Upload
vodiep
View
216
Download
0
Embed Size (px)
Citation preview
Conferencia InauguralConferencia Inaugural
Protección de datos personales. Lecciones
aprendidas en el contexto aprendidas en el contexto español
Arturo Ribagorda GarnachoUniversidad Carlos III de Madrid
(www.seg.inf.uc3m.es)1
ÍNDICE
1. Desarrollo legal en España y en la1. Desarrollo legal en España y en la U.E.
Leyes, Directivas y Reglamentos
2. Privacidad. Problemas actuales2. Privacidad. Problemas actuales3. España. Lecciones aprendidas
(1992-2012)4 Futuro Marco legal europeo4. Futuro Marco legal europeo
2
DESARROLLO LEGAL EN ESPAÑA
L O 5/1992 de Regulación del TratamientoL. O. 5/1992, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal
• R. D. 994/1999, Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal
3
DESARROLLO LEGAL EN ESPAÑA
Directiva 95/46/CE del Parlamento Europeo yDirectiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta alpersonas físicas en lo que respecta al tratamiento de datos personales y a la libre i l ió d t d tcirculación de estos datos
4
DESARROLLO LEGAL EN ESPAÑA
L. O. 15/1999, de Protección de datos de ,Carácter Personal (LOPD)
• R.D. 1720/2007 por el que se aprueba el Reglamento de desarrollo de la L. O. 15/1999 de
t ió d d t d á t lprotección de datos de carácter personal
5
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOSDESARROLLO LEGAL EN ESPAÑA
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Algunas Instrucciones
1/2006 b l t t i t d d t1/2006, sobre el tratamiento de datos personales con fines de vigilancia a través de i t d á id ásistemas de cámaras o videocámaras
1/1996, sobre ficheros automatizados ,establecidos con la finalidad de controlar el acceso a los edificios
2/1996 sobre ficheros automatizados establecidos con la finalidad de controlar elestablecidos con la finalidad de controlar el acceso a los casinos y salas de bingo 6
ÍNDICE
1. Desarrollo legal en España y en la1. Desarrollo legal en España y en la U.E.
Leyes, Directivas y Reglamentos
2. Privacidad. Problemas actuales2. Privacidad. Problemas actuales
7
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)( )• Redes sociales
R d P2P• Redes P2P• Datos personales en Diarios Oficiales• Etiquetas RFID
Menores de edad• Menores de edad8
A4
Diapositiva 8
A4 You TubeARTURO, 02/06/2012
9
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)
10
A5
Diapositiva 10
A5 You TubeARTURO, 02/06/2012
PRIVACIDAD. PROBLEMAS ACTUALES
VIDEOVIGILANCIA
In London […] there are 10,000 cameras in the one square mile "City of London" financialone-square mile "City of London" financial district alone. Across Britain, there are 2.5 million cameras By some estimatesmillion cameras. By some estimates, Londoners are caught on film 300 times per dayday.
http://www.businessweek.com/bwdaily/dnflash/aug2002/nf20020815_7186.htm 11
PRIVACIDAD. PROBLEMAS ACTUALES00
9ab
ril d
e 20
aís,
16
de
12
El P
a
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)
13
A6
Diapositiva 13
A6 You TubeARTURO, 02/06/2012
El País. 7 Ene 201114
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)( )• Redes sociales
15
PRIVACIDAD. PROBLEMAS ACTUALES
16
PRIVACIDAD. PROBLEMAS ACTUALES
17El País, 20 de mayo de 2010
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)( )• Redes sociales
R d P2P• Redes P2P
18
El País 25 Abr 08 19
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)• Redes sociales• Redes P2P• Datos personales en Diarios Oficialesp
20
PRIVACIDAD. PROBLEMAS ACTUALES
El País. 7 de Julio de 2011 21
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)• Redes sociales• Redes P2P• Datos personales en Diarios Oficialesp• Etiquetas RFID
22
El País. 29 de Julio de 2010 23
PRIVACIDAD. PROBLEMAS ACTUALES
24
PRIVACIDAD. PROBLEMAS ACTUALES
• Captación y difusión ilícita de imágenes• Videovigilancia (a través de Internet)• Buscadores (Derecho al olvido)Buscadores (Derecho al olvido)• Redes sociales• Redes P2P• Datos personales en Diarios Oficialesp• Etiquetas RFID
M d d d• Menores de edad25
ro 2
009
s. 1
Feb
rer
El P
aís
26
ÍNDICE
1. Desarrollo legal en España y en la1. Desarrollo legal en España y en la U.E.
Leyes, Directivas y Reglamentos
2. Privacidad. Problemas actuales2. Privacidad. Problemas actuales3. España. Lecciones aprendidas
(1992-2012)
27
LECCIONES APRENDIDAS (1992-2012)
• Equilibrios: Privacidad-Seguridad-Flujo de información-Costo
28
LECCIONES APRENDIDAS (1992-2012)
PRIVACIDAD COSTO
SEGURIDAD S. INFORMACIÓN
29
LECCIONES APRENDIDAS (1992-2012)
PRIVACIDAD vs. SOCIEDAD DE LA INFORMACIÓN
Debemos ser cuidadosos de no emplear métodos tan toscos de protección que priven a nuestra sociedad de datos que precisa para comprender su propio proceso social y analizar sus problemas
Herbert A. Simon (Premio Nobel, 1978)30
C3
Diapositiva 30
C3 Herbert Alexander Simon, premio Nobel de Economía en 1978. Despues en el Depto de C Computación y Psicología (CMU) fue uno de los creadores dela IACASA, 17/12/2005
LECCIONES APRENDIDAS (1992-2012)
PRIVACIDAD vs. SEGURIDAD
LEY 25/2007 de 18 de octubre deLEY 25/2007, de 18 de octubre, de
conservación de datos relativos a las
comunicaciones electrónicas y a las redes
úbli d i ipúblicas de comunicaciones.
31
LECCIONES APRENDIDAS (1992-2012)
PRIVACIDAD vs. COSTO
Personal (Responsable de seguridad)( p g )
Auditoría bienal
Mecanismos específicos de protección
Formación, concienciación
…32
LECCIONES APRENDIDAS (1992-2012)
• Equilibrios: Privacidad-Seguridad-Flujo de información-Costo
• Formar (usuarios) y concienciar (sociedad)( ) y ( )
33
LECCIONES APRENDIDAS (1992-2012)
FORMACIÓN Y CONCIENCIACIÓN A iFORMACIÓN Y CONCIENCIACIÓN. Acciones
• Jornadas• Jornadas
34
CiberPaís. 3 Jun 2010 35
LECCIONES APRENDIDAS (1992-2012)
36
LECCIONES APRENDIDAS (1992-2012)
FORMACIÓN Y CONCIENCIACIÓN A iFORMACIÓN Y CONCIENCIACIÓN. Acciones
• Jornadas• Jornadas• Premios
37
38
LECCIONES APRENDIDAS (1992-2012)
FORMACIÓN Y CONCIENCIACIÓN A iFORMACIÓN Y CONCIENCIACIÓN. Acciones
• Jornadas• Jornadas• Premios• Folletos empresariales• Códigos de buenas prácticas• Códigos de buenas prácticas• Cursos de acogida
39
40
FORMACIÓN Y CONCIENCIACIÓN. Resultados
DATOS PERSONALES PreocupaciónDATOS PERSONALES. Preocupación
CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 200941
FORMACIÓN Y CONCIENCIACIÓN. Resultados
DATOS PERSONALES ¿Existen leyes de protección de datos personales?de datos personales?
CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 200942
FORMACIÓN Y CONCIENCIACIÓN. Resultados
DATOS PERSONALES ¿Conoce la Agencia Española de protección de datos?Española de protección de datos?
CENTRO DE INVESTIGACIONES SOCIOLÓGICAS. Barómetro septiembre 200943
LECCIONES APRENDIDAS (1992-2012)
• Equilibrios: Privacidad-Seguridad-Flujo de información-Costo
• Formar (usuarios) y concienciar (sociedad)( ) y ( )
• Legislar el cómo proteger (no sólo el qué)g p g ( q )
44
LECCIONES APRENDIDAS (1992-2012)
DESARROLLO DEL ART. 9 de la LOPD
R.D. 1720/2007 por el que se aprueba el R l t d d ll d l L OReglamento de desarrollo de la L. O. 15/1999 de protección de datos de carácter personal
45
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD
Título I. Disposiciones generales.Título II. Principios de protección de datos.Título III Derechos de acceso rectificaciónTítulo III. Derechos de acceso, rectificación, cancelación y oposición.Título IV. Disposiciones aplicables a determinados ficheros de titularidad privada.determinados ficheros de titularidad privada.
46
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD
Título V. Obligaciones previas al tratamiento de l d tlos datosTítulo VI. Transferencias internacionales de datosTítulo VII. Códigos tipoTítulo VIII De las medidas de seguridad en elTítulo VIII. De las medidas de seguridad en el tratamiento de datos de carácter personalTít l IX P di i t t it d l A EPDTítulo IX. Procedimientos tramitados por la A EPD
47
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD: Título VIIIREGLAMENTO DE LA LOPD: Título VIII
Capítulo I: Disposiciones generalesCapítulo II. Del documento de seguridadCapítulo III Medidas de seguridad aplicables aCapítulo III. Medidas de seguridad aplicables a ficheros y tratamientos automatizadosCapítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos no automatizadosficheros y tratamientos no automatizados
48
LECCIONES APRENDIDAS (1992-2012)
ARTÍCULO 5 Definiciones
REGLAMENTO DE LA LOPD: Título I
ARTÍCULO 5. Definiciones
b) Cancelación)e) Dato disociadog) Datos de carácter personal relacionados con lag) Datos de carácter personal relacionados con la salud
) P id tifi blo) Persona identificablep) Procedimiento de disociación…
49
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
Artículo 81. Aplicación de los niveles de seguridad
• Básico
• Medio
• Alto• Alto
50
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
ARTÍCULO 81. Nivel medio
• Infracciones penales y administrativas• Los que se rijen por el art 29 de la LOPD• Los que se rijen por el art. 29 de la LOPD• Administraciones Tributarias (en el ejercicio de sus potestades)• Entidades financieras (para finalidades de (pprestación de servicios financieros)
51
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
ARTÍCULO 81. Nivel medio
S id d S i l ( l i d l j i i• Seguridad Social (relacionados con el ejercicio de sus competencias). Ídem mutuas
• Datos que permitan definir la personalidad o l é t l t i t d levaluar ésta o el comportamiento de los
ciudadanos
52
LECCIONES APRENDIDAS (1992-2012)
ARTÍCULO 81 Ni l lt
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
ARTÍCULO 81. Nivel alto
Id l í fili ió i di l li ió i• Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual • Recabados para fines policiales (sin consentimiento))• Actos de violencia de genero• Datos de localización y tráfico (parcialmente)• Datos de localización y tráfico (parcialmente)
53
REGLAMENTO DE LA LOPD: Título VIII Capítulo ILECCIONES APRENDIDAS (1992-2012)
Artículo 81. Aplicación de los niveles de seguridadREGLAMENTO DE LA LOPD: Título VIII. Capítulo I
MedioAlto
Básico
54
LECCIONES APRENDIDAS (1992-2012)
Í
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
ARTÍCULO 83. Prestaciones de servicios sin acceso a datos personalesARTÍCULO 85. Acceso a datos a través de redes de comunicaciones.comunicaciones.ARTÍCULO 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamientodel responsable del fichero o encargado del tratamientoARTÍCULO 87. Ficheros temporales o copias de trabajo de documentos
55
LECCIONES APRENDIDAS (1992-2012)
D t d id d
REGLAMENTO DE LA LOPD: Título VIII. Capítulo III
• Documento de seguridad• Registro de incidencias (notificación, gestión, g ( grespuesta, etc.)
G tió d t (b d d d t )• Gestión de soportes (borrado de datos)• Copias de respaldo y recuperación (periodicidad, ubicación, etc.)• Auditoría (bienal)• Auditoría (bienal)
56
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO: Título VIII. Capítulo III. Sección 1
Artículo 89. Funciones y obligaciones del personal
1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso alos usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas d i f ió t á l t d fi idde información estarán claramente definidas y documentadas en el documento de seguridad.
57
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO: Título VIII. Capítulo III. Sección 1
Artículo 89. Funciones y obligaciones del personal
2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten aldesarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento
58
LECCIONES APRENDIDAS (1992-2012)
ARTÍCULO 95 R bl d id d
REGLAMENTO: Título VIII. Capítulo III. Sección 2
ARTÍCULO 95. Responsable de seguridad
En el documento de seguridad deberán gdesignarse uno o varios responsables de seguridad encargados de coordinar y controlarg g ylas medidas definidas en el mismo […].En ningún caso esta designación supone una g gexoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento […]
59
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO LOPD: Título VIII. Capítulo III
• Autenticación de usuarios (intentos de
acceso, cambios de contraseñas, etc.)acceso, cambios de contraseñas, etc.)
• Control de accesos (need-to-know)
• Cifrado de información (distribución de
soportes redes públicas o inalámbricas etc )soportes, redes públicas o inalámbricas, etc.)
• Registros de auditoria (datos a registrar,
tiempo de custodia, etc.)60
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD
Disposición adicional única. Productos de software.
Los productos de software destinados alLos productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el niveldeberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en elalcanzar de acuerdo con lo establecido en el título VIII de este reglamento
61
LECCIONES APRENDIDAS (1992-2012)
• Equilibrios: Privacidad-Seguridad-Flujo de información-Costo
• Formar (usuarios) y concienciar (sociedad)( ) y ( )
• Legislar el cómo proteger (no sólo el qué)g p g ( q )
• Potenciar el Organismo de Controlg
62
ÍNDICE
1. Desarrollo legal en España y en la1. Desarrollo legal en España y en la U.E.
Leyes, Directivas y Reglamentos
2. Privacidad. Problemas actuales2. Privacidad. Problemas actuales3. España. Lecciones aprendidas
(1992-2012)4 Futuro Marco legal europeo4. Futuro Marco legal europeo
63
FUTURO MARCO LEGAL EUROPEO
COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL , ,
COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES
La protección de la privacidad en un mundo interconectado
Un marco europeo de protección de datos para el siglo XXI
COM(2012) 9 finalBruselas 25.1.2012
FUTURO MARCO LEGAL EUROPEO
DIRECTIVA DEL P. E Y DEL CONSEJO (PROPUESTA) l ti l t ió d l fí irelativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos l [ ] fi d iópersonales […] para fines de prevención,
investigación, detección o enjuiciamiento de i f i l d j ió dinfracciones penales o de ejecución de sanciones penales, y la libre circulación de di h d tdichos datos
65
FUTURO MARCO LEGAL EUROPEO
REGLAMENTO DEL P. E. Y DEL CONSEJO (PROPUESTA )relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
66
FUTURO MARCO LEGAL EUROPEO
REGLAMENTO P. E. y CONSEJO (PROPUESTA )
Introducir la privacidad desde el diseñoIntroducir la privacidad desde el diseñoIntroducir la privacidad por defectoE l l i t d l i t dEvaluar el impacto de los sistemas de tratamiento sobre los datos personalesEstablecer sistemas de certificación de la privacidadprivacidadUsar tecnologías PET (Privacy enhancedt l )tecnology)… 67
Conferencia InauguralConferencia Inaugural
Protección de datos personales. Lecciones
aprendidas en el contexto aprendidas en el contexto español
Arturo Ribagorda GarnachoUniversidad Carlos III de Madrid
(www.seg.inf.uc3m.es)68
LECCIONES APRENDIDAS (1992-2012)
ARTÍCULO 83. Prestaciones de servicios sin acceso a REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
datos personales
El responsable [ ] adoptará las medidasEl responsable […] adoptará las medidas adecuadas para limitar el acceso del personal a datos personales […], para la realización de p [ ], ptrabajos que no impliquen el tratamiento de datos personales.Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto […] 69
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
ARTÍCULO 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del gtratamiento
1. Cuando los datos personales se almacenen1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales […] será preciso que exista unade los locales […] será preciso que exista una autorización previa del responsable y en todo caso deberá garantizarse el nivel de seguridadcaso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado
70
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO DE LA LOPD: Título VIII. Capítulo I
ARTÍCULO 87. Ficheros temporales o copias de trabajo de documentosj
2. Todo fichero temporal o copia de trabajoí d á b d d t idasí creado será borrado o destruido una vez
que haya dejado de ser necesario para los fines ti ióque motivaron su creación
71
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO. Título VIII. Capítulo III. Sección 1
Artículo 91. Control de accesos1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones2 […]
72
LECCIONES APRENDIDAS (1992-2012)
Artículo 101. Distribución de soportesREGLAMENTO. Título VIII. Capítulo III. Sección 3
2. La distribución de los soportes […] se realizará cifrando dichos datos […]. Asimismo, se cifrarán[ ]los datos que contengan los dispositivos portátilescuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario […] 73
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO. Título VIII. Capítulo III. Sección 3
Artículo 104. TelecomunicacionesCuando, […] deban implantarse las medidas de , [ ] pseguridad de nivel alto, la transmisión de datos de carácter personal a través de redes ppúblicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos […]
74
75
ARTÍCULO 96. AUDITORÍA.
1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y yalmacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o ,externa que verifique el cumplimiento del presente título.p[…]
76
ARTÍCULO 96. AUDITORÍA.1 [ ]1. […]Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicendicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en elinformación que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar laimplantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años
77
Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
ARTÍCULO 96. AUDITORÍA.2 El i f d dit í d b á di t i2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a l L d ll l t i id tifila Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas
t l t i icorrectoras o complementarias necesarias.Deberá, igualmente, incluir los datos, hechos y b i b l di táobservaciones en que se basen los dictámenes
alcanzados y las recomendaciones propuestas.
78
ARTÍCULO 96. AUDITORÍA.3 Los informes de auditoría serán analizados por3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable delelevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán amedidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o en su caso de las autoridades dede Datos o, en su caso, de las autoridades de control de las comunidades autónomas.
79
BIBLIOGRAFÍABIBLIOGRAFÍA
A. Ribagorda. Las medidas de seguridad en el Reglamento de desarrollo de la Ley OrgánicaReglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal .Comentario Ley Orgánica de protección depersonal .Comentario Ley Orgánica de protección de datos de carácter personal. Cívitas. Thomson Reuters. España. 2010, pp. 736-761.
A. Ribagorda. La dimensión técnica de la protección de datos personales. Estudios en
80
p pHomenaje al Profesor Gregorio Peces-Barba. Editorial Dykinson. Madrid. 2008, pp. 1127-1142.
BIBLIOGRAFÍABIBLIOGRAFÍA
A. Ribagorda. La protección de datos personales y la seguridad de la información Revista Jurídica dela seguridad de la información. Revista Jurídica de Castilla y León., vol. 16. pp. 1127-1142. (2008)
A. Ribagorda. Las medidas de seguridad en el borrador del nuevo Reglamento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Revista Española de Protección de Datos,
l 2 41 62 (2007)81
vol. 2. pp. 41-62. (2007)
PROBLEMAS IMPLANTACIÓN. Medidas organizativas
BIBLIOGRAFÍA
PROBLEMAS IMPLANTACIÓN. Medidas organizativas
BIBLIOGRAFÍA
Acevedo López, M. C.; Ribagorda Garnacho, A. Dificultades y obstáculos en la aplicación delDificultades y obstáculos en la aplicación del Reglamento de medidas de seguridad. I+S, Informática y salud. Nº 57, junio 2006. Revista de laInformática y salud. N 57, junio 2006. Revista de la Sociedad Española de Informática y Salud.
82
La Comisión propone nuevas normas que:
Reforzarán la seguridad de los datos:[…][ ]− fomentando el uso de tecnologías que protejan la privacidad (tecnologías que, al minimizar la conservación de datos personales, resguardan la privacidad de la información), configuraciones por defecto respetuosas de configuraciones por defecto respetuosas de la privacidad y regímenes de certificación de la privacidad;de la privacidad;[…]
83
La Comisión propone nuevas normas que:a Co s ó p opo e ue as o as que
Acrecentará la responsabilidad de quienes tratan datos concretamente:tratan datos, concretamente:−[…]−introduciendo el principio de «privacidad p p pdesde el diseño» a fin de asegurar que las garantías de protección de los datos se i l f d l ifi ió d l incorporan ya en la fase de planificación de los procedimientos y sistemas;−[ ]−[…]
84
La Comisión propone nuevas normas que:
Acrecentará la responsabilidad de quienes tratan datos, concretamente:− […]
i i d l i i ll b− imponiendo a las organizaciones que lleven a cabo operaciones de tratamiento que entrañen cierto riesgo la obligación de llevar a cabo evaluaciones dela obligación de llevar a cabo evaluaciones de impacto sobre la protección de los datos.
85
LECCIONES APRENDIDAS (1992-2012)
REGLAMENTO: Título VIII. Capítulo III. Sección 1
ARTÍCULO 92. Gestión de soportes y documentos4. Siempre que vaya a desecharse cualquier4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a sucarácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a lade medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posteriorrecuperación posterior
86
87