ESSSCAN Proteccion Datos ESSGC 30 11 2011 ASC

ESSSCAN
Gran Canaria, 30 de
noviembre de 2011
- Protección de Datos -
Índice
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
Escuela de Servicios Sanitarios y Sociales de Canarias

Repaso
• Datos de Carácter Personal, DCP
• Fichero
• Principios
o Finalidad determinada, explícita y legítima
o Tratamiento adecuado, pertinente y no excesivo
o Seguridad de los datos
• Derechos
o Información
o Consentimiento para el tratamiento de los DCP
o ARCO (Acceso, Rectificación, Cancelación y Oposición)

Concepto de fichero
Mapa de ficheros de los SRS
R e s u m e n d e f i c he r o s p o r C o m u n i d a d y á m b i t o t e r ri t o r i a l
Total
Población INE
Comunidad Autónoma Total % Regional Área Gerencial Centro % ajustado
ene-2009
Población
Madrid 2.778 54,3% 325 0 852 1.601 6.386.932 13,7% 435
Castilla y León 459 9,0% 74 56 329 0 2.563.521 5,5% 179
País Vasco 321 6,3% 56 69 196 0 2.172.175 4,6% 148
Cataluña 275 5,4% 106 7 160 2 7.475.420 16,0% 37
Andalucía 220 4,3% 128 86 6 0 8.302.923 17,8% 26
Valencia 178 3,5% 101 9 68 0 5.094.675 10,9% 35
Extremadura 142 2,8% 34 74 34 0 1.102.410 2,4% 129
Murcia 127 2,5% 60 0 67 0 1.446.520 3,1% 88
Islas Baleares 109 2,1% 47 0 62 0 1.095.426 2,3% 100
Canarias 108 2,1% 60 11 37 0 2.103.992 4,5% 51
Aragón 105 2,1% 37 32 36 0 1.345.473 2,9% 78
Principado Asturias 89 1,7% 44 0 45 0 1.085.289 2,3% 82
Castilla La Mancha 61 1,2% 61 0 0 0 2.081.313 4,5% 29
Ceuta y Melilla 41 0,8% 11 14 12 4 152.134 0,3% 269
Cantabria 39 0,8% 24 0 15 0 589.235 1,3% 66
La Rioja 33 0,6% 33 0 0 0 321.702 0,7% 103
Navarra 30 0,6% 29 0 1 0 630.578 1,3% 48
Galicia 12 0,2% 12 0 0 0 2.796.089 6,0% 4
Subtotales 5127 1242 358 1920 1607 46.745.807

Concepto de fichero
2.504.844 ficheros, de los cuales 181.661 de Sanidad

Comunidades de propietarios, PYMES y sector sanitario

Índice
• Repaso
• Videovigilancia

Concepto de seguridad
• Seguridad no es un producto
• Seguridad es un proceso
• Seguridad es condición previa para el tratamiento
• Seguridad son medidas técnicas y ORGANIZATIVAS
• Tener un Documento de Seguridad y CUMPLIRLO

Dimensiones de la seguridad
• Dimensiones de la seguridad
SEGURIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
INTEGRIDAD
Dimensiones de la seguridad
• Dimensiones de la seguridad - ENS
SEGURIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
AUTENTICIDAD
TRAZABILIDAD
INTEGRIDIDAD
Índice
• Repaso
• Videovigilancia

Niveles de seguridad RLOPD
• Niveles de seguridad RLOPD
Identificativos
NIVEL
Características Personales
Circunstancias Sociales BÁSICO
Académicos y Profesionales
Empleo y Carrera Administrativa
Información Comercial
Económico - Financieros
Transacciones
Infracciones Administrativas y Penales NIVEL

Hacienda Pública MEDIO
Potestades Tributarias
Servicios Seguridad Social y Mutuas
Conjunto de datos de personalidad
Prestación de Servicios Financieros
Solvencia Patrimonial y Crédito
NIVEL
Ideología, religión, creencias, origen racial ALTO
Afiliación sindical
salud y vida sexual
Fines policiales
Violencia de género

Índice
• Repaso
• Videovigilancia

El Documento de Seguridad
• Documento de Seguridad (I)

• El documento de seguridad es un documento aprobado por el Responsable
del Fichero que recoge las medidas de índole técnica y organizativa acordes
a la normativa de seguridad vigente
• Es de obligado cumplimiento para el personal con acceso a los sistemas de
información y tiene carácter de documento interno de la organización
• Se entiende por sistemas de información el conjunto de ficheros
automatizados y manuales, programas informáticos, soportes y equipos
empleados para el almacenamiento y tratamiento de los datos de carácter
personal

El Documento de Seguridad
• Documento de Seguridad (y II)

• Ámbito de aplicación del documento y los recursos protegidos
• Medidas de seguridad (normas, procedimientos, reglas y estándares) para
garantizar el nivel de seguridad exigido en la normativa vigente
• Funciones y normas de conducta obligatoria común para el personal
• Estructura de los ficheros con datos personales y descripción de los
sistemas de información que los tratan
• Procedimiento de notificación, gestión y respuesta ante las incidencias
• Procedimientos de realización de copias de respaldo y de recuperación
• Medidas a adoptar para el transporte de soportes y documentos
• Medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado
• Controles periódicos que se deban realizar para verificar el cumplimiento de
lo dispuesto en el propio documento de seguridad

Medidas de seguridad – Nivel básico
• Funciones y obligaciones del personal

• Responsable del fichero
• Responsable de seguridad
• Encargado del tratamiento
• Funciones y obligaciones que aplican a todo el personal

• Registro de incidencias
• Una incidencia es evento esporádico que puede suponer un peligro para la
seguridad de la información
• El registro de incidencias garantiza la prevención y la seguridad de la
información y es una herramienta imprescindible para la elaboración de los
informes periódicos de autocontrol
• De cada incidencia debe registrarse:
• el tipo de incidencia
• fecha y hora en que se ha producido
• la persona que realiza la notificación
• a quién se le comunica
• los efectos que se hubieran derivado de la misma
• las medidas correctoras aplicadas
• Ejemplos: olvido de contraseñas, la pérdida de archivos, entradas de virús,
recuperación de una copia de seguridad…

• Control de acceso (I)

• Los usuarios tienen acceso solamente a aquellos recursos que necesitan
para desarrollar sus funciones
• Los perfiles de usuario son los accesos autorizados para un grupo de
usuarios
• El responsable de fichero se encargará de que exista una relación
actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para
cada uno de ellos
• Una relación de usuarios es una relación de personas autorizadas a acceder
a un sistema de información
• Procedimiento formal de alta de un usuario, baja de un usuario…
• ¿Qué hacemos cuando un empleado deja el servicio en el que está
trabajando?

• Control de acceso (y II)

• Gestión de soportes y documentos (I)

• Soportes: Cintas de video, CDs, DVDs, USBs, cintas DAT, etc.
• Deben estar inventariados; sólo el personal autorizado podrá acceder a ellos
• Su salida debe estar autorizada por el Responsable del Fichero. ¡Ojo con los
adjuntos del correo electrónico!
• Durante su traslado se tomarán las medidas para evitar su sustracción,
pérdida o acceso indebido

• Gestión de soportes y documentos (II)

• Deben etiquetarse de manera que se identifique su contenido
• La identificación de soportes que contengan datos especialmente sensibles
se realizará utilizando sistemas de etiquetado comprensibles y con
significado que permitan al personal con acceso autorizado identificar su
contenido y lo dificulten al resto
• Para desechar soportes y documentos, se hará de manera que sea
imposible su recuperación

• Gestión de soportes y documentos (y III)

• Identificación y autenticación


• Identificación y autenticación (I)

• El acceso a los datos debe estar protegido mediante una llave de acceso;
identificador y contraseña o código de autenticación
• La contraseña permite la comprobación de la identidad del usuario; es
personal, intransferible y secreta
Úsalo cada día

Cámbialo regularmente
NO lo compartas con tus amigos

• Identificación y autenticación (II)

