AGENCIA ESPA - PowerPoint PPT Presentation

1 / 33
About This Presentation
Title:

AGENCIA ESPA

Description:

Y MEDIDAS DE SEGURIDAD Mar a Jos Blanco Ant n Subdirectora General Registro General de Protecci n de Datos AGENCIA ESPA OLA DE PROTECCI N DE DATOS Qu es la ... – PowerPoint PPT presentation

Number of Views:81
Avg rating:3.0/5.0
Slides: 34
Provided by: MARIAJ459
Category:

less

Transcript and Presenter's Notes

Title: AGENCIA ESPA


1
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Y
MEDIDAS DE SEGURIDAD
María José Blanco Antón Subdirectora
General Registro General de Protección de Datos
2
  • AGENCIA ESPAÑOLA DE
  • PROTECCIÓN DE DATOS

3
Qué es la AEPD- Breve descripción
  • Ente de Derecho Público con personalidad jurídica
    propia y plena capacidad pública y privada.
  • Actúa con independencia de las Administraciones
    Públicas en el ejercicio de sus funciones.
  • Dirigida por un Director elegido entre los
    miembros del Consejo Consultivo para un periodo
    de cuatro años.
  • Amplios poderes de supervisión.
  • Atiende y resuelve todas las denuncias de los
    ciudadanos
  • Presentación anual de una memoria.
  • Sus decisiones sólo pueden ser recurridas ante la
    vía contencioso-administrativa.

4
Funciones
  • En General
  • Velar por el cumplimiento de la legislación sobre
    protección de datos y controlar su aplicación, en
    especial en lo relativo a los derechos de
    información, acceso, rectificación, oposición y
    cancelación de datos.
  • En relación con los afectados
  • Atender sus peticiones y reclamaciones.
  • Información de los derechos reconocidos en la
    Ley.
  • Promover campañas de difusión a través de los
    medios.
  • En relación con quienes tratan datos
  • Emitir autorizaciones previstas en la Ley.
  • Requerir medidas de corrección.
  • Ordenar, en caso de ilegalidad, el cese en el
    tratamiento y la cancelación de los datos.
  • Ejercer la potestad sancionadora.
  • Recabar ayuda e información que precise.
  • Autorizar las transferencias internacionales de
    datos.

5
Otras funciones
  • En la elaboración de normas
  • Informar los Proyectos de normas de desarrollo de
    la LOPD y sobre los Proyectos de normas que
    incidan en materias de protección de datos.
  • Dictar Instrucciones y recomendaciones de
    adecuación de los tratamientos a la LOPD y en
    materia de seguridad y control de acceso a los
    ficheros.
  • En materia de telecomunicaciones
  • Tutelar los derechos y garantías de los abonados
    y usuarios en el ámbito de las comunicaciones
    electrónicas. (Competencias atribuidas por la LGT
    y la LSSI.
  •  Además
  • Velar por la publicidad de los ficheros
    (www.agpd.es)
  • Cooperación Internacional. 
  • Representación de España en los foros
    internacionales en la materia.
  • Control y observancia de lo dispuesto en la Ley
    reguladora de la Función Estadística Pública.
  • Elaboración de una Memoria Anual, presentada por
    conducto del Ministro de Justicia a las Cortes
    Generales.

6
Estructura de la AEPD
  • (Consejo Consultivo)
  • Un Diputado
  • Un Senador
  • Un representante de la AGE
  • Un representante de la A. Local
  • Un miembro de la R.A. Historia
  • Un experto (Universidades)
  • Un representante de Consumidores y Usuarios
  • Un representante de cada CCAA con Agencia de
    Protección de Datos
  • Un representante del sector de ficheros privados
  • Director
  • Director
  • Unidad de Apoyo
  • (Adjunto al Director)
  • (Jefe de Gabinete)
  • (Gabinete Jurídico)
  • (Área de Documentación)
  • (Área Internacional)
  • Registro General de Protección de Datos (RGPD)
  • (Inspección de Datos)
  • (Secretaría General)

7
Estructura de la AEPD
  • Director
  • Ostenta la representación de la Agencia
  • Sus actos se considerarán como propios de la
    Agencia
  • Nombrado por Real Decreto de entre los miembros
    del Consejo Consultivo a propuesta del Ministro
    de Justicia
  • Independiente y no sometido a mandato imperativo
    alguno
  • Mandato de cuatro años
  • Causas de cese  
  • A petición propia
  • Por separación en caso de incumplimiento grave,
    incapacidad, incompatibilidad o comisión de
    delito doloso
  • Funciones del Director
  • Resoluciones (ponen fin a la vía administrativa
    recurribles ante la Sala de lo Contencioso de la
    Audiencia Nacional)
  • Coordinación con las autoridades autonómicas
  • Funciones de gestión

