investigación de los Avances tecnológicos del siglo XXI
Legislacion davidtorres
1. pág. 1
PRÁCTICA FINAL SEGURIDAD Y ALTA DISPONIBILIDAD
LEGISLACIÓN SOBRE SEGURIDAD Y PROTECCIÓN DE DATOS
DAVID TORRES ALCONCHEL
2. pág. 2
INDICE
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos que
creas convenientes e indica, además, algún ejemplo de dato que no sea considerado de carácter
personal. ....................................................................................................................................... 3
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España? Indica,
además, todos sus datos postales y de contacto........................................................................... 3
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE PROTECCIÓN DE
DATOS y qué es lo que regula. Escribe, además, algún ejemplo que indique cuándo debe ser
aplicado y cuándo no..................................................................................................................... 4
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y.......... 4
garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula? ¿nuevos deberes,
derechos, obligaciones? ................................................................................................................ 4
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus datos
personales? ................................................................................................................................... 5
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado? ..................... 6
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector ......................... 7
público?......................................................................................................................................... 7
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder ejercer tus
derechos con respecto al tratamiento de tus datos de carácter personal. .................................... 8
9. Indica qué son y de qué se encargan los siguientes organismos españoles relacionados con
la seguridad de la información: ..................................................................................................... 9
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que
expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007. .................................. 10
BIBLIOGRAFÍA.............................................................................................................................. 11
3. pág. 3
PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y NUEVA LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los
ejemplos que creas convenientes e indica, además, algún ejemplo de dato que no
sea considerado de carácter personal.
Un dato de carácter personal es aquella información numérica, alfabética, fotográfica,
acústica o de cualquier tipo que tenga que ver con personas físicas identificadas o
identificables (nombre, apellidos, domicilio, fotos etc…), como a su existencia y ocupaciones
(estudios, trabajo, etc…)
Un ejemplo serían las direcciones postales, las cuentas de correo electrónico, el DNI etc.
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España?
Indica, además, todos sus datos postales y de contacto.
Las APD son autoridades públicas e independientes, que se encargan de supervisar
mediante los poderes de investigación y correctivos, la aplicación de la legislación sobre
protección de datos.
APD DE ESPAÑA
Agencia Protección de datos
C/ Jorge Juan, 6
28001 Madrid
Tel. +34 91399 6200
Fax +34 91455 5699
e-mail: internacional@agpd.es
Website: https://www.agpd.es/
4. pág. 4
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que
indique cuándo debe ser aplicado y cuándo no.
El reglamento general de protección de datos es un reglamento de la unión europa, el
cual es relativo a la protección de las personas, en lo que respecta al tratamiento de sus
datos personales y a la circulación de ellos mismos.
Regula el tratamiento que realizan las personas, organizaciones o también empresas de
los datos personales que están relacionados con las personas físicas en la Unión Europea
(UE).
Cuando debe ser aplicado:
Cuando una empresa que tiene un establecimiento en la Unión Europea ofrece servicios
de viaje a los clientes de los países bálticos y que, en ese contexto, tratará datos
personales de unas personas físicas
Cuando no debe ser aplicado:
Cuando una persona utiliza su libreta propia de direcciones para invitar vía correo a sus
amigos a una fiesta (excepción doméstica).
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y
garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula?
¿nuevos deberes, derechos, obligaciones?
- Está activa desde el 5 de diciembre de 2018.
- Regula el tratamiento que realizan las personas, organizaciones o también empresas de los
datos personales que están relacionados con las personas físicas en la Unión Europea (UE).
Novedades para los ciudadanos (deberes, derechos, obligaciones):
1) Derecho a conocer el registro de actividades de tratamiento de datos personales de las
organizaciones públicas
2) Derecho de los ciudadanos a ser informados sobre el ejercicio de sus derechos
3) Verificación de datos personales de los ciudadanos por los órganos y organismos del
Sector Público
4) Comunicación de datos personales de los ciudadanos a sujetos privados por los órganos y
organismos del Sector Público
5) La aportación de documentación a los procedimientos administrativos por parte de los
ciudadanos: modificación del artículo 28 de la Ley 39/2015
5. pág. 5
6) Identificación de los ciudadanos en los actos administrativos
7) El consentimiento como base jurídica que legitima el tratamiento de datos personales de
los ciudadanos
8) Datos personales de personas fallecidas
9) Inclusión en sistemas de información de solvencia crediticia (“ficheros de morosos”)
10) Limitación de la actividad publicitaria de las empresas: las “listas Robinson”
11) Derechos de los empleados
12) Derecho al olvido en redes sociales y otros servicios equivalentes
13) Presentación de reclamaciones ante organizaciones que cuenten con Delegado de
Protección de Datos (DPD)
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger
tus datos personales?
En el RGPD se establecen:
Derecho a rectificar tus datos inexactos o incompletos.
Derecho de oposición al tratamiento de los datos.
Derecho a suprimir tus datos si se usan para fines ilícitos o llega a término la finalidad
para la que fueron recabados.
Derecho a conocer para qué van a ser usados y el plazo de uso de los mismos.
Derecho a solicitar la suspensión del tratamiento de tus datos, la conservación y la
portabilidad de los mismos.
Además, se incluye, la protección de los datos de personas fallecidas que pueden ser
ejercidos por sus familiares o herederos para solicitar su rectificación o supresión. Y, en
caso, de tratarse de menores, este derecho también puede ser ejercido por el Ministerio
Fiscal.
El ejercicio de estos derechos podrá realizarse directamente o a través de representante
legal o voluntario. Y el responsable del tratamiento de datos estará obligado a informar al
afectado sobre los medios a su disposición para ejercer sus derechos.
Y se entenderá otorgado el derecho en el momento en el que el responsable facilite al
solicitante un sistema de acceso a la información remoto, directo y seguro.
6. pág. 6
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado?
Las organizaciones quedan obligadas a informar a los ciudadanos de forma clara y sencilla
sobre los aspectos más importantes del tratamiento de sus datos
La Ley obliga a las organizaciones cuyas actividades principales consistan en tratamientos
que requieran una observación habitual y sistemática de los ciudadanos a gran escala, o en el
tratamiento a gran escala de categorías especiales de datos personales, o datos relativos a
condenas e infracciones penales a designar un Delegado de Protección de Datos
El Delegado de Protección de Datos debe recibir las reclamaciones que le dirijan los
ciudadanos
En el caso de datos personales de menores, cuando el tratamiento de datos esté legitimado
por el consentimiento, la organización debe recabar el consentimiento del menor cuando
este tenga al menos 14 años; y el de los padres o sus representantes legales en el caso de
que sea menor de 14 años
Las entidades que vayan a realizar una campaña publicitaria deben consultar con carácter
previo las “listas Robinson” para evitar el envío de publicidad a todos los ciudadanos que se
hayan registrado en ellas
La Ley Orgánica garantiza el derecho a la intimidad de los empleados en el lugar de trabajo
frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al
uso de los dispositivos digitales y sistemas de geolocalización
La Ley permite utilizar los datos personales de contacto de las personas que prestan servicios
en una entidad, así como de los profesionales (abogados, médicos, etc.) y de los empresarios
individuales
La Ley recoge los sistemas de denuncia interna, incluso anónima, como mecanismo para que
los integrantes de una organización puedan poner en su conocimiento, la comisión de
infracciones en su seno que pudieran resultar contrarias a la normativa general o sectorial
que le fuera aplicable.
Los ciudadanos podrán ser incluidos en los sistemas de información de solvencia crediticia
cuando mantengan una deuda de más de 50 euros con algún prestador de servicios
La Ley establece que se presumirán lícitos los tratamientos de datos, incluida su
comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier
operación de modificación estructural de sociedades o la aportación o transmisión de
negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios
para el buen fin de la operación
El responsable del tratamiento, cuando proceda a la rectificación o supresión de los datos,
está obligado a bloquearlos; es decir, a identificarlos y reservarlos mediante técnicas que
impidan su tratamiento, visualización incluida
7. pág. 7
Las autoridades públicas, los equipos de respuesta a emergencias informáticas (CERT), los
equipos de respuesta a incidentes de seguridad informática (CSIRT), los proveedores de
redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios
de seguridad pueden tratar los datos personales contenidos en las notificaciones de
incidentes de seguridad exclusivamente durante el tiempo y alcance necesarios para su
análisis, detección, protección y respuesta.
La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en salud.
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector
público?
1. Publicación del Registro de actividades de tratamiento del órganos u organismos del
Sector público.
2. Obligación de información a los ciudadanos sobre el ejercicio de sus derechos.
3. Protestad de verificación de los datos de los ciudadanos.
4. Nueva regulación de la aportación de documentación por parte de los ciudadanos:
modificación del artículo 28 de la Ley 39/2015.
5. Notificación de actos administrativos: identificación de los ciudadanos. 6. Comunicación
de datos personales de los administrados a sujetos privados.
7. Designación de un Delegado de Protección de Datos (DPD) y comunicación de la
designación a la AEPD.
8. Intervención del Delegado de Protección de Datos en la resolución de reclamaciones
en el Sector Público.
9. Mayor transparencia de las sanciones impuestas al Sector Público.
10. Tratamiento de datos personales en la notificación de incidentes de seguridad.
11. Registros de personal del sector público: legitimación del tratamiento
12. Derechos de los empleados públicos: mayor intimidad.
13. Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos
Personales.
14. Tratamiento de datos personales por concesionarios de servicios públicos.
15. Educación para la digitalización.
16. Tratamiento de datos personales en investigación sanitaria.
8. pág. 8
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder ejercer
tus derechos con respecto al tratamiento de tus datos de carácter personal.
Derecho de acceso
Este derecho es aquel que te permite dirigirte al responsable del tratamiento para
conocer si se está tratando o no mis datos de carácter personal.
https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf
Derecho de rectificación
Este derecho supone obtener la rectificación de mis datos personales. Teniendo en
cuenta los fines del tratamiento, tenemos derecho a que se completen los datos
incompletos.
https://www.aepd.es/media/formularios/formulario-derecho-de-rectificacion.pdf
Derecho de oposición
Este derecho supone que me puedo oponer a que el responsable realice un
tratamiento de mis datos personales
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf
Derecho de supresión
Solicitaremos la supresión de nuestros datos de carácter personal cuando:
- Nuestros datos no sean necesarios
- Si nos hemos opuesto al tratamiento de nuestros datos
- Si nuestros datos han sido tratados lícitamente
- Etc.
https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf
Derecho a la limitación del tratamiento de mis datos
Consiste en obtener la limitación del tratamiento de mis datos que realiza el
responsable.
https://www.aepd.es/media/formularios/formulario-derecho-de-limitacion.pdf
Derecho a la portabilidad de mis datos
Su finalidad es reforzar el control de mis datos personales, de forma que reciba mis
datos en un formato estructurado, de un uso común.
https://www.aepd.es/media/formularios/formulario-derecho-de-portabilidad.pdf
9. pág. 9
Derecho a no ser objeto de decisiones individualizadas
Nos garantiza que no seamos objeto de una decisión basada únicamente en el tratamiento
de mis datos.
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion-decisiones-
automatizadas.pdf
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
9. Indica qué son y de qué se encargan los siguientes organismos españoles relacionados
con la seguridad de la información:
a. CCN-CERT (https://www.ccn-cert.cni.es )
Este organismo es el responsable de coordinar la acción de los diferentes organismos
de la Administración que utilicen medios o procedimientos de cifra, garantizar la
seguridad de las Tecnologías de la Información en ese ámbito, informar sobre la
adquisición coordinada del material criptológico y formar al personal de la
Administración especialista en este campo
b. INTECO-CERT (http://cert.inteco.es )
El Instituto Nacional de Ciberseguridad de España (INCIBE), sociedad dependiente
del Ministerio de Economía y Empresa a través de la Secretaría de Estado para el
Avance Digital, es la entidad de referencia para el desarrollo de la ciberseguridad y
de la confianza digital de los ciudadanos, la red académica y de investigación
española (RedIRIS) y las empresas, especialmente para sectores estratégicos.
INCIBE es un instrumento del Gobierno para desarrollar la ciberseguridad como
motor de transformación social y oportunidad para la innovación.
INCIBE-CERT es el centro de respuesta a incidentes de seguridad de referencia para
los ciudadanos y entidades de derecho privado en España operado por el Instituto
Nacional de Ciberseguridad, dependiente del Ministerio de Economía y Empresa
(MINECO) a través de la Secretaría de Estado para el Avance Digital (SEAD).
c. IRIS-CERT (https://www.rediris.es/cert )
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la detección de
problemas que afecten a la seguridad de las redes de centros de RedIRIS, así como la
actuación coordinada con dichos centros para poner solución a estos problemas.
IRIS-CERT presta servicio a las instituciones afiliadas a RedIRIS. IRIS-CERT también da
soporte (coordinación de incidentes) a centros ajenos a RedIRIS, aunque de forma
más limitada.
10. pág. 10
¿por qué todos se llaman CERT?
Porque todos ellos son un Equipo de Respuesta ante Emergencias Informáticas.
Se trata de un grupo de expertos responsables del desarrollo de medidas preventivas
y reactivas ante incidencias de seguridad en los sistemas de información.
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que
expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007.
ISO 27001
Es la norma principal de toda la serie ya que incluye todos los requisitos
del Sistema de Gestión de Seguridad de la Información en las organizaciones.
ISO 27002
En ella se describen los objetivos de control y las evaluaciones recomendables en
cuanto a la seguridad de la información. Esta norma no es certificable
ISO 27003
En ella se implementa un Sistema de Gestión de Seguridad de la Información y
además, nos da la información necesaria para la utilización del ciclo PHVA y todos
los requerimientos de sus diferentes fases.
ISO 27004
En este estándar se especifican las técnicas de medida y las métricas que son
aplicables a la determinación de la eficacia de un Sistema de Gestión de
Seguridad de la Información y los controles relacionados
ISO 27005
Esta normativa establece las diferentes directrices para la gestión de los Riesgos
en la Seguridad de la Información. Se trata de una norma de apoyo a los
conceptos generales que vienen especificados en la ISO 27001 y se encuentra
diseñada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la
información basada en un enfoque de gestión de riesgos
ISO 27006
Este estándar específica todos los requisitos para lograr la acreditación de las
entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la
Información
ISO 27007
Es un manual de auditoría de un Sistema de Gestión de Seguridad de la
Información. Es un estándar Internacional el cual ha sido creado para
proporcionar un modelo para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI)