SlideShare una empresa de Scribd logo

Legislación sobre seguridad y protección de datos

A
AntonioOrtigosa4

Legislación sobre seguridad y protección de datos

Educación
1 de 28
Descargar para leer sin conexión
1
2 1. [Pagina 5] Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos que creas convenientes e indica, además, algún ejemplo de dato que no sea considerado de carácter personal. 2. [Pagina 6] ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España? Indica, además, todos sus datos postales y de contacto. 3. [Pagina 7] Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que indique cuándo debe ser aplicado y cuándo no. 4. [Pagina 8] Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula? ¿nuevos deberes, derechos, obligaciones? 5. [Paginas 9-13] De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus datos personales? 6. [Paginas 14-18] De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado? 7. [Paginas 19-22] De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público? 8. [Pagina 23] Explica y especifica los enlaces a todos los formularios de la AEPD para poder ejercer tus derechos con respecto al tratamiento de tus datos de carácter personal. ÍNDICE PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y NUEVA LOPD
3 9. [Paginas 24-26] Indica qué son y de qué se encargan los siguientes organismos españoles relacionados con la seguridad de la información: a. CCN-CERT (https://www.ccn-cert.cni.es) b. INTECO-CERT (http://cert.inteco.es) c. IRIS-CERT (https://www.rediris.es/cert) ¿por qué todos se llaman CERT? 10. [Paginas 27-28] Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007. Este documento solo tiene fines educativos e informativos. Reconozco la autoría original de los textos por sus legítimos dueños, en el material recopilado del presente documento. Por ello, enumero cada uno de los enlaces usados para este documento a modo de agradecimiento. Toda la información que contiene, pertenece a los textos recogidos en los siguientes enlaces, además de aquellos links proporcionados por los enunciados de la práctica. ¿Qué es un dato personal? https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_es ¿Qué es una autoridad de protección de datos? https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-are-data-protection- authorities-dpas_es ÍNDICE SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD BIBLIOGRAFÍA
4 Autoridades de protección de datos https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm ¿Qué rige el RGPD? https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data- protection-regulation-gdpr-govern_es Reglamento General de Protección de Datos https://es.wikipedia.org/wiki/Reglamento_General_de_Protección_de_Datos ¿Conoces las novedades de la nueva Ley Orgánica de Protección de Datos? https://www.aepd.es/blog/2019-01-30.html Ejerce tus derechos https://www.aepd.es/reglamento/derechos/index.html Novedades de la LOPD para el sector privado https://www.aepd.es/media/docs/novedades-lopd-sector-privado.pdf Nuevas obligaciones para el sector público https://www.aepd.es/media/docs/novedades-lopd-sector-publico.pdf Equipo de Respuesta ante Emergencias Informáticas https://es.wikipedia.org/wiki/Equipo_de_Respuesta_ante_Emergencias_Informáticas ISO/IEC 27000-series https://es.wikipedia.org/wiki/ISO/IEC_27000-series ISO/IEC 27000 https://es.wikipedia.org/wiki/ISO/IEC_27000
5 ¿Qué es un dato de carácter personal? Son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal. Se clasifican en: − Los datos personales que hayan sido anonimizados, cifrados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona, siguen siendo datos personales y se inscriben en el ámbito de aplicación del RGPD. − Los datos personales que hayan sido anonimizados, de forma que la persona no sea identificable o deje de serlo, dejarán de considerarse datos personales. Para que los datos se consideren verdaderamente anónimos, la anonimización debe ser irreversible. El RGPD protege los datos personales independientemente de la tecnología utilizada para su tratamiento; es «tecnológicamente neutro» y se aplica tanto al tratamiento automatizado como manual, siempre que los datos se organicen con arreglo a criterios predeterminados (como el orden alfabético). Asimismo, no importa cómo se conservan los datos; ya sea en un sistema informático, a través de videovigilancia o sobre papel; en todos estos casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD. Ejemplos de datos personales − Nombre y apellidos. − Domicilio. − Dirección de correo electrónico, del tipo nombre.apellido@empresa.com. − Número de documento nacional de identidad. − Datos de localización (como los datos de localización de un teléfono móvil). − Dirección de protocolo de internet (IP). − El identificador de una cookie. − El identificador de la publicidad del teléfono. − Los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona. Ejemplos de datos no considerados personales − Número de registro mercantil. − Dirección de correo electrónico, del tipo info@empresa.com. − Datos anonimizados.
6 ¿Qué son las autoridades de protección de datos? Las APD son autoridades públicas independientes que supervisan, mediante los poderes de investigación y correctivos, la aplicación de la legislación sobre protección de datos. Estas ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento general de protección de datos y las legislaciones nacionales pertinentes. Existe una en cada Estado miembro de la UE. Generalmente, el principal punto de contacto para formular preguntas sobre protección de datos es la APD del Estado miembro de la UE en el que su empresa/organización tenga su sede. Sin embargo, si su empresa/organización trata datos en distintos Estados miembros de la UE, o forma parte de un grupo de empresas establecidas en distintos Estados miembros de la UE, su principal punto de contacto puede ser una APD de otro Estado miembro de la UE. Autoridad de protección de datos en España La autoridad pública en España que supervisa la aplicación de la legislación sobre protección de datos, es la Agencia de Protección de Datos. Su domicilio es: C/Jorge Juan, 6 28001 Madrid Tel. +34 91399 6200 Fax +34 91455 5699 Y sus datos de contacto, son: e-mail: internacional@agpd.es Website: https://www.agpd.es/ Las máximas autoridades del ADP en España, son: Art 29 WP Member: Ms María del Mar España Martí, Director of the Spanish Data Protection Agency Art 29 WP Alternate Member: Mr Rafael GARCIA GOZALO
7 Reglamento general de protección de datos Es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones han debido ir adaptándose para su cumplimiento. Regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea (UE). Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros. No se aplica al tratamiento de datos personales de personas fallecidas o jurídicas. Las normas no se aplican a los datos que trate una persona por motivos exclusivamente personales o en el marco de una actividad doméstica, siempre que no guarden relación con ninguna actividad profesional o comercial. Cuando una persona utilice los datos personales fuera de la «esfera personal», por ejemplo, para actividades socioculturales o financieras, dicha persona deberá respetar el Reglamento en materia de protección de datos. En España, el RGPD dejó obsoleta la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999, siendo sustituida el 6 de diciembre de 2018 por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, acorde con el RGPD. Ejemplos en su aplicación ¿Cuándo se aplica el Reglamento? Una correduría de seguros establecida en un país de la UE que trata datos personales de personas físicas. ¿Cuándo no se aplica el Reglamento? Una persona utiliza su propia libreta de direcciones para invitar por correo electrónico a amigos a su cumpleaños (excepción doméstica).
8 Ley Orgánica de Protección de Datos y garantía de los derechos digitales ¿desde cuándo está activa? El pasado 5 de diciembre entró en vigor la Ley Orgánica de Protección de Datos y garantía de los derechos digitales. ¿qué regula? Esta ley incorpora nuevos aspectos que afectan no sólo a ciudadanos, sino a los sectores público y privado. Los ciudadanos deben familiarizarse con nuevos derechos, como el de portabilidad o a la limitación del tratamiento. Por otra parte, deben ser conscientes de que podrán ser incluidos en los sistemas de información de solvencia crediticia -también conocidos como ficheros de morosidad- cuando mantengan una deuda de más de 50 euros con algún prestador de servicios, ya que la ley anterior no establecía una cuantía mínima. También se introducen novedades en relación con las personas fallecidas, permitiendo que una persona vinculada al fallecido pueda solicitar el acceso, rectificación o supresión de los datos de la persona fallecida, salvo que ésta lo hubiese prohibido expresamente en vida o así lo establezca la ley. Asimismo, la ley introduce cambios para el sector privado. Por ejemplo, obliga a designar a un Delegado de Protección de Datos a las organizaciones cuyas actividades principales consistan en tratamientos que requieran una observación habitual y sistemática de los ciudadanos a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, o datos relativos a condenas e infracciones penales. El documento sobre novedades para el sector privado también recoge aspectos que deben ser tenidos en cuenta en relación con el tratamiento de datos de menores de edad, los llamados ficheros de morosos o la videovigilancia. ¿nuevos deberes, derechos, obligaciones? Entre las nuevas responsabilidades que impone la nueva ley a los órganos y organismos del sector público se encuentran la publicación del Registro de actividades de tratamiento o la designación de un Delegado de Protección de Datos, así como la comunicación de dicha designación a la Agencia Española de Protección de Datos.
9 ¿Cuáles son tus derechos a la hora de proteger tus datos personales? Derecho de acceso El derecho de acceso es tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información: − Una copia de tus datos personales que son objeto del tratamiento − Los fines del tratamiento − Las categorías de datos personales que se traten − Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales − El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo − La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos personales u oponerse a ese tratamiento − El derecho a presentar una reclamación ante una Autoridad de Control − Cuando los datos personales no se hayan obtenido directamente de ti, cualquier información disponible sobre su origen − La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos en tales casos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado − Cuando se transfieran datos personales a un tercer país o a una organización internacional, tienes derecho a ser informado de las garantías adecuadas en las que se realizan las transferencias Derecho de rectificación El ejercicio de este derecho supone que podrás obtener la rectificación de tus datos personales que sean inexactos sin dilación indebida del responsable del tratamiento. Teniendo en cuenta los fines del tratamiento, tienes derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. En tu solicitud deberás indicar a qué datos te refieres y la corrección que hay que realizar. Además, cuando sea necesario, deberás acompañar tu solicitud de la documentación que justifique la inexactitud o el carácter incompleto de tus datos. Derecho de oposición Este derecho, como su nombre indica, supone que te puedes oponer a que el responsable realice un tratamiento de los datos personales en los siguientes supuestos:
10 Cuando sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles: − El responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. Cuando el tratamiento tenga como finalidad la mercadotecnia directa, incluida también la elaboración de perfiles anteriormente citada: − Ejercitado este derecho para esta finalidad, los datos personales dejarán de ser tratados para dichos fines. Derecho de supresión ("al olvido") Podrás ejercitar este derecho ante el responsable solicitando la supresión de sus datos de carácter personal cuando concurra alguna de las siguientes circunstancias: − Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo. − Si el tratamiento de tus datos personales se ha basado en el consentimiento que prestaste al responsable, y retiras el mismo, siempre que el citado tratamiento no se base en otra causa que lo legitime. − Si te has opuesto al tratamiento de tus datos personales al ejercitar el derecho de oposición en las siguientes circunstancias o El tratamiento del responsable se fundamentaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos. o A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles relacionada con la citada mercadotecnia. − Si tus datos personales han sido tratados ilícitamente. − Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento. − Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información). Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés
11 público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones. Derecho a la limitación del tratamiento Este nuevo derecho consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes: Puedes solicitar la suspensión del tratamiento de tus datos: − Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación. − Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos. Solicitar al responsable la conservación tus datos: − Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso. − Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones. Derecho a la portabilidad La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato. No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable. Derecho a no ser objeto de decisiones individuales automatizadas Este derecho pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar. Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo, situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento. No obstante, este derecho no será aplicable cuando:
12 − Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable. − El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente. No obstante, en estos dos primeros supuestos, el responsable deber garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión. − Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado. A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior. Derecho de información Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información. Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que: − Se te facilite una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan tus datos personales. − Que se te remita el resto de la información, en un medio más adecuado para su presentación, compresión y, si se desea, archivo. La información a facilitar por capas o niveles sería la siguiente: 1.ª Capa: Información básica (resumida) − La identidad del responsable del tratamiento. − Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese. − La base jurídica del tratamiento. − Previsión o no de cesiones. Previsión o no de transferencias a terceros países. − Referencia al ejercicio de derechos. 2.ª Capa: Información adicional (detallada) − Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese). − Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada. − Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo. − Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables. − Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.
13 Datos no obtenidos directamente de ti En el supuesto en que tus datos personales no hayan sido obtenidos directamente de ti, se te facilitará, además de la información indicada anteriormente: En la información básica (1ª capa, resumida): − la fuente (procedencia) de los datos. Y en la información adicional (2ª capa, detallada): − la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público. − la categoría de datos que se traten. Esta información se te facilitará dentro de un plazo razonable, y más tardar en un mes, salvo que: − Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado. − Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez. Características comunes de todos estos derechos: − Su ejercicio es gratuito. − Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá: o Cobrar un canon proporcional a los costes administrativos soportados. o Negarse a actuar. − Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más. − El responsable está obligado a informarte sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. − Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo. − Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control. − Puedes ejercer los derechos directamente o por medio de tu representante legal o voluntario. − Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule.
14 ¿Qué supone esta ley para el sector privado? 1. Obligación de información a los ciudadanos sobre el tratamiento de sus datos y sobre el ejercicio de sus derechos. Las organizaciones quedan obligadas a informar a los ciudadanos de forma clara y sencilla sobre los aspectos más importantes del tratamiento de sus datos, identificando quién trata los datos, con qué base jurídica para qué finalidad, y sobre la forma de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y decisiones automatizadas, incluida la elaboración de perfiles. Las organizaciones no podrán denegar el ejercicio de estos derechos en el caso de que el ciudadano quiera ejercitarlos de un modo diferente al que se le ofrezca. Las organizaciones que traten datos de carácter básico pueden utilizar la herramienta gratuita FACILITA para su adaptación al Reglamento General de Protección de Datos. 2. Designación de un Delegado de Protección de Datos (DPD) y comunicación de la designación a la Agencia Española de Protección de Datos (AEPD). La Ley obliga a las organizaciones cuyas actividades principales consistan en tratamientos que requieran una observación habitual y sistemática de los ciudadanos a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, o datos relativos a condenas e infracciones penales a designar un Delegado de Protección de Datos que cuente con la debida cualificación, a garantizarle los medios necesarios para el ejercicio de sus funciones y a notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos. En el resto de los supuestos, la designación de un Delegado de Protección de Datos será voluntaria. El Delegado de Protección de Datos no tiene responsabilidad a título personal, por este mero hecho, por las posibles infracciones en materia de protección de datos cometidas por su organización. 3. Intervención del Delegado de Protección de Datos en la resolución de reclamaciones. El Delegado de Protección de Datos debe recibir las reclamaciones que le dirijan los ciudadanos, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al particular en el plazo máximo de dos meses. Asimismo, el Delegado deberá recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador y comunicar la decisión adoptada a la AEPD en el plazo máximo de un mes. Si el Delegado de Protección de Datos consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente de declaración de infracción a esa Administración Pública.
15 4. Las bases jurídicas que legitiman el tratamiento de datos personales de los ciudadanos por parte de las organizaciones. El Reglamento General de Protección de Datos y la Ley Orgánica recogen varias bases jurídicas legitimadoras del tratamiento de datos personales por parte de las organizaciones privadas: relación contractual previa que contemple el tratamiento, consentimiento del ciudadano o interés legítimo que prevalezca sobre los derechos de las personas, entre otras. Por tanto, en la actualidad, no resulta necesario que el particular consienta el tratamiento de sus datos personales si existe otra base jurídica que legitime el tratamiento. En los casos en los que el consentimiento del ciudadano sea preciso por no existir otra base legitimadora, la Ley establece que debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que una persona acepta el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Se excluye el consentimiento tácito o por omisión. Además, cuando se pretenda que el consentimiento del ciudadano legitime un tratamiento para una variedad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas. No podrá denegarse un contrato o la prestación de un servicio por el hecho de que la persona no consienta el tratamiento de sus datos personales para finalidades que no guarden relación con ese contrato o con la prestación de ese servicio. 5. Tratamiento de datos de menores de edad. En el caso de datos personales de menores, cuando el tratamiento de datos esté legitimado por el consentimiento, la organización debe recabar el consentimiento del menor cuando este tenga al menos 14 años; y el de los padres o sus representantes legales en el caso de que sea menor de 14 años. 6. Limitación de la actividad publicitaria: las “listas Robinson”. Las entidades que vayan a realizar una campaña publicitaria deben consultar con carácter previo las “listas Robinson” para evitar el envío de publicidad a todos los ciudadanos que se hayan registrado en ellas. No será preciso realizar esta consulta en el caso de los ciudadanos que hayan dado su consentimiento para recibir publicidad de una entidad, tanto si lo dieron antes como si lo hicieron después de registrarse en dicha lista. 7. Derechos de los empleados: mayor intimidad. La Ley Orgánica garantiza el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de los que deberán ser informados de forma expresa, clara e inequívoca.
