manuel Gmez (Jefe de Personal). Ubicacin actual: caja de seguridad n 2, estantera n 3, oficina central, Burgos. Adicionalmente, a partir del tratamiento de datos de nivel medio, la normativa obliga a tener un registro de entrada/salida de soportes (por ejemplo para mantenimiento, recuperacin de datos). A continuacin se ha adjuntado un ejemplo de registro de este tipo. Entrada de soporte: n/a. Tipo de soporte: n/a. Fecha: n/a. Hora: n/a. Emisor: n/a. Nmero de soportes: n/a. Tipo de informacin que contienen: n/a. Forma de envo: n/a. Persona responsable de la recepcin: n/a. Salida de soporte: NOM-31122007 Tipo de soporte: Cinta DAT (copia de seguridad). Fecha: 17 de enero de 2009 Hora: 10:00 h Destinatario: Sra. Carmen Garca (Presidenta). Nmero de soportes: 1 Tipo de informacin que contienen: datos de nminas del ejercicio 2008. Forma de envo: recuperacin de datos en carpeta de red informtica especfica. Persona responsable de la entrega: Sra. Nuria Sanz (informtica).
Para los datos de nivel alto, la normativa exige que los soportes que incluyen datos de este tipo sean etiquetados de forma confidencial (por ejemplo, pegatina con un nmero de serie), que la informacin est cifrada dentro de los soportes. Deber evitarse el uso de dispositivos mviles que no permitan el cifrado de la informacin.
50 )
9.8.
DISPONER DE COPIAS DE RESPALDO
La copia de seguridad o copia de respaldo de un fichero (backup) es la copia de los datos que permite restaurarlos en el caso de una prdida de informacin. Las prdidas de informacin son frecuentes en el entorno empresarial, y pueden tener su origen en diferentes causas: descuido de un empleado que elimina informacin involuntariamente, prdida del soporte fsico que contiene el archivo (CD, DVD, ordenador porttil), infeccin por malware, etc. La normativa obliga a realizar, al menos, una copia por semana de los ficheros con datos de carcter personal, adems de una verificacin semestral sobre los procedimientos pertinentes para su recuperacin y prueba. Estas obligaciones son de aplicacin para todo tipo de ficheros de carcter automatizado (nivel bsico, medio y alto). Adems, en el caso de ficheros de nivel alto, las copias de seguridad deben ser almacenadas en lugares diferentes a aqul donde se tratan los datos, con el objetivo de proporcionar una proteccin adicional en el caso de, por ejemplo, catstrofes naturales (inundaciones, incendios).
( 51
9.9.
ESTABLECER CRITERIOS DE ARCHIVO
Se trata de una pauta bsica de orden, conservacin, localizacin y consulta de informacin, e implica disponer de pautas concretas para el archivo (criterio alfabtico, cronolgico, cronolgico inverso, etc.). Esta obligacin est definida para el tratamiento de ficheros no automatizados de nivel bsico, medio y alto. 9.10. ESTABLECER DISPOSITIVOS DE ALMACENAMIENTO VLIDOS Es una medida aplicable a los ficheros no automatizados o manuales, siempre y cuando contengan datos de carcter personal, e implica el establecimiento de requisitos que impidan el acceso fsico a personal no autorizado a las instalaciones donde estn almacenados. De este modo, todos los ficheros en soporte papel que contengan datos de carcter personal deben estar debidamente almacenados, imposibilitando su acceso a las personas que no estn autorizadas para su tratamiento. Para ello los mecanismos de seguridad ms utilizados son los armarios o archivadores, que debern disponer de mecanismos adecuados de cierre (llaves de seguridad, candados, o tarjetas magnticas, etc.) Lo importante, en cualquier caso, es garantizar que el acceso a la documentacin no se realiza por personas no autorizadas. No se trata por tanto de definir una lista cerrada de dispositivos de almacenamiento vlidos, sino de que la propia empresa valore esta circunstancia. 9.11. CUSTODIAR LOS SOPORTES El personal que est a cargo de los documentos con datos de carcter personal por motivos de trabajo debe ser diligente y custodiar dichos docu-
52 )
mentos, impidiendo el acceso a dicha informacin por parte de personal no autorizado. La obligacin de contar con esta custodia est definida a partir del tratamiento de ficheros no automatizados de nivel bsico. 9.12. ESTABLECER PROCEDIMIENTOS DE COPIA O REPRODUCCIN DE DOCUMENTOS En el ejercicio de las actividades de una empresa puede ser necesaria la realizacin de copias de documentos originales. En el caso de las copias tengan por objeto datos de carcter personal de nivel alto de un fichero no automatizado, slo podrn ser realizadas y supervisadas por las personas autorizadas a tal efecto en el documento de seguridad. Asimismo, se obliga a la destruccin de la copia cuando ha dejado de tener el uso para el que fue creada, garantizando la imposibilidad de recuperacin de la informacin. 9.13. CIFRAR LAS COMUNICACIONES En el caso de tratar con ficheros automatizados de nivel alto, toda la informacin que se transmita a travs de redes pblicas o redes inalmbricas de comunicaciones deber ser cifrada, o utilizar cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulable por terceros.
( 53
9.14. ESTABLECER MECANISMOS DE CONTROL EN EL CASO DE TRASLADO DE DOCUMENTACIN Cuando la documentacin, independientemente de los datos personales que contenga, haya de ser trasladada fuera de su ubicacin original, se han de aplicar medidas de seguridad que eviten el acceso a los datos por parte de terceras personas. 9.15. REALIZAR AUDITORAS La normativa actual determina la obligacin de realizar una auditoria bienal a partir del tratamiento de ficheros automatizados y no automatizados de nivel medio. Esto implica la necesidad de someterse, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento de las medidas de seguridad previstas en el RDLOPD y desarrolladas someramente en la presente Gua. La empresa deber considerar la participacin de personal interno experto en la materia (por ejemplo, departamento de auditora interna, en caso de existir), o bien contratar los servicios de un auditor externo con conocimientos en esta rea. Asimismo, con carcter extraordinario, deber considerarse la realizacin de una auditora siempre que se realicen modificaciones sustanciales en los sistemas de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objetivo de verificar la adaptacin, adecuacin y eficacia de las mismas. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y las recomendaciones propuestas.