8
Estructura de la AEPD
  • Consejo Consultivo
  • Órgano Colegiado de asesoramiento del Director
  • Emitirá informe en todas las cuestiones que le
    solicite el Director 
  • Formulará propuestas en materia de protección de
    datos
  • Se reunirá al menos una vez cada seis meses
  • El Director será elegido de entre sus miembros
  • Unidad de Apoyo
  • El Gabinete Jurídico asesora verbalmente y por
    escrito al Director y las distintas
    subdirecciones y a otras Administraciones
    Públicas.
  • Resuelve informes (planteados por los ciudadanos,
    por las Administraciones Públicas, Disposiciones
    de carácter general.
  • Actividades divulgativas (conferencias y
    presentaciones en foros nacionales e
    internacionales)

9
Subdirecciones de la AEPD
  • Registro General de Protección de Datos
  • Función Velar por la publicidad de los ficheros
    y tratamientos de datos
  • Inscripción de ficheros notificados
  • Autorización de transferencias internacionales de
    datos
  • Inscripción de Códigos Tipo
  • Subdirección de Inspección de Datos
  • Comprobación de la legalidad de los tratamientos
  • Inspectores de datos
  • Instrucción de procedimientos (Tutelas de
    derechos, Procedimientos sancionadores,
    Procedimientos de infracción por las
    Administraciones Públicas)
  • Planes de Oficio Finalidad 'preventiva'.
  • La Secretaría General de la Agencia
  • Apoyo al adecuado funcionamiento de la Agencia
  • Funciones de gestión, por Delegación del Director
  • Otras complementarias Fondo de documentación,
    edición de repertorios, Memoria y publicaciones y
    preparación de conferencias
  • Atención al ciudadano en las cuestiones que
    plantee, relacionadas con la protección de datos

10
Recursos de la AEPD (Art. 35 LOPD)
  • Asignaciones anuales con cargo a los Presupuestos
    Generales del Estado.
  • Bienes y valores que constituyan su patrimonio, y
    los productos y rentas del mismo.
  • Cualesquiera otros que puedan serle legalmente
    atribuidos.

11
Cifras de interés
  • A 31 de diciembre de 2008
  • 167 personas
  • 1.267.579 ficheros registrados 31-03-09
    1.376.085
  • 1.509.392 consultas al Catálogo de ficheros del
    RGPD 31-03-09 621.743
  • 277 autorizaciones de transferencias
    internacionales 31-03-09 298
  • 12 codigos tipo
  • 72.650 consultas en atención al ciudadano
  • 690 informes de Gabinete Jurídico
  • 79 informes preceptivos sobre proyectos
    normativos
  • 2.362 hechos denunciados e investigaciones de
    oficio
  • 22.625.839 importe de sanciones declaradas
  • 2.277.065 accesos a la página web

12
Prioridades I
  • Normalización de la Cultura de Protección de
    Datos
  • Potenciación de las acciones preventivas
  • Cooperación con las Agencias Autonómicas
  • Intensificación de las actividades
    internacionales

13
Prioridades II
  • NORMALIZACIÓN DE LA CULTURA DE PROTECCIÓN DE
    DATOS
  • Servicio de Atención al Ciudadano
  • Página web
  • Acciones de difusión (Seminarios, Congresos,
    Cursos de formación)
  • Colaboración institucional Protocolos de
    Colaboración con otras instituciones
    (Universidades, Consejo de Cámaras de Comercio,
    Colegios Profesionales, Fundaciones)
  • Política de Comunicación Transparencia y
    accesibilidad
  • Publicación de las Resoluciones de la AEPD.

14
(No Transcript)
15
Prioridades III
  • APLICACIÓN DEL REGLAMENTO DE DESARROLLO DE LA
    LOPD
  • Principio de Seguridad Jurídica
  • Vigencia de las normas de desarrollo de la LORTAD
  • Dispersión normativa
  • Ausencia de Exposición de Motivos en la LOPD
  • Principales aspectos
  • Consolidación de la Jurisprudencia del Tribunal
    Supremo y la Audiencia Nacional y de la doctrina
    de la AEPD
  • Delimitación clara del ámbito de aplicación
  • Incorporación de determinados conceptos
  • Regulación detallada de ciertos aspectos
  • Subcontratación de servicios y encargado del
    tratamiento. Medidas de Seguridad. Deber de
    información y obtención del consentimiento.
    Derecho de oposición. Transferencias
    Internacionales.

