Preauditoria en protección de datos Ricard Martínez Martínez Técnico de control bases de datos. SIUV Problemas, problemas, problemas… 1 ¿Tenemos un problema? ¿Conozco los ficheros existentes en mi organización? ¿He publicado mis ficheros? ¿He formalizado contratos de tratamiento de datos con mi fundación, la empresa que me realiza los envíos o los proveedores externos de servicios informáticos? ¿Tengo más de un problema? ¿Dispongo de documento de seguridad? ¿He definido políticas de uso de los recursos informáticos? ¿Conoce el personal sus obligaciones y derechos en esta materia? ¿Dispongo de una política de uso del correo electrónico? ¿Qué hacemos con el papel? 2 Si respondí negativamente a todas las cuestiones anteriores… Si respondí negativamente a varias de las cuestiones anteriores… Si respondí negativamente a una de las cuestiones anteriores… Tengo un problema….. 3 Conceptos básicos Conceptos básicos Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 4 Objetivos Inmediatos Identificación de ficheros Verificación de prácticas y procedimientos Flujos de información Seguridad Otras necesidades 5 Globales Legalidad Confianza Eficiencia Calidad Ciertos mitos 6 Yo no tengo ficheros (lo mío son word, pdf y en el peor de los casos archivos en soporte papel…) Los datos sólo los uso “a efectos internos”. Estos datos son públicos ergo no estan sujetos a la norma. Si esto le beneficia ¿para qué pedir permiso? El paraguas de la Universitat Procedimiento 7 Charla inicial. Encuestas a usuarios. Planificación. Implementación de medidas. Formación. Retroalimentación. Enfoque PDCA (Plan, Do, Check, Act) utilizado en procesos de calidad (norma UNE-ISO/IEC 71502:2004). planificar las acciones, implementarlas, verificar la consecución de los objetivos propuestos aprovechar la retroalimentación obtenida para mejorar la planificación. 8 Ciertos problemas añadidos Esto es cosa de los abogados. Esto es cosa de los informáticos. Esto es cosa de todos 9 Usuarios reticentes El usuario concibe la LOPD y el RMS como una obligación adicional “excesiva”: Las medidas legales y de seguridad responden al sentido común y a la más elemental traslación de la seguridad del mundo físico al virtual. La aplicación de la LOPD beneficia al usuario. ¿Realmente es un problema? Algunos mitos sobre la protección de datos: Las medidas se plantean como objetivos inalcanzables. Resultan imposibles de implantar. Los usuarios son incapaces de aplicarlas debido a su dificultad jurídica y técnica. Los costes que provocan son inasumibles o excesivos. 10 ¿Realmente es un problema? Seamos sinceros esto de la LOPD nos da trabajo que no teníamos, nos impone costes que no habíamos previsto, vaya nos da mucha rabia… LOPD ¿Por qué? Porque es necesaria: En la sociedad de la información resulta esencial proteger nuestros activos. Es presupuesto para el correcto funcionamiento de los sistemas y para la adopción de decisiones. Contribuye a la racionalización de los medios y de los usos: facilita el cumplimiento del principio de calidad. Genera una cultura de gestión de la información en las organizaciones. Proporciona confianza: • Interna: en el funcionamiento de los sistemas. • Externa en el usuario. 11 Porque es una obligación legal: STC 292/2000 Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Responsabilidad Régimen sancionador: LOPD (art. 44). Infracción de los deberes laborales. Responsabilidad civil Objetiva objetiva por el daño causado (art. 1902). Contractual (1101 y ss.) Responsabilidad patrimonial Administración Pública. de la 12 Responsabilidad ética: hablamos de derechos fundamentales La defensa de los derechos y su relación con la seguridad. El derecho fundamental a la protección de datos. El control de la información personal como presupuesto para la autodeterminación individual. El tratamiento de información personal como soporte básico para el funcionamiento del Estado Social. Beneficios de la auditoria La gestación de una cultura LOPD Las ventajas de la cultura LOPD en la gestión de la información La especialización de los gestores. El proceso final de formación. 13 Dos objetivos imprescindibles Garantizar los ciudadanos. derechos de los Perseguir la excelencia (Normas UNEISO/IEC 17799 y UNE 71502). Muchas gracias ricard.martinez@uv.es 14