16 8. Datos de contacto profesionales: legitimación de su tratamiento. La Ley permite utilizar los datos personales de contacto de las personas que prestan servicios en una entidad, así como de los profesionales (abogados, médicos, etc.) y de los empresarios individuales, siempre que se traten con la finalidad de mantener contacto con la entidad en la que prestan sus servicios o de establecer contacto con fines profesionales o empresariales. 9. Sistemas de denuncias internas: exención de responsabilidad penal de las organizaciones. La Ley recoge los sistemas de denuncia interna, incluso anónima, como mecanismo para que los integrantes de una organización puedan poner en su conocimiento, la comisión de infracciones en su seno que pudieran resultar contrarias a la normativa general o sectorial que le fuera aplicable. 10. Inclusión en sistemas de información de solvencia crediticia (“ficheros de morosos”). Los ciudadanos podrán ser incluidos en los sistemas de información de solvencia crediticia cuando mantengan una deuda de más de 50 euros con algún prestador de servicios (la ley anterior no establecía ninguna cuantía mínima). Los ciudadanos no podrán mantenerse registrados en estos sistemas más de 5 años, contados desde la fecha de vencimiento de la obligación de pago (la ley anterior establecía un plazo de 6 años). La Ley establece que se podrán consultar estos sistemas de información: − cuando quien consulte tenga una relación contractual con la persona y esta relación implique el abono de una cuantía concreta. − cuando la persona hubiera solicitado financiación, pago aplazado o facturación periódica. Si como consecuencia de la consulta realizada se denegase la solicitud de celebración del contrato o este no llegara a celebrarse, quien haya consultado deberá informar al afectado del resultado de la consulta. 11. Novedades sobre videovigilancia. − Captación de la vía pública: Sólo podrán captarse imágenes de la vía pública cuando resulte imprescindible para preservar la seguridad de las personas y los bienes, así como de sus instalaciones. No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado. − Supresión de los datos: Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando tuvieran que conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal
17 caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación. − Deber de información: El deber de información en el caso de videovigilancia se cumplirá colocando un dispositivo informativo en un lugar suficientemente visible que identifique, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. 12. Operaciones mercantiles. La Ley establece que se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo. 13. La obligación de bloqueo de los datos personales tras el ejercicio de los derechos de rectificación o supresión. El responsable del tratamiento, cuando proceda a la rectificación o supresión de los datos, está obligado a bloquearlos; es decir, a identificarlos y reservarlos mediante técnicas que impidan su tratamiento, visualización incluida. Cuando el bloqueo de esos datos no fuese técnicamente posible o resultara antieconómico, se procederá a un copiado seguro de la información para que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la información, la fecha del bloqueo y la no manipulación de los datos. El bloqueo de los datos personales sólo permitirá su puesta a disposición de jueces y tribunales, Ministerio Fiscal o Administraciones públicas competentes (como la AEPD), para la exigencia de eventuales responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo, deberá procederse a la destrucción de los datos. 14. Tratamiento de datos personales en la notificación de incidentes de seguridad. Las autoridades públicas, los equipos de respuesta a emergencias informáticas (CERT), los equipos de respuesta a incidentes de seguridad informática (CSIRT), los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de seguridad pueden tratar los datos personales contenidos en las notificaciones de incidentes de seguridad exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta, adoptando siempre las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo.
18 15. Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos personales. Los contratos de encargo de tratamiento de datos personales entre las organizaciones (como responsables) y terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022. 16. Tratamiento de datos personales en investigación sanitaria. La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en salud: − amplía las finalidades para las que se puede otorgar el consentimiento al tratamiento. − recoge la posibilidad de reutilizar la información sobre la que se ya se haya prestado consentimiento con anterioridad. − recoge el uso de datos pseudonimizados como una opción para facilitar la investigación sanitaria incluyendo garantías para evitar la reidentificación de los afectados. − regula las garantías de este tratamiento, incluyendo la intervención de los Comités de Ética de la Investigación o, en su defecto, del Delegado de Protección de Datos o de un experto en protección de datos personales. 17. Modificación de la Ley 3/1991, de 10 de enero, de Competencia Desleal: prácticas agresivas. Se recoge como práctica agresiva en la Ley de Competencia Desleal la suplantación de identidad de la Agencia Española de Protección de Datos o de sus funciones y el asesoramiento conocido como “adaptación al Reglamento con coste 0”, a fin de limitar los asesoramientos ofrecidos por empresas con servicios de ínfima calidad.
19 ¿Cuáles son las obligaciones para el sector público? 1. Publicación del Registro de actividades de tratamiento del órgano u organismo del Sector Público. Los órganos y organismos del Sector Público quedan obligados a publicar en su página web el inventario de las actividades de tratamiento de datos personales que realizan, identificando quién trata los datos, con qué finalidad y qué base jurídica legitima ese tratamiento. 2. Obligación de información a los ciudadanos sobre el ejercicio de sus derechos. Los órganos y organismos del Sector Público quedan obligados a incluir en su página web información clara y precisa destinada a los administrados sobre el ejercicio de los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición. 3. Potestad de verificación de los datos personales de los ciudadanos. Los órganos y organismos del Sector Público pueden verificar, sin necesidad de solicitar consentimiento del interesado, la exactitud de los datos personales manifestados por los ciudadanos que obren en poder de los órganos y organismos del Sector Público. 4. Nueva regulación de la aportación de documentación por parte de los ciudadanos: modificación del artículo 28 de la Ley 39/2015. Ya la ley 30/1992 reconocía a los administrados el derecho a no aportar a los procedimientos administrativos los documentos que obrasen en poder de la Administración, o que hubiesen sido elaborados por ésta. La base jurídica del tratamiento de los datos personales por la Administración era el consentimiento del administrado, que se entendía tácitamente concedido si el interesado no se oponía expresamente. Tanto el Reglamento General de Protección de Datos como la nueva Ley Orgánica eliminan la necesidad de recabar el consentimiento, ni siquiera tácito, del ciudadano, al establecer como base jurídica legitimadora principal del tratamiento de datos personales por órganos y organismos del Sector Público el cumplimiento de una misión en interés público o, particularmente, el ejercicio de poderes públicos. Asimismo, la nueva redacción otorgada por la Ley Orgánica al artículo 28 de la Ley 39/2015 reconoce al interesado la posibilidad de oponerse a que órganos y organismos del Sector Público consulten o recaben los citados documentos, pero en ese caso el administrado deberá aportarlos necesariamente para que la Administración pueda conocer que concurren en él los requisitos establecidos por la norma. En caso contrario no podrán estimar su solicitud, precisamente porque no habría demostrado los requisitos requeridos. En todo caso, dicho derecho de oposición no juega en los casos de potestades de verificación o inspección.
20 5. Notificación de actos administrativos: identificación de los ciudadanos. La nueva Ley impide el uso conjunto apellidos, nombre y número completo del documento de identificación oficial de las personas en aquellos actos administrativos que vayan a ser objeto de publicación o notificación por medio de anuncios. A partir de la entrada en vigor de la Ley Orgánica: − Cuando un acto administrativo se deba publicar se identificará a la persona mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias de su documento identificativo oficial. − Cuando se trate de notificaciones por medio de anuncios se identificará a la persona exclusivamente con el número de su documento identificativo. En ambos casos, cuando la persona carezca de documento identificativo se la identificará sólo mediante su nombre y apellidos. 6. Comunicación de datos personales de los administrados a sujetos privados. Los órganos y organismos del Sector Público pueden comunicar los datos personales de los administrados a sujetos de derecho privado que lo soliciten: − O bien cuando cuenten con el consentimiento de los administrados. − O bien, cuando aprecien que concurre en el sujeto privado solicitante un interés legítimo que prevalezca sobre los derechos e intereses de los administrados concernidos. 7. Designación de un Delegado de Protección de Datos (DPD) y comunicación de la designación a la AEPD. Los órganos y organismos del Sector Público tienen obligación de designar un Delegado de Protección de Datos que cuente con la debida cualificación, de garantizarle los medios necesarios para el ejercicio de sus funciones y de notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos. El Delegado de Protección de Datos no tiene responsabilidad a título personal, por este mero hecho, por las posibles infracciones en materia de protección de datos cometidas por su organización. 8. Intervención del Delegado de Protección de Datos en la resolución de reclamaciones en el Sector Público. El Delegado de Protección de Datos del órgano u organismo del Sector Público debe recibir las reclamaciones que les dirijan los administrados, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al administrado en el plazo máximo de dos meses. Asimismo, el Delegado de Protección de Datos deberá recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El Delegado
21 debe comunicar la decisión adoptada al administrado y a la AEPD en el plazo máximo de un mes. De esta forma, con carácter general, si el Delegado de Protección de Datos consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente de declaración de infracción a esa Administración Pública. 9. Mayor transparencia de las sanciones impuestas al Sector Público. Las infracciones cometidas por los órganos y organismos del Sector Público serán sancionadas con un apercibimiento con medidas correctoras y no tendrán sanción económica. La resolución sancionadora de la AEPD identificará el cargo responsable de la infracción, se notificará al infractor, a su superior jerárquico, al Defensor del Pueblo y se publicará en la página web de la AEPD y en el diario oficial correspondiente. La resolución sancionadora podrá proponer al órgano u organismo la iniciación de actuaciones disciplinarias, cuya resolución deberá ser comunicada por el órgano u organismo del Sector Público a la AEPD. Las infracciones sean imputables a autoridades y directivos del Sector Público y se acredite la existencia de informes técnicos o recomendaciones que no hubieran sido atendidos por estos, la resolución sancionadora incluirá una amonestación con la identificación del cargo responsable y se publicará en el diario oficial correspondiente. 10. Tratamiento de datos personales en la notificación de incidentes de seguridad. Las autoridades públicas, los equipos de respuesta a emergencias informáticas (CERT), los equipos de respuesta a incidentes de seguridad informática (CSIRT), los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de seguridad pueden tratar los datos personales contenidos en las notificaciones de incidentes de seguridad exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta, adoptando siempre las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo. 11. Registros de personal del sector público: legitimación del tratamiento. La nueva Ley Orgánica establece que la base legitimadora del tratamiento de datos personales que realizan los registros de personal del sector público es el ejercicio de potestades públicas. Estos registros pueden tratar los datos personales que sean estrictamente necesarios para el cumplimiento de sus fines relativos a infracciones y condenas penales e infracciones y sanciones administrativas, de los que deberán ser informados de manera expresa, clara e inequívoca. 12. Derechos de los empleados públicos: mayor intimidad.