54 )
Los informes de auditora debern ser analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas. Asimismo, dichos informes quedarn a disposicin de la Agencia de Proteccin de Datos, o en su caso, de las autoridades de control de las comunidades autnomas. A continuacin se muestra un ejemplo de los pasos a seguir en una auditora: 1) Realizar un inventario de ficheros 2) Para cada uno de los ficheros realizar las siguientes actividades: Revisar el documento de seguridad. Revisar el acceso lgico a los datos de carcter personal (ficheros automatizados). Revisar el acceso fsico a los datos de carcter personal (ficheros automatizados y no automatizados). Revisar las polticas de copias de respaldo y gestin de soportes. Revisar el registro de incidencias. 3) Adems, para cada uno de los ficheros de nivel medio realizar lo siguiente: Revisar las anteriores auditoras. Pruebas con datos reales (Revisar que no se utilicen datos reales en pruebas como por ejemplo: pruebas de software).
( 55
4) Adems, para cada uno de los ficheros de nivel alto realizar lo siguiente: Revisar los registros de accesos. Revisar las telecomunicaciones.
56 )
10.
Quines somos?
10.1. INSTITUTO NACIONAL DE TECNOLOGAS DE LA COMUNICACIN El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a travs de proyectos del mbito de la innovacin y la tecnologa. Su objetivo es doble: por una parte, contribuir a la convergencia de Espaa con Europa en la Sociedad de la Informacin y, de otra parte, promover el desarrollo regional, enraizando en Len un proyecto con vocacin global. La misin de INTECO es impulsar y desarrollar proyectos de innovacin relacionados con el sector de las Tecnologas de la Informacin y la Comunicacin (TIC) y en general, en el mbito de la Sociedad de la Informacin, que mejoren la posicin de Espaa y aporten competitividad, extendiendo sus capacidades tanto al entorno europeo como al latinoamericano. As, el Instituto tiene la vocacin de ser un centro de desarrollo de carcter innovador y de inters pblico a nivel nacional que constituir una iniciativa enriquecedora y difusora de las nuevas tecnologas en Espaa en clara sintona con Europa. El objeto social de INTECO es la gestin, asesoramiento, promocin y difusin de proyectos tecnolgicos en el marco de la Sociedad de la Informacin. Para ello, INTECO desarrollar actuaciones, al menos, en lneas estratgicas de Seguridad Tecnolgica, Accesibilidad, Innovacin en soluciones TIC para la Pyme, e-Salud, e-Democracia. 10.2. OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN El Observatorio de la Seguridad de la Informacin se inserta dentro de la lnea estratgica de actuacin de INTECO en materia de Seguridad Tecnolgica. El Observatorio nace con el objetivo de describir de manera detallada y sistemtica el nivel de seguridad y confianza en la Sociedad de la Informacin y de generar conocimiento especializado en la materia. De este modo, se
Quines somos?
( 57
encuentra al servicio de los ciudadanos, las empresas y las administraciones pblicas espaolas para describir, analizar, asesorar y difundir la cultura de la Seguridad de la Informacin y la e-Confianza. El Observatorio ha diseado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y til en materia de seguridad por parte de INTECO, as como de elaborar recomendaciones y propuestas que definan tendencias vlidas para la toma de decisiones futuras por parte de los poderes pblicos. Dentro de este plan de accin se realizan labores de investigacin, anlisis, estudio, asesoramiento y divulgacin que atendern, entre otras, a las siguientes estrategias: Elaboracin de estudios e informes propios en materia de seguridad de las Tecnologas de la Informacin y la Comunicacin, con especial nfasis en la Seguridad en Internet. Seguimiento de los principales indicadores y polticas pblicas relacionadas con la seguridad de la informacin y la confianza en el mbito nacional e internacional. Generacin de una base de datos que permita el anlisis y evaluacin de la seguridad y la confianza con una perspectiva temporal. Impulso de proyectos de investigacin en materia de seguridad TIC. Difusin de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, as como de informacin sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Informacin.
58 )
Quines somos?
Asesoramiento a las Administraciones Pblicas en materia de seguridad de la informacin y confianza, as como el apoyo a la elaboracin, seguimiento y evaluacin de polticas pblicas en este mbito.
Quines somos?
( 59
Anexo I
Nivel bsico
Responsable de seguridad
Medidas de Seguridad
Nivel medio Nivel alto
- El responsable del fichero tiene que designar a uno o varios responsables de seguridad (no es una delegacin de responsabilidad). - El responsable de seguridad es el encargado de coordinar y controlar las medidas del documento.
Personal - Funciones y obligaciones de los diferentes usuarios o de los perfiles de usuarios claramente definidas y documentadas. - Definicin de las funciones de control y las autorizaciones delegadas por el responsable. - Difusin entre el personal, de las normas que les afecten y de las consecuencias por su incumplimiento.
60 )
Medidas de seguridad
Nivel bsico Nivel medio Nivel alto

