Protección de datos personales. Lecciones aprendidas en el
Transcripción
Protección de datos personales. Lecciones aprendidas en el
Conferencia Inaugural Protección de datos personales. Lecciones aprendidas en el contexto español Arturo Ribagorda Garnacho Universidad Carlos III de Madrid (www.seg.inf.uc3m.es) 1 ÍNDICE 1. Desarrollo legal en España y en la U.E. Leyes, Directivas y Reglamentos 2. Privacidad. Problemas actuales 3. España. Lecciones aprendidas (1992-2012) 4 Futuro Marco legal europeo 4. 2 DESARROLLO LEGAL EN ESPAÑA L. O L O. 5/1992, 5/1992 de Regulación del Tratamiento Automatizado de Datos de Carácter Personal • R. D. 994/1999, Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal 3 DESARROLLO LEGAL EN ESPAÑA Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación i l ió d de estos t d datos t 4 DESARROLLO LEGAL EN ESPAÑA L. O. 15/1999,, de Protección de datos de Carácter Personal (LOPD) • R.D. 1720/2007 por el que se aprueba el Reglamento de desarrollo de la L. O. 15/1999 de protección t ió d de d datos t d de carácter á t personall 5 DESARROLLO LEGAL EN ESPAÑA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. DATOS Algunas Instrucciones 1/2006, sobre 1/2006 b ell ttratamiento t i t de d datos d t personales con fines de vigilancia a través de sistemas i t d cámaras de á o videocámaras id á 1/1996,, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios 2/1996 sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los casinos y salas de bingo 6 ÍNDICE 1. Desarrollo legal en España y en la U.E. Leyes, Directivas y Reglamentos 2. Privacidad. Problemas actuales 7 PRIVACIDAD. PROBLEMAS ACTUALES A4 • Captación y difusión ilícita de imágenes • Videovigilancia (a través de Internet) • Buscadores ((Derecho al olvido)) • Redes sociales • Redes R d P2P • Datos personales en Diarios Oficiales • Etiquetas RFID • Menores de edad 8 Diapositiva 8 A4 You Tube ARTURO, 02/06/2012 9 PRIVACIDAD. PROBLEMAS ACTUALES • Captación y difusión ilícita de imágenes A5 • Videovigilancia (a través de Internet) 10 Diapositiva 10 A5 You Tube ARTURO, 02/06/2012 PRIVACIDAD. PROBLEMAS ACTUALES VIDEOVIGILANCIA In London […] there are 10,000 cameras in the one square mile "City of London" financial one-square district alone. Across Britain, there are 2.5 million cameras cameras. By some estimates estimates, Londoners are caught on film 300 times per day. day http://www.businessweek.com/bwdaily/dnflash/aug2002/nf20020815_7186.htm 11 El Pa aís, 16 de abril de 20 009 PRIVACIDAD. PROBLEMAS ACTUALES 12 PRIVACIDAD. PROBLEMAS ACTUALES • Captación y difusión ilícita de imágenes A6 • Videovigilancia (a través de Internet) • Buscadores (Derecho al olvido) 13 Diapositiva 13 A6 You Tube ARTURO, 02/06/2012 El País. 7 Ene 2011 14 PRIVACIDAD. PROBLEMAS ACTUALES • Captación y difusión ilícita de imágenes • Videovigilancia (a través de Internet) • Buscadores ((Derecho al olvido)) • Redes sociales 15 PRIVACIDAD. PROBLEMAS ACTUALES 16 PRIVACIDAD. PROBLEMAS ACTUALES 17 El País, 20 de mayo de 2010 PRIVACIDAD. PROBLEMAS ACTUALES • Captación y difusión ilícita de imágenes • Videovigilancia (a través de Internet) • Buscadores ((Derecho al olvido)) • Redes sociales • Redes R d P2P 18 El País 25 Abr 08 19 PRIVACIDAD. PROBLEMAS ACTUALES • Captación y difusión ilícita de imágenes • Videovigilancia (a través de Internet) • Buscadores (Derecho al olvido) • Redes sociales • Redes P2P personales en Diarios Oficiales • Datos p 20 PRIVACIDAD. PROBLEMAS ACTUALES El País. 7 de Julio de 2011 21 PRIVACIDAD. PROBLEMAS ACTUALES • Captación y difusión ilícita de imágenes • Videovigilancia (a través de Internet) • Buscadores (Derecho al olvido) • Redes sociales • Redes P2P personales en Diarios Oficiales • Datos p • Etiquetas RFID 22 El País. 29 de Julio de 2010 23 PRIVACIDAD. PROBLEMAS ACTUALES 24 PRIVACIDAD. PROBLEMAS ACTUALES • Captación y difusión ilícita de imágenes • Videovigilancia (a través de Internet) • Buscadores (Derecho al olvido) • Redes sociales • Redes P2P personales en Diarios Oficiales • Datos p • Etiquetas RFID • Menores M d de edad d d 25 El Paíss. 