WEB Y LOPD - gpd.sip.ucm.esgpd.sip.ucm.es/sonia/docencia/master/Trabajos... · ¿A qué? La web...

WEB Y LOPD

Juan González-Madroño – Fernando Hermida – Oscar NogueraProfesión Informática en la Sociedad Actual

MFP – UCM – Curso 2009-2010

INTRODUCCIÓN

¿Cómo se adapta una web a la LOPD? ¿Criterios? ¿Datos a proteger? ¿Nivel de seguridad? ¿Medidas?

Caso concreto: Redes sociales Porqué: actual, menores, amplia difusión web. ¿Están adaptadas a la LOPD?

Medidas sectoriales: códigos tipo.

Juan González-Madroño – Fernando Hermida – Oscar Noguera

ADAPTAR UNA WEB A LA LOPD


WEB Y LOPD

●

●

La Web no deja de ser un medio más en el que se puede recoger un dato.

Aunque la Web es accesible para (casi) todo el mundo. Publicar una página web. La información en la web es pública.

Importancia del dato, su acceso, gestión y seguridad


CONCEPTOS

●

●

Dato de carácter personal. Cualquier elemento que permita determinar de manera

directa o indirecta la identidad de una persona

Fichero. Conjunto organizado de datos de carácter personal,

independientemente de su forma de creación, almacenamiento, organización y acceso.

Tratamiento de datos Operaciones y procedimientos técnicos sobre los datos

que permitan Recogida, conservación, elaboración. Modificación, cancelación, bloqueo Cesión


CONCEPTOS

●

●

Fuentes accesibles al público: Ficheros que pueden ser consultados por cualquier

persona. Censo Repertorios telefónicos Listas de grupos profesionales (nombre, título, profesión,

activdad, grado acad, dirección y pertenencia al grupo). BOEs y Diarios Oficiales. Medios de comunicación.


ADAPTAR LA WEB

¿Porqué? Para evitar sanciones. Mejorar la imagen ante el cliente, infundir confianza.

¿A qué? La web realiza actividades mercantiles LSSI→ Recoge datos personales sin almacenarlos LSSI→ Almacena datos personales LOPD→

ADAPTAR LA WEB

●

●

Reglamento de medidas de seguridad de los ficheros automatizados: RD 994/1999.

Recomendaciones de la APD. No existe una guía o manual oficial con pasos o

comprobaciones a realizar. Aunque se puede hacer un test de orientación: Evalúa

Empresas que realizan auditorias y adaptaciones a la LOPD http://www.adaptacion-lopd-madrid.com/adaptacion-lopd-lssi/1-4-4-0.htm http://www.lobocom.es/web/w/25/adaptacion-de-lssi-y-lopd http://internetlegal.es/lopd-lssice-internet-legal/gmx-niv14.htm

Determinación del nivel de seguridad. Niveles y documentos de seguridad de datos. Inscripción de ficheros en la APD. Mantenimiento: auditoría de seguridad, formación personal,....

ConoConocimientocimiento difudifusosoJuan González-Madroño – Fernando Hermida – Oscar Noguera

https://www.agpd.es/portalweb/canaldocumentacion/legislacion/estatal/common/pdfs/A.8-cp--Real-Decreto-994-1999.pdf

http://212.170.243.77:8080/Evalua/home.seam

http://www.adaptacion-lopd-madrid.com/adaptacion-lopd-lssi/1-4-4-0.htm

http://www.lobocom.es/web/w/25/adaptacion-de-lssi-y-lopd

http://internetlegal.es/lopd-lssice-internet-legal/gmx-niv14.htm

CONSIDERACIONES

●

●

Uso adecuado, lícito y no excesivo de los datos recabados.

Medidas de seguridad para evitar: alteración, pérdida o tratamiento no autorizado.

Observar la voluntad del interesado: Consentimiento expreso Ejercer su derecho de oposición Consentimiento tácito (por provenir de fuentes

públicas)


NIVELES DE SEGURIDAD

●

●

Básico: datos personales.

Medio Infracciones penales o administrativas Datos de carácter personal que permitan una

evaluación de la personalidad de un individuo.

Alto Ideología, religión, creencias, raza, vida sexual. Fines policiales sin consentimiento previo.


MEDIDAS – NIVEL BÁSICO

●

●

Algunas medidas del nivel básico y su traslación al mundo web Registro de incidencias

Control de logs del servidor y de la aplicación

Identificación y autenticación A través de usuario / contraseña, certificado digital... Asegurar confidencialidad e integridad de las contraseñas. Informar de cambio periódico de contraseñas

Control de acceso Perfiles de usuario, datos y operaciones por perfiles. Administración de perfiles.

Copias de respaldo y recuperación (semanal) Backups de la BD.


MEDIDAS – NIVEL MEDIO

●

●

Algunas medidas del nivel medio y su traslación al mundo web Auditoría

Pruebas para intentar conseguir accesos no autorizados. Identificación y autenticación

Mecanismo para identificar los usuarios que intentan acceder al sistema: log específico, historial de accesos, etc.

Limitar el número de intentos de acceso N intentos por sesión Captchas

Registro de Incidencias Log de los procesos de recuperación de datos.

Pruebas No con datos reales, salvo que se aplique al fichero de

prueba el nivel de seguridad medio.Juan González-Madroño – Fernando Hermida – Oscar Noguera

MEDIDAS – NIVEL AVANZADO

●

●

Algunas medidas del nivel avanzado y su traslación al mundo web Registro de accesos

Log con datos detallados: usuario, fecha y hora, fichero accedido, tipo de acceso, autorizado o denegado.

Para accesos autorizados: registro/s accedido/s. Período mínimo: dos años.

Copias de respaldo Backup en un lugar distinto de donde se encuentren los

sistemas de información.

Transmisión de datos Mediante cifrado o equivalente.


COMUNICACIÓN DATOS VÍA WEB

●

●

Pedir los datos estrictamente necesarios para poder prestar el servicio.

Aviso legal Obligaciones legales básicas dispuestas por la LSSI.

Política de privacidad. Consentimiento expreso para tratamiento de datos Cesión de datos Derechos de acceso, rectificación, cancelación,

información y oposición Otros: uso de cookies, https, almacenamiento ip,...


GESTIÓN DATOS VÍA WEB

●

●

Acceso y modificación de los datos: Vía usuario/ password. DNI electrónico. Certificados de seguridad.

Implementación y soporte de todos estos modos


USUARIO / PASSWORD

●

●

Passwords codificadas en el soporte (p.e. BD). Nunca deberían poder verse en claro.

Especificar recomendaciones: Nicks de usuario que no den información personal. Passwords:

que no sean palabras de idiomas. que no tengan que ver con información personal (fecha de

cumpleaños, etc...). que tengan cierta longitud mínima que tengan cierta combinación de caracteres (números,

letras, otros caracteres).


IMÁGENES EN LA WEB

●

●

Cumplir la LOPD cuando se trate de personas identificadas o identificables.

Necesario consentimiento. Registro de fichero.

Aviso en las cámaras.

Acceso on-line: Protegido, mediante usuario/password.


MENORES: USO DE UNA WEB

●

●

Menores de 14 años: consentimiento padres / tutores.

Mayores de 14 años: pueden consentir por sí mismos.

Sería necesario: Filtro de entrada. No permitir N reintentos, en la

misma sesión. No pedir datos del entorno salvo para entrar en

contacto y perdir autorización. Política de privacidad y uso de datos más clara y

sencilla.


BLOGS

●

●

Comentarios. Como usuario: no colgar comentarios con datos no

pertenecientes a fuentes públicas. Como administrador: moderar comentarios y retirar

aquellos que no cumplan con lo anterior.


....Y HACER MUCHAS PRUEBAS

Usuarios pueden acceder a datos de otros usuarios. Clientes pueden ver datos de otros clientes:

Cortefiel.

Evitar ataques del tipo SQL-Injection. Arsys

Página de prueba Siete mesas de billar francés


●

●

CASO CONCRETO: REDES SOCIALES

Redes Sociales

Variedad de redes sociales Escaparate de datos personales Utilización por terceros Concienciación ciudadana


Cifras (2008) 272 millones de usuarios 58% usuarios Internet + 21% respecto 2007 5 redes sociales entre los 20 más visitados


Cifras en España (2008) Encuesta a individuos

mayores de 15 años 7.850.000 usuarios utilizan

redes sociales 7 de cada 10 son menores

de 35 años


Usos de las Redes Sociales


Número de Contactos


Tipos de Redes Redes sociales generalistas o de ocio Redes sociales de contenido profesional


LOPD Existencia de fichero Derecho de cancelación, rectificación y

oposición Identidad y dirección del responsable

Problema : territorialidad Publicación por parte de terceros Menores de edad


Riesgos

Ocio Contenido profesional


Riesgos – Principales Situaciones Falta de conciencia real por parte usuarios Datos personales utilizados por terceros Posibilidad de publicar información falsa Posibilidad de publicar información sin

autorización Aceptar las condiciones de registro


Protección de Datos - Normativa “La mayoría de la información que se publica en las redes sociales,

se hace bajo la iniciativa de los usuarios y basado en su consentimiento”

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RDLOPD).

Convenio núm. 108 del Consejo de Europa Artículo 8 de la Carta Europea de Derechos Fundamentales Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de

octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos datos.

Tratado Internacional de Protección de Datos Personales – Conferencia Noviembre 2009

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE).

………


Protección de Datos – Problemática específica

Registro inicial

Desarrollo de la actividad

Baja


Registro Inicial Datos excesivos en formulario Grado de publicidad del perfil muy elevado Aceptación de Aviso Legal Finalidad de los datos incorrecta Transferencia internacional de los datos


Desarrollo de la Actividad Phising y pharming Malware, spyware, adware Spam Indexación por buscadores Acceso incontrolado al perfil Suplantación de identidad Publicidad hipercontextualizada Instalación y uso de cookies


Baja

Imposibilidad de baja efectiva

Conservación de datos de tráfico

Copias de terceros


Recomendaciones Redes Sociales

Usuarios

Administración

Padres


Redes Sociales Lenguaje claro y

comprensible Fomentar la formación Control absoluto de la

información. No indexación en

buscadores Seguridad tecnológica

de la plataforma. Eliminación información

no accedida en tiempo.

Respetar derechos Máximo grado de

privacidad al perfil Sistemas de cifrado Herramientas anti-spam Impedir acceso perfil Colaboración activa con

Fuerzas del Estado Aplicaciones remotas de

control (padres) Control de la edad


Usuarios Leer Aviso Legal Uso de seudónimos o

nicks Contraseñas óptimas No comunicar

contraseñas a terceros Software antivirus No publicar en perfil

datos contacto físico Contenidos

audiovisuales

Máximo grado de privacidad en perfil

Contactar sólo con conocidos

Solicitar ayuda a padres y/o adultos


Administraciones Campañas de concienciación Incluir en los planes oficiales de estudio

aspectos relacionados con la seguridad Fomentar el establecimiento de una

seguridad jurídica global Revisar la normativa vigente para

adaptarla al constante cambio tecnológico


Padres Mantener el ordenador en zona común Establecer reglas sobre el uso de Internet Conocer funcionamiento y posibilidades de las

redes sociales Activar el control parental Utilizar correo secundario Concienciar al menor sobre seguridad Controlar el perfil de usuario del menor Guías de ayuda http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_ayuda_redes_sociales


http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_ayuda_redes_sociales






Conclusiones sobre redes sociales Acceso a Internet como derecho fundamental

Regulación legal y control judicial Compaginar comunicación y socialización con

privacidad personal http://noticias.terra.es/2010/sucesos/0112/actualidad/twitter-asesinato-estados-unidos-disparo.aspx

Exigir medidas de seguridad Educar

Educar Educar

Educar Educar Educar Educar Educar Educar

Facebook, otra mirada


http://noticias.terra.es/2010/sucesos/0112/actualidad/twitter-asesinato-estados-unidos-disparo.aspx






http://www.youtube.com/watch?v=xzTgIdNW6lg&feature=PlayList&p=2FB82680BF79385E&playnext=1&playnext_from=PL&index=11

CÓDIGOS TIPO


CÓDIGOS TIPO

AEPD - Formas de actuación

Resoluciones Sentencias Recomendaciones Códigos Tipo


CÓDIGOS TIPO

Acuerdos sectoriales mediante los cuales los titulares y responsables del tratamiento de datos, a través de las organizaciones representativas de su sector de actividad, establecen normas de conducta que permiten la aplicación concreta de la Ley de Protección de Datos de Carácter Personal en su ámbito ordinario de actuación, considerando las especificidades de su actividad y como garantía para las personas afectadas por el tratamiento de sus datos.


CÓDIGOS TIPO

SERVICIOS Normas Alternativa extrajudicial Evaluación o auditoria Asesoría procedimental / técnica Sello distintivo


NORMATIVA

AUTORREGULACIÓN

Directiva comunitaria 95/46, de protección de las personas frente al tratamiento de sus datos personales

Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal

Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico

Real Decreto 1163/2005, que regula el distintivo público de confianza


CÓDIGOS TIPO INSCRITOS

FARMAINDUSTRIA VERAZ-PERSUS Asociación Empresarial Gestión Inmobiliaria Asociación Catalana de Recursos Asistenciales Universidad de Castilla-La Mancha Odontólogos y Estomatólogos de España Confianza On-Line Unió Catalana D’Hospitals Fichero Histórico de Seguros del Automóvil (UNESPA) Entidades locales adheridas a EUDEL (Asociación de Municipios

Vascos-Euskadiko Udalen Elkartea)


Universidad Castilla-La Mancha

Código de conducta de protección de datos personales

Inscrito: 14/07/2004 Adecuado al RLPOD: 16/11/2009

Documento único Aumentar la protección Material educativo

Anexos


Farmaindustria

Código tipo de Protección de Datos

Inscrito: 17/06/2009

Investigación clínica y Farcovigilancia

Criterio uniforme Aumentar garantías de cumplimiento Disminuir nivel de incertidumbre

Comité de seguimiento


EUDEL

MANUAL DE BUENAS PRÁCTICAS

Inscrito: 16/07/2009

Adecuar a las peculiaridades del País Vasco Mayor concienciación datos personales

Procedimiento de supervisión Régimen sancionador Sello de Confidencialidad


C.G.O.E.

Código Tipo

Adecuación al RLOPD: 22/12/2009

Mejora en el ejercicio de la profesión Régimen homogéneo en la gestión de datos

Personales Correcta aplicación de la normativa

Sello distintivo


UNIÓ Catalana D'Hospitals

Código Tipo

Adecuación al RLOPD: 16/11/2009

Armonizar Comportamientos Hacer asumible la norma Preservar la privacidad Garantía para centros y usuarios

Control de seguimiento del Código Logotipo del código Formularios información y ARCO


Confianza OnLine (1)

Código ético Confianza OnLine Incripción: 2002 Modificado: 2005 Adecuación: 2009

AECEM – Asociación Española de Comercio Electrónico

“Código protección de datos personales en Internet” AUTOCONTROL – Asociación Autorregulación Comunicación

Comercial

“Código ético de Publicidad en Internet”

AEA + AEAP + AMPE + FECEMD + AGEMDI + FNEP + ASIMELEC Autorregulación Sello Acreditativo



ELEMENTOS:

Normas deontológicas

Sistema de aplicación de las normas

Sello de confianza

PUBLICIDAD y COMERCIO ELECTRÓNICOS



PUBLICIDAD Identificación del anunciante Identificabilidad de la publicidad Publicidad por correo electrónico Revocación Publicidad en la web

COMERCIO ELECTRÓNICO Obligaciones previas a la contratación Obligaciones de información posteriores Servicio de atención al cliente Seguridad y medios de pago



PROTECCIÓN DE DATOS PERSONALES

Principios generales Obtención de los datos Uso de cookies Captación de datos en foros y otros Seguridad y protección de datos



PROTECCIÓN DE MENORES Publicidad y protección de menores Contenidos y protección de menores Tratamiento de datos de menores

ACCESIBILIDAD Y USABILIDAD Apoyar las medidas legales - Discapacidad Promover medidas de sensibilización Respetar las medidas legales Ofrecer información sobre su accesibilidad y facilitar la

forma de consultas o quejas



RESOLUCIÓN EXTRAJUDICIAL DE CONTROVERSIAS

Reclamaciones ante la Secretaría Normas de comercio o Datos personales Contra personas físicas o jurídicas Secretaría a Comité de Mediación AECEM o de

AUTOCONTROL Plazo de 7 días para acuerdo Si no, Junta Arbitral Nacional o Autonómica de Consumo



CLÁUSULAS TIPO Y MODELOS DE PROTECCIÓN DE DATOS

Cláusula tipo para obtener el consentimiento de los afectados al tratamiento

Cláusula tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos

Modelo para el ejercicio del derecho de acceso Modelo para el ejercicio del derecho de rectificación Modelo para el ejercicio del derecho de cancelación Modelo para el ejercicio del derecho de oposición Cláusulas para el cumplimiento de los requisitos formales

exigibles


WEB Y LOPD - gpd.sip.ucm.esgpd.sip.ucm.es/sonia/docencia/master/Trabajos... · ¿A qué? La web...

Documents

Transcript of WEB Y LOPD - gpd.sip.ucm.esgpd.sip.ucm.es/sonia/docencia/master/Trabajos... · ¿A qué? La web...