22 La Ley Orgánica garantiza el derecho a la intimidad de los empleados públicos en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización. 13. Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos personales. Los contratos de encargo de tratamiento de datos personales entre los órganos y organismos del Sector Público (como responsables) y otros órganos u organismos del sector público o terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022. 14. Tratamiento de datos personales por concesionarios de servicios públicos. Los órganos y organismos del Sector Público mantendrán el control sobre los datos personales de los usuarios de los servicios públicos aunque haya finalizado la vigencia del contrato de concesión de servicios. En el Sector Público, un concesionario de servicios, encargado del tratamiento de datos personales, no se convierte nunca en responsable aunque establezca relaciones con las personas a cuyos datos ha accedido en virtud de la prestación del servicio. 15. Educación para la digitalización. El Gobierno debe remitir en el plazo de un año desde la entrada en vigor de la Ley Orgánica un proyecto de ley dirigido a garantizar un uso de los medios digitales que sea seguro y adecuado. Las Comunidades Autónomas dispondrán del mismo plazo para incluir en los currículos los contenidos precisos para garantizar la plena inserción del alumnado en la sociedad digital y asegurar una formación adecuada de todo el personal docente. 16. Tratamiento de datos personales en investigación sanitaria. La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en salud: − amplía las finalidades para las que se puede otorgar el consentimiento al tratamiento. − recoge la posibilidad de reutilizar la información sobre la que se ya se haya prestado consentimiento con anterioridad. − recoge el uso de datos pseudonimizados como una opción para facilitar la investigación sanitaria incluyendo garantías para evitar la reidentificación de los afectados. − regula las garantías de este tratamiento, incluyendo la intervención de los Comités de Ética de la Investigación o, en su defecto, del Delegado de Protección de Datos o de un experto en protección de datos personales.
23 Formularios de la AEPD: tus derechos en el tratamiento de tus datos. A continuación, facilito todos los enlaces de los formularios necesarios para ejercer tus derechos en el tratamiento de tus datos personales: Derecho de acceso https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf Derecho de rectificación https://www.aepd.es/media/formularios/formulario-derecho-de-rectificacion.pdf Derecho de oposición https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf Derecho de supresión ("al olvido") https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf Derecho a la limitación del tratamiento https://www.aepd.es/media/formularios/formulario-derecho-de-limitacion.pdf Derecho a la portabilidad https://www.aepd.es/media/formularios/formulario-derecho-de-portabilidad.pdf Derecho a no ser objeto de decisiones individuales automatizadas https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion-decisiones- automatizadas.pdf
24 CCN-CERT El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. INTECO-CERT Son cuatro los pilares fundamentales en los que se apoya INCIBE: − Servicios: promueve servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. En concreto, INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información, y promueve el avance de la cultura de la seguridad de la información a través de la concienciación, la sensibilización y la formación. − Investigación: cuenta con una importante capacidad para abordar proyectos complejos de diversa naturaleza y con una fuerte componente innovadora. INCIBE cuenta también con capacidad para generar inteligencia en ciberseguridad que revierta en la mejora de los servicios. − Promoción y detección de talento: contribuye a que la industria, el sector académico y los profesionales aprovechen la oportunidad de la confianza digital para la innovación, la generación de talento y la investigación avanzada, construyendo un mercado de productos y servicios competitivo y de referencia internacional. − Coordinación: participa en redes nacionales e internacionales de colaboración que facilitan la inmediatez, globalidad y efectividad a la hora de desplegar una actuación en
25 el ámbito de la ciberseguridad, contando siempre con una perspectiva basada en la experiencia y en el intercambio de información. Sus iniciativas se diseñan y desarrollan para satisfacer las necesidades específicas de públicos concretos, como son: − Empresas y profesionales que hacen uso de las TIC: las empresas y organizaciones disponen de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación para aprovechar al máximo las posibilidades de las TIC de forma segura y confiable. Con especial atención, INCIBE destina esfuerzos para la protección de los sectores estratégicos, imprescindibles para la economía y la sociedad, así como a las instituciones afiliadas a RedIRIS. − Expertos en ciberseguridad: a través del equipo especializado en ciberseguridad, INCIBE ofrece servicios de información y respuesta a colectivos y profesionales expertos para mejorar los niveles de ciberseguridad en España. − Ciudadanos: la Oficina de Seguridad del Internauta (OSI) es el servicio gratuito que proporciona información y soporte al usuario final para evitar y resolver los problemas de seguridad que le pueden surgir al navegar por Internet, sobre todo en sus primeros pasos en las nuevas tecnologías. − Menores, jóvenes, familias, educadores y profesionales del ámbito del menor: Internet Segura for Kids (IS4K) es el Centro de Seguridad en Internet para menores de edad en España y tiene por objetivo la promoción del uso seguro y responsable de Internet y las nuevas tecnologías entre los niños y adolescentes. Forma parte de la red paneuropea INSAFE de Centros de Seguridad en Internet y está cofinanciado por la Comisión Europea. Para acometer su labor, INCIBE cuenta con las siguientes capacidades: − Amplio ámbito de actuación en la respuesta a incidentes de seguridad abarcando desde el ciudadano hasta el sector empresarial (especialmente, a sectores estratégicos e infraestructuras críticas) y al ámbito específico de RedIRIS. − Puesta en marcha de iniciativas de colaboración público-privada para la mejora de los niveles de ciberseguridad en España. − Seguimiento y estudio de los riesgos emergentes para poder anticipar necesidades, adoptar medidas preventivas y, en definitiva, disponer de mecanismos de alerta temprana. − Coordinación con actores clave a nivel nacional e internacional en materia de ciberseguridad.
26 IRIS-CERT RedIRIS es la red académica y de investigación española que proporciona servicios avanzados de comunicaciones a la comunidad científica y universitaria nacional. Está financiada por el Ministerio de Ciencia, Innovación y Universidades, e incluida en su mapa de Instalaciones Científico-Técnicas Singulares (ICTS). Se hace cargo de su gestión la entidad pública empresarial Red.es, del Ministerio de Economía y Empresa. RedIRIS cuenta con más de 500 instituciones afiliadas, principalmente universidades y centros públicos de investigación, que llegan a formar parte de esta comunidad mediante la firma de un acuerdo de afiliación. ¿Por qué todos se llaman CERT? Porque todos son un “Equipo de Respuesta ante Emergencias Informáticas” (CERT, del inglés Computer Emergency Response Team). Son centros de respuesta a incidentes de seguridad en tecnologías de la información. Se tratan de grupos de expertos responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Un CERT estudia el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información que ayude a mejorar la seguridad de estos sistemas. El primer CERT fue creado en 1988 en respuesta al incidente del gusano Morris. También se puede utilizar el término CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante Incidencias de Seguridad Informáticas) para referirse al mismo concepto. De hecho el término CSIRT es el que se suele usar en Europa en lugar del término protegido CERT, que está registrado en EEUU por CERT Coordination Center (CERT/CC).
27 Familia de Normas ISO 27000 ISO/IEC 27000 es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series. Es un grupo de estándares internacionales titulados: − Tecnología de la Información − Técnicas de Seguridad − Sistemas de Gestión de la Seguridad de la Información − Visión de conjunto y vocabulario Tiene como fin ayudar a organizaciones de todo tipo y tamaño a implementar y operar un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma ISO/IEC 27000 fue preparada por el Comité Técnico conjunto ISO/IEC JTC 1 Tecnología de la Información, SC 27 Técnicas de Seguridad. ISO/IEC 27000 proporciona: − Una visión general de normas sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). − Una introducción a los Sistemas de Gestión de la Seguridad de la Información (SGSI). − Una breve descripción del proceso para Planificar - Hacer - Verificar - Actuar (Plan - Do - Check - Act, PDCA). − Los términos y las definiciones utilizadas en la familia de normas Sistemas de Gestión de la Seguridad de la Información (SGSI). Esta norma internacional es aplicable a todo tipo de organizaciones desde empresas comerciales hasta organizaciones sin ánimo de lucro.
28 Tabla con las normas ISO/IEC 27000 a ISO/IEC 27007 Norma Contenido Fecha ISO/IEC 27000 Es un vocabulario estándar para el SGSI. Introducción y base para el resto Tercera versión: enero de 2014. Quinta versión: febrero 2018. ISO/IEC 27000:2018 ISO/IEC 27001 Es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos Fue publicada como estándar internacional en octubre de 2005. Revisada en septiembre de 2013 ISO/IEC 27002 Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de buenas prácticas para la gestión de seguridad de la información Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. Última versión: 27002:2013, de setiembre de 2013 ISO/IEC 27003 Son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001 Publicada el 1 de febrero de 2010. No es certificable ISO/IEC 27004 Son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información Publicada el 7 de diciembre de 2009, no se encuentra traducida al español actualmente ISO/IEC 27005 Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3 Publicada en junio de 2008. Revisada en junio de 2011 ISO/IEC 27006 Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021- 1, la norma genérica de acreditación Publicada en 2007 y revisada en diciembre de 2011 y septiembre de 2015 ISO/IEC 27007 Es una guía para auditar al SGSI Publicada en noviembre de 2011