• Procedimiento de asignación, distribución y almacenamiento que garantice
su confidencialidad e integridad
Buenas prácticas Malas prácticas
Cambiar la contraseña en el primer La primera contraseña igual al

acceso identificador de usuario
Generar una contraseña aleatoria (de
Comunicar la contraseña por teléfono
verdad)
La contraseña nunca aparece visible Almacenar las contraseñas en claro
en pantalla

• Identificación y autenticación (y III)

• Elección de contraseñas
Buenas prácticas Malas prácticas

Longitud mínima de 6 caracteres; Utilizar nombres, topónimos, ni
recomendado 8; no más de 16 palabras del diccionario
Utilizar tanto mayúsculas como Utilizar datos personales o familiares
minúsculas, incluyendo números evidentes, como DNI´s, teléfonos, etc.
Cambiar la contraseña periódicamente Compartir la contraseña, apuntarla en
sin seguir un ciclo un papel, enviarla por email, SMS…
Las contraseñas largas y complicadas

• Copias de respaldo y recuperación

• Copias de respaldo; periodicidad mínima semanal
• Procedimientos de recuperación
• El Responsable del Fichero verificará cada seis meses su correcta definición

• Entornos de prueba
• Las pruebas anteriores a la implantación o modificación de un SI, no se
realizarán con datos reales
• Si se usaran, se aplicarán las mismas medidas de seguridad que a los datos
de producción
PROD PREPROD

Medidas de seguridad – Nivel medio
• Responsable de seguridad
• Es la persona encargada de coordinar y controlar las medidas técnicas,
lógicas y organizativas definidas en el Documento de Seguridad
• Por tanto, ha de ser una persona con las atribuciones o el respaldo
suficientes dentro de la organización para poder realizar, u ordenar la
realización, de las acciones definidas en el Documento de Seguridad
• Está obligado a realizar una auditoría interna periódica y a dar cuenta del
grado de cumplimiento de las medidas de seguridad exigidas en el
Documento de Seguridad
• Esta designación no supone una exoneración de la responsabilidad del
Responsable del Fichero

• Auditorías – Externas e internas

• Cada dos años, se está obligado a realizar una auditoría interna periódica y
a dar cuenta del grado de cumplimiento de las medidas de seguridad
exigidas en el Documento de Seguridad
• Con carácter extraordinario se realizará una auditoría siempre que se
realicen modificaciones sustanciales en los sistemas de información
• El resultado de la auditoría será un informe de auditoría que dictamine
sobre la adecuación de las medidas y los controles a la LOPD y su
reglamento, identificar deficiencias y proponer medidas correctoras o
complementarias; incluirá los datos, hechos y observaciones en que se
basen los dictámenes alcanzados y las medidas propuestas
• El Responsable de Seguridad elevará el informe de auditoría al Responsable
del Fichero para que se tomen las medidas oportunas; el informe queda a
disposición de la AEPD

• Gestión de soportes y documentos

• Registro de entrada
• Registro de salida
• Estos registros contendrán:
• Tipo de documento o soporte
• Fecha y Hora
• Emisor/Destinatario
• Número de documentos o soportes incluidos en el envío
• Tipo de información que contienen
• Forma del envío
• Persona responsable de la recepción/entrega (debidamente autorizada)

• Se limitará la posibilidad de intentar
reiteradamente el acceso no
autorizado al sistema de información
• Se previenen así los intentos de
acceso de personas no autorizadas,
“ataques” mediante robots, etc.
• Control de acceso físico

• Sólo el personal autorizado en el Documento de Seguridad podrá tener
acceso a los lugares donde se hallen instalados los equipos físicos que den
soporte a los sistemas de información

• Registro de incidencias
• En el registro de incidencias, se consignarán los procedimientos realizados
de recuperación de datos, indicando:
• Persona que ejecuta el proceso
• Datos restaurados
• Qué datos ha sido necesario restaurar manualmente (en su caso)
• La recuperación deberá ser autorizada por el responsable del fichero

Medidas de seguridad – Nivel alto
• Gestión y distribución de soportes

• La distribución de soportes con datos de carácter personal de nivel alto se
realizará cifrando dichos datos o utilizando mecanismos que garanticen que
dicho transporte no sea accesible o manipulable durante su transporte
• Esto aplica para los dispositivos portátiles fuera de las instalaciones de la
organización

• Copias de respaldo y recuperación

• Deberá conservarse una copia de respaldo de los datos y de los
procedimientos de recuperación en un lugar diferente de aquel en que se
encuentran los equipos informáticos que los tratan

• Registro de accesos
• De cada intento de acceso se guardarán:
• la identificación del usuario
• la fecha y la hora en que se realizó
• el fichero accedido
• el tipo de acceso
• si fue autorizado o no
• si lo fue, a qué registro accedió
• Este registro debe estar bajo control director del responsable de seguridad
• No debe ser desactivado
• Se conservará durante dos años
• El responsable de seguridad lo revisará mensualmente

• Telecomunicaciones
• La transmisión de datos a través de redes
públicas o redes inalámbricas se realizará cifrando
dichos datos o utilizando cualquier otro mecanismo
que garantice que la información no sea inteligible
ni manipulada por terceros:
• Medio de transmisión codificado
• Certificados digitales que permiten codificar de
manera transparente para el usuario final
• Comprimiendo y aplicando contraseña

Medidas de seguridad – No automatizado
• Nivel básico – Criterios de archivo

• Criterios de archivo que permitan la correcta conservación, la localización y
consulta de la información y posibilitar el ejercicio de los derechos ARCO

• Nivel básico – Criterios de archivo

• Criterios de archivo que permitan la correcta conservación, la localización y
consulta de la información y posibilitar el ejercicio de los derechos ARCO

• Nivel básico – Dispositivos de almacenamiento
• Deberán disponer de mecanismos

que obstaculicen su apertura. Si no
fuera posible, se adoptarán las
medidas que impidan el acceso a la
documentación a las personas no
autorizadas.

• Nivel básico – Custodia de los soportes
• Mientras la documentación no se encuentre archivada, por estar en

proceso de revisión o tramitación, la persona que se encuentre a cargo de
la misma deberá custodiarla e impedir en todo momento que pueda ser
accedida por persona no autorizada.
• Ejemplo: Mandar a la impresora un documento y no recogerlo hasta
pasados unos minutos.

• Nivel medio
• Aplican las medidas ya comentadas de la designación de un Responsable

de Seguridad y de la obligación de realizar auditorías cada dos años.

• Nivel alto – Almacenamiento de la información
• Los armarios, archivadores u otros

elementos similares deberán encontrarse en
áreas en las que el acceso esté protegido con
puertas de acceso dotadas de sistemas de
apertura con llave o similar. Dichas áreas
permanecerán cerradas cuando no sea
necesario el acceso a los documentos
• Se podrán adoptar medidas equivalentes,
justificándolo en el documento de seguridad

• Nivel alto – Copia o reproducción
• La generación de copias o reproducción de los documentos únicamente se

hará bajo el control de personal autorizado en el documento de seguridad
• Se destruirán las copias o reproducciones desechadas de manera segura

• Nivel alto – Acceso a la documentación
• El acceso a la documentación se limitará exclusivamente

al personal autorizado
• Se establecerán mecanismos que permitan identificar
los accesos realizados en el caso de documentos que
puedan ser utilizados por múltiples usuarios
• El acceso de personas no incluidas en el párrafo anterior
deberá quedar adecuadamente registrado

• Nivel alto – Traslado de la documentación
• Siempre que se proceda al traslado físico de

la documentación contenida en un fichero,
deberán adoptarse medidas dirigidas a impedir
el acceso o manipulación de la información
objeto de traslado

Índice
• Repaso
• Videovigilancia

Instrucción nº 04/10
• Instrucción nº 04/10 del Director del SCS
• Relativa a la actuación del personal del SCS que, con motivo del desempeño
de su puesto de trabajo, trata datos de carácter personal
• Instrucción nº 21/08 previa, dirigida a los órganos centrales y territoriales
del SCS con el objeto de que, antes de recoger y tratar DCP en su ámbito
funcional y territorial de actuación, se crease el fichero correspondiente.
• La instrucción está dirigida al personal
• Prevista instrucción relativa al envío de correos electrónicos que contengan

datos de nivel alto

• Tratamiento de DCP
o Existencia previa del fichero
o Definiciones
o Tratamientos temporales
• Deber de confidencialidad
o Secreto profesional, aun después su relación con el SCS
o Comunicación DCP, previa autorización
• Gestión de soportes y documentos
o No se podrá sacar ninguno que contenga DCP (email!!) sin autorización
o Durante el traslado, medidas que eviten la sustracción, pérdida o acceso
indebido a la información
o Cuando vayan a desecharse, deberá procederse a la destrucción o borrado,
evitando el acceso o recuperación posterior de la información

• Ficheros automatizados
o Gestión de contraseñas: personal, cambio, bloqueo
o Puestos de trabajo: instalación de sw, finalidad del uso, apagar, bloqueo,
impresoras, almacenamiento externo (la nube)
o Dispositivos portátiles y acceso desde fuera de las instalaciones
• Ficheros no automatizados
o Bajo llave
o Estancias bajo llave
o Mientras no esté archivada, custodia
• Gestión de incidencias
• Jefes de Servicio, de Sección o Negociado
o Circuitos en tratamientos no automatizados
• Incumplimiento: responsabilidad disciplinaria, administrativa o penal

Índice
• Repaso
• Videovigilancia

Videovigilancia
Memoria 2009 AEPD: La difusión de datos en

Internet, la videovigilancia y la inclusión
indebida en listas de morosidad son los
principales motivos de reclamación ante la
AEPD en 2009.
Durante el año 2010 se inscribieron 31.443

ficheros de titularidad privada cuya finalidad es
la videovigilancia.
Casi un 30% de las resoluciones sancionadores

emitidas por la AEPD son en materia de
videovigilancia; es la materia con mayor
número de infracciones declaradas y sanciones
impuestas.
La imagen es un dato de carácter personal

La videovigilancia supone la aplicación de los principios de la LOPD
Los sistemas de videovigilancia pueden ser utilizados para diversos fines

Videovigilancia
Fines:
• Seguridad
o Protección de personas físicas y edificios
o Detención, prevención y control de delitos
o Vigilancia de plazas y calles
o Control de eventos deportivos
• Otros fines
o Control de la prestación laboral
o Disciplina de tráfico y seguridad vial
o Control de acceso de vehículos a zonas delimitadas o de estacmto. regulado.
o Monitorización de pacientes, telemedicina e investigación

Videovigilancia
Las Autoridades de Control, así como la jurisprudencia han delimitado una serie de
supuestos en los que no se puede utilizar la videovigilancia, ya que su uso sería
desproporcional en relación con su finalidad. Entre estas prohibiciones destacan las
siguientes:
• En baños y aseos
• Salas para cambiarse la ropa en el trabajo
• Captación de imágenes para finalidad de marketing
Una empresa de seguridad fue sancionada con más de 60.000 Euros porque su
personal utilizaba las cámaras de seguridad instaladas en un aeropuerto para
enfocar determinadas partes de la anatomía femenina
Un grupo de vecinos obligó al Ayuntamiento de su municipio a retirar cámaras
de videovigilancia porque enfocaban el interior de sus viviendas
Una importante empresa española fue sancionada porque colocó los monitores
de supervisión de imágenes captadas por los dispositivos de videovigilancia a
la vista de sus clientes
Videovigilancia
Necesario el consentimiento del afectado salvo ley

que habilite su uso (p.e. Estatuto Trabajador o Ley
de Seguridad Privada) o en el plano doméstico que
no traspase dominio público.
Comisiones de Garantía de Videovigilancia : órganos

colegiados territoriales (TSJC)(uso, por parte de la
polícia, en lugares públicos)
Obligaciones:
• Legitimación: Principio de calidad (adecuados,
pertinentes, no excesivos), proporcionalidad
(alternativas) y finalidad del tratamiento (legítimas,
determinadas y explícitas)
• Deber de información: carteles y folletos
• Deber de secreto y seguridad
• Derechos ARCO
• Cancelación: 1 mes máximo
• Creación y notificación fichero
• Formación empleados
Con carácter general, medidas de seguridad de nivel básico.

Videovigilancia
Normativa aplicable
• Dictamen 4/2004 del Grupo de Trabajo 29 (Directiva 95/46/CE)
• AEPD Instrucción 1/2006 (comunidades con autoridades propias)
• AEPD Instrucción 1/1996 (control acceso a edificios)
• Ley Orgánica 1/1992, de 21 de febrero, sobre protección de la seguridad ciudadana.
• Ley 23/1992, de 30 de julio, de Seguridad Privada y su Reglamento (Real Decreto
2364/1994, de 9 de diciembre)
• Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de
videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.
• Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la
intolerancia en el deporte y su Reglamento (Real Decreto 203/2010, de 26 de febrero)
• Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto
Refundido de la Ley del Estatuto de los Trabajadores.
• Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su
adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio,
conocida como Ley Omnibus.

Videovigilancia
Datos y preguntas
Antes de instalar un sistema de videovigilancia en la vía pública hay que tener
autorización de la Comisión de Videovigilancia
Si se contrata con un tercero la gestión del sistema de videovigilancia, ¿cuál es su
responsabilidad?
¿Se cumple el deber de información con carteles como “Sonría, le están grabando”?
¿Cuándo se pueden ceder imágenes recogidas por una cámara de videovigilancia?
En el ámbito laboral, ¿tienen los trabajadores derecho a ser informados previamente
de la instalación de un sistema de videovigilancia y a saber donde están las cámaras?
El uso de las cámaras instaladas en un establecimiento comercial, ¿se puede utilizar
para el estudio de hábitos de consumo de los clientes?
¿Se pueden instalar cámaras en zonas de descanso (p.e. vestuarios)? Supone una
vulneración grave de los derechos fundamentales de los trabajadores, como la
privacidad, la intimidad o la imagen
Antes de instalar un sistema de videovigilancia hay que preguntarse si es
estrictamente necesario; ¿hay alternativas menos intrusivas para la privacidad?

Índice
• Repaso
• Videovigilancia

Encargos de tratamiento
• La Ley 30/2007, de 30 de octubre, de Contratos del Sector Público hace

referencia expresa a la protección de datos en materia de contratación pública:
o Ha de cumplirse la LOPD y el RLOPD

o Contratista = encargado. Recoge, accede o trata DCP
o Acciones tras la finalización del contrato: destrucción, devolución, bloqueo
o Aparece el término subencargado (el contrato debe permitir la subcontratación)
• Todo Contrato suscrito por la Administración con un tercero para la prestación de un

servicio que conlleve tratamiento de datos personales, queda sometido a la LOPD, en
particular, a su artículo 12
• Los artículos 20 a 22 del Reglamento desarrollan las relaciones con responsable
• En el momento de suscribir el contrato de prestación de servicios, deberá tenerse en

cuenta la relación entre el órgano de contratación y el responsable del fichero
• Cómo incorporar el encargo al contrato:
o Mediante un contrato específico

o Como un anexo al contrato
o Como cláusula del PPT
o Como cláusula del PCAP
El artículo 12 de la LOPD establece el contenido del contrato de encargo:
• (i) Compromiso de no tratar los datos con otra finalidad, (ii) compromiso de tratar
los DCP de acuerdo con las instrucciones del responsable, (iii) compromiso de no
comunicarlos a otras personas y (iv) medidas de seguridad que deberá implementar.
Se recomienda que incluya las siguientes cuestiones:
• Identificación de los ficheros DCP afectados

• Si procede, la existencia de comunicaciones a otros encargados
• Cesiones autorizadas por el responsable del tratamiento
• Acciones a la finalización de la prestación o vigencia de su responsabilidad
• Recabar consentimiento si recoge DCP por cuenta del responsable fichero, RF
• Cumplir el deber de información si recoge datos por cuenta del RF
• Determinar cómo atender los derechos ARCO del afectado
• Posibilidad o no de subcontratación y en qué condiciones
• Llevanza DS cuando se incorporan y tratan en los sistemas del encargado
• Comunicación inmediata al responsable de las incidencias producidas
• Formar a sus trabajadores
• Sistema de tratamiento y características
• Medidas de seguridad, especificándose el nivel de seguridad
• Seguir aquella instrucciones que el responsable estime convenientes

Supuestos de trabajo del encargado de tratamiento

• Utiliza sistemas y locales del responsable
• Utiliza sistemas del responsable de forma remota
• Aloja los sistemas del responsable en locales del encargado
• Los sistemas los proporciona el encargado en los locales del responsable
• El encargado usa sus propios locales y sistemas
• No mecaniza ni accede pero si recoge
• No trata, accede ni recoge DCP pero está en contacto con los datos
Régimen sancionador
• Cuando destina los datos a otra finalidad sin consentimiento del afectado
• Cuando comunica al margen del responsable (u otro encargado)
• Cuando trata los datos incumpliendo estipulaciones del encargo
• Cuando no implanta medidas de seguridad estipuladas

Índice
• Repaso
• Videovigilancia

Esquema Nacional de Seguridad
ENS y LOPD, dos enfoques (Sistemas y Datos) para una

misma necesidad: SEGURIDAD
Normativa:
• Ley 11/2007 LAECAP (RD 1671/2009 AGE)
• RD 3/2010 (ENS)
• Guías CCN, Documentos INTECO y CSAE, ISO 27000
Finalidad: Establecer políticas de seguridad de los sistemas, los datos, las
comunicaciones y los servicios electrónicos que promueva la confianza de los
ciudadanos en la Admon Electrónica
Ámbito de aplicación (art 2 ley 11): AGE, CCAA, AALL, Entes Públicos, ciudadanos
y relaciones entre AAPP
Entrada en vigor:
Los nuevos sistemas han de cumplir el ENS
Los existentes: 4 años para aplicar las medidas de seguridad
(30 enero 2014)

Principios básicos (art. 4):

• Seguridad integral: Se excluyen actuaciones puntuales o coyunturales
• Análisis y Gestión de riesgos continuo
• Prevención, reacción y recuperación
• Líneas de defensa: Múltiples capas
• Reevaluación periódica: Auditorías cada 2 años, mejora continua
Requisitos mínimos de seguridad (art. 11):

(a) Organización e implantación del proceso de seguridad, (b) Análisis y gestión de los riesgos, (c)
Gestión de personal, (d) Profesionalidad, (e) Autorización y control de los accesos, (f) Protección de las
instalaciones, (g) Adquisición de productos, (h) Seguridad por defecto, (i) Integridad y actualización
del sistema, (j) Protección de la información almacenada y en tránsito, (k) Prevención ante otros
sistemas de información interconectados (perímetro), (l) Registro de actividad, (m) Incidentes de
seguridad, (n) Continuidad de la actividad, (o) Mejora continua del proceso de seguridad

Categorías de los Sistemas: Se basa en la valoración del

impacto que tendría un incidente en la capacidad de la
Organización para
• Alcanzar sus objetivos
• Proteger los activos a su cargo
• Cumplir sus obligaciones diarias de servicio
• Respetar la legalidad vigente
• Respetar los derechos de las personas
Determinación del nivel de seguridad requerido (por

dimensión):
Nivel BAJO: perjuicio limitado
Nivel MEDIO: perjuicio grave
Nivel ALTO: perjuicio muy grave

Categoría de los Sistemas de Información: Será función

del mayor de los niveles de seguridad que le son aplicables:
ALTO: Si alguna de sus dimensiones requiere medidas de
nivel alto
MEDIO: Si alguna de sus dimensiones requiere medidas de
nivel medio y ninguna el nivel alto
BÁSICO: Si alguna de sus dimensiones requiere medidas de
nivel bajo y ninguna el nivel alto o medio

Índice
• Repaso
• Videovigilancia

Informe de la AEPD - Hospitales
• Mantener actualizada la inscripción de ficheros.

• Incluir cláusulas informativas en los impresos y adaptarlas en función del
fichero en el que se van a incluir los datos.
• Colocar carteles informativos sobre el derecho a la protección de datos.
• Informar al personal de limpieza sobre la necesidad de garantizar la
confidencialidad de los datos.
• Aplicar procedimientos de disociación de los datos de carácter personal en los
tratamientos de datos que hayan sido externalizados.

Informe de la AEPD - Hospitales
• Registrar todos los accesos realizados a los historiales clínicos.

• Realizar auditorias que verifiquen si el personal utiliza los datos para la
finalidad que justificó el acceso.
• Almacenar los archivos físicos de historias clínicas en áreas con acceso
protegido mediante llave o dispositivo equivalente y en archivadores que
dispongan de mecanismos que obstaculicen su apertura.
• Custodiar la documentación clínica de pacientes cuando ésta no se encuentre
archivada impidiendo que pueda ser accedida por terceros.
• Adoptar medidas para evitar la pérdida o sustracción de la documentación
durante su transporte.
• Realizar la auditoría bienal de seguridad del fichero de historias clínicas y de
otros que puedan contener datos relativos a la salud de las personas.

Índice
• Repaso
• Videovigilancia

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos
• Fichero de Tarjeta Sanitaria

• Acogimiento familiar

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos
Informe 167/2005 de la AEPD acerca de la Naturaleza y alcance del derecho de acceso

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Casos prácticos

Noticias

Noticias

Noticias

Noticias

Noticias

Noticias

Fin
Oficina de Seguridad de la Información

aepd.scs@gobiernodecanarias.org
Alfonso Sánchez Cañestro

asancan.scs@gmail.com
¡Gracias!

ESSSCAN Proteccion Datos ESSGC 30 11 2011 ASC

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ESSSCAN Proteccion Datos ESSGC 30 11 2011 ASC

Cargado por

Copyright:

Formatos disponibles

ESSSCAN

Escuela de Servicios Sanitarios y Sociales de Canarias

• Datos de Carácter Personal, DCP

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

2.504.844 ficheros, de los cuales 181.661 de Sanidad

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

• Seguridad es condición previa para el tratamiento

• Seguridad son medidas técnicas y ORGANIZATIVAS

• Tener un Documento de Seguridad y CUMPLIRLO

Escuela de Servicios Sanitarios y Sociales de Canarias

• Dimensiones de la seguridad - ENS

Escuela de Servicios Sanitarios y Sociales de Canarias

• Niveles de seguridad RLOPD

Infracciones Administrativas y Penales NIVEL

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

• Documento de Seguridad (I)

Escuela de Servicios Sanitarios y Sociales de Canarias

• Documento de Seguridad (y II)

Escuela de Servicios Sanitarios y Sociales de Canarias

• Funciones y obligaciones del personal

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

• Control de acceso (I)

Escuela de Servicios Sanitarios y Sociales de Canarias

• Control de acceso (y II)

Escuela de Servicios Sanitarios y Sociales de Canarias

• Gestión de soportes y documentos (I)

Escuela de Servicios Sanitarios y Sociales de Canarias

• Gestión de soportes y documentos (II)

Escuela de Servicios Sanitarios y Sociales de Canarias

• Gestión de soportes y documentos (y III)

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

• Identificación y autenticación (I)

Úsalo cada día

Escuela de Servicios Sanitarios y Sociales de Canarias

• Identificación y autenticación (II)

Buenas prácticas Malas prácticas

Cambiar la contraseña en el primer La primera contraseña igual al

Escuela de Servicios Sanitarios y Sociales de Canarias

• Identificación y autenticación (y III)

Buenas prácticas Malas prácticas

Escuela de Servicios Sanitarios y Sociales de Canarias

• Copias de respaldo y recuperación

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

Escuela de Servicios Sanitarios y Sociales de Canarias

• Auditorías – Externas e internas

Escuela de Servicios Sanitarios y Sociales de Canarias

• Gestión de soportes y documentos

Escuela de Servicios Sanitarios y Sociales de Canarias

• Control de acceso físico

Escuela de Servicios Sanitarios y Sociales de Canarias

• La recuperación deberá ser autorizada por el responsable del fichero

Escuela de Servicios Sanitarios y Sociales de Canarias

• Gestión y distribución de soportes

Escuela de Servicios Sanitarios y Sociales de Canarias

• Copias de respaldo y recuperación

Escuela de Servicios Sanitarios y Sociales de Canarias