Principio de Proteccion de Datos

PRINCIPIOS DE LA PROTECCION DE
DATOS
INTEGRANTES
1. ALVAREZ ROJAS LUIS ALFREDO
2. APONTE GABRIEL
3. MORI ULLOA HENRY BRYAN
Principios
Rigen todo el
tratamiento de los
datos personales
Establecen lmites
El punto hasta el que un
Sujeto Obligado puede
llegar en el tratamiento
de los datos; lnea
imaginaria que marca las
fronteras de la legalidad
Establecen pautas
La norma que se debe
seguir, la gua que
establece el modelo de
conducta del Sujeto
Obligado respecto del
tratamiento de los datos
que poseen
Principios de la proteccin de datos

(Art.7)
Principio de calidad
Exactos y veraces
la obtencin de los mismos,

responder a la situacin actual del
Titular de los datos; lo que significa
que debern ser ciertos y
actualizados.
Principios de la proteccin de datos
La LOPD establece una serie de limitaciones al

tratamiento de los datos; limitaciones fijadas para
garantizar un uso adecuado, lcito, no excesivo y con
las debidas medidas de seguridad que impidan la
alteracin, prdida o tratamiento no autorizado de los
datos, por eso la ley fija como contrapeso la
necesidad de observar la voluntad del interesado o
consentimiento.
La Ley tiende a establecer unos principios generales de

Calidad tendentes a garantizar un uso adecuado de los
datos, fijando que:
1.Los datos personales deben de adecuarse a la

finalidad para la que fueron recabados,
2.Deben ser exactos y actualizados,
3.No deben mantenerse indefinidamente sin justificacin
4.Deben haber sido recogidos de forma lcita.
Finalidad:
Los datos slo se podrn recoger para su tratamiento
cuando sean adecuados, pertinentes y no excesivos
en relacin con el mbito y las finalidades
determinadas, explcitas y legtimas para los que se
hayan obtenido.
Exactitud de los datos:
De oficio por el Responsable del Fichero, cuando
conozca dicha inexactitud.
A travs del ejercicio del derecho de rectificacin de
los datos por el propio interesado.
Cancelacin de datos:
La cancelacin se producir directamente por el
Responsable del Fichero en el momento en que el
dato no sea necesario.
En el caso de que una ley establezca que se deben
conservar los datos, la cancelacin se har mediante
el bloqueo o disociacin de los mismos.
Lealtad:
Se impone la prohibicin de recoger los datos por medios
fraudulentos, desleales o ilcitos.
Principio de consentimiento
Principio de
consentimiento
Anuencia
informada, libre,
inequvoca,
especfica y
expresa del
titular
Excepciones art. 10
a) Informada: Cuando
, se otorga el consentimiento
con conocimiento anticipado al tratamiento de sus
datos, de las finalidades para las que el mismo se
produce.
b) Libre: Cuando es obtenid o sin la intervencin
de vicio alguno de l a voluntad (otorgado por error,
con violencia, intimidacin o dolo en su obtencin;
c) Inequvoca: Cuand o no deja lugar a dudas la
accin que dio lugar al otorgamiento; no es
admisible deducir el consentimiento de los meros
actos realizados por el afectado;
a referido a una
d) Especfica: Cuando se
otorg
a finalidad y tratamiento, explcita y
determinad
legtima;
e) Expresa: Cuando se manifiesta de manera
verbal, por escrito o por signos inequvocos.
Principio de
consentimiento
I.
Se encuentre previsto en una Ley
II.
Datos obtenidos para la realizacin de las

funciones propias de la administracin pblica
en su mbito de competencia que cumplan
con el principio de pertinencia
EXCEPCIONES
III. Exista una orden judicial

IV. El titular no est en posibilidad de otorgar el
consentimiento
V.
Transmisin entre organismos

gubernamentales para fines histricos,
estadsticos o cientficos
VI. Se den a conocer al usuario externo para la

