2. Alejandro Silva SAD 2º ASIR
Página 1 de 10
INDICE
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos
que creas convenientes e indica, además, algún ejemplo de dato que no sea
considerado de carácter personal._________________________________________ 2
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España?
Indica, además, todos sus datos postales y de contacto.________________________ 3
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo
que indique cuándo debe ser aplicado y cuándo no. __________________________ 3
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y
garantía de los derechos digitales: ¿desde cuándo está activa? ¿Qué regula? ¿Nuevos
deberes, derechos, obligaciones? _________________________________________ 4
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus
datos personales?______________________________________________________ 4
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado? ____ 5
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público?
____________________________________________________________________ 6
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder
ejercer tus derechos con respecto al tratamiento de tus datos de carácter personal. _ 7
9. Indica qué son y de qué se encargan los siguientes organismos españoles
relacionados con la seguridad de la información:____________________________ 8
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la
que expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007. ____ 8
Bibliografía _____________________________________________________________ 9
3. Alejandro Silva SAD 2º ASIR
Página 2 de 10
PRIMERA PARTE: REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS Y NUEVA LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa
todos los ejemplos que creas convenientes e indica, además, algún
ejemplo de dato que no sea considerado de carácter personal.
Un dato de carácter personal es cualquier información numérica, alfabética,
fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas
identificadas o identificables, tanto la relativa a su identidad (como nombre y
apellidos, domicilio, filiación, una fotografía o video, etc...) como la relativa a su
existencia y ocupaciones (estudios, trabajo, enfermedades, etc.)
Tipos de datos:
Datos de carácter identificativo
Datos de circunstancias sociales
Datos de características personales
Datos académicos profesionales y de formación
Datos de detalle de empleo
Datos económicos financieros
Datos médicos o de salud
Datos de carácter sindical
Datos de carácter administrativo
Datos de carácter judicial
Datos de carácter social
Datos de seguridad
Datos especialmente protegidos
Ejemplos de datos de carácter personal son las direcciones postales, las cuentas de
correo electrónico, el DNI, las altas y bajas médicas, la información financiera y
fiscal o la afiliación política.
Los datos relativos a una persona jurídica (domicilio, denominación social, CIF, etc.)
no tienen la consideración de datos de carácter personal, por lo tanto, no le será
de aplicación el Reglamento de Protección de Datos.
4. Alejandro Silva SAD 2º ASIR
Página 3 de 10
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es
la de España? Indica, además, todos sus datos postales y de
contacto.
Las APD son entidades privadas e independientes, que ofrecen el asesoramiento
necesario para mejorar nuestros conocimientos en el ámbito de la protección de
datos.
3. Escribe una breve introducción sobre qué es el REGLAMENTO
GENERAL DE PROTECCIÓN DE DATOS y qué es lo que
regula. Escribe, además, algún ejemplo que indique cuándo debe
ser aplicado y cuándo no.
Es el reglamento europeo relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y a la libre circulación de estos
datos, regula todos los datos de las personas europeas, aplicándolo solo dentro del
territorio europeo.
Ejemplo aplicable:
En una página web, por ejemplo de una institución europea, en la que las personas
europeas deban registrarse, en este caso se aplicaría la ley de protección de datos
para ellos.
Ejemplo no aplicable:
En el caso de tener una página web de un negocio que interactúa, con personas no
europeas, no haría falta aplicar la ley de protección de datos.
5. Alejandro Silva SAD 2º ASIR
Página 4 de 10
4. Explica las principales novedades de la nueva Ley Orgánica de
Protección de Datos y garantía de los derechos digitales: ¿desde
cuándo está activa? ¿Qué regula? ¿Nuevos deberes, derechos,
obligaciones?
Se reconoce el derecho de los usuarios a la neutralidad y al acceso universal
a Internet, es decir, que todos tienen derecho a acceder a internet sin ningún tipo
de excepción. Además, los proveedores de servicios deberán ofertar los mismos
de la manera más transparente posible.
También se reconoce al derecho a la seguridad digital de las comunicaciones
que transmitan y reciban a través de internet.
Derecho a la educación digital, es decir, que el sistema educativo garantizará la
plena inserción del alumnado en la sociedad digital, así como el aprendizaje de
los medios digitales de una manera segura y respetuosa.
Se hace un especial énfasis en cuanto a la protección de los menores de edad en
el entorno de la Red, los padres, madres, tutores o representantes legales estarán
obligados a que los menores hagan un uso responsable de los dispositivos
digitales, para evitar cualquier tipo de obstáculo en su desarrollo y crecimiento.
Se reconoce el derecho de rectificación en internet, se determina el derecho de
todos a la libertad de expresión en internet.
Regulación del tratamiento de datos de las personas fallecidas y de los derechos
que asisten a sus allegados.
¿Desde cuándo está activa? 5 de diciembre de 2018
¿Qué regula? Regula la protección del tratamiento de datos personales, las
libertades y los derechos fundamentales de las personas físicas.
¿Nuevos deberes, derechos, obligaciones? Tanto las personas físicas, como las
empresas privadas, como las empresas del sector público deben acatar estas
nuevas leyes para asegurar en todo lo posible la protección de datos.
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la
hora de proteger tus datos personales?
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter
personal (anterior normativa), los derechos reconocidos eran los famosos
DERECHOS ARCO:
Acceso
Rectificación
6. Alejandro Silva SAD 2º ASIR
Página 5 de 10
Oposición
Cancelación
Normativa RGPD: En el RGPD se incluyen los derechos especificados en el punto
anterior e incluye los siguientes derechos:
A la transparencia de la información
De supresión (derecho al olvido)
Limitación,
De portabilidad.
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el
sector privado?
Las organizaciones quedan obligadas a informar a los ciudadanos de forma clara y
sencilla sobre los aspectos más importantes del tratamiento de sus datos.
Designación de un Delegado de Protección de Datos y comunicación de la
designación a la Agencia Española de Protección de Datos.
El Delegado de Protección de Datos debe recibir las reclamaciones que le dirijan los
ciudadanos, cuando opten por esta vía.
La organización debe recabar el consentimiento del menor cuando este tenga al menos
14 años; y el de los padres o sus representantes legales en el caso de que sea menor
de 14 años.
Las entidades que vayan a realizar una campaña publicitaria deben consultar con
carácter previo las “listas Robinson” para evitar el envío de publicidad a todos los
ciudadanos que se hayan registrado en ellas.
La Ley Orgánica garantiza el derecho a la intimidad de los empleados.
La Ley permite utilizar los datos personales de contacto de las personas que prestan
servicios en una entidad
La Ley recoge los sistemas de denuncia interna, incluso anónima, como mecanismo
para que los integrantes de una organización puedan poner en su conocimiento, la
comisión de infracciones en su seno que pudieran resultar contrarias a la
normativa general o sectorial que le fuera aplicable.
Los ciudadanos podrán ser incluidos en los sistemas de información de solvencia
crediticia cuando mantengan una deuda de más de 50 euros con algún prestador
de servicios.
Solo podrán captarse imágenes de la vía pública cuando resulte imprescindible para
preservar la seguridad de las personas y los bienes, así como de sus instalaciones.
7. Alejandro Silva SAD 2º ASIR
Página 6 de 10
Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo
cuando tuvieran que conservarse para acreditar la comisión de actos que atenten
contra la integridad de personas, bienes o instalaciones.
El deber de información en el caso de video vigilancia se cumplirá colocando un
dispositivo informativo en un lugar suficientemente visible.
La Ley establece que se presumirán lícitos los tratamientos de datos, incluida su
comunicación con carácter previo.
El responsable del tratamiento, cuando proceda a la rectificación o supresión de los
datos, está obligado a bloquearlos.
Las autoridades públicas, (CERT), (CSIRT), los proveedores de redes y servicios de
comunicaciones electrónicas y los proveedores de tecnologías y servicios de
seguridad pueden tratar los datos personales contenidos en las notificaciones de
incidentes de seguridad exclusivamente durante el tiempo y alcance necesarios
para su análisis, detección, protección y respuesta
Los contratos de encargo de tratamiento de datos personales entre las organizaciones
(como responsables) y terceros (como encargados de tratamiento) suscritos antes
del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de
mayo de 2022.
Amplía las finalidades para las que se puede otorgar el consentimiento al tratamiento,
recoge la posibilidad de reutilizar la información sobre la que se ya se haya
prestado consentimiento con anterioridad, recoge el uso de datos
pseudonimizados como una opción para facilitar la investigación sanitaria
incluyendo garantías para evitar la reidentificación de los afectados, regula las
garantías de este tratamiento, incluyendo la intervención de los Comités de Ética
de la Investigación o, en su defecto, del Delegado de Protección de Datos o de un
experto en protección de datos personales.
Se recoge como práctica agresiva en la Ley de Competencia Desleal la suplantación
de identidad de la Agencia Española de Protección de Datos o de sus funciones y
el asesoramiento conocido como “adaptación al Reglamento con coste 0”, a fin de
limitar los asesoramientos ofrecidos por empresas con servicios de ínfima calidad.
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para
el sector público?
Los órganos y organismos del Sector Público quedan obligados a publicar en su
página web el inventario de las actividades de tratamiento de datos personales que
realizan, identificando quién trata los datos, con qué finalidad y qué base jurídica
legitima ese tratamiento.
8. Alejandro Silva SAD 2º ASIR
Página 7 de 10
Los órganos y organismos del Sector Público quedan obligados a incluir en su página
web información clara y precisa destinada a los administrados sobre el ejercicio
de los derechos de acceso, rectificación, supresión, derecho a la limitación del
tratamiento, así como a la portabilidad y oposición.
8. Explica y especifica los enlaces a todos los formularios de la AGPD
para poder ejercer tus derechos con respecto al tratamiento de tus
datos de carácter personal.
Derecho de acceso
Tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o
no tus datos de carácter personal
https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf
Derecho de rectificación
Podrás obtener la rectificación de tus datos personales que sean inexactos sin dilación
indebida del responsable del tratamiento.
https://www.aepd.es/media/formularios/formulario-derecho-de-rectificacion.pdf
Derecho a la limitación del tratamiento
Consiste en que obtengas la limitación del tratamiento de tus datos que realiza el
responsable.
https://www.aepd.es/media/formularios/formulario-derecho-de-limitacion.pdf
Derecho de supresión ("al olvido")
Podrás ejercitar este derecho ante el responsable solicitando la supresión de sus datos
de carácter personal.
https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf
Derecho a la portabilidad
La finalidad de este nuevo derecho es reforzar aún más el control de tus datos
personales.
https://www.aepd.es/media/formularios/formulario-derecho-de-portabilidad.pdf
Derecho de oposición
Supone que te puedes oponer a que el responsable realice un tratamiento de los datos
personales.
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf
9. Alejandro Silva SAD 2º ASIR
Página 8 de 10
Derecho a no ser objeto de decisiones individuales automatizadas
Este derecho pretende garantizar que no seas objeto de una decisión basada
únicamente en el tratamiento de tus datos.
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion-
decisiones-automatizadas.pdf
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE
SEGURIDAD
9. Indica qué son y de qué se encargan los siguientes organismos
españoles relacionados con la seguridad de la información:
a. CCN-CERT (https://www.ccn-cert.cni.es )
Encargado de contribuir a la ciberseguridad de la administración pública, los
organismos públicos y empresas estratégicas del país.
b. INTECO-CERT (http://cert.inteco.es )
Es una sociedad que se encarga de consolidar el desarrollo de la ciberseguridad y de
la confianza digital tanto a ciudadanos como a redes académicas y de investigación,
profesionales y empresas.
c. IRIS-CERT (https://www.rediris.es/cert )
Es la red académica y de investigación española que proporciona servicios
avanzados de comunicación a la comunidad científica y universidades nacionales.
d. ¿Por qué todos se llaman CERT?
Es el acrónimo de Computer Emergency Response Team, es un grupo de expertos
que maneja incidentes de seguridad informática.
10. Explica qué son la Familia de Normas ISO 27000. Además, añade
una tabla en la que expliques brevemente todas las normas
ISO/IEC 27000 a ISO/IEC 27007.
La Familia de Normas ISO 27000 es una parte de las normas de estándares de ISO
que se encargan del apartado de la gestión de la seguridad de la información
ISO 27001
Son las normas y objetivos que las empresas deben acatar para desarrollar la norma
ISO 27001.
10. Alejandro Silva SAD 2º ASIR
Página 9 de 10
ISO 27002
Es un manual de buenas prácticas en la que se describen los objetivos de control y las
evaluaciones recomendables en cuanto a la seguridad de la información.
ISO 27003
Es un manual para implementar un Sistema de Gestión de Seguridad de la
Información y todos los requerimientos de sus diferentes fases.
ISO 27004
En este estándar se especifican las técnicas de medida y las métricas que son
aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad
de la Información y los controles relacionados.
ISO 27005
Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la
Seguridad de la Información.
ISO 27006
Este estándar específica todos los requisitos para lograr la acreditación de las
entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la
Información.
ISO 27007
Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información.
Bibliografía
Legislación sobre la protección de datos de la UNIÓN EUROPEA:
https://ec.europa.eu/info/law/law-topic/data-protection_es
Listado de autoridades para la protección de datos europeas:
https://ec.europa.eu/justice/article-29/structure/data-protection-
thorities/index_en.htm
Normas ISO: https://www.isotools.org/2015/01/21/familia-normas-iso-27000/
Más sobre las normas ISO: http://www.iso27000.es/iso27000.html
Novedades sobre la nueva Ley Orgánica de Protección de Datos y garantía de los
derechos digitales: https://www.aepd.es/blog/2019-01-30.html
Agencia española de protección de datos: https://www.aepd.es
Ejerce tus derechos: https://www.aepd.es/reglamento/derechos/index.html