16
POTENCIACIÓN DE LAS ACCIONES PREVENTIVAS
Prioridades IV
  • Acuerdos de la cooperación con diversos agentes
    en el área de protección de datos
  • Grupos de trabajo para estudiar y encontrar
    soluciones amistosas en protección de datos
    respecto a los problemas sectoriales
  • Planeamiento y puesta en marcha de intervenciones
    sectoriales anuales
  • Publicación de Recomendaciones para ayudar a los
    responsables a cumplir con la legislación de
    protección de datos en areas determinadas.
  • Estudio preliminar del sector
  • Plan de Auditoría
  • Estudio del sector
  • Hechos encontrados
  • Informe final del inspector
  • Conclusiones
  • Recomendaciones
  • Puesta en práctica

17
INTENSIFICACIÓN DE LA ACTIVIDAD INTERNACIONAL

Prioridades V
  • Relaciones con Europa
  • Relaciones con Iberoamerica
  • Relaciones con Estados Unidos
  • 31 Conferencia Internacional de Protección de
    Datos
  • Madrid, 3-5 noviembre 2009

18
Relaciones con Europa
Área Internacional
  • Grupo del Artículo 29
  • ACC en Europol
  • ACC en Schengen
  • ACC en el Sistema de Información Aduanero
  • ACC Eurojust
  • Consejo de Europa
  • Conferencias, Grupos de Trabajo y Cooperación
  • Conferencia de Primavera de las Autoridades
    europeas de Protección de Datos
  • El Grupo de Telecomunicaciones de Berlín
  • Conferencia Internacional de Autoridades de
    Protección de Datos y Privacidad

19
Área Internacional
  • Relaciones con Iberoamérica
  • Promover la adopción de medidas legislativas para
    garantizar la protección de Datos.
  • Asesorar en los proyectos legislativos de
  • Colombia - Costa Rica
  • El Salvador - Mexico
  • Nicaragua - Uruguay
  • Venezuela
  • Presidencia y Secretaría permanente de la Red
    Iberoamericana de Protección de Datos.
  • Encuentros Iberoamericanos

20
  • REAL DECRETO 1720/2007, de 21 de diciembre, por
    el que se aprueba el REGLAMENTO DE DESARROLLO DE
    LA LOPD
  • - MEDIDAS DE SEGURIDAD-

21
ACTUAL MARCO NORMATIVO-PROTECCIÓN DE DATOS
1992 1995 1999 2007
2008 2009
RD 994/1999 Reglamento de medidas de seguridad
ficheros automatizados
LORTAD aplicación a tratamientos automatizados
DIRECTIVA 95/46/CE tratamientos automatizados y
no automatizados
LOPD
Reglamento de desarrollo LOPD (RLOPD) RD 1720/2007
19-4-2008 entrada en vigor RLOPD

19-4-2009 Fin primer plazo DT 2ª RD 1720/2007
Instrucción 1/2006 Videovigilancia
22
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • - NOVEDADES -
  • Aplicación a ficheros manuales
  • Sistematización de los niveles básico, medio y
    alto
  • Aclaraciones con el objeto de facilitar el
    cumplimiento de las medidas de seguridad
  • Flexibilidad

23
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Artículo 5.2. Definiciones
  • Título VIII. MEDIDAS DE SEGURIDAD en el
    tratamiento de datos de carácter personal
  • Capítulo I. Disposiciones generales (arts. 79 -
    87)
  • Capítulo II. Del documento de seguridad (art. 88)
  • Capítulo III. Medidas de seguridad aplicables a
    ficheros y tratamientos AUTOMATIZADOS
  • Sección Primera. Medidas de seguridad de nivel
    básico (arts. 89 - 94)
  • Sección Segunda. Medidas de seguridad de nivel
    medio (arts. 95 - 100)
  • Sección Tercera. Medidas de seguridad de nivel
    alto (arts. 101 - 104)
  • Capítulo IV. Medidas de seguridad aplicables a
    ficheros y tratamientos NO AUTOMATIZADOS

24
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Definiciones (art. 5.2)
  • Documento
  • Unidad diferenciada de información
  • Ficheros manuales
  • Ficheros temporales
  • Tratamiento ocasional, paso intermedio en un
    tratamiento de datos
  • Perfil de usuario
  • Grupos de usuarios
  • Sistema de tratamiento
  • Modo de organización automatizado, no
    automatizado
  • o parcialmente automatizado

25
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Disposiciones generales
  • Niveles de seguridad Básico, Medio y Alto
  • Aplicación de los niveles de seguridad
  • ALTO Datos especialmente protegidos
  • Fines policiales sin consentimiento de las
    personas afectada
  • Violencia de género
  • MEDIO Infracciones administrativas o penales
  • Servicios de información sobre solvencia
    patrimonial y crédito
  • Administraciones Tributarias - potestades
    tributarias
  • Entidades financieras - servicios financieros

26
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Las medidas de seguridad tienen que aplicarse a
    cualquier fichero o tratamiento de datos de
    carácter personal, con independencia
  • de quién realice el tratamiento
  • Encargado del tratamiento
  • Diferentes modos de prestación del servicio (art.
    82)
  • Prestación de servicios sin acceso a datos
    personales
  • Cláusula informativa en el contrato (art. 83)
  • desde dónde se realice
  • Acceso a datos a través de redes de
    comunicaciones, sean o no públicas (art. 85)
  • Régimen de trabajo fuera de los locales del
    responsable del fichero o encargado del
    tratamiento
  • Dispositivos portátiles (art. 86)
  • cómo se realice

27
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • El Reglamento aporta aclaraciones y flexibilidad
    para cumplir las medidas de seguridad
  • Segregación de ficheros por niveles (art. 81.8)
  • Delegación de autorizaciones (art. 84)
  • Perfiles de usuario (art. 5.2.j)
  • Documento de seguridad (art. 88)
  • Único o individualizado, en función de sistemas
    de tratamiento, otros criterios del responsable
  • Recogerá las delegaciones de autorizaciones
  • Recogerá las situaciones excepcionales
  • Prestaciones de servicios, uso de dispositivos
    portátiles,
  • Medidas compensatorias, imposibilidad aplicación
    medidas previstas
  • Interno, actualizado

28
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Nivel Básico

Ficheros automatizados y no automatizados Ficheros automatizados y no automatizados
Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos
Sólo automatizados Sólo no automatizados
Art. 93. Identificación y autenticación - personalizada Art. 94. Copias de respaldo y recuperación - verificación - pruebas datos reales. Medidas correspondientes Art. 106. Criterios de archivo - posibilitar derechos ARCO Art. 107. Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación
29
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Nivel Medio

Ficheros automatizados y no automatizados
Responsable de seguridad (art. 95, art. 109) Auditoria ( art. 96, art. 110)
Sólo automatizados
Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias
30
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Nivel Alto

Ficheros automatizados Ficheros no automatizados
Art. 101. Gestión y distribución de soportes Art. 102. Copias de respaldo y recuperación Art. 103. Registro de accesos Excepción - Responsable persona física único usuario Art. 104. Telecomunicaciones - Cifrado en redes públicas o inalámbricas Art. 111. Almacenamiento de la información - Archivadores, áreas restringidas Art. 112. Copia o reproducción - Personal autorizado Art. 113. Acceso a la documentación - Mecanismo identificación accesos por diferentes usuarios Art. 114. Traslado de documentación - Impedir acceso, manipulación
31
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Disposición adicional única
  • Los productos de software destinados al
    tratamiento automatizado de datos personales
    deberán incluir en su descripción técnica el
    nivel de seguridad, básico, medio o alto

32
  • Reglamento LOPD. MEDIDAS DE SEGURIDAD
  • Disposición transitoria segunda. Plazos de
    implementación
  • Ficheros nuevos manuales y/o automatizados
  • Aplicación del nivel básico, medio o alto
    correspondiente desde su creación
  • Ficheros existentes

Automatizados Seguridad Social, Mutuas, Perfiles ? 1 año (Medio) Violencia de género ? 1 año (Medio) ? 18 meses (Alto) Teleco (tráfico, localización) ? 1 año (Medio) ? 18 meses (Registro de accesos) Adaptación resto de ficheros ? 1 año (arts. 93, 94, 101, 104)
No automatizados - Básico (1 año) - Medio (18 meses) - Alto ( 2 años)
33
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com