prestacin de un servicio cuya finalidad es el
VII. Los datos figuren en registros pblicos
Principio de
consentimiento
Ligado
directamente
a los
principios de
Confidencialidad
Finalidad
Pertinencia
Responsabilidad
El Sujeto Obligad
o no podr difundir o transmitir los datos
contenidos en los Sistemas de Datos Personales desarrollados en el
ejercicio de sus funciones, salvo que haya mediado el consentimiento
expreso por escrito de las personas a que haga referencia la
informacin. Para tal efecto la Unidad de Acceso contar con los
formatos necesarios para recabar dicho consentimiento
12
Principio de transparencia
Qu es?
Es el derecho de informacin que tiene el titular de los
datos y una obligacin correlativa para el empresario.
Los datos de carcter personal se pueden recabar:
Del propio interesado
De terceros
De fuentes accesibles al publico
13
Datos recabados del propio interesado:
Cundo procede?
Hay que informar en la recogida de datos.
Qu hay que informar?
La existencia del fichero, la finalidad, de quien es el
responsable del fichero, de los derechos, el carcter
obligatorio o facultativo de la respuesta a preguntas,
consecuencias de la negativa...
Cmo hacerlo?
-Si son cuestionarios en papel o formularios
informticos: clusula informativa legible.
-Fuentes accesibles al publico y los utilizo con fines
publicitarios: clusula informativa en cada documento
publicitario.
14
Ejemplo:
De conformidad con la Ley Orgnica 15/1999 de Proteccin de Datos
Personales y a travs de la cumplimentacin del presente formulario,
Vd. presta su consentimiento para el tratamiento de sus datos
personales facilitados, que sern incorporados al fichero XXXXXXX,
titularidad de la EMPRESA XXX, inscrito en el Registro General de la
Agencia Espaola de Proteccin de Datos, cuya finalidad es la gestin
fiscal, contable y administrativa de la relacin contractual, as como el
envo de informacin comercial sobre nuestros productos y servicios.
Igualmente le informamos que podr ejercer los derechos de acceso,
rectificacin, cancelacin y oposicin establecidos en dicha Ley,
adjuntando fotocopia de su DNI/Pasaporte, en la siguiente direccin:
EMPRESA XXX. Departamento de Atencin al Cliente LOPD.
C/XXXXXX n X. 46000 Valencia.
Los campos sealados con * son obligatorios.-
15
Datos recabados por terceros:
Es el caso de la cesin de datos.
En el caso de obtener datos que no hayan sido
directamente recabados de los interesados,
deberemos comunicar al interesado:
Procedencia de los datos.
El titular del Fichero.
Las finalidades del tratamiento.
El carcter obligatorio/facultativo de las respuestas.
De los derechos que le asisten y su posibilidad de
ejercicio.
De la direccin para ejercer los derechos ARCO.
16
Excepciones:
1.Que se le haya informado con anterioridad, por la
empresa que recab originariamente los datos.
2.Que as lo prevea expresamente una Ley.
3.Que el tratamiento tenga fines histricos, cientficos
o estadsticos.
4.Cuando, a criterio de la Agencia Espaola de
Proteccin de Datos, resulte imposible o exija un
esfuerzo
desproporcionado
realizar
tal
comunicacin, siempre atendiendo al nmero de
interesados, antigedad de los datos y a las posibles
medidas compensatorias.
17
Datos recabados de fuentes accesibles al publico:
Cuando los datos proceden de fuentes accesibles al
pblico y se destinen a la actividad de publicidad o
prospeccin comercial, se debe informar al
interesado en cada comunicacin que se le realice
de:
El origen de los datos.
La identidad y direccin del Responsable del Fichero.
Las finalidades del tratamiento.
La posibilidad del ejercicio de los derechos de
acceso, rectificacin, cancelacin y oposicin.
18
PRINCIPIO DE DISPONIBILIDAD
Principio de
disponibilidad
Almacenamiento que
permita el ejercicio
de los derechos ARCO
los Sujetos Obligados debern

organizar los datos personales en
Sistemas para su
almacenamiento as como
establecer los procedimientos
especficos para el ejercicio de
los derechos ARCO por parte de los
titulares de los datos o, en su
caso, de su representante legal;
atendiendo a las medidas de
seguridad establecidas en el
CAPTULO III del TTULO SEGUNDO
DE LA LEY.
PRINCIPIO DE FINALIDAD
Principio de
finalidad
Los SDP no pueden
tener propsitos
contrarios a las leyes o
a la moral pblica
No pueden ser utilizados

para fines distintos o
incompatibles con
aquellos que motivaron su
obtencin
Los datos personales en posesin de los Sujetos Obligados debern

tratarse nicamente con una finalidad explcita, determinada y
legal.
PRINCIPIO DE INFORMACION EN LA RECOGIDA DE DATOS
los Sujetos Obligados debern hacer del conocimiento del Titular

de los datos personales o de su representante legal, de manera
precisa, completa y previa a su obtencin:
-
La existencia del Sistema de Datos Personales

Finalidad
Carcter obligatorio u optativo de la informacin recabada
Consecuencias del suministro de los datos, negativa o inexactitud
Posibilidad de ejercer sus derechos ARCO
Identidad y direccin del responsable del archivo
Aviso de proteccin de datos

personales
(Art. 3 fraccin IV y 16 (PLOG)
PRINCIPIO DE LICITUD Y PERTINENCIA
Principio de
licitud
Principio de
pertinencia
Los SO solo podrn
recabar y utilizar datos
con fines oficiales y

lcitos; adecuados y no
excesivos en relacin
al mbito y finalidad
La posesin y tratamiento de los datos

obedecer exclusivamente a
atribuciones legales o reglamentarias
del Sujeto Obligado
a) Adecuados: Cuando se observa una

relacin proporcional entre los datos
recabados y la finalidad del tratamiento;
b) Pertinentes: Cuando son recabados por el
personal autorizado para el cumplimiento de
las atribuciones de los Sujetos Obligados que
los hayan recabado; y
c) No excesivos: Cuando la informacin
solicitada es la estrictamente necesaria para
cumplir con los fines para los cuales se
hubieran recabado.
Principio de
responsabilidad
Principio de
seguridad
Principio de
temporalidad
Los datos no sern divulgados ni

transmitidos para fines diferentes
para los cuales se recabaron
nicamente el responsable- encargadousuario externo- pueden llevar a cabo el

El tiempo de conservacin de los datos

dentro de un Sistema ser el necesario
para el cumplimiento de las finalidades
que justifiquen su tratamiento
PRINCIPION DE CONFIDENCIALIDAD
a) Irrenunciables: El interesado est

imposibilitado de privarse
voluntariamente de las garantas que le
otorga la legislacin en materia de
proteccin de datos personales;
Principio de
confidencialidad
Garantizar el acceso del

titular, responsable,
encargado o usuario
externo
b) Intransferibles: El interesado es el
nico titular de los datos y stos no
pueden ser cedidos a otra persona; e
c) Indelegables: Slo el interesado tiene
la facultad de decidir a quin transmite
sus datos personales.
El deber de secreca y el de
confidencialidad se consideran
equiparables.
Acceso a datos
Qu es el acceso a los datos por cuenta de
terceros? (Art 12 de la LOPD y Art. 20, 21 y 22 del RD 1720/2007)
-El responsable del fichero permite a un tercero acceder a
los datos de carcter personal para que preste un
servicio relacionado con los mismos.
-El tercero, denominado encargado de tratamiento se
limita a tratar los datos por cuenta del responsable de
los datos, es decir siguiendo sus instrucciones y
devolviendo o destruyendo los datos una vez finalizado
el servicio contratado.
Ej: encargados de tratamiento serian las asesoras o gestoras que realizan

la gestin contable, fiscal o laboral; servicios de Prevencin de Riesgos;
empresas de mantenimiento de Software o Hardware
25
Acceso a datos
1)
Qu caractersticas deben darse pare que exista

acceso a datos por cuenta de terceros?
Firma de un contrato de acceso a datos:
El contrato que deber constar por escrito o en alguna otra forma que
permita acreditar su celebracin y contenido, establecindose
expresamente que el encargado del tratamiento nicamente
tratar los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicar o utilizar con fin distinto al que
figure en dicho contrato, ni los comunicar, ni siquiera para su
conservacin, a otras personas.
Se establecern y detallarn las medidas de seguridad que deber
adoptar e implantar, de acuerdo al nivel de seguridad de los datos.
26
Acceso a datos
2) Una vez finalizado el servicio, o cumplida la
prestacin contractual, el encargado de tratamiento
deber destruir o devolver los datos de carcter personal.
3) En caso de que el encargado del tratamiento quiera
subcontratar algn servicio que suponga el acceso a los
datos a un tercero, deber contar con el expreso
consentimiento
del
Responsable
del
Fichero;
consentimiento que deber quedar establecido en el
contrato.
27
Acceso a datos
Responsabilidad de las partes:
Del Encargado del Tratamiento:
Asumir personalmente las infracciones y sanciones que
puedan derivarse del incumplimiento de sus obligaciones
contractuales en relacin con los datos de carcter
personal.
Del Responsable del Fichero:
Asumir personalmente las infracciones cometidas por el
Encargado del Tratamiento cuando ste acte de acuerdo
a las instrucciones y obligaciones fijadas en el contrato.
(Revisar el modelo de contrato de acceso a datos que aparece en la seccin
Biblioteca de la Plataforma)
28
Acceso a datos
Si no se dan las caractersticas anteriores, no estaremos
ante un caso de acceso a datos, sino ante un supuesto de
comunicacin de datos o cesin de datos.
29
Cesin de datos o Comunicacin de Datos

Qu es la cesin de datos?
Toda revelacin de datos realizada por persona distinta
del interesado
Ej: Comunicacin de Datos entre empresas de un mismo grupo empresarial;

comunicacin de datos a un empresa de publicidad para hacer campaa
de telemarketing
Cules son las caractersticas de la cesin de

datos?
1. Se ceden datos a un tercero que trata los datos por su
cuenta (no sigue instrucciones del fichero) y bajo su
responsabilidad.
2.El previo consentimiento informado del interesado.
30
Cesin de datos o Comunicacin de Datos

3. El tercero al que se le ceden los datos (cesionario)
adquiere la condicin de responsable del fichero.
31
Cesin de datos o Comunicacin de datos

Para poder obtener el consentimiento, hay que informar:
a)Identificacin, actividad y direccin del cesionario.
b)Finalidad a la cual se destinarn los datos cedidos.
c)La identidad y direccin del cesionario,
d)La naturaleza de los datos cedidos,
e)La finalidad del fichero.
No ser necesario proporcionar esta informacin al
interesado cuando resulte imposible o exija esfuerzos
desproporcionados a criterio de la Agencia Espaola de
Proteccin de Datos, en consideracin al nmero de
interesados, a la antigedad de los datos y a las posibles
medidas compensatorias.
32

Cundo el consentimiento previo del interesado
no es necesario en la cesin de sus datos?
1.Cuando la cesin est autorizada por una Ley.
Cesiones Legales.
2.Cuando se trate de datos recogidos de fuentes
accesibles al pblico, siempre que el tratamiento de
los datos sea necesario para la satisfaccin del inters
legtimo perseguido por el cedente o por el cesionario y
se respeten los derechos de los interesados.
3.- Cuando el tratamiento responda a la libre y
legtima aceptacin de una relacin jurdica cuyo
desarrollo,
cumplimiento
y
control
implique
necesariamente conexin con ficheros de terceros.
33

4.- Cuando la comunicacin que deba efectuarse tenga
por destinatario al Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de
Cuentas.
5.- Cuando la cesin se produzca entre
Administraciones Pblicas y tenga por objeto el
tratamiento posterior de los datos con fines histricos,
estadsticos y cientficos.
6.- Cuando la cesin de datos de carcter personal
relativos a la salud sea necesaria para solucionar una
urgencia
34

Cundo es nulo el consentimiento dado en la
cesin?
Cuando el interesado otorgue su consentimiento a la
cesin sin pleno conocimiento de quin es el
destinatario de la misma, cul es su actividad y para
qu finalidad va a utilizar sus datos.
Es revocable el consentimiento dado a la cesin
de los datos?
El consentimiento siempre es revocable, pero no tendr
efectos retroactivos a las cesiones que se realizaron
mientras el consentimiento estaba activo.
35
A qu se obliga el cedente con la cesin? El

cedente se obliga a informar al interesado en dos
momentos:
1.En el momento de la recogida de los datos, donde

deber recabar el previo consentimiento informado para
la cesin de los datos.
2.En el momento de proceder a la cesin efectiva de los
datos, deber comunicarle al interesado los datos del
cesionario, finalidad del fichero y datos que han sido
cedidos.
36

A qu se obliga el cesionario con la cesin?
En la primera comunicacin que dirija al interesado,
deber informarle de forma expresa, precisa e
inequvoca de:
a)Procedencia de los datos.
b)Su incorporacin a un fichero.
c)Finalidad del tratamiento.
d)Derechos que puede ejercitar (acceso, rectificacin,
cancelacin y oposicin).
e)Datos identificativos y direccin.
37
Principio de Seguridad
La normativa sobre proteccin de datos liga el

concepto de seguridad a:
a)
Confidencialidad: entendido como el acceso

autorizado a los datos.
b) Exactitud: la informacin no debe sufrir alteraciones
no deseadas, en cuanto a su contenido.
c) Disponibilidad: slo las personas autorizadas
pueden tener acceso a la informacin.
38
Las medidas que se establecen, son de dos tipos:

Medidas
Organizativas:
aquellas
medidas
destinadas a establecer procedimientos, normas,
reglas y estndares de seguridad, cuyos destinatarios
son los usuarios que tratan los datos de los ficheros.
b) Medidas Tcnicas: medidas destinadas
principalmente a la conservar la integridad de la
informacin (su no alteracin, prdida o robo) y en
menor medida a la confidencialidad de los datos
personales. Se encuentran delimitadas en funcin del
nivel de seguridad de los datos tratados: bsico,
medio y alto.
39
Niveles de Seguridad:
Nivel Bsico: Todos los ficheros
Nivel Medio:
a) Ficheros que contengan datos relativos a la comisin
de infracciones administrativas o penales.
b) Ficheros que contengan datos sobre Hacienda
Pblica.
c) Ficheros que contengan datos sobre Servicios
Financieros.
d) Ficheros que contengan datos sobre solvencia
patrimonial y crdito.
40
e) Ficheros que contengan un conjunto de datos
suficientes que permitan elaborar un perfil del
afectado.
f) Ficheros titularidad de Entidades Gestoras y Servicios
Comunes de la Seguridad Social, mutuas de trabajo y
enfermedades profesionales de la SS.
Nivel Alto:
Ideologa ,afiliacin sindical, religin creencias, origen
racial, salud y vida sexual.
Datos de violencia de genero.
Datos recabados para fines policiales policiales sin
consentimiento de los afectados.
41
Excepcin:
Los datos especialmente protegidos podrn
considerarse de Nivel Bsico en los siguientes
casos:
Para el pago de cuotas de asociaciones
En ficheros en papel que los contengan de manera
accidental.
Los datos propios para hacer frente a las obligaciones
legales, tales como seguridad social, hacienda, etc.
respecto de los trabajadoresaltas, bajas, porcentaje
de minusvala, detraccin cuota sindical, pagos a
entidades bancarias, etc.
42
NIVEL BASICO
TIPOS DE
DATOS
NIVEL ALTO
Datos de Carcter
identificativo (Nombre y
apellidos, DNI, Telfono,
domicilio) ,Imagen
Infracciones penales y/o

administrativas, datos de
Hacienda Pblica,
Informacin de Servicios
financieros
Religin y creencias ,Origen

racial, Salud, Ideologa y
Vida sexual
-Documento de Seguridad
-Registro de incidencias
-Funciones y obligaciones
de personal
-Contraseas de acceso
-Copias de Seguridad
-Inventario de soportes
-Control de acceso fsico
de personal
-Responsable de Seguridad
-Auditoria Bianual
de personal
-Responsable de Seguridad
-Auditoria Bianual
-Registro de acceso a datos
-Almacenar las copias de
seguridad fuera del local.
-Cifrado de Datos
De 900 a 40.000
De 40.001 a 300.000
De 300.001 a 600.000
MEDIDAS DE
SEGURIDAD
SANCIONES
NIVEL MEDIO
43
Medidas aplicables a los diferentes niveles de
seguridad de ficheros automatizados
El RD establece unas medidas de seguridad que se
aplican independientemente del nivel de seguridad de
los ficheros tratados:
a) Acceso a travs de redes de telecomunicaciones
Las medidas de seguridad exigibles para el acceso a
travs de redes de telecomunicaciones deber
garantizar un nivel equivalente al correspondiente a los
accesos en modo local.
44
b) Rgimen de trabajo fuera de los locales de la
ubicacin del fichero
Autorizado por el responsable en Documento de
Seguridad. La autorizacin puede tener un periodo de
validez
c) Ficheros Temporales (art.7).
Los ficheros temporales debern cumplir el mismo
nivel de seguridad que el fichero del tienen origen.
Destruccin o borrado seguro cuando haya dejado de
ser necesario para la finalidad que motiv su creacin.
45
Medidas de seguridad de Nivel Bsico
1) Documento de Seguridad:
El Documento de Seguridad es un documento de
carcter privado y de obligado cumplimiento para todo
el personal de la Empresa que acceda a los Ficheros
de datos de carcter personal y a los Sistemas de
Informacin, en el que deben quedar plasmadas y
recogidas todas las polticas, reglas, medidas y
procedimientos de seguridad establecidos por el
Responsable del Fichero.
46
Contenido del Documento de Seguridad
a) mbito
de aplicacin del Documento con
especificacin
detallada
de
los
recursos
protegidos
Ficheros de datos de carcter personal protegidos por

normativa.
Descripcin de los equipos informticos utilizados para
tratamiento (servidores, terminales, ordenadores).
Aplicaciones informticas utilizadas para el tratamiento de
ficheros de datos (como Bases de datos SQL, Programas
gestin,)
Descripcin de la red de comunicaciones.
Locales e ubicaciones donde ser de aplicacin la normativa.
la
su
los
de
47
b) Medidas, normas, procedimientos y estndares
encaminados a garantizar el nivel de seguridad
exigido.
Los procedimientos y normas de acceso fsico a las ubicaciones y

locales:
Los procedimientos y normas de acceso al sistema informtico:
asignacin, distribucin, almacenamiento y cambio de
contraseas de acceso al sistema y red.
Los procedimientos, normas y medidas de seguridad lgica
adoptados para la defensa ante ataques externos (antivirus,
firewalls, cifrado de redes, control de puertos, etc).
Los procedimientos de acceso y normas de utilizacin de
aplicaciones informticas concretas.
48
Los procedimientos de acceso y normas de utilizacin de

aplicaciones informticas concretas.
Los procedimientos, normas y medidas de acceso a travs de
Redes de Telecomunicaciones.
Los procedimientos, autorizaciones y normas de trabajo en
ubicaciones distintas a la principal.
Las directrices de seguridad para la utilizacin de determinados
programas de correo electrnico, protectores de pantalla,
conservacin de documentos, generacin de contraseas
c) Funciones y obligaciones del personal.

Listado actualizado de usuarios con acceso a los datos de
carcter personal.
49
d) Estructura de los ficheros con datos de carcter
personal
y descripcin de los sistemas de
informacin.
Se especifica el nombre de la aplicacin informtica que se utiliza
para el tratamiento de los datos; datos referentes al equiposervidor en el que se encuentra almacenado el fichero.
f) Los procedimientos de realizacin de copias de

respaldo y recuperacin de datos.
Debe establecerse y definirse en el Documento de Seguridad
cundo, cmo y qu se incorpora a las copias de seguridad; y, en
caso de que sea necesaria la restauracin de los datos, cul es el
procedimiento de actuacin a seguir.
50
g)
Las medidas que sea necesario adoptar para el

transporte de soportes y documentos , as como
la destruccin de los mismos o su reutilizacin.
Si existe tratamiento por cuenta de terceros debe

aparecer en el documento de seguridad.
El documento de seguridad debe mantenerse en todo
momento actualizado.
51
2)
Funciones y obligaciones de personal con acceso a los

datos:
Deben de estar claramente definidas y documentadas

El personal deber conocer las normas de seguridad establecidas y las
consecuencias de su incumplimiento.
3)
Registro de Incidencias
Tipo de incidencia
Momento en que se ha producido,
Persona que realiza la notificacin,
Persona a quien se le comunica, y
Efectos que se hubieran derivado de la incidencia.
52
4)
Control de acceso:
El responsable del fichero se encargar de que exista una relacin

actualizada de usuarios que tengan acceso autorizado al sistema
de informacin y de establecer procedimientos de identificacin y
autenticacin para dicho acceso.
Solo el personal autorizado podr acceder a la informacin.
5)
Identificacin y autenticacin
Identificacin de forma inequvoca y personal

Identificacin= usuario
autenticacin=contrasea
53
Procedimiento de asignacin, distribucin y almacenamiento que
garantice su confidencialidad e integridad.
Recomendaciones para las contraseas:
Si la contrasea es generada por el Administrador del Sistema y
luego es cambiada, en el primer acceso al sistema, por una
contrasea personal por parte del usuario, o por el contrario no
podr ser modificada por el usuario.
La longitud mnima (6 a 8 caracteres)
Composicin Alfanumrica (letras, nmeros, maysculas y
minsculas y /o smbolos)
Vigencia no superior a un ao.
54
Establecer los procedimientos para el cambio de contrasea y los

casos en los que deber procederse a su cambio por haberse visto
comprometida.
Establecer los procedimientos de bloqueo y desbloqueo de cuenta por
utilizacin reiterada de contraseas incorrectas.
Establecer los procedimientos de generacin, conservacin y
almacenamiento seguro de contraseas.
6)
Gestin de soportes y documentos:
Los soportes o documentos que contengan datos de carcter personal

debern permitir identificar el tipo de informacin que contienen.
La salida de soportes y documentos que contengan datos de carcter
personal, fuera de los locales en los que est ubicado el fichero, debe
ser autorizado por el responsable del fichero.
55
Posibles medidas a adoptar:
Inventariado y almacenamiento de todos los soportes

informticos.
Modelo de autorizacin y registro de salida de soportes
informticos.
Conservacin
y
almacenamiento
de
soportes
papel
/documentacin en armarios/archivadores.
Cada vez que un usuario accede a documentos y/o soportes
(informticos y/o en papel) que contengan datos de carcter
personal, una vez finalizado su uso deber devolverlo a su
armario/archivador.
Inventariado y almacenamiento con acceso restringido a
documentos y soportes calificados como confidenciales .
56
Copias de respaldo y recuperacin:
Copias de seguridad
a) Verificar la definicin y correcta aplicacin de los procedimientos
7)
de ejecucin de copias de respaldo y recuperacin de los datos.

b) Los procedimientos de backup debern garantizar la
reconstruccin de los datos al estado en que se encontraban al
momento anterior de producirse la prdida o destruccin.
c) Debern realizarse copias de respaldo al menos semanalmente
d) El responsable del fichero se encargara de verificar cada 6 meses
la correcta definicin, funcionamiento y aplicacin del
procedimiento de copias de seguridad.
57
1)
Medidas de seguridad de Nivel Medio

Documento de Seguridad:
Identificar el responsable/s de seguridad
Los controles peridicos que se deban realizar para verificar el

cumplimiento del documento de seguridad.
2)
Responsable de Seguridad
La persona encargada de velar por el cumplimiento de las

medidas, reglas y normas de seguridad establecidas por el
Responsable del Fichero.
Debe establecerse en el documento de seguridad sus funciones y
obligaciones.
58
3)
Auditora:
Auditoria Bianual interna o externa obligatoria.

El Informe de Auditora deber dictaminar sobre el grado de
adecuacin y cumplimiento de las medidas de seguridad,
identificar sus deficiencias y proponer las medidas correctoras
necesarias.
4)
Identificacin y Autenticacin:
Se debe limitar la posibilidad de intentar reiteradamente el
acceso no autorizado al sistema de informacin.
5)
Control de acceso fsico:

Solo el personal autorizado podr acceder a los lugares donde se
hallen los equipos fsicos.
59
6)
Registro de incidencias:
Deber adems sealarse la persona que ejecuto el proceso, los

datos restaurados, y en su caso, que datos ha sido grabar
manualmente en el proceso de recuperacin.
El responsable del fichero deber autorizar los procedimientos
de recuperacin de datos.
7)
Gestin de soportes y documentos:
Debe existir un registro de entrada y salida de soportes que

identifique: tipo de documento o soporte, fecha y hora,
emisor/destinatario , numero de documento, tipo de informacin
que contienen, forma de envo, responsable de la recepcin o
entrega.
60
Medidas de seguridad de Nivel Alto
Se establecen medidas de seguridad especificas para
este nivel:
La utilizacin de mecanismos de encriptacin y cifrado
de los datos.
El registro, control y almacenamiento de logs de
accesos a los ficheros.
El almacenamiento de copia de seguridad en ubicacin
distinta.
61
Medidas de seguridad de Nivel Alto
Se establecen medidas de seguridad especificas para
este nivel:
La utilizacin de mecanismos de encriptacin y cifrado
de los datos.
El registro, control y almacenamiento de logs de
accesos a los ficheros.
El almacenamiento de copia de seguridad en ubicacin
distinta.
62
1)
Gestin y Distribucin de soportes:
Identificacin de los soportes mediante sistemas de etiquetado

que permitan identificar su contenido.
Distribucin de los soportes cifrada u otro mecanismo que impida
su manipulacin durante su transporte.
2)
Copias de Respaldo y Recuperacin:

Los ficheros de datos de nivel alto debern conservarse una
copia de respaldo y de los procedimientos de recuperacin de los
datos en un lugar diferente a aqul en que se encuentran los
equipos informticos que los tratan cumpliendo, en todo caso, las
medidas de seguridad exigidas.
63
3)
Registro de accesos
De cada acceso, se guardarn como mnimo:

a) La identificacin del usuario
b) Fecha y la hora en que se realiz el acceso
c) Fichero accedido,
d) Tipo de acceso: autorizado o denegado,
e) Y en el caso que el acceso haya sido autorizado, ser preciso
guardar la informacin que permita identificar el registro
accedido.
Los mecanismos que permiten el registro de los datos detallados
anteriormente estarn bajo el control directo del responsable de
seguridad
64
El periodo mnimo de conservacin de estos datos ser a de aos.
El responsable de seguridad competente se encargar de revisar
peridicamente la informacin de control registrada y elaborar un
informe de las revisiones realizadas y los problemas detectados
Excepciones al Registro de acceso:
Cuando el responsable del fichero sea una persona fsica
y
Que el responsable del fichero garantice que nicamente el tiene
acceso.
Si concurren ambas circunstancias debe hacerse constar en el
Documento de Seguridad
65
4) Telecomunicaciones
La transmisin de datos de carcter personal a travs de
redes de telecomunicaciones se realizar cifrando dichos
datos o bien utilizando cualquier otro mecanismo que
garantice que la informacin no sea inteligible ni
manipulada por terceros.
Resumen: (Ver el cuadro resumen de medidas de seguridad de la Agencia
Espaola de Proteccin de Datos que esta en la seccin Biblioteca)
66
Medidas aplicables a los diferentes niveles de

seguridad para ficheros no automatizados
Se regulan los medios a travs de los cuales se deben custodiar,

almacenar y/o guardar, y acceder a aquellos por parte de las
personas que estn autorizadas. Sin embargo, deja plena libertad
a la hora de configurar por el responsable del fichero las medidas a
implantar para este tipo de soportes.
Se les aplica gran parte de lo exigido para los soportes

automatizados:
Inscripcin en la AGPD
Niveles de Seguridad
Encargado del tratamiento
Documento de seguridad
Copias de trabajo
67
Delegacin de autorizaciones
Rgimen de trabajo fuera de los locales
Funciones y obligaciones de personal
Registro de incidencias
Control de acceso
Gestin de Soportes
68
1)
Medidas de seguridad de Nivel Bsico:

Criterios de Archivo
Establecidos por la normativa especifica o el responsable del
fichero
Deben permitir la conservacin, localizacin y consulta de los
documentos y posibilitar el ejercicio de los Derechos ARCO.
2)
Dispositivos de almacenamiento
Limitar el acceso a los documentos de las personas no

autorizadas mediante mecanismos que obstaculicen la apertura.
3)
Custodia de soportes
En el proceso previo o posterior al archivo, la persona

responsable deber custodiar los documentos.
69
Medidas de seguridad de Nivel Medio:
1)
2)
Designar uno o varios responsables de seguridad.

Auditoria de Proteccin de Datos de Carcter
Personal
Auditoria Bianual Obligatoria
70
1)
Medidas de seguridad de Nivel Alto:

Almacenamiento de la informacin:
Solo personal autorizado puede tener acceso a los armarios,
archivadoresque almacenen los ficheros
Dichas areas deben permanecer cerradas cuando no sea
preciso el acceso.
2)
Copia o reproduccin
Solo podr realizarse por personal autorizado
3)
Acceso a la documentacin
Solo personal autorizado

Establecer mecanismos para saber quien a accedido al
documento cuando existan varios usuarios
71
4)
Medidas de seguridad de Nivel Alto:

Traslado de documentacin
Tomar medidas para evitar el acceso o la manipulacin
durante el traslado.
72
73
Resumen
74
Resumen
La diferencia radica ,principalmente ,en la responsabilidad:
Acceso a Datos
Cesin de datos
El tercero trata los datos El tercero trata los datos por

siguiendo las instrucciones del
su cuenta (sin seguir
responsable del fichero
instrucciones del responsable)
Debe existir un contrato, Debe existir un consentimiento
normalmente por escrito, que
previo del afectado.
cumpla con los requisitos del
art. 11 de la LOPD)
Una vez finalizado el servicio
los datos se devuelven o hay
que destruirlo.
El encargado del tratamiento El tercero (cesionario)
ser responsable , solo en el
adquiere la condicin de
caso de que incumpla las
responsable del fichero.
estipulaciones del contrato
75

Principio de Proteccion de Datos

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Principio de Proteccion de Datos

Diunggah oleh

Hak Cipta:

Format Tersedia

PRINCIPIOS DE LA PROTECCION DE

Principios de la proteccin de datos

la obtencin de los mismos,

Principios de la proteccin de datos

La LOPD establece una serie de limitaciones al

La Ley tiende a establecer unos principios generales de

1.Los datos personales deben de adecuarse a la

Se encuentre previsto en una Ley

Datos obtenidos para la realizacin de las

III. Exista una orden judicial

Transmisin entre organismos

VI. Se den a conocer al usuario externo para la

los Sujetos Obligados debern

No pueden ser utilizados

Los datos personales en posesin de los Sujetos Obligados debern

PRINCIPIO DE INFORMACION EN LA RECOGIDA DE DATOS

los Sujetos Obligados debern hacer del conocimiento del Titular

La existencia del Sistema de Datos Personales

Aviso de proteccin de datos

PRINCIPIO DE LICITUD Y PERTINENCIA

con fines oficiales y

La posesin y tratamiento de los datos

a) Adecuados: Cuando se observa una

Los datos no sern divulgados ni

nicamente el responsable- encargadousuario externo- pueden llevar a cabo el

El tiempo de conservacin de los datos

a) Irrenunciables: El interesado est

Garantizar el acceso del

Ej: encargados de tratamiento serian las asesoras o gestoras que realizan

Qu caractersticas deben darse pare que exista

Cesin de datos o Comunicacin de Datos

Ej: Comunicacin de Datos entre empresas de un mismo grupo empresarial;

Cules son las caractersticas de la cesin de

Cesin de datos o Comunicacin de Datos

Cesin de datos o Comunicacin de datos

Cesin de datos o Comunicacin de datos

Cesin de datos o Comunicacin de datos

Cesin de datos o Comunicacin de datos

Cesin de datos o Comunicacin de datos

A qu se obliga el cedente con la cesin? El

1.En el momento de la recogida de los datos, donde

Cesin de datos o Comunicacin de datos

La normativa sobre proteccin de datos liga el

Confidencialidad: entendido como el acceso

Las medidas que se establecen, son de dos tipos:

Infracciones penales y/o

Religin y creencias ,Origen

Ficheros de datos de carcter personal protegidos por

Los procedimientos y normas de acceso fsico a las ubicaciones y

Los procedimientos de acceso y normas de utilizacin de

c) Funciones y obligaciones del personal.

f) Los procedimientos de realizacin de copias de

Las medidas que sea necesario adoptar para el

Si existe tratamiento por cuenta de terceros debe

Funciones y obligaciones de personal con acceso a los

Deben de estar claramente definidas y documentadas

El responsable del fichero se encargar de que exista una relacin

Identificacin de forma inequvoca y personal

Establecer los procedimientos para el cambio de contrasea y los

Gestin de soportes y documentos:

Los soportes o documentos que contengan datos de carcter personal

Inventariado y almacenamiento de todos los soportes

de ejecucin de copias de respaldo y recuperacin de los datos.

Medidas de seguridad de Nivel Medio