• HTTPS – Transferencia segura de datos.

    • Siempre que nos conectemos a nuestra banca online o correo electrónico o donde tengamos que dar nuestros datos en la red, debemos asegurarnos que cuando tecleamos el usuario y la contraseña, el protocolo que utiliza el navegador es HTTPS y no HTTP. De esta forma, nuestros datos viajarán cifrados por la red, lo que evitará que un tercero no autorizado pueda leerlos.

  • R.T.S.I

    • Este Blog de redes de telecomunicaciones y seguridad de la información, en su abreviatura R.T.S.I, fue abierto por Satiro Ndong Abeso cuyo fin y objetivo es formar e informar de los diferentes temas en el ámbito de las redes de telecomunicaciones así como el uso seguro de la misma, es decir, el uso de las tecnologías de la información y la comunicación (Tic´s) en los diferentes niveles y sistemas educativos tienen un impacto significativo en el desarrollo del aprendizaje y el fortalecimiento de sus competencias para la vida y el trabajo que favorecerán su inserción en la sociedad del conocimiento.

  • Centros de procesos de datos.

    • Los centros de datos están considerados como la sala de máquinas de un negocio, permitiendo a las organizaciones conseguir sus principales objetivos empresariales, ya que albergan los procesos críticos, aplicaciones e información de la organización. A medida que migra sus datos y aplicaciones importantes a entornos virtuales y basados en la nube, la estrategia de seguridad y control de esta información debe también evolucionar.

  • Sentido Común.

    • Evita ser víctima de un engaño. Una de las mayores herramientas de seguridad en internet y en los grandes sistemas es sin duda el SENTIDO COMÚN, no hace falta sacar una carrera universitaria en Harvard University para poder entender este concepto, si entiendes que si metes la mano en el fuego te podrías quemar, entenderías este concepto, Ejemplo de ello, nadie te dará un Crédito sin conocerte, te ha tocado la lotería o Premio de la lotería sin haber jugado, es importante saber que para ganar la lotería se ha de jugarla.

  • PROTECIÓN a menores en la red.

    • Los principales problemas relativos a la utilización de Internet por parte de menores radican en la ingenuidad, buena fe o simple desconocimiento de lo que puede esconderse al otro lado de la red, resulta necesario poner al servicio de los usuarios una serie de recomendaciones para evitar que los menores sean víctimas o accedan a contenidos ilícitos e inapropiados. Eduque al menor sobre los posibles peligros que puede encontrar en la Red así como aconsejándole/a no participar en charlas radicales (provocadoras, racistas, humillantes, extremistas, etc.) ya que pueden hacerle sentir incómodo/a.

  • La Red de Redes.

    • Las Redes de redes se utilizan para comunicar no sólo a individuos sino que tienen una gran utilidad en las comunicaciones empresariales, bancarias, estatales, diplomáticas, militares, entre ciudadanos y administraciones públicas, es decir, mucha información sensible circula por estas redes. Existe un riesgo real de que personas no autorizadas intenten tener acceso ilegítimo a ella. Debemos aprender a utilizar y configurar estas redes adecuadamente las opciones de seguridad y privacidad, de esta forma sólo tendrán acceso a nuestros datos personas autorizadas.

Mostrando entradas con la etiqueta Protección de Datos. Mostrar todas las entradas
Mostrando entradas con la etiqueta Protección de Datos. Mostrar todas las entradas

domingo, 9 de noviembre de 2014

Posted by Satiro Ndong Abeso Angono
No comments | 7:47
Posted by Satiro Ndong Abeso Angono
No comments | 7:35

Muchos de nosotros pensamos que para cumplir la Ley Orgánica de Protección de Datos (LOPD) es suficiente con tener un archivador que contenga el documento de seguridad, inscribir unos ficheros ante la Agencia Española de Protección de Datos, poner un aviso legal en nuestra web y firmar acuerdos con nuestros proveedores. Todo esto es necesario pero no es suficiente para cumplir con la LOPD.
Es necesario además cumplir los controles o medidas de seguridad recogidas en el Reglamento de Desarrollo de la LOPD, también conocido como RDLOPD. Estas medidas de seguridad abarcan tanto controles referentes a sistemas de información automatizados, como sistemas de información no automatizados (papel).
No todas las empresas deben implantar todas las medidas descritas en este Reglamento, dado que estas medidas están asociadas al nivel de seguridad de los datos tratados (básico, medio y alto). Es decir, en función de los datos que tratemos en nuestra empresa, aplicaremos más o menos medidas de seguridad.
Por lo que a esto respecta, podemos encontrar medidas que van desde la realización de copias de respaldo, la implantación de mecanismos de autenticación para acceder a los equipos o la existencia de medidas de seguridad para la gestión de soportes de almacenamiento.
Pero no nos podemos olvidar que este Reglamento también tiene un apartado dedicado a controles de seguridad para la gestión de la información en soporte papel. Estos van desde la definición de un criterio de archivo a la gestión del almacenamiento seguro de la documentación.
Además si tratamos datos de carácter personal clasificados con un nivel de seguridad medio o alto, debemos realizar auditorías que verifiquen la correcta implantación de estos controles.
Es por este motivo, que debemos conocer de primera mano los controles que son necesarios implantar para cumplir de modo efectivo con la LOPD y su Reglamento de Desarrollo. En la siguiente infografía os presentamos de una manera sencilla y clara cuáles son estos controles.

Si queremos conocer en detalle todos estos controles podemos encontrarlos en el documento oficial: RD 1720/2007 Descripción:  (se abre en nueva ventana)



Fuente,  INCIBE

domingo, 5 de octubre de 2014

Posted by Satiro Ndong Abeso Angono
No comments | 14:42
La ley 15/1999, de 13 de diciembre, regula la transmisión de información de los datos personales España con el objetivo de conciliar la protección de la integridad de la información personal, con libre tránsito de los datos. La transmisión internacional de los datos constituye una auténtica necesidad de la vida actual y de suma importancia en el ámbito económico de los estados, la regla general en la transmisión internacional de datos es la de exigir un sistema de protección equiparable Español para los datos a exportar, con el objetivo de contabilizar una protección semejante en la transmisión internacional de los datos personales, en los que España es parte. Las exigencias del acuerdo schengen y el convenio de éste cuyo artículo 126 dispone, la obligación de las partes constantes de adecuar las disposiciones de protección de los datos hasta conseguir un nivel de protección al menos igual al que se desprende a los principios del convenio 108 del consejo de Europa.
Asimismo la directiva sobre la protección de datos exige, la transmisión de información personal a terceros países un nivel de protección adecuado. La transferencia de los datos personales entre estados miembros, se adecuará un criterio diferente, el de un nivel equivalente de la protección.

Cuando las transmisión de datos se produce hacia un país no comunitario sólo se exige que satisfaga o demuestre un estándar mínimo de protección de los Datos para evitar así las reticencias de países como Canadá o Estados Unidos que ven este tipo de legislaciones barreras a la transmisión internacional de los datos que pudieran dañar sus intereses económicos.

El requisito general para la transmisión internacional de datos es que el país de destino exista un nivel de protección equiparable al Español, sin embargo no es ésta la única condición que se debe cumplir, pues en el caso de cualquier otra cesión de datos, deberá respetarse los principios de calidad de los datos y los derechos de los afectados, esto supone que para que se pueda exportar  legalmente datos personales, tendría que haberse previsto entre sus finalidades de recolección y tendrían que haberse informado al afectado de esta posibilidad y la identidad de sus destinatarios, en cumplimiento además con los restantes requisitos que para la cesión de datos personales exige la ley.

Para saber si un estado cuenta  o no con un nivel adecuado de protección, se evaluará por la Agencia de Datos en cada caso concreto, que estudiará aspectos como el de la naturaleza de los datos la finalidad y duración del tratamiento, el país de origen y el país de destino final, las normas de derecho generales o sectoriales vigentes en el país de tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. Para garantizar que las transmisiones de datos a terceros países respeten el principio de protección de Datos Personales adecuada, la directiva prevé que los estados miembros y comisión se informen recíprocamente cuando consideren que un determinado país no garantiza tal nivel de protección.


En el artículo  34 de la LOPD se establece una larga lista de excepciones al régimen general de exigencia de un nivel equiparable de protección para los cuales no será necesario que el país destinatario  acredite un nivel de protección equivalente, ni la autorización  previa  del Director de la Agencia  de Protección de Datos, cuando no se acredite un nivel adecuado de protección, será necesario recabar la autorización del Director de la Agencia de Protección de Datos.
Posted by Satiro Ndong Abeso Angono
No comments | 14:28

En este como en cualquier otro ámbito, la conectividad del derecho está directamente relacionada con la eficacia de las normas jurídicas, es decir, el grado de eficacia dependerá de si son o no cumplidas por las personas a quienes se dirige y en caso de ser olvidadas se aplican a los medios coercitivos por la autoridad que la ha impuesto, cuando se incumple los dispuesto en el sistema normativo, la respuesta que el propio sistema aporta, sin duda alguna es  la SANCIÓN.
Las normas de los artículos 44 siguientes de la LOPD, persiguen garantizar la eficacia de las disposiciones que establecen los derechos de los interesados y las obligaciones de aquellos que mantienen ficheros de datos personales.
Las normas sancionadoras previstas en la ley de Protección de Datos, se complementan con los dispuesto en el Título X del código penal en cuyos artículos 197 y siguientes, se establecen sanciones penales para aquellas conductas más graves que atenten  contra el derecho que supone a la Protección  de Datos Personales y otros derechos fundamentales de las personas directamente relacionada con la intimidad y la vida privada.
El régimen sancionador establecido en el Título VII de la LOPD ha sido modificado recientemente por la ley 2/2011, de 4 de marzo, de economía sostenible,  están sujetos a este régimen sancionador tanto los responsables de ficheros como los encargados de los mismos.
Los tipos de infracciones están recogidos en  el artículo 44 de la ley, que los clasifica en Leves, Graves o Muy Graves, y estas infracciones se dividen en:
1.- Infracciones relativas a los principios de calidad de los Datos y a los derechos de los afectados.
2.- Infracciones relativas al ejercicio de las funciones propias de la Agencia Española de Protección de Datos.

En desarrollo.
1.- Infracciones relativas a los principios de calidad de los Datos y a los derechos de los afectados.

1.1. Son infracciones LEVES.
a).- El incumplimiento del deber de Información al afectado acerca del tratamiento de sus datos de carácter personal, cuando los Datos sean recabados del propio interesado.
b).- La transmisión de los Datos a un encargado de tratamiento sin haber  dado cumplimiento de los deberes formales establecido en el artículo 12 de la LOPD.

1.2. son infracciones Graves.
a).- Trastar datos de carácter personal sin recabar el consentimiento de las personas afectadas.
b).- Tratar datos de carácter personal o usarlo posteriormente con conclusión de los principios y garantías establecidos en artículo 4 de la LOPD.
c).-  El deber de guardar el secreto acerca del tratamiento de los datos de carácter personal.
d).- El incluplimiento o la obligación del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
e).- La comunicación o cesión  de los datos de carácter personal  fuera de los supuestos legalmente permitidos, salvo que la misma sea constitutiva de infracción muy grave.
f).- Mantener los ficheros, locales, programas o equipos  que contengan datos de carácter personal sin las debidas condiciones de seguridad.
g).-  El incluplimiento de los restantes debereres de notificiación o requerimiento al afectado.
h).- El incumplimiento del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados por el propio interesado.

1.3. Son infracciones MUY GrAVES
a).- La recogida de los datos de datos de forma engañosa o fraudulenta.
b).- No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos del interesado.
c). No atender de forma sistemática el deber legal de notificación de la inclusión de los datos de carácter personal en un fichero.
d).- La vulneración del deber de guardar secreto sobre los datos sensibles regulados en los apartados 2 y 3 del artículo 7 de la LOPD, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.


2.- Infracciones relativas al ejercicio de las funciones propias de la Agencia Española de Protección de Datos.

2.1. Son infracciones LEVES.
a).- No remitir a la Agencia las notificaciones previstas en la LOPD  y de sus reglemente de de desarrollo.
b).- No solicitar las inscripción del fichero de los Datos de carácter personal en el Registro General de Protección de Datos.

2.2. Son infracciones GRAVES.
a).- La obstrucción  al ejercicio de la función inspectora.
b).- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismo sin autorización de disposición general, publicado el Boletín Oficial del Estado o  diario correspondiente.
c).- No atender a los requerimientos o apercibimientos de la Agencia o proporcionar a aquélla cuantos documentos e informaciones sean solicitadas por la misma.

2.3. Son infracciones MUY GRAVES.
a).- La transferencia internacional de los datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin la autorización del Director de la Agencia Española de Protección de Datos, salvo en los supuesto en los que dicha autorización no resulte necesaria.
b).-  No cesar el tratamiento ilícito  de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia para ello.

En el artículo 45 de la LOPD establece la cuantía de las sanciones para las infracciones cometidas por los ficheros privados:
 - Infracciones Leves serán sancionadas con multa de 900 a 40.000 euros.
 - Infracciones Graves serán sancionadas con multa de 40.001 a 300.000 euros.
- Infracciones Muy Graves serán sancionadas con multa de 300.001 a 600.000 euros.
Las infracciones Leves prescribirán al año, las graves a los dos años y las Muy Graves a los tres años, empezando a contar  el plazo de prescripción desde el día que la infracción se hubiese cometido.
Se podrá moderar la cuantía de las sanciones aplicando la de la escala correspondiente a las infracciones inmediatamente inferiores en gravedad y en los siguientes casos.
- si el infractor haya reconocido esporádicamente su culpabilidad.
- O, si se le hubiese producido un proceso de fusión por absorción  y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
- En aquellos casos en los que la conducta del afectado ha podido inducir a la comisión de la infracción.
- Cuando concurran varios de los criterios anteriores y ello suponga una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho.
 - Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

Finalmente las medidas sancionadoras o de represión previstas en la LOPD, serán aplicables a través de la potestad sancionadora en la Agencia Española de Protección de Datos, su ejercicio corresponde al director de la Agencia, mientras que la inspección de datos compete a la instrucción del expediente sancionador. La potestad sancionadora de la Agencia, no sólo deberá adecuarse  a su aplicación a lo previsto en la LOPD y en los artículos 24 y 25 de la constitución, sino también a los dispuestos en la ley 30/1992 de 26 de noviembre del régimen jurídico de de las administraciones públicas y del procedimiento administrativo común.
En la LOPD, se establece un doble régimen sancionador en función de la titularidad pública o privada de los ficheros, si el responsable del fichero es un particular, el régimen sancionador es regulado en el articulado  de la LOPD y el procedimiento sancionador es el de los artículos 121 y siguientes del R.D 1720/2007. Cuando el responsable del fichero sea un administración pública, se estará en cuanto al procedimiento en artículo 46 y 48 de la ley.

                  


Posted by Satiro Ndong Abeso Angono
No comments | 14:24

El derecho Español confía la protección general de los Datos personales a un órgano especial creado para garantizar los derechos y libertades de los ciudadanos, y este órgano es la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS “AEPD”. Esta Agencia es un ente público con responsabilidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones y se relaciona con el gobierno a través del ministerio de justicia.
En el ejercicio de sus competencias deberá regirse por lo establecido en las siguientes disposiciones:
- La ley Orgánica 15/1999 de 13 de diciembre.
- Su estatuto aprobado por el R.D 428/1993 de 26 de marzo y modificado por el R.D 156/1996 de 2 de febrero, por el que se reforma el estatuto de la Agencia Española de Protección de Datos, para designar a la Agencia de Protección de Datos como representante Español en el grupo de Protección de Datos de las personas previsto en la directiva 95/46/CE de 24 de octubre.
- Para el ejercicio de sus funciones y en defecto de lo dispuesto en las normas anteriores por lo dispuesto en la ley 30/1992 de 26 de noviembre de Régimen jurídico de las Administraciones públicas y del procedimiento administrativo común.

La razón de ser de la agencia es la de brindar las garantías específicas para el derecho a la protección de los Datos  Personales a través de la vigilancia del respeto al sistema de protección de Datos.
Este cometido lo realiza a través del ejercicio de sus funciones establecidas en el artículo 37 de la LOPD y desarrolladas por el capítulo II del Estatuto de la Agencia Española  de Protección de Datos, y son los siguientes:

a).- La Agencia de Protección de Datos le corresponde velar por cumplimiento de la legislación de protección de Datos, controlando su aplicación, especialmente en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de los Datos Personales. Esta función de vanguardia supone, no sólo el control por parte de la Agencia del cumplimiento de lo dispuesto en la ley y sus normas de desarrollo, sino que incluye, también la obligación de la
Agencia de velar por el cumplimiento de las disposiciones de la ley.
b).-  Le corresponde a la Agencia, a través del Registro General de Protección de Datos, velar por la publicidad de los ficheros asimismo, compete a la Agencia informar a los ciudadanos de la existencia de sus derechos y. podrá promover campañas de difusión en los medios de comunicación.
c).- La Agencia elaborará con los órganos competentes  en los en los que respecta a la aplicación de las normas que inciden en las materias reguladas por LOPD, dictando las instrucciones y recomendaciones precisas para adecuar los tratamientos de los datos personales a los principios que exija la ley. también deberá dictar recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros, es decir, se trata de que la Agencia dé instrucciones  concretas para facilitar el cumplimiento de la Ley.
d).- La Agencia tiene así mismo la función Inspectora,  que le llevará a cabo recabando de los responsables de los ficheros de los datos personales cuanta información estime necesaria para el cumplimiento de sus funciones y supervisando el funcionamiento de los ficheros y de los tratamientos a los que se someten los Datos. La función inspectora de la Agencia Española de Protección de Datos  se realiza a través de la Inspección de Datos que contenga una entidad pública o privada.
e).- La Agencia tiene que realizar funciones de control y cooperación internacional, fiscalizando y adoptando las autorizaciones que procedan en la relación con la transmisión internacional de Datos personales.
f).- Finalmente, la Agencia deberá cumplir con la función instructora y de sanción en los términos previstos en la LOPD.
g).- Y para terminar la Agencia cuenta con varios órganos: Director de la Agencia, el Registro General de Protección de Datos, la Inspección de Datos, la Secretaría General y por último Consejo consultivo y detalla a continuación las  funciones de estos órganos de la Agencia de Protección.

Hemos de referirnos también a los órganos de protección de Datos personales en las comunidades autónomas, la LOPD dispone que las funciones de la agencia de protección de Datos, reguladas en los artículos 37, 46, y 48 de la ley serán ejercidas por los órganos competentes de cada comunidad.