1 Febrerro 2009 26 ÍNDICE 1. Desarrollo legal en España y en la U.E. Leyes, Directivas y Reglamentos 2. Privacidad. Problemas actuales 3. España. Lecciones aprendidas (1992-2012) 27 LECCIONES APRENDIDAS (1992-2012) • Equilibrios: Privacidad-Seguridad-Flujo de información-Costo 28 LECCIONES APRENDIDAS (1992-2012) PRIVACIDAD SEGURIDAD COSTO S. INFORMACIÓN 29 C3 LECCIONES APRENDIDAS (1992-2012) PRIVACIDAD vs. SOCIEDAD DE LA INFORMACIÓN Debemos ser cuidadosos de no emplear métodos tan toscos de protección que priven a nuestra sociedad de datos que precisa para comprender su propio proceso social y analizar sus problemas Herbert A. Simon (Premio Nobel, 1978) 30 Diapositiva 30 C3 Herbert Alexander Simon, premio Nobel de Economía en 1978. Despues en el Depto de C Computación y Psicología (CMU) fue uno de los creadores dela IA CASA, 17/12/2005 LECCIONES APRENDIDAS (1992-2012) PRIVACIDAD vs. SEGURIDAD LEY 25/2007, 25/2007 de 18 de octubre octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas úbli d de comunicaciones. i i 31 LECCIONES APRENDIDAS (1992-2012) PRIVACIDAD vs. COSTO Personal ((Responsable p de seguridad) g ) Auditoría bienal Mecanismos específicos de protección Formación, concienciación … 32 LECCIONES APRENDIDAS (1992-2012) • Equilibrios: Privacidad-Seguridad-Flujo de información-Costo • Formar ((usuarios)) y concienciar ((sociedad)) 33 LECCIONES APRENDIDAS (1992-2012) FORMACIÓN Y CONCIENCIACIÓN. CONCIENCIACIÓN A Acciones i • Jornadas 34 CiberPaís. 3 Jun 2010 35 LECCIONES APRENDIDAS (1992-2012) 36 LECCIONES APRENDIDAS (1992-2012) FORMACIÓN Y CONCIENCIACIÓN. CONCIENCIACIÓN A Acciones i • Jornadas • Premios 37 38 LECCIONES APRENDIDAS (1992-2012) FORMACIÓN Y CONCIENCIACIÓN. CONCIENCIACIÓN A Acciones i • Jornadas • Premios • Folletos empresariales • Códigos de buenas prácticas • Cursos de acogida 39 40 FORMACIÓN Y CONCIENCIACIÓN. Resultados DATOS PERSONALES. PERSONALES Preocupación 41 CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 2009 FORMACIÓN Y CONCIENCIACIÓN. Resultados DATOS PERSONALES ¿Existen leyes de protección de datos personales? 42 CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 2009 FORMACIÓN Y CONCIENCIACIÓN. Resultados DATOS PERSONALES ¿Conoce la Agencia Española de protección de datos? 43 CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 2009 LECCIONES APRENDIDAS (1992-2012) • Equilibrios: Privacidad-Seguridad-Flujo de información-Costo • Formar ((usuarios)) y concienciar ((sociedad)) • Legislar g el cómo p proteger g ((no sólo el q qué)) 44 LECCIONES APRENDIDAS (1992-2012) DESARROLLO DEL ART. 9 de la LOPD R.D. 1720/2007 por el que se aprueba el R l Reglamento t de d desarrollo d ll de d la l L. L O. O 15/1999 de protección de datos de carácter personal 45 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD Título I. Disposiciones generales. Título II. Principios de protección de datos. Título III III. Derechos de acceso acceso, rectificación rectificación, cancelación y oposición. Título IV. Disposiciones aplicables a determinados ficheros de titularidad privada. 46 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD Título V. Obligaciones previas al tratamiento de l d los datos t Título VI. Transferencias internacionales de datos Título VII. Códigos tipo Título VIII VIII. De las medidas de seguridad en el tratamiento de datos de carácter personal Tít l IX Título IX. Procedimientos P di i t ttramitados it d por la l A EPD 47 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII Capítulo I: Disposiciones generales Capítulo II. Del documento de seguridad Capítulo III III. Medidas de seguridad aplicables a ficheros y tratamientos automatizados Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos no automatizados 48 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título I ARTÍCULO 5 5. Definiciones b)) Cancelación e) Dato disociado g) Datos de carácter personal relacionados con la salud o)) Persona P id identificable tifi bl p) Procedimiento de disociación … 49 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I Artículo 81. Aplicación de los niveles de seguridad • Básico • Medio • Alto 50 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I ARTÍCULO 81. Nivel medio • Infracciones penales y administrativas • Los que se rijen por el art. art 29 de la LOPD • Administraciones Tributarias (en el ejercicio de sus potestades) • Entidades financieras (p (para finalidades de prestación de servicios financieros) 51 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I ARTÍCULO 81. Nivel medio • Seguridad S id d S Social i l ((relacionados l i d con ell ejercicio j i i de sus competencias). Ídem mutuas • Datos que permitan definir la personalidad o evaluar l é ésta t o ell comportamiento t i t d de llos ciudadanos 52 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I ARTÍCULO 81. 