Caso práctico de aplicación de la LOPD Sesión de Preparatic 26 de noviembre de 2011

1. Caso práctico de aplicación de la LOPD Sesión de Preparatic 26 de noviembre de 2011 José Antonio Pérez Jefe de Área - Registro General de Protección de Datos Agencia Española de Protección de Datos

2. Recientemente se ha creado una Agencia de titularidad pública dentro de la AGE cuya finalidad es gestionar subvenciones y ayudas a autónomos. Dentro de su plan estratégico de lanzamiento, ha decidido externalizar en una empresa de hosting la gestión de los sistemas de información utilizados para la gestión de las ayudas. El resto de la información gestionada por la Agencia se almacenará y tratará en sistemas propios. • Los solicitantes de ayudas deben aportar, entre otros, los siguientes datos: Nombre y apellidos, NIF, nº de afiliación a la seguridad social, últimos tres recibos abonados a la Seguridad Social como autónomos. • Para la gestión interna de su personal, la Agencia ha previsto la implantación de un sistema de fichaje mediante huella digital. En su sede, los empleados deberán portar una tarjeta identificativa con su fotografía. • La Agencia cuenta entre su personal con algunos empleados que tienen reconocido un cierto grado de minusvalía, aspecto que debe ser tenido en cuenta en la gestión de las nóminas a efectos de aplicación de las correspondientes deducciones en el tipo de IRPF aplicable. Dentro del expediente de El servicio médico de la Agencia almacena un historial clínico de cada empleado, en formato papel que posteriormente se digitaliza. Caso práctico: Aplicación de la LOPD

3. Por otra parte, la Agencia ha contratado la seguridad de sus instalaciones con una empresa privada. Se han instalado cámaras y un circuito cerrado de TV (CCTV) para el visionado de imágenes de dichas instalaciones. No está previsto el almacenamiento de dichas imágenes para su posterior reproducción. • Los únicos proveedores de la Agencia son empresas. Existe un fichero de proveedores en los que se almacenan los datos de contacto profesionales de sus representantes: teléfono, fax, email y dirección postal. Cuando asisten a reuniones en la sede de la Agencia, Seguridad recaba su DNI a efectos de control de visitas. • Diseñar un plan de adecuación que resuma las acciones principales que deberá llevar a cabo la citada Agencia para cumplir la normativa de protección de datos, con especial énfasis en las medidas de seguridad a implantar. Caso práctico: Aplicación de la LOPD

4. Identificación de los ficheros o tratamientos de datos personales que realiza la Agencia, y el nivel de seguridad aplicable. Una posible relación de ficheros podría ser la siguiente: Fichero/Tratam. Observaciones Nivel medidas de seguridad Ayudas a autónomos -- Básico Sólo se almacenan datos de contacto profesionales (teléfono, email, puesto desempeñado), que están excluidos del ámbito de aplicación del RLOPD (art. 2.1). Si existieran proveedores que fueran personas físicas (autónomos) sí que se estaría dentro del ámbito del RLOPD. ¡NO! Proveedores Básico Empleados Básico -- Aunque el grado de minusvalía es un dato de salud, su uso en este caso constituye una de las excepciones previstas en el artículo 81.6 del RLOPD, por lo que sólo sería exigible el nivel de medidas de seguridad básico. Nóminas Básico Solución caso práctico: Plan de adecuación a la LOPD Gestión económico administrativa Básico -- La Agencia es responsable del fichero, aunque la gestión del mismo la realice la empresa de seguridad Control de visitas Básico Hay tratamiento de datos pero no existe fichero, puesto que las imágenes no se almacenan. No procede inscripción en RGPD. Persisten no obstante el resto de obligaciones Videovigilancia Básico Historiales clínicos empleados Almacena datos de salud. Sistema de tratamiento mixto: automatizado y no automatizado Alto

