Protección de datos personales. Lecciones aprendidas en el

Transcripción

Conferencia Inaugural
Protección de datos
personales. Lecciones
aprendidas en el contexto
español
Arturo Ribagorda Garnacho
Universidad Carlos III de Madrid
(www.seg.inf.uc3m.es)
1
ÍNDICE
1. Desarrollo legal en España y en la
U.E.
Leyes, Directivas y Reglamentos
2. Privacidad. Problemas actuales
3. España. Lecciones aprendidas
(1992-2012)
4 Futuro Marco legal europeo
4.
2
DESARROLLO LEGAL EN ESPAÑA
L. O
L
O. 5/1992,
5/1992 de Regulación del Tratamiento
Automatizado de Datos de Carácter Personal
• R. D. 994/1999, Reglamento de medidas de
seguridad de los ficheros automatizados que
contengan datos de carácter personal
3
Directiva 95/46/CE del Parlamento Europeo y
del Consejo, relativa a la protección de las
personas físicas en lo que respecta al
tratamiento de datos personales y a la libre
circulación
i l ió d
de estos
t d
datos
t
4
L. O. 15/1999,, de Protección de datos de
Carácter Personal (LOPD)
• R.D. 1720/2007 por el que se aprueba el
Reglamento de desarrollo de la L. O. 15/1999 de
protección
t
ió d
de d
datos
t d
de carácter
á t personall
5
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
DATOS
Algunas Instrucciones
1/2006, sobre
1/2006
b ell ttratamiento
t i t de
d datos
d t
personales con fines de vigilancia a través de
sistemas
i t
d cámaras
de
á
o videocámaras
id
á
1/1996,, sobre ficheros automatizados
establecidos con la finalidad de controlar el
acceso a los edificios
2/1996 sobre ficheros automatizados
establecidos con la finalidad de controlar el
acceso a los casinos y salas de bingo
6
ÍNDICE
U.E.
7
PRIVACIDAD. PROBLEMAS ACTUALES
A4
• Captación y difusión ilícita de imágenes
• Videovigilancia (a través de Internet)
• Buscadores ((Derecho al olvido))
• Redes sociales
• Redes
R d P2P
• Datos personales en Diarios Oficiales
• Etiquetas RFID
• Menores de edad
8
Diapositiva 8
A4
You Tube
ARTURO, 02/06/2012
9
A5
10
Diapositiva 10
A5
You Tube
ARTURO, 02/06/2012
VIDEOVIGILANCIA
In London […] there are 10,000 cameras in the
one square mile "City of London" financial
one-square
district alone. Across Britain, there are 2.5
million cameras
cameras. By some estimates
estimates,
Londoners are caught on film 300 times per
day.
day
http://www.businessweek.com/bwdaily/dnflash/aug2002/nf20020815_7186.htm
11
El Pa
aís, 16 de abril de 20
009
12
• Captación y difusión ilícita de imágenes A6
• Buscadores (Derecho al olvido)
13
Diapositiva 13
A6
You Tube
ARTURO, 02/06/2012
El País. 7 Ene 2011
14
• Redes sociales
15
16
17
El País, 20 de mayo de 2010
• Redes sociales
• Redes
R d P2P
18
El País 25 Abr 08
19
• Redes sociales
• Redes P2P
personales en Diarios Oficiales
• Datos p
20
El País. 7 de Julio de 2011
21
• Redes sociales
• Redes P2P
• Datos p
• Etiquetas RFID
22
El País. 29 de Julio de 2010
23
24
• Redes sociales
• Redes P2P
• Datos p
• Etiquetas RFID
• Menores
M
d
de edad
d d
25
El Paíss. 1 Febrerro 2009
26
ÍNDICE
U.E.
(1992-2012)
27
LECCIONES APRENDIDAS (1992-2012)
• Equilibrios: Privacidad-Seguridad-Flujo de
información-Costo
28
PRIVACIDAD
SEGURIDAD
COSTO
S. INFORMACIÓN
29
C3
PRIVACIDAD vs. SOCIEDAD DE LA INFORMACIÓN
Debemos ser cuidadosos de no emplear
métodos tan toscos de protección que priven a
nuestra sociedad de datos que precisa para
comprender su propio proceso social y
analizar sus problemas
Herbert A. Simon (Premio Nobel, 1978)
30
Diapositiva 30
C3
Herbert Alexander Simon, premio Nobel de Economía en 1978. Despues en el Depto de C Computación y Psicología (CMU) fue uno de
los creadores dela IA
CASA, 17/12/2005
PRIVACIDAD vs. SEGURIDAD
LEY 25/2007,
25/2007 de 18 de octubre
octubre, de
conservación de datos relativos a las
comunicaciones electrónicas y a las redes
públicas
úbli
d
de comunicaciones.
i
i
31
PRIVACIDAD vs. COSTO
Personal ((Responsable
p
de seguridad)
g
)
Auditoría bienal
Mecanismos específicos de protección
Formación, concienciación
…
32
información-Costo
• Formar ((usuarios)) y concienciar ((sociedad))
33
FORMACIÓN Y CONCIENCIACIÓN.
CONCIENCIACIÓN A
Acciones
i
• Jornadas
34
CiberPaís. 3 Jun 2010
35
36
CONCIENCIACIÓN A
Acciones
i
• Jornadas
• Premios
37
38
CONCIENCIACIÓN A
Acciones
i
• Jornadas
• Premios
• Folletos empresariales
• Códigos de buenas prácticas
• Cursos de acogida
39
40
FORMACIÓN Y CONCIENCIACIÓN. Resultados
DATOS PERSONALES.
PERSONALES Preocupación
41
CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 2009
DATOS PERSONALES ¿Existen leyes de protección
de datos personales?
42
DATOS PERSONALES ¿Conoce la Agencia
Española de protección de datos?
43
información-Costo
• Legislar
g
el cómo p
proteger
g ((no sólo el q
qué))
44
DESARROLLO DEL ART. 9 de la LOPD
R.D. 1720/2007 por el que se aprueba el
R l
Reglamento
t de
d desarrollo
d
ll de
d la
l L.
L O.
O
15/1999 de protección de datos de carácter
personal
45
REGLAMENTO DE LA LOPD
Título I. Disposiciones generales.
Título II. Principios de protección de datos.
Título III
III. Derechos de acceso
acceso, rectificación
rectificación,
cancelación y oposición.
Título IV. Disposiciones aplicables a
determinados ficheros de titularidad privada.
46
Título V. Obligaciones previas al tratamiento de
l d
los
datos
t
Título VI. Transferencias internacionales de datos
Título VII. Códigos tipo
Título VIII
VIII. De las medidas de seguridad en el
tratamiento de datos de carácter personal
Tít l IX
Título
IX. Procedimientos
P
di i t ttramitados
it d por la
l A EPD
47
REGLAMENTO DE LA LOPD: Título VIII
Capítulo I: Disposiciones generales
Capítulo II. Del documento de seguridad
Capítulo III
III. Medidas de seguridad aplicables a
ficheros y tratamientos automatizados
Capítulo IV. Medidas de seguridad aplicables a
ficheros y tratamientos no automatizados
48
REGLAMENTO DE LA LOPD: Título I
ARTÍCULO 5
5. Definiciones
b)) Cancelación
e) Dato disociado
g) Datos de carácter personal relacionados con la
salud
o)) Persona
P
id
identificable
tifi bl
p) Procedimiento de disociación
…
49
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
Artículo 81. Aplicación de los niveles de seguridad
• Básico
• Medio
• Alto
50
ARTÍCULO 81. Nivel medio
• Infracciones penales y administrativas
• Los que se rijen por el art.
art 29 de la LOPD
• Administraciones Tributarias (en el ejercicio de
sus potestades)
• Entidades financieras (p
(para finalidades de
prestación de servicios financieros)
51
ARTÍCULO 81. Nivel medio
• Seguridad
S
id d S
Social
i l ((relacionados
l i
d con ell ejercicio
j i i
de sus competencias). Ídem mutuas
• Datos que permitan definir la personalidad o
evaluar
l
é
ésta
t o ell comportamiento
t i t d
de llos
ciudadanos
52
ARTÍCULO 81.
81 Ni
Nivell alto
lt
• Ideología,
Id l í afiliación
fili ió sindical,
i di l religión,
li ió creencias,
i
origen racial, salud o vida sexual
• Recabados para fines policiales (sin
consentimiento))
• Actos de violencia de genero
• Datos de localización y tráfico (parcialmente)
53
REGLAMENTO DE LA LOPD: Título VIII
VIII. Capítulo I
Artículo 81. Aplicación de los niveles de seguridad
Alto
Medio
Básico
54
ARTÍCULO
Í
83. Prestaciones de servicios sin acceso a
datos personales
ARTÍCULO 85. Acceso a datos a través de redes de
comunicaciones.
ARTÍCULO 86. Régimen de trabajo fuera de los locales
del responsable del fichero o encargado del tratamiento
ARTÍCULO 87. Ficheros temporales o copias de
trabajo de documentos
55
REGLAMENTO DE LA LOPD: Título VIII. Capítulo III
• Documento
D
t de
d seguridad
id d
• Registro
g
de incidencias ((notificación, g
gestión,
respuesta, etc.)
• Gestión
G tió d
de soportes
t (borrado
(b
d d
de d
datos)
t )
• Copias de respaldo y recuperación
(periodicidad, ubicación, etc.)
• Auditoría (bienal)
56
REGLAMENTO: Título VIII. Capítulo III. Sección 1
Artículo 89. Funciones y obligaciones del personal
1. Las funciones y obligaciones de cada uno de
los usuarios o perfiles de usuarios con acceso a
los datos de carácter personal y a los sistemas
d iinformación
de
f
ió estarán
t á claramente
l
t definidas
d fi id y
documentadas en el documento de seguridad.
57
Artículo 89. Funciones y obligaciones del personal
2. El responsable del fichero o tratamiento
adoptará las medidas necesarias para que el
personal conozca de una forma comprensible
las normas de seguridad que afecten al
desarrollo de sus funciones así como las
consecuencias en que pudiera incurrir en caso
de incumplimiento
58
ARTÍCULO 95.
95 R
Responsable
bl d
de seguridad
id d
En el documento de seguridad
g
deberán
designarse uno o varios responsables de
g
encargados
g
de coordinar y controlar
seguridad
las medidas definidas en el mismo […].
g caso esta designación
g
supone una
En ningún
exoneración de la responsabilidad que
corresponde al responsable del fichero o al
encargado del tratamiento […]
59
REGLAMENTO LOPD: Título VIII. Capítulo III
• Autenticación de usuarios (intentos de
acceso, cambios de contraseñas, etc.)
• Control de accesos (need-to-know)
• Cifrado de información (distribución de
soportes redes públicas o inalámbricas
soportes,
inalámbricas, etc
etc.))
• Registros de auditoria (datos a registrar,
tiempo de custodia, etc.)
60
Disposición adicional única. Productos de software.
Los productos de software destinados al
tratamiento automatizado de datos personales
deberán incluir en su descripción técnica el nivel
de seguridad, básico, medio o alto, que permitan
alcanzar de acuerdo con lo establecido en el
título VIII de este reglamento
61
información-Costo
• Legislar
g
el cómo p
proteger
g ((no sólo el q
qué))
• Potenciar el Organismo
g
de Control
62
ÍNDICE
U.E.
(1992-2012)
4 Futuro Marco legal europeo
4.
63
FUTURO MARCO LEGAL EUROPEO
COMUNICACIÓN DE LA COMISIÓN AL
PARLAMENTO EUROPEO,, AL CONSEJO,, AL
COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL
COMITÉ DE LAS REGIONES
La protección de la privacidad en un mundo
interconectado
Un marco europeo de protección de datos para el
siglo XXI
COM(2012) 9 final
Bruselas 25.1.2012
DIRECTIVA DEL P. E Y DEL CONSEJO (PROPUESTA)
relativa
l ti a lla protección
t
ió d
de llas personas fí
físicas
i
en lo que respecta al tratamiento de datos
personales
l [[…]] para fines
fi
de
d prevención,
ió
investigación, detección o enjuiciamiento de
i f
infracciones
i
penales
l od
de ejecución
j
ió d
de
sanciones penales, y la libre circulación de
di h d
dichos
datos
t
65
REGLAMENTO DEL P. E. Y DEL CONSEJO
(PROPUESTA )
relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos.
66
REGLAMENTO P. E. y CONSEJO (PROPUESTA )
Introducir la privacidad desde el diseño
Introducir la privacidad por defecto
E l
Evaluar
ell iimpacto
t d
de llos sistemas
i t
d
de
tratamiento sobre los datos personales
Establecer sistemas de certificación de la
privacidad
Usar tecnologías PET (Privacy enhanced
t
tecnology)
l
)
…
67
Conferencia Inaugural
Protección de datos
personales. Lecciones
aprendidas en el contexto
español
Arturo Ribagorda Garnacho
Universidad Carlos III de Madrid
(www.seg.inf.uc3m.es)
68
ARTÍCULO 83. Prestaciones de servicios sin acceso a
datos personales
El responsable […]
[ ] adoptará las medidas
adecuadas para limitar el acceso del personal a
datos p
personales [[…],
], p
para la realización de
trabajos que no impliquen el tratamiento de datos
personales.
Cuando se trate de personal ajeno, el contrato de
prestación de servicios recogerá expresamente la
prohibición de acceder a los datos personales y la
obligación de secreto […]
69
ARTÍCULO 86. Régimen de trabajo fuera de los
locales del responsable del fichero o encargado
g
del
tratamiento
1. Cuando los datos personales se almacenen
en dispositivos portátiles o se traten fuera
de los locales […] será preciso que exista una
autorización previa del responsable y en todo
caso deberá garantizarse el nivel de seguridad
correspondiente al tipo de fichero tratado
70
ARTÍCULO 87. Ficheros temporales o copias de
trabajo
j de documentos
2. Todo fichero temporal o copia de trabajo
asíí creado
d será
á borrado
b
d o destruido
d t id una vez
que haya dejado de ser necesario para los fines
que motivaron
ti
su creación
ió
71
REGLAMENTO. Título VIII. Capítulo III. Sección 1
Artículo 91. Control de accesos
1 Los usuarios tendrán acceso autorizado
únicamente a aquellos datos y recursos que
precisen para el desarrollo de sus funciones
2 […]
72
Artículo 101. Distribución de soportes
2. La distribución de los soportes […] se realizará
cifrando dichos datos [[…].
] Asimismo, se cifrarán
los datos que contengan los dispositivos portátiles
cuando éstos se encuentren fuera de las
instalaciones que están bajo el control del
responsable del fichero.
3. Deberá evitarse el tratamiento de datos de
carácter personal en dispositivos portátiles que no
permitan su cifrado. En caso de que sea
estrictamente necesario […]
73
Artículo 104. Telecomunicaciones
Cuando,, […]
[ ] deban implantarse
p
las medidas de
seguridad de nivel alto, la transmisión de
personal a través de redes
datos de carácter p
públicas o redes inalámbricas de
comunicaciones electrónicas se realizará
cifrando dichos datos […]
74
75
ARTÍCULO 96. AUDITORÍA.
1. A partir del nivel medio los sistemas de
información e instalaciones de tratamiento y
almacenamiento de datos se someterán, al
menos cada dos años,, a una auditoría interna o
externa que verifique el cumplimiento del
presente título.
p
[…]
76
1. [[…]]
1
Con carácter extraordinario deberá realizarse
dicha auditoría siempre que se realicen
modificaciones sustanciales en el sistema de
información que puedan repercutir en el
cumplimiento de las medidas de seguridad
implantadas con el objeto de verificar la
adaptación, adecuación y eficacia de las mismas.
Esta auditoría inicia el cómputo de dos años
señalado en el párrafo anterior.
77
2. El iinforme
2
f
d
de auditoría
dit í d
deberá
b á di
dictaminar
t i
sobre la adecuación de las medidas y controles a
l L
la
Ley y su d
desarrollo
ll reglamentario,
l
t i id
identificar
tifi
sus deficiencias y proponer las medidas
correctoras
t
o complementarias
l
t i necesarias.
i
Deberá, igualmente, incluir los datos, hechos y
observaciones
b
i
en que se b
basen llos di
dictámenes
tá
alcanzados y las recomendaciones propuestas.
78
3. Los informes de auditoría serán analizados por
3
el responsable de seguridad competente, que
elevará las conclusiones al responsable del
fichero o tratamiento para que adopte las
medidas correctoras adecuadas y quedarán a
disposición de la Agencia Española de Protección
de Datos o
o, en su caso
caso, de las autoridades de
control de las comunidades autónomas.
79
BIBLIOGRAFÍA
A. Ribagorda. Las medidas de seguridad en el
Reglamento de desarrollo de la Ley Orgánica
15/1999 de protección de datos de carácter
personal .Comentario Ley Orgánica de protección de
datos de carácter personal. Cívitas. Thomson Reuters.
España. 2010, pp. 736-761.
A. Ribagorda. La dimensión técnica de la
protección de datos personales.
p
p
Estudios en
Homenaje al Profesor Gregorio Peces-Barba. Editorial
80
Dykinson. Madrid. 2008, pp. 1127-1142.
BIBLIOGRAFÍA
A. Ribagorda. La protección de datos personales y
la seguridad de la información
información. Revista Jurídica de
Castilla y León., vol. 16. pp. 1127-1142. (2008)
A. Ribagorda. Las medidas de seguridad en el
borrador del nuevo Reglamento de la Ley Orgánica
15/1999 de Protección de Datos de Carácter
Personal. Revista Española de Protección de Datos,
vol.
l 2
2. pp. 41
41-62.
62 (2007)
81
PROBLEMAS IMPLANTACIÓN. Medidas organizativas
BIBLIOGRAFÍA
Acevedo López, M. C.; Ribagorda Garnacho, A.
Dificultades y obstáculos en la aplicación del
Reglamento de medidas de seguridad. I+S,
Informática y salud. Nº
N 57, junio 2006. Revista de la
Sociedad Española de Informática y Salud.
82
La Comisión propone nuevas normas que:
Reforzarán la seguridad de los datos:
[ ]
[…]
− fomentando el uso de tecnologías que
protejan la privacidad (tecnologías que, al
minimizar la conservación de datos personales,
resguardan la privacidad de la información),
configuraciones por defecto respetuosas de
la privacidad y regímenes de certificación
de la privacidad;
[…]
83
La
a Co
Comisión
só p
propone
opo e nuevas
ue as normas
o as que:
que
Acrecentará la responsabilidad de quienes
tratan datos,
datos concretamente:
−[…]
−introduciendo el p
principio
p de «privacidad
p
desde el diseño» a fin de asegurar que las
garantías de protección de los datos se
i
incorporan
ya en la
l ffase d
de planificación
l ifi
ió d
de los
l
procedimientos y sistemas;
−[ ]
−[…]
84
La Comisión propone nuevas normas que:
Acrecentará la responsabilidad de quienes tratan
datos, concretamente:
− […]
− imponiendo
i
i d a llas organizaciones
i
i
que lllleven a cabo
b
operaciones de tratamiento que entrañen cierto riesgo
la obligación de llevar a cabo evaluaciones de
impacto sobre la protección de los datos.
85
ARTÍCULO 92. Gestión de soportes y documentos
4. Siempre que vaya a desecharse cualquier
documento o soporte que contenga datos de
carácter personal deberá procederse a su
destrucción o borrado, mediante la adopción
de medidas dirigidas a evitar el acceso a la
información contenida en el mismo o su
recuperación posterior
86
87

Protección de datos personales. Lecciones aprendidas en el

Transcripción

Documentos relacionados

CIBSI13 Seguridad en Redes Sociales

Descargar Revista en PDF

Grupo de Seguridad de las Tecnologías de la Información y

Adultos - Enforex

El uso de las redes sociales: ciudadanía, política y comunicación La

Consejos para los Maestros (1971)

Una visión informática