Title: AGENCIA ESPA
1AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Y
MEDIDAS DE SEGURIDAD
María José Blanco Antón Subdirectora
General Registro General de Protección de Datos
2- AGENCIA ESPAÑOLA DE
- PROTECCIÓN DE DATOS
3Qué es la AEPD- Breve descripción
- Ente de Derecho Público con personalidad jurídica
propia y plena capacidad pública y privada. - Actúa con independencia de las Administraciones
Públicas en el ejercicio de sus funciones. - Dirigida por un Director elegido entre los
miembros del Consejo Consultivo para un periodo
de cuatro años. - Amplios poderes de supervisión.
- Atiende y resuelve todas las denuncias de los
ciudadanos - Presentación anual de una memoria.
- Sus decisiones sólo pueden ser recurridas ante la
vía contencioso-administrativa.
4Funciones
- En General
- Velar por el cumplimiento de la legislación sobre
protección de datos y controlar su aplicación, en
especial en lo relativo a los derechos de
información, acceso, rectificación, oposición y
cancelación de datos. - En relación con los afectados
- Atender sus peticiones y reclamaciones.
- Información de los derechos reconocidos en la
Ley. - Promover campañas de difusión a través de los
medios. - En relación con quienes tratan datos
- Emitir autorizaciones previstas en la Ley.
- Requerir medidas de corrección.
- Ordenar, en caso de ilegalidad, el cese en el
tratamiento y la cancelación de los datos. - Ejercer la potestad sancionadora.
- Recabar ayuda e información que precise.
- Autorizar las transferencias internacionales de
datos.
5Otras funciones
- En la elaboración de normas
- Informar los Proyectos de normas de desarrollo de
la LOPD y sobre los Proyectos de normas que
incidan en materias de protección de datos. - Dictar Instrucciones y recomendaciones de
adecuación de los tratamientos a la LOPD y en
materia de seguridad y control de acceso a los
ficheros. - En materia de telecomunicaciones
- Tutelar los derechos y garantías de los abonados
y usuarios en el ámbito de las comunicaciones
electrónicas. (Competencias atribuidas por la LGT
y la LSSI. - Además
- Velar por la publicidad de los ficheros
(www.agpd.es) - Cooperación Internacional.
- Representación de España en los foros
internacionales en la materia. - Control y observancia de lo dispuesto en la Ley
reguladora de la Función Estadística Pública. - Elaboración de una Memoria Anual, presentada por
conducto del Ministro de Justicia a las Cortes
Generales.
6Estructura de la AEPD
- (Consejo Consultivo)
- Un Diputado
- Un Senador
- Un representante de la AGE
- Un representante de la A. Local
- Un miembro de la R.A. Historia
- Un experto (Universidades)
- Un representante de Consumidores y Usuarios
- Un representante de cada CCAA con Agencia de
Protección de Datos - Un representante del sector de ficheros privados
- Director
- Director
- Unidad de Apoyo
- (Adjunto al Director)
- (Jefe de Gabinete)
- (Gabinete Jurídico)
- (Área de Documentación)
- (Área Internacional)
- Registro General de Protección de Datos (RGPD)
- (Inspección de Datos)
- (Secretaría General)
7Estructura de la AEPD
- Director
- Ostenta la representación de la Agencia
- Sus actos se considerarán como propios de la
Agencia - Nombrado por Real Decreto de entre los miembros
del Consejo Consultivo a propuesta del Ministro
de Justicia - Independiente y no sometido a mandato imperativo
alguno - Mandato de cuatro años
- Causas de cese
- A petición propia
- Por separación en caso de incumplimiento grave,
incapacidad, incompatibilidad o comisión de
delito doloso - Funciones del Director
- Resoluciones (ponen fin a la vía administrativa
recurribles ante la Sala de lo Contencioso de la
Audiencia Nacional) - Coordinación con las autoridades autonómicas
- Funciones de gestión
8Estructura de la AEPD
- Consejo Consultivo
- Órgano Colegiado de asesoramiento del Director
- Emitirá informe en todas las cuestiones que le
solicite el Director - Formulará propuestas en materia de protección de
datos - Se reunirá al menos una vez cada seis meses
- El Director será elegido de entre sus miembros
- Unidad de Apoyo
- El Gabinete Jurídico asesora verbalmente y por
escrito al Director y las distintas
subdirecciones y a otras Administraciones
Públicas. - Resuelve informes (planteados por los ciudadanos,
por las Administraciones Públicas, Disposiciones
de carácter general. - Actividades divulgativas (conferencias y
presentaciones en foros nacionales e
internacionales)
9Subdirecciones de la AEPD
- Registro General de Protección de Datos
- Función Velar por la publicidad de los ficheros
y tratamientos de datos - Inscripción de ficheros notificados
- Autorización de transferencias internacionales de
datos - Inscripción de Códigos Tipo
- Subdirección de Inspección de Datos
- Comprobación de la legalidad de los tratamientos
- Inspectores de datos
- Instrucción de procedimientos (Tutelas de
derechos, Procedimientos sancionadores,
Procedimientos de infracción por las
Administraciones Públicas) - Planes de Oficio Finalidad 'preventiva'.
- La Secretaría General de la Agencia
- Apoyo al adecuado funcionamiento de la Agencia
- Funciones de gestión, por Delegación del Director
- Otras complementarias Fondo de documentación,
edición de repertorios, Memoria y publicaciones y
preparación de conferencias - Atención al ciudadano en las cuestiones que
plantee, relacionadas con la protección de datos
10Recursos de la AEPD (Art. 35 LOPD)
- Asignaciones anuales con cargo a los Presupuestos
Generales del Estado. - Bienes y valores que constituyan su patrimonio, y
los productos y rentas del mismo. - Cualesquiera otros que puedan serle legalmente
atribuidos.
11Cifras de interés
- A 31 de diciembre de 2008
- 167 personas
- 1.267.579 ficheros registrados 31-03-09
1.376.085 - 1.509.392 consultas al Catálogo de ficheros del
RGPD 31-03-09 621.743 - 277 autorizaciones de transferencias
internacionales 31-03-09 298 - 12 codigos tipo
- 72.650 consultas en atención al ciudadano
- 690 informes de Gabinete Jurídico
- 79 informes preceptivos sobre proyectos
normativos - 2.362 hechos denunciados e investigaciones de
oficio - 22.625.839 importe de sanciones declaradas
- 2.277.065 accesos a la página web
-
-
12Prioridades I
- Normalización de la Cultura de Protección de
Datos - Potenciación de las acciones preventivas
- Cooperación con las Agencias Autonómicas
- Intensificación de las actividades
internacionales
13Prioridades II
- NORMALIZACIÓN DE LA CULTURA DE PROTECCIÓN DE
DATOS - Servicio de Atención al Ciudadano
- Página web
- Acciones de difusión (Seminarios, Congresos,
Cursos de formación) - Colaboración institucional Protocolos de
Colaboración con otras instituciones
(Universidades, Consejo de Cámaras de Comercio,
Colegios Profesionales, Fundaciones) - Política de Comunicación Transparencia y
accesibilidad - Publicación de las Resoluciones de la AEPD.
14(No Transcript)
15Prioridades III
- APLICACIÓN DEL REGLAMENTO DE DESARROLLO DE LA
LOPD - Principio de Seguridad Jurídica
- Vigencia de las normas de desarrollo de la LORTAD
- Dispersión normativa
- Ausencia de Exposición de Motivos en la LOPD
- Principales aspectos
- Consolidación de la Jurisprudencia del Tribunal
Supremo y la Audiencia Nacional y de la doctrina
de la AEPD - Delimitación clara del ámbito de aplicación
- Incorporación de determinados conceptos
- Regulación detallada de ciertos aspectos
- Subcontratación de servicios y encargado del
tratamiento. Medidas de Seguridad. Deber de
información y obtención del consentimiento.
Derecho de oposición. Transferencias
Internacionales.
16POTENCIACIÓN DE LAS ACCIONES PREVENTIVAS
Prioridades IV
- Acuerdos de la cooperación con diversos agentes
en el área de protección de datos - Grupos de trabajo para estudiar y encontrar
soluciones amistosas en protección de datos
respecto a los problemas sectoriales - Planeamiento y puesta en marcha de intervenciones
sectoriales anuales - Publicación de Recomendaciones para ayudar a los
responsables a cumplir con la legislación de
protección de datos en areas determinadas.
- Estudio preliminar del sector
- Plan de Auditoría
- Estudio del sector
- Hechos encontrados
- Informe final del inspector
- Conclusiones
- Recomendaciones
- Puesta en práctica
17 INTENSIFICACIÓN DE LA ACTIVIDAD INTERNACIONAL
Prioridades V
- Relaciones con Europa
- Relaciones con Iberoamerica
- Relaciones con Estados Unidos
- 31 Conferencia Internacional de Protección de
Datos - Madrid, 3-5 noviembre 2009
18Relaciones con Europa
Área Internacional
- Grupo del Artículo 29
- ACC en Europol
- ACC en Schengen
- ACC en el Sistema de Información Aduanero
- ACC Eurojust
- Consejo de Europa
- Conferencias, Grupos de Trabajo y Cooperación
- Conferencia de Primavera de las Autoridades
europeas de Protección de Datos - El Grupo de Telecomunicaciones de Berlín
- Conferencia Internacional de Autoridades de
Protección de Datos y Privacidad
19Área Internacional
- Relaciones con Iberoamérica
-
- Promover la adopción de medidas legislativas para
garantizar la protección de Datos. - Asesorar en los proyectos legislativos de
- Colombia - Costa Rica
- El Salvador - Mexico
- Nicaragua - Uruguay
- Venezuela
- Presidencia y Secretaría permanente de la Red
Iberoamericana de Protección de Datos. - Encuentros Iberoamericanos
-
20- REAL DECRETO 1720/2007, de 21 de diciembre, por
el que se aprueba el REGLAMENTO DE DESARROLLO DE
LA LOPD - - MEDIDAS DE SEGURIDAD-
21 ACTUAL MARCO NORMATIVO-PROTECCIÓN DE DATOS
1992 1995 1999 2007
2008 2009
RD 994/1999 Reglamento de medidas de seguridad
ficheros automatizados
LORTAD aplicación a tratamientos automatizados
DIRECTIVA 95/46/CE tratamientos automatizados y
no automatizados
LOPD
Reglamento de desarrollo LOPD (RLOPD) RD 1720/2007
19-4-2008 entrada en vigor RLOPD
19-4-2009 Fin primer plazo DT 2ª RD 1720/2007
Instrucción 1/2006 Videovigilancia
22- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- - NOVEDADES -
- Aplicación a ficheros manuales
- Sistematización de los niveles básico, medio y
alto - Aclaraciones con el objeto de facilitar el
cumplimiento de las medidas de seguridad - Flexibilidad
23- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Artículo 5.2. Definiciones
- Título VIII. MEDIDAS DE SEGURIDAD en el
tratamiento de datos de carácter personal - Capítulo I. Disposiciones generales (arts. 79 -
87) - Capítulo II. Del documento de seguridad (art. 88)
- Capítulo III. Medidas de seguridad aplicables a
ficheros y tratamientos AUTOMATIZADOS - Sección Primera. Medidas de seguridad de nivel
básico (arts. 89 - 94) - Sección Segunda. Medidas de seguridad de nivel
medio (arts. 95 - 100) - Sección Tercera. Medidas de seguridad de nivel
alto (arts. 101 - 104) - Capítulo IV. Medidas de seguridad aplicables a
ficheros y tratamientos NO AUTOMATIZADOS
24- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Definiciones (art. 5.2)
- Documento
- Unidad diferenciada de información
- Ficheros manuales
- Ficheros temporales
- Tratamiento ocasional, paso intermedio en un
tratamiento de datos - Perfil de usuario
- Grupos de usuarios
- Sistema de tratamiento
- Modo de organización automatizado, no
automatizado - o parcialmente automatizado
25- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Disposiciones generales
- Niveles de seguridad Básico, Medio y Alto
- Aplicación de los niveles de seguridad
- ALTO Datos especialmente protegidos
- Fines policiales sin consentimiento de las
personas afectada - Violencia de género
-
- MEDIO Infracciones administrativas o penales
- Servicios de información sobre solvencia
patrimonial y crédito - Administraciones Tributarias - potestades
tributarias - Entidades financieras - servicios financieros
26- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Las medidas de seguridad tienen que aplicarse a
cualquier fichero o tratamiento de datos de
carácter personal, con independencia - de quién realice el tratamiento
- Encargado del tratamiento
- Diferentes modos de prestación del servicio (art.
82) - Prestación de servicios sin acceso a datos
personales - Cláusula informativa en el contrato (art. 83)
- desde dónde se realice
- Acceso a datos a través de redes de
comunicaciones, sean o no públicas (art. 85) - Régimen de trabajo fuera de los locales del
responsable del fichero o encargado del
tratamiento - Dispositivos portátiles (art. 86)
- cómo se realice
27- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- El Reglamento aporta aclaraciones y flexibilidad
para cumplir las medidas de seguridad - Segregación de ficheros por niveles (art. 81.8)
- Delegación de autorizaciones (art. 84)
- Perfiles de usuario (art. 5.2.j)
- Documento de seguridad (art. 88)
- Único o individualizado, en función de sistemas
de tratamiento, otros criterios del responsable - Recogerá las delegaciones de autorizaciones
- Recogerá las situaciones excepcionales
- Prestaciones de servicios, uso de dispositivos
portátiles, - Medidas compensatorias, imposibilidad aplicación
medidas previstas - Interno, actualizado
28- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Nivel Básico
Ficheros automatizados y no automatizados Ficheros automatizados y no automatizados
Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos
Sólo automatizados Sólo no automatizados
Art. 93. Identificación y autenticación - personalizada Art. 94. Copias de respaldo y recuperación - verificación - pruebas datos reales. Medidas correspondientes Art. 106. Criterios de archivo - posibilitar derechos ARCO Art. 107. Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación
29- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Nivel Medio
Ficheros automatizados y no automatizados
Responsable de seguridad (art. 95, art. 109) Auditoria ( art. 96, art. 110)
Sólo automatizados
Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias
30- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Nivel Alto
Ficheros automatizados Ficheros no automatizados
Art. 101. Gestión y distribución de soportes Art. 102. Copias de respaldo y recuperación Art. 103. Registro de accesos Excepción - Responsable persona física único usuario Art. 104. Telecomunicaciones - Cifrado en redes públicas o inalámbricas Art. 111. Almacenamiento de la información - Archivadores, áreas restringidas Art. 112. Copia o reproducción - Personal autorizado Art. 113. Acceso a la documentación - Mecanismo identificación accesos por diferentes usuarios Art. 114. Traslado de documentación - Impedir acceso, manipulación
31- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Disposición adicional única
- Los productos de software destinados al
tratamiento automatizado de datos personales
deberán incluir en su descripción técnica el
nivel de seguridad, básico, medio o alto
32- Reglamento LOPD. MEDIDAS DE SEGURIDAD
- Disposición transitoria segunda. Plazos de
implementación - Ficheros nuevos manuales y/o automatizados
- Aplicación del nivel básico, medio o alto
correspondiente desde su creación - Ficheros existentes
-
Automatizados Seguridad Social, Mutuas, Perfiles ? 1 año (Medio) Violencia de género ? 1 año (Medio) ? 18 meses (Alto) Teleco (tráfico, localización) ? 1 año (Medio) ? 18 meses (Registro de accesos) Adaptación resto de ficheros ? 1 año (arts. 93, 94, 101, 104)
No automatizados - Básico (1 año) - Medio (18 meses) - Alto ( 2 años)
33(No Transcript)