5. Determinar y formalizar los contratos de prestación de servicios que implican tratamiento de datos personales: • Por un lado, tenemos la empresa externa que realiza el hostingdel sistema de información que gestiona las solicitudes de subvenciones y ayudas a autónomos. • La empresa de seguridad también realiza tratamiento de datos personales, ya que tiene acceso a la base de datos del personal autorizado a entrar en las instalaciones, visiona las imágenes de las cámaras de seguridad y realiza toda la gestión asociada al control de visitas. • De acuerdo con lo establecido en el artículo 12 de la LOPD, estos tratamientos de datos deberán estar regulados en un contrato escrito. En dichos contratos: • se establecerá expresamente que el encargado de tratamiento (la empresa de hosting y la empresa de seguridad) únicamente tratará los datos conforme a las instrucciones de la Agencia; que no los utilizará con un fin distinto al que figure en el contrato, ni los comunicará a otras personas. • se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Solución caso práctico: Plan de adecuación a la LOPD

6. Elaboración del Documento de Seguridad • Está regulado en el art. 88 del RLOPD. Su elaboración es preceptiva por parte de cualquier entidad que sea responsable de ficheros o tratamientos de datos personales. Es un documento interno de la organización. • Debe recoger las medidas de índole técnica y organizativa definidas para garantizar la seguridad de los datos personales, siendo de obligado cumplimiento para el personal con acceso a los datos. • Puede ser único y comprensivo de todos los ficheros o tratamientos o bien individualizado para cada fichero o tratamiento. • Contenido mínimo: • Ámbito de aplicación. • Medidas, normas procedimientos para garantizar el nivel de seguridad preceptivo. • Funciones y obligaciones del personal • Estructura de los ficheros de datos personales y de los SSII que los tratan • Procedimiento de notificación, gestión y respuesta a incidencias. • Procedimientos de realización de copias de respaldo y recuperación de los datos • Medidas para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes. • Puesto que existne tratamientos de datos por cuenta de terceros, el DS debe identificar los ficheros/tratamientos que tratan los encargados, con referencia expresa al contrato de prestación de servicios que los regula. Solución caso práctico: Plan de adecuación a la LOPD

7. Nombramiento del Responsable de Seguridad • Puesto que a uno de los ficheros le son de aplicación las medidas de seguridad de nivel alto, debe designarse un responsable de seguridad (es preceptivo a partir de nivel medio). En el Documento de Seguridad debe identificarse el responsable de seguridad nombrado por la organización • El responsable de seguridad es la persona a la que la organización ha otorgado la responsabilidad de coordinar y asegurar el cumplimiento de las medidas recogidas en el documento de seguridad. • Puede existir más de un responsable de seguridad. Solución caso práctico: Plan de adecuación a la LOPD

8. Implantación de las medidas de seguridad recogidas en el documento de seguridad • Para los ficheros y tratamientos de nivel básico, podrían implantarse, entre otras las siguientes medidas: • Impartir programas de formación al personal que trata datos personales, de forma que conozca sus funciones y obligaciones. • Elaborar e implantar un procedimiento de notificación y gestión de incidencias. • Elaborar de relación de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos. • Establecer mecanismos para evitar que un usuario pueda acceder a datos no autorizados, así como de aquellos que garanticen la correcta identificación y autenticación de usuarios. Por ejemplo: usuario/contraseña, o certificados electrónicos almacenados en tarjetas criptográficas. • Elaboración de un inventario de soportes que contengan datos de carácter personal: servidores, ordenadores personales, discos, cintas, DVD, pen drives, archivadores de documentos en papel, etc. Identificación de los soportes con etiquetas indicativas de su contenido. • Definición de los procedimientos de realización de copias de respaldo, y ejecución de los mismos al menos con periodicidad semanal. • Almacenamiento de los ficheros en soporte papel en archivadores dotados de mecanismos que obstaculicen su apertura (ej.: cerraduras) Solución caso práctico: Plan de adecuación a la LOPD

9. Implantación de las medidas de seguridad recogidas en el documento de seguridad • Para el fichero de historias clínicas de los empleados habría que implantar las medidas de nivel medio y alto: • Realizar auditorías de medidas de seguridad al menos cada dos años. • Establecimiento de un registro de entrada y salida de soportes. En caso de distribución de estos soportes, los datos deberían estar cifrados. • Implantación de mecanismos que limiten la posibilidad de intentar reiteradamente el acceso no autorizado al fichero automatizado. • Los servidores u ordenadores en los que se almacene el fichero informático de historias clínicas deben instalarse en una sala a la que sólo tenga acceso el personal autorizado en el documento de seguridad. • En el registro de incidencias deben recogerse los procedimientos de recuperación de datos ejecutados. • Las copias de respaldo deben almacenarse en una ubicación diferente a la de los equipos informáticos que los tratan. Si esto no fuera posible, se deberían habilitar medios alternativos (p.ej. armarios ignífugos). • Registro de accesos al fichero automatizado, que deberá conservarse al menos dos años. En el caso del fichero en soporte papel, sólo sería necesario si accede a él más de una persona. • El fihcero en soporte papel debe ubicarse en un área en el que el acceso esté protegido con con puertas de acceso dotadas de cerradura o mecanismo equivalente. Solución caso práctico: Plan de adecuación a la LOPD

10. Publicación de la disposición general de creación de los ficheros en el Boletín Oficial del Estado, por tratarse de ficheros de titularidad pública. • Notificación a la AEPD de los ficheros de datos personales señalados en el punto 1, para su inscripción en el Registro General de Protección de Datos. • Tal y como se expuso en el primer punto, no procede la inscripción del fichero de videovigilancia, ya que sólo existe visionado de imágenes, y no almacenamiento de las mismas. Sí sería preceptiva si las imágenes fueran almacenadas. • Como consecuencia del tratamiento de datos personales de nivel alto, debe establecerse un plan de auditoría de medidas de seguridad, que habrán de realizarse al menos cada dos años (art. 96 RLOPD). Solución caso práctico: Plan de adecuación a la LOPD

11. Deben incluirse en todos los formularios de recogida de datos de personas físicas cláusulas informativas conforme a lo establecido en el artículo 5 de la LOPD. • El cumplimiento del deber de información en el caso del visionado de imágenes del circuito cerrado de TV debe hacerse efectivo mediante la colocación de distintivos informativos ubicados en lugares suficientemente visibles (Instrucción 1/2006, de 8 de noviembre, de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras). • Habilitar los medios para el ejercicio de los derechos de acceso, rectificación, oposición y cancelación. • Así, por ejemplo, podrían establecerse diversos canales de atención: número telefónico gratuito, dirección postal, correo electrónico, formulario electrónico en la página web del organismo, así como los medios humanos encargados de atender estas solicitudes. Solución caso práctico: Plan de adecuación a la LOPD

12. Anexo: Las medidas de seguridad en el reglamento de desarrollo de la LOPD

13. Reglamento LOPD: Título VIII Medidas de seguridad • Artículo 5.2. Definiciones • Título VIII. MEDIDAS DE SEGURIDAD en el tratamiento de datos de carácter personal • Capítulo I. Disposiciones generales (arts. 79 - 87) • Capítulo II. Del documento de seguridad (art. 88) • Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos AUTOMATIZADOS • Sección Primera. Medidas de seguridad de nivel básico (arts. 89 - 94) • Sección Segunda. Medidas de seguridad de nivel medio (arts. 95 - 100) • Sección Tercera. Medidas de seguridad de nivel alto (arts. 101 - 104) • Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos NO AUTOMATIZADOS • Sección Primera. Medidas de seguridad de nivel básico (arts. 105 - 108) • Sección Segunda. Medidas de seguridad de nivel medio (arts. 109 - 110) • Sección Tercera. Medidas de seguridad de nivel alto (arts. 111 - 114)

14. Reglamento LOPD: Título VIII Medidas de seguridad Definiciones (art. 5.2) • Documento Unidad diferenciada de información  escrito, gráfico, sonido, imagen • Ficheros temporales Tratamiento ocasional, paso intermedio en un tratamiento de datos • Incidencia Anomalía que afecte o pudiera afectar a la seguridad de los dato • Perfil de usuario accesos autorizados a un grupo de usuarios • Sistema de tratamiento Modo en que se organiza un sistema de información: automatizado, no automatizado o parcialmente automatizado • Autenticación Comprobación de la identidad de un usuario