81 Ni Nivell alto lt • Ideología, Id l í afiliación fili ió sindical, i di l religión, li ió creencias, i origen racial, salud o vida sexual • Recabados para fines policiales (sin consentimiento)) • Actos de violencia de genero • Datos de localización y tráfico (parcialmente) 53 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII VIII. Capítulo I Artículo 81. Aplicación de los niveles de seguridad Alto Medio Básico 54 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I ARTÍCULO Í 83. Prestaciones de servicios sin acceso a datos personales ARTÍCULO 85. Acceso a datos a través de redes de comunicaciones. ARTÍCULO 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento ARTÍCULO 87. Ficheros temporales o copias de trabajo de documentos 55 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo III • Documento D t de d seguridad id d • Registro g de incidencias ((notificación, g gestión, respuesta, etc.) • Gestión G tió d de soportes t (borrado (b d d de d datos) t ) • Copias de respaldo y recuperación (periodicidad, ubicación, etc.) • Auditoría (bienal) 56 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO: Título VIII. Capítulo III. Sección 1 Artículo 89. Funciones y obligaciones del personal 1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas d iinformación de f ió estarán t á claramente l t definidas d fi id y documentadas en el documento de seguridad. 57 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO: Título VIII. Capítulo III. Sección 1 Artículo 89. Funciones y obligaciones del personal 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento 58 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO: Título VIII. Capítulo III. Sección 2 ARTÍCULO 95. 95 R Responsable bl d de seguridad id d En el documento de seguridad g deberán designarse uno o varios responsables de g encargados g de coordinar y controlar seguridad las medidas definidas en el mismo […]. g caso esta designación g supone una En ningún exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento […] 59 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO LOPD: Título VIII. Capítulo III • Autenticación de usuarios (intentos de acceso, cambios de contraseñas, etc.) • Control de accesos (need-to-know) • Cifrado de información (distribución de soportes redes públicas o inalámbricas soportes, inalámbricas, etc etc.)) • Registros de auditoria (datos a registrar, tiempo de custodia, etc.) 60 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD Disposición adicional única. Productos de software. Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento 61 LECCIONES APRENDIDAS (1992-2012) • Equilibrios: Privacidad-Seguridad-Flujo de información-Costo • Formar ((usuarios)) y concienciar ((sociedad)) • Legislar g el cómo p proteger g ((no sólo el q qué)) • Potenciar el Organismo g de Control 62 ÍNDICE 1. Desarrollo legal en España y en la U.E. Leyes, Directivas y Reglamentos 2. Privacidad. Problemas actuales 3. España. Lecciones aprendidas (1992-2012) 4 Futuro Marco legal europeo 4. 63 FUTURO MARCO LEGAL EUROPEO COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO,, AL CONSEJO,, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES La protección de la privacidad en un mundo interconectado Un marco europeo de protección de datos para el siglo XXI COM(2012) 9 final Bruselas 25.1.2012 FUTURO MARCO LEGAL EUROPEO DIRECTIVA DEL P. E Y DEL CONSEJO (PROPUESTA) relativa l ti a lla protección t ió d de llas personas fí físicas i en lo que respecta al tratamiento de datos personales l [[…]] para fines fi de d prevención, ió investigación, detección o enjuiciamiento de i f infracciones i penales l od de ejecución j ió d de sanciones penales, y la libre circulación de di h d dichos datos t 65 FUTURO MARCO LEGAL EUROPEO REGLAMENTO DEL P. E. Y DEL CONSEJO (PROPUESTA ) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 66 FUTURO MARCO LEGAL EUROPEO REGLAMENTO P. E. y CONSEJO (PROPUESTA ) Introducir la privacidad desde el diseño Introducir la privacidad por defecto E l Evaluar ell iimpacto t d de llos sistemas i t d de tratamiento sobre los datos personales Establecer sistemas de certificación de la privacidad Usar tecnologías PET (Privacy enhanced t tecnology) l ) … 67 Conferencia Inaugural Protección de datos personales. Lecciones aprendidas en el contexto español Arturo Ribagorda Garnacho Universidad Carlos III de Madrid (www.seg.inf.uc3m.es) 68 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I ARTÍCULO 83. Prestaciones de servicios sin acceso a datos personales El responsable […] [ ] adoptará las medidas adecuadas para limitar el acceso del personal a datos p personales [[…], ], p para la realización de trabajos que no impliquen el tratamiento de datos personales. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto […] 69 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I ARTÍCULO 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado g del tratamiento 1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales […] será preciso que exista una autorización previa del responsable y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado 70 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO DE LA LOPD: Título VIII. Capítulo I ARTÍCULO 87. Ficheros temporales o copias de trabajo j de documentos 2. Todo fichero temporal o copia de trabajo asíí creado d será á borrado b d o destruido d t id una vez que haya dejado de ser necesario para los fines que motivaron ti su creación ió 71 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO. Título VIII. Capítulo III. Sección 1 Artículo 91. Control de accesos 1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones 2 […] 72 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO. Título VIII. Capítulo III. Sección 3 Artículo 101. Distribución de soportes 2. La distribución de los soportes […] se realizará cifrando dichos datos [[…]. ] Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario […] 73 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO. Título VIII. Capítulo III. Sección 3 Artículo 104. Telecomunicaciones Cuando,, […] [ ] deban implantarse p las medidas de seguridad de nivel alto, la transmisión de personal a través de redes datos de carácter p públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos […] 74 75 ARTÍCULO 96. AUDITORÍA. 1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años,, a una auditoría interna o externa que verifique el cumplimiento del presente título. p […] 76 ARTÍCULO 96. AUDITORÍA. 1. [[…]] 1 Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior. 77 ARTÍCULO 96. AUDITORÍA. 2. El iinforme 2 f d de auditoría dit í d deberá b á di dictaminar t i sobre la adecuación de las medidas y controles a l L la Ley y su d desarrollo ll reglamentario, l t i id identificar tifi sus deficiencias y proponer las medidas correctoras t o complementarias l t i necesarias. i Deberá, igualmente, incluir los datos, hechos y observaciones b i en que se b basen llos di dictámenes tá alcanzados y las recomendaciones propuestas. 78 ARTÍCULO 96. AUDITORÍA. 3. Los informes de auditoría serán analizados por 3 el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o o, en su caso caso, de las autoridades de control de las comunidades autónomas. 79 BIBLIOGRAFÍA A. Ribagorda. Las medidas de seguridad en el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal .Comentario Ley Orgánica de protección de datos de carácter personal. Cívitas. Thomson Reuters. España. 2010, pp. 736-761. A. Ribagorda. La dimensión técnica de la protección de datos personales. p p Estudios en Homenaje al Profesor Gregorio Peces-Barba. Editorial 80 Dykinson. Madrid. 2008, pp. 1127-1142. BIBLIOGRAFÍA A. Ribagorda. La protección de datos personales y la seguridad de la información información. Revista Jurídica de Castilla y León., vol. 16. pp. 1127-1142. (2008) A. Ribagorda. Las medidas de seguridad en el borrador del nuevo Reglamento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Revista Española de Protección de Datos, vol. l 2 2. pp. 41 41-62. 62 (2007) 81 PROBLEMAS IMPLANTACIÓN. Medidas organizativas BIBLIOGRAFÍA Acevedo López, M. C.; Ribagorda Garnacho, A. Dificultades y obstáculos en la aplicación del Reglamento de medidas de seguridad. I+S, Informática y salud. Nº N 57, junio 2006. Revista de la Sociedad Española de Informática y Salud. 82 La Comisión propone nuevas normas que: Reforzarán la seguridad de los datos: [ ] […] − fomentando el uso de tecnologías que protejan la privacidad (tecnologías que, al minimizar la conservación de datos personales, resguardan la privacidad de la información), configuraciones por defecto respetuosas de la privacidad y regímenes de certificación de la privacidad; […] 83 La a Co Comisión só p propone opo e nuevas ue as normas o as que: que Acrecentará la responsabilidad de quienes tratan datos, datos concretamente: −[…] −introduciendo el p principio p de «privacidad p desde el diseño» a fin de asegurar que las garantías de protección de los datos se i incorporan ya en la l ffase d de planificación l ifi ió d de los l procedimientos y sistemas; −[ ] −[…] 84 La Comisión propone nuevas normas que: Acrecentará la responsabilidad de quienes tratan datos, concretamente: − […] − imponiendo i i d a llas organizaciones i i que lllleven a cabo b operaciones de tratamiento que entrañen cierto riesgo la obligación de llevar a cabo evaluaciones de impacto sobre la protección de los datos. 85 LECCIONES APRENDIDAS (1992-2012) REGLAMENTO: Título VIII. Capítulo III. Sección 1 ARTÍCULO 92. Gestión de soportes y documentos 4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior 86 87