Hola,
como probablemente cualquier sistema de informamación que haya que plantear requiera tratar con datos personales, me gustaría tener claro como valorarlos según el ENS. He estado echando un vistazo a la guía 803 del CCN-STIC, y en la dimensión de confidencialidad, valora como de nivel alto si "su revelación supondría el incumplimiento grave de una norma". Dado que la LOPD califica como infracción grave la revelación de datos personales, por lo anterior podemos suponer que la confidencialidad de todo sistema que trate estos datos será de nivel alto, y el sistema, por tanto, estará categorizado como de nivel alto. ¿Estoy en lo cierto?
Gracias y un saludo,
Valoración de los Datos Personales en el ENS
-
- Usuario registrado
- Mensajes: 40
- Registrado: 23 Ago 2010, 16:04
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Valoración de los Datos Personales en el ENS
Yo me pregunto si cabría diferenciar entre datos personales y datos personales especialmente protegidos (ideología, religión, etc.)
-
- Usuario registrado
- Mensajes: 130
- Registrado: 15 Sep 2011, 17:48
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Valoración de los Datos Personales en el ENS
Pues yo diría que más bien no..., que es de tipo básico los datos personales son básicos y no importantes.
Pero..., si es tal cual la legislación como dices, poniéndonos puristas tendría sentido...
¿Algún experto en la sala?
Pero..., si es tal cual la legislación como dices, poniéndonos puristas tendría sentido...
¿Algún experto en la sala?
- jesus020373
- PreparaTIC26
- Mensajes: 31
- Registrado: 24 Jul 2009, 11:10
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Valoración de los Datos Personales en el ENS
No he visto la guía pero según la ENS en su anexo I dice que la determinación de la categoria de un sistema se basará en su punto d en respetar la legalidad vigente y seguirá la guía de instrucciones técnicas de la CCN-STIC.
Sabiendo esto y teniendo en cuenta que la guía CCN-STIC valora como de nivel alto si "su revelación supondría el incumplimiento grave de una norma", está claro que el activo se categorizaría como nivel alto, ya que con que uno de las dimensiones (confidencialidad) sea alta el activo sería de categoria alta. Por otra parte esto cuadra con el anexo 2, la medida de protección mp.com.2 aparece la dimensión confidencialidad + en ALTA.
Lo importante aquí es que habría que aplicar unas medidas de seguridad de nivel alto para asegurar este activo. No olvidemos que estas medidas de nivel alto no son las medidas de la LOPD.
Sabiendo esto y teniendo en cuenta que la guía CCN-STIC valora como de nivel alto si "su revelación supondría el incumplimiento grave de una norma", está claro que el activo se categorizaría como nivel alto, ya que con que uno de las dimensiones (confidencialidad) sea alta el activo sería de categoria alta. Por otra parte esto cuadra con el anexo 2, la medida de protección mp.com.2 aparece la dimensión confidencialidad + en ALTA.
Lo importante aquí es que habría que aplicar unas medidas de seguridad de nivel alto para asegurar este activo. No olvidemos que estas medidas de nivel alto no son las medidas de la LOPD.
- jesus020373
- PreparaTIC26
- Mensajes: 31
- Registrado: 24 Jul 2009, 11:10
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Valoración de los Datos Personales en el ENS
Una última cosa.. para la LOPD solo sería una infracción grave en este caso en referencia a la confidencialidad:
•La vulneración del deber de secreto cuando se refiera a ficheros que recogen datos sobre la comisión de infracciones penales o administrativas, de la Hacienda pública, de servicios financieros, de prestación de servicios de solvencia patrimonial y crédito y, en general, que contengan un conjunto de datos suficientes para obtener una evaluación de la personalidad del individuo.
Así que de manera general no sería un activo de categoria Alta, a no ser que la vulneración del deber de secreto sea palpable en el sistema para el tipo de fichero de la administracción.
•La vulneración del deber de secreto cuando se refiera a ficheros que recogen datos sobre la comisión de infracciones penales o administrativas, de la Hacienda pública, de servicios financieros, de prestación de servicios de solvencia patrimonial y crédito y, en general, que contengan un conjunto de datos suficientes para obtener una evaluación de la personalidad del individuo.
Así que de manera general no sería un activo de categoria Alta, a no ser que la vulneración del deber de secreto sea palpable en el sistema para el tipo de fichero de la administracción.
-
- PreparaTIC XXII
- Mensajes: 379
- Registrado: 31 Mar 2011, 18:46
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Valoración de los Datos Personales en el ENS
Según la LOPD es infracción grave:
"44.3.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave."
Las infracciones fueron modificadas por la Ley 2/2011.
"44.3.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave."
Las infracciones fueron modificadas por la Ley 2/2011.
-
- PreparaTIC XXI
- Mensajes: 1010
- Registrado: 20 Jul 2010, 09:09
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Valoración de los Datos Personales en el ENS
Efectivamente el nivel de los datos personales a tratar es uno de los factores que condiciona el nivel del sistema en el ENS. Tened en cuenta:
a) las dimensiones del ENS. Si por ejemplo en un caso determinado la revelación de una información a personas no autorizadas supondría una infracción grave de la LOPD, la dimensión de confidencialidad para ese sistema no puede tener un valor inferior a medio.
b) el alcance de las leyes, que no es el mismo. Hay sistemas donde no aplica el ENS y sí la LOPD, y viceversa.
c) si para un determinado sistema el reglamento de la LOPD y el ENS prevén distintos medidas de seguridas, debe aplicarse el conjunto de medidas que garantice el cumplimiento de ambos. En la práctica eso significará elegir la opción más restrictiva. En caso de conflicto entre las leyes prevalece la LOPD, pero no se me ocurren ningún caso en el que se pueda dar ese conflicto, dado que las dos regulaciones lo que hacen es establecer mínimos.
Saludos!
a) las dimensiones del ENS. Si por ejemplo en un caso determinado la revelación de una información a personas no autorizadas supondría una infracción grave de la LOPD, la dimensión de confidencialidad para ese sistema no puede tener un valor inferior a medio.
b) el alcance de las leyes, que no es el mismo. Hay sistemas donde no aplica el ENS y sí la LOPD, y viceversa.
c) si para un determinado sistema el reglamento de la LOPD y el ENS prevén distintos medidas de seguridas, debe aplicarse el conjunto de medidas que garantice el cumplimiento de ambos. En la práctica eso significará elegir la opción más restrictiva. En caso de conflicto entre las leyes prevalece la LOPD, pero no se me ocurren ningún caso en el que se pueda dar ese conflicto, dado que las dos regulaciones lo que hacen es establecer mínimos.
Saludos!
-
- PreparaTIC XXII
- Mensajes: 379
- Registrado: 31 Mar 2011, 18:46
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Valoración de los Datos Personales en el ENS
Después de mirarme las medidas de protección del ENS, me parece que lo lógico, a menos que sean datos especialmente protegidos o nos lo digan especificamente sería catalogar la confidencialidad de nivel medio. Quizás la publicación de la sesión de hoy nos saque de dudas.