15. Reglamento LOPD: Título VIII Medidas de seguridad • Disposiciones generales Niveles de seguridad: Básico, Medio y Alto. Aplicación de los niveles de seguridad: ALTO Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual Fines policiales sin consentimiento de las personas afectadas Violencia de género Los creados para el cumplimiento de las disposiciones de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo MEDIOInfracciones administrativas o penales Servicios de información sobre solvencia patrimonial y crédito Administraciones Tributarias - potestades tributarias Entidades financieras - servicios financieros Seguridad Social, Mutuas Elaboración de perfiles MEDIO (+ registro de accesos) Operadores TELECO – tráfico y localización BÁSICO  Cualquier otro fichero o tratamiento de datos de carácter personal. También en datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad • Salud (grado o condición de discapacidad o invalidez - cumplimiento de deberes públicos)

16. Reglamento LOPD: Título VIII Medidas de seguridad Las medidas de seguridad tienen que aplicarse a cualquier fichero o tratamiento de datos de carácter personal, con independencia: • de quién realice el tratamiento • Encargado del tratamiento • Diferentes modos de prestación del servicio (art. 82) • Prestación de servicios sin acceso a datos personales • Cláusula informativa en el contrato (art. 83) • desde dónde se realice • Acceso a datos a través de redes de comunicaciones, sean o no públicas (art. 85) • Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento • Dispositivos portátiles (art. 86) • cómo se realice • Ficheros temporales o copias de trabajo de documentos (art. 87)

17. Reglamento LOPD: Título VIII Medidas de seguridad Documento de seguridad (art. 88) • Documento interno de la organización que recoge las medidas de índole técnica y organizativa que han de aplicarse para garantizar la seguridad de los datos • Su elaboración es obligatoria para todo responsable de ficheros o tratamientos • Las medidas y procedimientos contenidos en él son de obligado cumplimiento para el personal con acceso a los sistemas de información • Contenido mínimo (art. 88.3) • Ámbito de aplicación • Medidas, normas, procedimientos de actuación y estándares para garantizar el nivel de seguridad exigido en el RLOPD. • Funciones y obligaciones del personal en relación con el tratamiento de datos de carácter personal • Estructura de los ficheros de datos personales y descripción de los sistemas de información que los tratan. • Procedimientos de notificación, gestión y respuesta ante las incidencias • Procedimientos de realización de copias de respaldo y de recuperación de datos en los ficheros y tratamientos automatizados • Medidas para el transporte de soportes, así como para la destrucción de documentos y soportes.

18. Reglamento LOPD: Título VIII Medidas de seguridad Documento de seguridad (art. 88) • Además, si fueran de aplicación medidas de nivel medio o alto, contendrá: • Identificación del responsable de seguridad • Los controles periódicos para verificar el cumplimiento del documento • En caso de que el tratamiento de los datos se realice exclusivamente en los sistemas del encargado del tratamiento, puede delegarse en éste la llevanza del documento de seguridad • Debe mantenerse actualizado en todo momento y adecuarse siempre a las disposiciones vigentes en materia de seguridad de los datos de carácter personal

19. Reglamento LOPD: Título VIII Medidas de seguridad El Reglamento aporta aclaraciones y flexibilidad para cumplir las medidas de seguridad • Segregación de ficheros por niveles (art. 81.8) • Delegación de autorizaciones (art. 84) • Perfiles de usuario (art. 5.2.j) • Documento de seguridad (art. 88) • Único o individualizado, en función de sistemas de tratamiento, otros criterios del responsable • Recogerá las delegaciones de autorizaciones • Recogerá las situaciones excepcionales: • Prestaciones de servicios, uso de dispositivos portátiles, • Medidas compensatorias, imposibilidad aplicación medidas previstas • Interno, actualizado

20. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Básico

21. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Básico

22. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Medio

23. Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Alto

24. Reglamento LOPD: Título VIII Medidas de seguridad • Disposición adicional única • Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto