Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gran Canaria, 30 de
noviembre de 2011
- Protección de Datos -
Índice
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
• Fichero
• Principios
o Finalidad determinada, explícita y legítima
o Tratamiento adecuado, pertinente y no excesivo
o Seguridad de los datos
• Derechos
o Información
o Consentimiento para el tratamiento de los DCP
o ARCO (Acceso, Rectificación, Cancelación y Oposición)
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
• Seguridad no es un producto
• Seguridad es un proceso
• Dimensiones de la seguridad
SEGURIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
INTEGRIDAD
Escuela de Servicios Sanitarios y Sociales de Canarias
Dimensiones de la seguridad
SEGURIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
AUTENTICIDAD
TRAZABILIDAD
INTEGRIDIDAD
Escuela de Servicios Sanitarios y Sociales de Canarias
Índice
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
Identificativos
NIVEL
Características Personales
Circunstancias Sociales BÁSICO
Académicos y Profesionales
Empleo y Carrera Administrativa
Información Comercial
Económico - Financieros
Transacciones
NIVEL
Ideología, religión, creencias, origen racial ALTO
Afiliación sindical
salud y vida sexual
Fines policiales
Violencia de género
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
• Registro de incidencias
• Una incidencia es evento esporádico que puede suponer un peligro para la
seguridad de la información
• El registro de incidencias garantiza la prevención y la seguridad de la
información y es una herramienta imprescindible para la elaboración de los
informes periódicos de autocontrol
• De cada incidencia debe registrarse:
• el tipo de incidencia
• fecha y hora en que se ha producido
• la persona que realiza la notificación
• a quién se le comunica
• los efectos que se hubieran derivado de la misma
• las medidas correctoras aplicadas
• Ejemplos: olvido de contraseñas, la pérdida de archivos, entradas de virús,
recuperación de una copia de seguridad…
• Identificación y autenticación
• Identificación y autenticación
• Entornos de prueba
• Las pruebas anteriores a la implantación o modificación de un SI, no se
realizarán con datos reales
• Si se usaran, se aplicarán las mismas medidas de seguridad que a los datos
de producción
PROD PREPROD
• Responsable de seguridad
• Es la persona encargada de coordinar y controlar las medidas técnicas,
lógicas y organizativas definidas en el Documento de Seguridad
• Por tanto, ha de ser una persona con las atribuciones o el respaldo
suficientes dentro de la organización para poder realizar, u ordenar la
realización, de las acciones definidas en el Documento de Seguridad
• Está obligado a realizar una auditoría interna periódica y a dar cuenta del
grado de cumplimiento de las medidas de seguridad exigidas en el
Documento de Seguridad
• Esta designación no supone una exoneración de la responsabilidad del
Responsable del Fichero
• Identificación y autenticación
• Se limitará la posibilidad de intentar
reiteradamente el acceso no
autorizado al sistema de información
• Se previenen así los intentos de
acceso de personas no autorizadas,
“ataques” mediante robots, etc.
• Registro de incidencias
• En el registro de incidencias, se consignarán los procedimientos realizados
de recuperación de datos, indicando:
• Persona que ejecuta el proceso
• Datos restaurados
• Qué datos ha sido necesario restaurar manualmente (en su caso)
• Registro de accesos
• De cada intento de acceso se guardarán:
• la identificación del usuario
• la fecha y la hora en que se realizó
• el fichero accedido
• el tipo de acceso
• si fue autorizado o no
• si lo fue, a qué registro accedió
• Este registro debe estar bajo control director del responsable de seguridad
• No debe ser desactivado
• Se conservará durante dos años
• El responsable de seguridad lo revisará mensualmente
• Telecomunicaciones
• La transmisión de datos a través de redes
públicas o redes inalámbricas se realizará cifrando
dichos datos o utilizando cualquier otro mecanismo
que garantice que la información no sea inteligible
ni manipulada por terceros:
• Medio de transmisión codificado
• Certificados digitales que permiten codificar de
manera transparente para el usuario final
• Comprimiendo y aplicando contraseña
• Nivel medio
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
• Relativa a la actuación del personal del SCS que, con motivo del desempeño
de su puesto de trabajo, trata datos de carácter personal
• Instrucción nº 21/08 previa, dirigida a los órganos centrales y territoriales
del SCS con el objeto de que, antes de recoger y tratar DCP en su ámbito
funcional y territorial de actuación, se crease el fichero correspondiente.
• La instrucción está dirigida al personal
• Tratamiento de DCP
o Existencia previa del fichero
o Definiciones
o Tratamientos temporales
• Deber de confidencialidad
o Secreto profesional, aun después su relación con el SCS
o Comunicación DCP, previa autorización
• Gestión de soportes y documentos
o No se podrá sacar ninguno que contenga DCP (email!!) sin autorización
o Durante el traslado, medidas que eviten la sustracción, pérdida o acceso
indebido a la información
o Cuando vayan a desecharse, deberá procederse a la destrucción o borrado,
evitando el acceso o recuperación posterior de la información
• Ficheros automatizados
o Gestión de contraseñas: personal, cambio, bloqueo
o Puestos de trabajo: instalación de sw, finalidad del uso, apagar, bloqueo,
impresoras, almacenamiento externo (la nube)
o Dispositivos portátiles y acceso desde fuera de las instalaciones
• Ficheros no automatizados
o Bajo llave
o Estancias bajo llave
o Mientras no esté archivada, custodia
• Gestión de incidencias
• Jefes de Servicio, de Sección o Negociado
o Circuitos en tratamientos no automatizados
• Incumplimiento: responsabilidad disciplinaria, administrativa o penal
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
Fines:
• Seguridad
o Protección de personas físicas y edificios
o Detención, prevención y control de delitos
o Vigilancia de plazas y calles
o Control de eventos deportivos
• Otros fines
o Control de la prestación laboral
o Disciplina de tráfico y seguridad vial
o Control de acceso de vehículos a zonas delimitadas o de estacmto. regulado.
o Monitorización de pacientes, telemedicina e investigación
Las Autoridades de Control, así como la jurisprudencia han delimitado una serie de
supuestos en los que no se puede utilizar la videovigilancia, ya que su uso sería
desproporcional en relación con su finalidad. Entre estas prohibiciones destacan las
siguientes:
• En baños y aseos
• Salas para cambiarse la ropa en el trabajo
• Captación de imágenes para finalidad de marketing
Una empresa de seguridad fue sancionada con más de 60.000 Euros porque su
personal utilizaba las cámaras de seguridad instaladas en un aeropuerto para
enfocar determinadas partes de la anatomía femenina
Un grupo de vecinos obligó al Ayuntamiento de su municipio a retirar cámaras
de videovigilancia porque enfocaban el interior de sus viviendas
Una importante empresa española fue sancionada porque colocó los monitores
de supervisión de imágenes captadas por los dispositivos de videovigilancia a
la vista de sus clientes
Escuela de Servicios Sanitarios y Sociales de Canarias
Videovigilancia
Normativa aplicable
• Dictamen 4/2004 del Grupo de Trabajo 29 (Directiva 95/46/CE)
• AEPD Instrucción 1/2006 (comunidades con autoridades propias)
• AEPD Instrucción 1/1996 (control acceso a edificios)
• Ley Orgánica 1/1992, de 21 de febrero, sobre protección de la seguridad ciudadana.
• Ley 23/1992, de 30 de julio, de Seguridad Privada y su Reglamento (Real Decreto
2364/1994, de 9 de diciembre)
• Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de
videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.
• Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la
intolerancia en el deporte y su Reglamento (Real Decreto 203/2010, de 26 de febrero)
• Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto
Refundido de la Ley del Estatuto de los Trabajadores.
• Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su
adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio,
conocida como Ley Omnibus.
Datos y preguntas
Antes de instalar un sistema de videovigilancia en la vía pública hay que tener
autorización de la Comisión de Videovigilancia
Si se contrata con un tercero la gestión del sistema de videovigilancia, ¿cuál es su
responsabilidad?
¿Se cumple el deber de información con carteles como “Sonría, le están grabando”?
¿Cuándo se pueden ceder imágenes recogidas por una cámara de videovigilancia?
En el ámbito laboral, ¿tienen los trabajadores derecho a ser informados previamente
de la instalación de un sistema de videovigilancia y a saber donde están las cámaras?
El uso de las cámaras instaladas en un establecimiento comercial, ¿se puede utilizar
para el estudio de hábitos de consumo de los clientes?
¿Se pueden instalar cámaras en zonas de descanso (p.e. vestuarios)? Supone una
vulneración grave de los derechos fundamentales de los trabajadores, como la
privacidad, la intimidad o la imagen
Antes de instalar un sistema de videovigilancia hay que preguntarse si es
estrictamente necesario; ¿hay alternativas menos intrusivas para la privacidad?
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
• (i) Compromiso de no tratar los datos con otra finalidad, (ii) compromiso de tratar
los DCP de acuerdo con las instrucciones del responsable, (iii) compromiso de no
comunicarlos a otras personas y (iv) medidas de seguridad que deberá implementar.
Régimen sancionador
• Cuando destina los datos a otra finalidad sin consentimiento del afectado
• Cuando comunica al margen del responsable (u otro encargado)
• Cuando trata los datos incumpliendo estipulaciones del encargo
• Cuando no implanta medidas de seguridad estipuladas
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
Entrada en vigor:
Los nuevos sistemas han de cumplir el ENS
Los existentes: 4 años para aplicar las medidas de seguridad
(30 enero 2014)
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
• Repaso
• Concepto y dimensiones de la seguridad
• Niveles de las medidas de seguridad RLOPD
• Medidas de seguridad
• Instrucción 04/2010 del Director del SCS
• Videovigilancia
• Encargos de tratamiento
• Esquema Nacional de Seguridad
• Informe de la AEPD – Hospitales
• Casos prácticos
¡Gracias!