Incidencias - Registro de incidencias: tipo, momento de su deteccin, persona que la notifica, efectos y medidas correctoras. - Procedimiento de notificacin y gestin de las incidencias. Slo ficheros automatizados - Anotar los procedimientos de recuperacin, persona que lo ejecuta, datos restaurados, y en su caso, datos grabados manualmente. - Autorizacin del responsable del fichero para la recuperacin de datos.
Control de acceso - Relacin actualizada de usuarios y accesos autorizados. - Control de accesos permitidos a cada usuario segn las funciones asignadas. - Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. - Concesin de permisos de acceso slo por personal autorizado. - Mismas condiciones para personal ajeno con acceso a los recursos de datos. Slo ficheros automatizados - Control de acceso fsico a los locales donde se encuentren ubicados los sistemas de informacin. Slo ficheros automatizados - Registro de accesos: usuario, hora, fichero, tipo de acceso, autorizado o denegado. - Revisin mensual del registro por el responsable de seguridad. - Conservacin 2 aos. - No es necesario este registro si el responsable del fichero es una persona fsica y es el nico usuario. Slo ficheros no automatizados - Control de accesos autorizados - Identificacin accesos para documentos accesibles por mltiples usuarios.
( 61

Identificacin y autenticacin Slo ficheros automatizados - Identificacin y autenticacin personalizada. - Procedimiento de asignacin y distribucin de contraseas. - Almacenamiento ininteligible de las contraseas. - Periodicidad del cambio de contraseas (<1 ao) Slo ficheros automatizados - Limite de intentos reiterados de acceso no autorizado.
Gestin de soportes - Inventario de soportes - Identificacin del tipo de informacin que contienen, o sistema de etiquetado. - Acceso restringido al lugar de almacenamiento. - Autorizacin de las salidas de soportes (incluidas a travs de e-mail). - Medidas para el transporte y el desecho de soportes. Slo ficheros automatizados - Registro de entrada y salida de soportes: documento o soporte, fecha, emisor/destinatario, nmero, tipo de informacin, forma de envo, responsable autorizada para recepcin/ entrega. Slo ficheros automatizados - Sistema de etiquetado confidencial. - Cifrado de datos en la distribucin de soportes. - Cifrado de informacin en dispositivos porttiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).
62 )

Copias de respaldo Slo ficheros automatizados - Copia de respaldo semanal - Procedimientos de generacin de copias de respaldo y recuperacin de datos. - Verificacin semestral de los procedimientos. - Reconstruccin de los datos a partir de la ltima copia. Grabacin manual en su caso, si existe documentacin que lo permita. - Pruebas con datos reales. Copia de seguridad y aplicacin del nivel de seguridad correspondiente. Criterios de archivo Slo ficheros no automatizados - El archivo de los documentos debe realizarse segn criterios que faciliten su consulta y localizacin para garantizar el ejercicio de los derechos ARCO. Almacenamiento Slo ficheros no automatizados - Dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura. Slo ficheros no automatizados - Armarios, archivadores e documentos en reas con acceso protegido con puertas con llave. Slo ficheros automatizados - Copia de respaldo y procedimientos de recuperacin en lugar diferente del que se encuentren los equipos.
( 63

Custodia de soportes Slo ficheros no automatizados - Durante la revisin o tramitacin de los documentos, la persona a cargo de los mismos debe ser diligente y custodiarla para evitar accesos no autorizados. Copia o reproduccin Slo ficheros no automatizados - Slo puede realizarse por los usuarios autorizados. - Destruccin de copias desechadas. Auditora Al menos cada dos aos, interna o externa. - Debe realizarse ante modificaciones sustanciales en los sistemas de informacin con repercusiones en seguridad. - Verificacin y control de la adecuacin de las medidas. - Informe de deteccin de deficiencias y propuestas correctoras. - Anlisis del responsable de seguridad y conclusiones al responsable del fichero.
64 )

Telecomunicaciones Slo ficheros no automatizados - Medidas que impidan el acceso o manipulacin. Traslado de documentacin Slo ficheros no automatizados - Medidas que impidan el acceso o manipulacin.
( 65
ms informacin http://www.inteco.es http://observatorio.inteco.es

Aaa Normativa Sobre Proteccion de Datos LOPD

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Aaa Normativa Sobre Proteccion de Datos LOPD

Cargado por

Copyright:

Formatos disponibles

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma

Por qu esta gua?

Por qu esta gua?

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

Por qu esta gua?

Por qu esta gua?

Por qu es necesario proteger los datos personales?

Por qu es necesario proteger los datos personales?

Por qu es necesario proteger los datos personales?

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

Por qu es necesario proteger los datos personales?

Por qu es necesario proteger los datos personales?

Cronologa de la proteccin de datos en Espaa

Cronologa de la proteccin de datos en Espaa

Cronologa de la proteccin de datos en Espaa

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

Cronologa de la proteccin de datos en Espaa

Conceptos y agentes clave en la proteccin de datos

Conceptos y agentes clave en la proteccin de datos

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

Conceptos y agentes clave en la proteccin de datos

Conceptos y agentes clave en la proteccin de datos

Proceso de adopcin de la normativa

Proceso de adopcin de la normativa

Proceso de adopcin de la normativa

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

Proceso de adopcin de la normativa

FASE I: Adaptacin de los ficheros

FASE I: Adaptacin de los ficheros

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE I: Adaptacin de los ficheros

4 Los tres documentos estn disponibles en: https://www.agpd.es/portalweb/canalresponsable/inscripcion_ficheros/Obtencion_formulario/index-ides-idphp.php

FASE I: Adaptacin de los ficheros

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE I: Adaptacin de los ficheros

FASE I: Adaptacin de los ficheros

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

Vista general del formulario NOTA (www.agpd.es)

FASE I: Adaptacin de los ficheros

FASE II: Legitimacin de datos

FASE II: Legitimacin de datos

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE II: Legitimacin de datos

INFORMAR AL INTERESADO SOBRE LA RECOGIDA DE DATOS

FASE II: Legitimacin de datos

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE II: Legitimacin de datos

FASE II: Legitimacin de datos

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE II: Legitimacin de datos

FASE II: Legitimacin de datos

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE II: Legitimacin de datos

FASE II: Legitimacin de datos

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE II: Legitimacin de datos

FASE III: Proteccin de datos e implantacin de medidas de seguridad

FASE III: Proteccin de datos e implantacin de medidas de seguridad

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE III: Proteccin de datos e implantacin de medidas de seguridad

FASE III: Proteccin de datos e implantacin de medidas de seguridad

Gua para empresas: cmo adaptarse a la normativa sobre proteccin de datos

FASE III: Proteccin de datos e implantacin de medidas de seguridad

FASE III: Proteccin de datos e implantacin de medidas de seguridad