Recomendados

PRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosPRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosFranciscoJavierRedon5
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPDatSistemas
 
Practica Final Seguridad
Practica Final SeguridadPractica Final Seguridad
Practica Final SeguridadMarcosVC1994
 
Tarea 1.3 pecha cucha proteccion
Tarea 1.3 pecha cucha proteccionTarea 1.3 pecha cucha proteccion
Tarea 1.3 pecha cucha proteccionFernando Duarte
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en Españacarlcalde
 
Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoyaEstebanGuerreroMonto
 
LOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasLOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasAlcatraz Solutions
 
Manuel zearoldan
Manuel zearoldanManuel zearoldan
Manuel zearoldanManuelZeaRoldn
 

Recomendados

PRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosPRACTICA Seguridad y protección de datos
PRACTICA Seguridad y protección de datosFranciscoJavierRedon5
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPDatSistemas
 
Practica Final Seguridad
Practica Final SeguridadPractica Final Seguridad
Practica Final SeguridadMarcosVC1994
 
Tarea 1.3 pecha cucha proteccion
Tarea 1.3 pecha cucha proteccionTarea 1.3 pecha cucha proteccion
Tarea 1.3 pecha cucha proteccionFernando Duarte
 
Todo sobre proteccion de datos en España
Todo sobre proteccion de datos en EspañaTodo sobre proteccion de datos en España
Todo sobre proteccion de datos en Españacarlcalde
 
Esteban guerrero montoya
Esteban guerrero montoyaEsteban guerrero montoya
Esteban guerrero montoyaEstebanGuerreroMonto
 
LOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasLOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasAlcatraz Solutions
 
Manuel zearoldan
Manuel zearoldanManuel zearoldan
Manuel zearoldanManuelZeaRoldn
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPDSage España
 
Legislacion davidtorres
Legislacion davidtorresLegislacion davidtorres
Legislacion davidtorresDavidTorres536
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedadescarlos_2009
 
Legislacion
LegislacionLegislacion
LegislacionIIAxmerII
 
Introducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaIntroducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaDiana Vega Hernandez
 
Protección de datos
Protección de datosProtección de datos
Protección de datosluisagonzalez163
 
Conversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDConversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDDiana Vega Hernandez
 
Ley Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDLey Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDRamiro Cid
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterasociacionadia
 
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.Imadeinnova
 
Ley de protección de datos personales
Ley de protección de datos personalesLey de protección de datos personales
Ley de protección de datos personalesJohn Garmac
 
Breves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdBreves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdAnna Forastier
 
Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Anna Forastier
 
Asesoría en Páginas web y Comercio electrónico
Asesoría en Páginas web y Comercio electrónicoAsesoría en Páginas web y Comercio electrónico
Asesoría en Páginas web y Comercio electrónicoJuan Pedro Peña Piñón
 
Ley Organica de Proteccion de Datos
Ley Organica de Proteccion de DatosLey Organica de Proteccion de Datos
Ley Organica de Proteccion de Datosguest95d2d1
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...DCD - Destrucción Confidencial de Documentación S.A.
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datossprewill
 
Resumen LOPD 15/1999
Resumen LOPD 15/1999Resumen LOPD 15/1999
Resumen LOPD 15/1999angelbgcc
 
Curs 1.6. Bases Tècniques Legal Data
Curs 1.6. Bases Tècniques Legal DataCurs 1.6. Bases Tècniques Legal Data
Curs 1.6. Bases Tècniques Legal DataIniciativa Barcelona Open Data
 
Curs 1.6. Bases Tècniques Legal Data (14/02)
Curs 1.6. Bases Tècniques Legal Data (14/02)Curs 1.6. Bases Tècniques Legal Data (14/02)
Curs 1.6. Bases Tècniques Legal Data (14/02)Iniciativa Barcelona Open Data
 
Legislacion Victor Molina
Legislacion Victor MolinaLegislacion Victor Molina
Legislacion Victor MolinaVictorManuelMolinaMo2
 
Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosEduardo Espinosa Pérez
 

Más contenido relacionado

La actualidad más candente

¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPDSage España
 
Legislacion davidtorres
Legislacion davidtorresLegislacion davidtorres
Legislacion davidtorresDavidTorres536
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedadescarlos_2009
 
Introducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaIntroducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaDiana Vega Hernandez
 
Conversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDConversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDDiana Vega Hernandez
 
Ley Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDLey Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDRamiro Cid
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterasociacionadia
 
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.Imadeinnova
 
Ley de protección de datos personales
Ley de protección de datos personalesLey de protección de datos personales
Ley de protección de datos personalesJohn Garmac
 
Breves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdBreves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdAnna Forastier
 
Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Anna Forastier
 
Asesoría en Páginas web y Comercio electrónico
Asesoría en Páginas web y Comercio electrónicoAsesoría en Páginas web y Comercio electrónico
Asesoría en Páginas web y Comercio electrónicoJuan Pedro Peña Piñón
 
Ley Organica de Proteccion de Datos
Ley Organica de Proteccion de DatosLey Organica de Proteccion de Datos
Ley Organica de Proteccion de Datosguest95d2d1
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datossprewill
 
Resumen LOPD 15/1999
Resumen LOPD 15/1999Resumen LOPD 15/1999
Resumen LOPD 15/1999angelbgcc
 

La actualidad más candente (20)

¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD
 
Legislacion davidtorres
Legislacion davidtorresLegislacion davidtorres
Legislacion davidtorres
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedades
 
Legislacion
LegislacionLegislacion
Legislacion
 
Introducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaIntroducción al nuevo RGPD Conversia
Introducción al nuevo RGPD Conversia
 
Protección de datos
Protección de datosProtección de datos
Protección de datos
 
Conversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPDConversia Delegado de Protección de Datos · RGPD
Conversia Delegado de Protección de Datos · RGPD
 
Ley Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDLey Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPD
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
 
Ley de protección de datos personales
Ley de protección de datos personalesLey de protección de datos personales
Ley de protección de datos personales
 
Breves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdBreves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopd
 
Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017
 
Asesoría en Páginas web y Comercio electrónico
Asesoría en Páginas web y Comercio electrónicoAsesoría en Páginas web y Comercio electrónico
Asesoría en Páginas web y Comercio electrónico
 
Ley Organica de Proteccion de Datos
Ley Organica de Proteccion de DatosLey Organica de Proteccion de Datos
Ley Organica de Proteccion de Datos
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
Resumen LOPD 15/1999
Resumen LOPD 15/1999Resumen LOPD 15/1999
Resumen LOPD 15/1999
 
Curs 1.6. Bases Tècniques Legal Data
Curs 1.6. Bases Tècniques Legal DataCurs 1.6. Bases Tècniques Legal Data
Curs 1.6. Bases Tècniques Legal Data
 
Curs 1.6. Bases Tècniques Legal Data (14/02)
Curs 1.6. Bases Tècniques Legal Data (14/02)Curs 1.6. Bases Tècniques Legal Data (14/02)
Curs 1.6. Bases Tècniques Legal Data (14/02)
 

Similar a Legislación sobre seguridad y protección de datos

Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosEduardo Espinosa Pérez
 
Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)JDA SFAI
 
Protección de datos personales: Guía del ciudadanos
Protección de datos personales: Guía del ciudadanosProtección de datos personales: Guía del ciudadanos
Protección de datos personales: Guía del ciudadanosAlfredo Vela Zancada
 
Protección de datos: Guia ciudadano
Protección de datos: Guia ciudadanoProtección de datos: Guia ciudadano
Protección de datos: Guia ciudadanoLUIS VALLEJO APARICIO
 
Guia ciudadano proteccion datos
Guia ciudadano proteccion datosGuia ciudadano proteccion datos
Guia ciudadano proteccion datosSusana Pavón
 
Proteccion de datos guia ciudadano
Proteccion de datos guia ciudadanoProteccion de datos guia ciudadano
Proteccion de datos guia ciudadanoOscar Conesa
 
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Arsys
 
Legislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosLegislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosFranciscoJavier518
 
Presentación ignaciozabala
Presentación ignaciozabalaPresentación ignaciozabala
Presentación ignaciozabalaignaciozabala
 
CLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGAL
CLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGALCLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGAL
CLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGALXimenaOrellana05
 
Lopez salazar jorge alejandro, lopez miguel brayan alejandro
Lopez salazar jorge alejandro, lopez miguel brayan alejandroLopez salazar jorge alejandro, lopez miguel brayan alejandro
Lopez salazar jorge alejandro, lopez miguel brayan alejandroBrayan Lopez Miguel
 

Similar a Legislación sobre seguridad y protección de datos (20)

Legislacion Victor Molina
Legislacion Victor MolinaLegislacion Victor Molina
Legislacion Victor Molina
 
Legislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datosLegislación sobre seguridad y protección de datos
Legislación sobre seguridad y protección de datos
 
RGPD
RGPDRGPD
RGPD
 
Legislacion
LegislacionLegislacion
Legislacion
 
Jose manueljimenezlopez
Jose manueljimenezlopezJose manueljimenezlopez
Jose manueljimenezlopez
 
Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)
 
RGPD (Alejandro Silva)
RGPD (Alejandro Silva)RGPD (Alejandro Silva)
RGPD (Alejandro Silva)
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
1.3 proteccion de_datos
1.3 proteccion de_datos1.3 proteccion de_datos
1.3 proteccion de_datos
 
Protección de datos personales: Guía del ciudadanos
Protección de datos personales: Guía del ciudadanosProtección de datos personales: Guía del ciudadanos
Protección de datos personales: Guía del ciudadanos
 
Protección de datos: Guia ciudadano
Protección de datos: Guia ciudadanoProtección de datos: Guia ciudadano
Protección de datos: Guia ciudadano
 
Guia ciudadano proteccion datos
Guia ciudadano proteccion datosGuia ciudadano proteccion datos
Guia ciudadano proteccion datos
 
Proteccion de datos guia ciudadano
Proteccion de datos guia ciudadanoProteccion de datos guia ciudadano
Proteccion de datos guia ciudadano
 
Adapta tu blog al RGPD
Adapta tu blog al RGPDAdapta tu blog al RGPD
Adapta tu blog al RGPD
 
LOPD
LOPDLOPD
LOPD
 
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
Whitepaper: La importancia del Delegado de Protección de Datos en una empresa...
 
Legislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datosLegislación Sobre Seguridad y Protección de datos
Legislación Sobre Seguridad y Protección de datos
 
Presentación ignaciozabala
Presentación ignaciozabalaPresentación ignaciozabala
Presentación ignaciozabala
 
CLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGAL
CLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGALCLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGAL
CLOUD COMPUTING; VENTAJAS Y DESVENTAJAS EN EL MARCO LEGAL
 
Lopez salazar jorge alejandro, lopez miguel brayan alejandro
Lopez salazar jorge alejandro, lopez miguel brayan alejandroLopez salazar jorge alejandro, lopez miguel brayan alejandro
Lopez salazar jorge alejandro, lopez miguel brayan alejandro
 

Último

30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuaDANNYISAACCARVAJALGA
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfResolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
Introducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleIntroducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleJonathanCovena1
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 

Último (20)

30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahua
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfResolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
Introducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleIntroducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo Sostenible
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 

Legislación sobre seguridad y protección de datos

  • 1. 1
  • 2. 2 1. [Pagina 5] Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos que creas convenientes e indica, además, algún ejemplo de dato que no sea considerado de carácter personal. 2. [Pagina 6] ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España? Indica, además, todos sus datos postales y de contacto. 3. [Pagina 7] Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que indique cuándo debe ser aplicado y cuándo no. 4. [Pagina 8] Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula? ¿nuevos deberes, derechos, obligaciones? 5. [Paginas 9-13] De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus datos personales? 6. [Paginas 14-18] De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado? 7. [Paginas 19-22] De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público? 8. [Pagina 23] Explica y especifica los enlaces a todos los formularios de la AEPD para poder ejercer tus derechos con respecto al tratamiento de tus datos de carácter personal. ÍNDICE PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y NUEVA LOPD
  • 3. 3 9. [Paginas 24-26] Indica qué son y de qué se encargan los siguientes organismos españoles relacionados con la seguridad de la información: a. CCN-CERT (https://www.ccn-cert.cni.es) b. INTECO-CERT (http://cert.inteco.es) c. IRIS-CERT (https://www.rediris.es/cert) ¿por qué todos se llaman CERT? 10. [Paginas 27-28] Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007. Este documento solo tiene fines educativos e informativos. Reconozco la autoría original de los textos por sus legítimos dueños, en el material recopilado del presente documento. Por ello, enumero cada uno de los enlaces usados para este documento a modo de agradecimiento. Toda la información que contiene, pertenece a los textos recogidos en los siguientes enlaces, además de aquellos links proporcionados por los enunciados de la práctica. ¿Qué es un dato personal? https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_es ¿Qué es una autoridad de protección de datos? https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-are-data-protection- authorities-dpas_es ÍNDICE SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD BIBLIOGRAFÍA
  • 4. 4 Autoridades de protección de datos https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm ¿Qué rige el RGPD? https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data- protection-regulation-gdpr-govern_es Reglamento General de Protección de Datos https://es.wikipedia.org/wiki/Reglamento_General_de_Protección_de_Datos ¿Conoces las novedades de la nueva Ley Orgánica de Protección de Datos? https://www.aepd.es/blog/2019-01-30.html Ejerce tus derechos https://www.aepd.es/reglamento/derechos/index.html Novedades de la LOPD para el sector privado https://www.aepd.es/media/docs/novedades-lopd-sector-privado.pdf Nuevas obligaciones para el sector público https://www.aepd.es/media/docs/novedades-lopd-sector-publico.pdf Equipo de Respuesta ante Emergencias Informáticas https://es.wikipedia.org/wiki/Equipo_de_Respuesta_ante_Emergencias_Informáticas ISO/IEC 27000-series https://es.wikipedia.org/wiki/ISO/IEC_27000-series ISO/IEC 27000 https://es.wikipedia.org/wiki/ISO/IEC_27000
  • 5. 5 ¿Qué es un dato de carácter personal? Son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal. Se clasifican en: − Los datos personales que hayan sido anonimizados, cifrados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona, siguen siendo datos personales y se inscriben en el ámbito de aplicación del RGPD. − Los datos personales que hayan sido anonimizados, de forma que la persona no sea identificable o deje de serlo, dejarán de considerarse datos personales. Para que los datos se consideren verdaderamente anónimos, la anonimización debe ser irreversible. El RGPD protege los datos personales independientemente de la tecnología utilizada para su tratamiento; es «tecnológicamente neutro» y se aplica tanto al tratamiento automatizado como manual, siempre que los datos se organicen con arreglo a criterios predeterminados (como el orden alfabético). Asimismo, no importa cómo se conservan los datos; ya sea en un sistema informático, a través de videovigilancia o sobre papel; en todos estos casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD. Ejemplos de datos personales − Nombre y apellidos. − Domicilio. − Dirección de correo electrónico, del tipo nombre.apellido@empresa.com. − Número de documento nacional de identidad. − Datos de localización (como los datos de localización de un teléfono móvil). − Dirección de protocolo de internet (IP). − El identificador de una cookie. − El identificador de la publicidad del teléfono. − Los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona. Ejemplos de datos no considerados personales − Número de registro mercantil. − Dirección de correo electrónico, del tipo info@empresa.com. − Datos anonimizados.
  • 6. 6 ¿Qué son las autoridades de protección de datos? Las APD son autoridades públicas independientes que supervisan, mediante los poderes de investigación y correctivos, la aplicación de la legislación sobre protección de datos. Estas ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento general de protección de datos y las legislaciones nacionales pertinentes. Existe una en cada Estado miembro de la UE. Generalmente, el principal punto de contacto para formular preguntas sobre protección de datos es la APD del Estado miembro de la UE en el que su empresa/organización tenga su sede. Sin embargo, si su empresa/organización trata datos en distintos Estados miembros de la UE, o forma parte de un grupo de empresas establecidas en distintos Estados miembros de la UE, su principal punto de contacto puede ser una APD de otro Estado miembro de la UE. Autoridad de protección de datos en España La autoridad pública en España que supervisa la aplicación de la legislación sobre protección de datos, es la Agencia de Protección de Datos. Su domicilio es: C/Jorge Juan, 6 28001 Madrid Tel. +34 91399 6200 Fax +34 91455 5699 Y sus datos de contacto, son: e-mail: internacional@agpd.es Website: https://www.agpd.es/ Las máximas autoridades del ADP en España, son: Art 29 WP Member: Ms María del Mar España Martí, Director of the Spanish Data Protection Agency Art 29 WP Alternate Member: Mr Rafael GARCIA GOZALO
  • 7. 7 Reglamento general de protección de datos Es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones han debido ir adaptándose para su cumplimiento. Regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea (UE). Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros. No se aplica al tratamiento de datos personales de personas fallecidas o jurídicas. Las normas no se aplican a los datos que trate una persona por motivos exclusivamente personales o en el marco de una actividad doméstica, siempre que no guarden relación con ninguna actividad profesional o comercial. Cuando una persona utilice los datos personales fuera de la «esfera personal», por ejemplo, para actividades socioculturales o financieras, dicha persona deberá respetar el Reglamento en materia de protección de datos. En España, el RGPD dejó obsoleta la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999, siendo sustituida el 6 de diciembre de 2018 por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, acorde con el RGPD. Ejemplos en su aplicación ¿Cuándo se aplica el Reglamento? Una correduría de seguros establecida en un país de la UE que trata datos personales de personas físicas. ¿Cuándo no se aplica el Reglamento? Una persona utiliza su propia libreta de direcciones para invitar por correo electrónico a amigos a su cumpleaños (excepción doméstica).
  • 8. 8 Ley Orgánica de Protección de Datos y garantía de los derechos digitales ¿desde cuándo está activa? El pasado 5 de diciembre entró en vigor la Ley Orgánica de Protección de Datos y garantía de los derechos digitales. ¿qué regula? Esta ley incorpora nuevos aspectos que afectan no sólo a ciudadanos, sino a los sectores público y privado. Los ciudadanos deben familiarizarse con nuevos derechos, como el de portabilidad o a la limitación del tratamiento. Por otra parte, deben ser conscientes de que podrán ser incluidos en los sistemas de información de solvencia crediticia -también conocidos como ficheros de morosidad- cuando mantengan una deuda de más de 50 euros con algún prestador de servicios, ya que la ley anterior no establecía una cuantía mínima. También se introducen novedades en relación con las personas fallecidas, permitiendo que una persona vinculada al fallecido pueda solicitar el acceso, rectificación o supresión de los datos de la persona fallecida, salvo que ésta lo hubiese prohibido expresamente en vida o así lo establezca la ley. Asimismo, la ley introduce cambios para el sector privado. Por ejemplo, obliga a designar a un Delegado de Protección de Datos a las organizaciones cuyas actividades principales consistan en tratamientos que requieran una observación habitual y sistemática de los ciudadanos a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, o datos relativos a condenas e infracciones penales. El documento sobre novedades para el sector privado también recoge aspectos que deben ser tenidos en cuenta en relación con el tratamiento de datos de menores de edad, los llamados ficheros de morosos o la videovigilancia. ¿nuevos deberes, derechos, obligaciones? Entre las nuevas responsabilidades que impone la nueva ley a los órganos y organismos del sector público se encuentran la publicación del Registro de actividades de tratamiento o la designación de un Delegado de Protección de Datos, así como la comunicación de dicha designación a la Agencia Española de Protección de Datos.
  • 9. 9 ¿Cuáles son tus derechos a la hora de proteger tus datos personales? Derecho de acceso El derecho de acceso es tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información: − Una copia de tus datos personales que son objeto del tratamiento − Los fines del tratamiento − Las categorías de datos personales que se traten − Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales − El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo − La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos personales u oponerse a ese tratamiento − El derecho a presentar una reclamación ante una Autoridad de Control − Cuando los datos personales no se hayan obtenido directamente de ti, cualquier información disponible sobre su origen − La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos en tales casos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado − Cuando se transfieran datos personales a un tercer país o a una organización internacional, tienes derecho a ser informado de las garantías adecuadas en las que se realizan las transferencias Derecho de rectificación El ejercicio de este derecho supone que podrás obtener la rectificación de tus datos personales que sean inexactos sin dilación indebida del responsable del tratamiento. Teniendo en cuenta los fines del tratamiento, tienes derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. En tu solicitud deberás indicar a qué datos te refieres y la corrección que hay que realizar. Además, cuando sea necesario, deberás acompañar tu solicitud de la documentación que justifique la inexactitud o el carácter incompleto de tus datos. Derecho de oposición Este derecho, como su nombre indica, supone que te puedes oponer a que el responsable realice un tratamiento de los datos personales en los siguientes supuestos:
  • 10. 10 Cuando sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles: − El responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. Cuando el tratamiento tenga como finalidad la mercadotecnia directa, incluida también la elaboración de perfiles anteriormente citada: − Ejercitado este derecho para esta finalidad, los datos personales dejarán de ser tratados para dichos fines. Derecho de supresión ("al olvido") Podrás ejercitar este derecho ante el responsable solicitando la supresión de sus datos de carácter personal cuando concurra alguna de las siguientes circunstancias: − Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo. − Si el tratamiento de tus datos personales se ha basado en el consentimiento que prestaste al responsable, y retiras el mismo, siempre que el citado tratamiento no se base en otra causa que lo legitime. − Si te has opuesto al tratamiento de tus datos personales al ejercitar el derecho de oposición en las siguientes circunstancias o El tratamiento del responsable se fundamentaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos. o A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles relacionada con la citada mercadotecnia. − Si tus datos personales han sido tratados ilícitamente. − Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento. − Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información). Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés
  • 11. 11 público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones. Derecho a la limitación del tratamiento Este nuevo derecho consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes: Puedes solicitar la suspensión del tratamiento de tus datos: − Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación. − Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos. Solicitar al responsable la conservación tus datos: − Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso. − Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones. Derecho a la portabilidad La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato. No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable. Derecho a no ser objeto de decisiones individuales automatizadas Este derecho pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar. Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo, situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento. No obstante, este derecho no será aplicable cuando:
  • 12. 12 − Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable. − El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente. No obstante, en estos dos primeros supuestos, el responsable deber garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión. − Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado. A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior. Derecho de información Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información. Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que: − Se te facilite una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan tus datos personales. − Que se te remita el resto de la información, en un medio más adecuado para su presentación, compresión y, si se desea, archivo. La información a facilitar por capas o niveles sería la siguiente: 1.ª Capa: Información básica (resumida) − La identidad del responsable del tratamiento. − Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese. − La base jurídica del tratamiento. − Previsión o no de cesiones. Previsión o no de transferencias a terceros países. − Referencia al ejercicio de derechos. 2.ª Capa: Información adicional (detallada) − Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese). − Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada. − Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo. − Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables. − Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.
  • 13. 13 Datos no obtenidos directamente de ti En el supuesto en que tus datos personales no hayan sido obtenidos directamente de ti, se te facilitará, además de la información indicada anteriormente: En la información básica (1ª capa, resumida): − la fuente (procedencia) de los datos. Y en la información adicional (2ª capa, detallada): − la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público. − la categoría de datos que se traten. Esta información se te facilitará dentro de un plazo razonable, y más tardar en un mes, salvo que: − Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado. − Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez. Características comunes de todos estos derechos: − Su ejercicio es gratuito. − Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá: o Cobrar un canon proporcional a los costes administrativos soportados. o Negarse a actuar. − Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más. − El responsable está obligado a informarte sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. − Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo. − Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control. − Puedes ejercer los derechos directamente o por medio de tu representante legal o voluntario. − Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule.
  • 14. 14 ¿Qué supone esta ley para el sector privado? 1. Obligación de información a los ciudadanos sobre el tratamiento de sus datos y sobre el ejercicio de sus derechos. Las organizaciones quedan obligadas a informar a los ciudadanos de forma clara y sencilla sobre los aspectos más importantes del tratamiento de sus datos, identificando quién trata los datos, con qué base jurídica para qué finalidad, y sobre la forma de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y decisiones automatizadas, incluida la elaboración de perfiles. Las organizaciones no podrán denegar el ejercicio de estos derechos en el caso de que el ciudadano quiera ejercitarlos de un modo diferente al que se le ofrezca. Las organizaciones que traten datos de carácter básico pueden utilizar la herramienta gratuita FACILITA para su adaptación al Reglamento General de Protección de Datos. 2. Designación de un Delegado de Protección de Datos (DPD) y comunicación de la designación a la Agencia Española de Protección de Datos (AEPD). La Ley obliga a las organizaciones cuyas actividades principales consistan en tratamientos que requieran una observación habitual y sistemática de los ciudadanos a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, o datos relativos a condenas e infracciones penales a designar un Delegado de Protección de Datos que cuente con la debida cualificación, a garantizarle los medios necesarios para el ejercicio de sus funciones y a notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos. En el resto de los supuestos, la designación de un Delegado de Protección de Datos será voluntaria. El Delegado de Protección de Datos no tiene responsabilidad a título personal, por este mero hecho, por las posibles infracciones en materia de protección de datos cometidas por su organización. 3. Intervención del Delegado de Protección de Datos en la resolución de reclamaciones. El Delegado de Protección de Datos debe recibir las reclamaciones que le dirijan los ciudadanos, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al particular en el plazo máximo de dos meses. Asimismo, el Delegado deberá recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador y comunicar la decisión adoptada a la AEPD en el plazo máximo de un mes. Si el Delegado de Protección de Datos consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente de declaración de infracción a esa Administración Pública.
  • 15. 15 4. Las bases jurídicas que legitiman el tratamiento de datos personales de los ciudadanos por parte de las organizaciones. El Reglamento General de Protección de Datos y la Ley Orgánica recogen varias bases jurídicas legitimadoras del tratamiento de datos personales por parte de las organizaciones privadas: relación contractual previa que contemple el tratamiento, consentimiento del ciudadano o interés legítimo que prevalezca sobre los derechos de las personas, entre otras. Por tanto, en la actualidad, no resulta necesario que el particular consienta el tratamiento de sus datos personales si existe otra base jurídica que legitime el tratamiento. En los casos en los que el consentimiento del ciudadano sea preciso por no existir otra base legitimadora, la Ley establece que debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que una persona acepta el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Se excluye el consentimiento tácito o por omisión. Además, cuando se pretenda que el consentimiento del ciudadano legitime un tratamiento para una variedad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas. No podrá denegarse un contrato o la prestación de un servicio por el hecho de que la persona no consienta el tratamiento de sus datos personales para finalidades que no guarden relación con ese contrato o con la prestación de ese servicio. 5. Tratamiento de datos de menores de edad. En el caso de datos personales de menores, cuando el tratamiento de datos esté legitimado por el consentimiento, la organización debe recabar el consentimiento del menor cuando este tenga al menos 14 años; y el de los padres o sus representantes legales en el caso de que sea menor de 14 años. 6. Limitación de la actividad publicitaria: las “listas Robinson”. Las entidades que vayan a realizar una campaña publicitaria deben consultar con carácter previo las “listas Robinson” para evitar el envío de publicidad a todos los ciudadanos que se hayan registrado en ellas. No será preciso realizar esta consulta en el caso de los ciudadanos que hayan dado su consentimiento para recibir publicidad de una entidad, tanto si lo dieron antes como si lo hicieron después de registrarse en dicha lista. 7. Derechos de los empleados: mayor intimidad. La Ley Orgánica garantiza el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de los que deberán ser informados de forma expresa, clara e inequívoca.
  • 16. 16 8. Datos de contacto profesionales: legitimación de su tratamiento. La Ley permite utilizar los datos personales de contacto de las personas que prestan servicios en una entidad, así como de los profesionales (abogados, médicos, etc.) y de los empresarios individuales, siempre que se traten con la finalidad de mantener contacto con la entidad en la que prestan sus servicios o de establecer contacto con fines profesionales o empresariales. 9. Sistemas de denuncias internas: exención de responsabilidad penal de las organizaciones. La Ley recoge los sistemas de denuncia interna, incluso anónima, como mecanismo para que los integrantes de una organización puedan poner en su conocimiento, la comisión de infracciones en su seno que pudieran resultar contrarias a la normativa general o sectorial que le fuera aplicable. 10. Inclusión en sistemas de información de solvencia crediticia (“ficheros de morosos”). Los ciudadanos podrán ser incluidos en los sistemas de información de solvencia crediticia cuando mantengan una deuda de más de 50 euros con algún prestador de servicios (la ley anterior no establecía ninguna cuantía mínima). Los ciudadanos no podrán mantenerse registrados en estos sistemas más de 5 años, contados desde la fecha de vencimiento de la obligación de pago (la ley anterior establecía un plazo de 6 años). La Ley establece que se podrán consultar estos sistemas de información: − cuando quien consulte tenga una relación contractual con la persona y esta relación implique el abono de una cuantía concreta. − cuando la persona hubiera solicitado financiación, pago aplazado o facturación periódica. Si como consecuencia de la consulta realizada se denegase la solicitud de celebración del contrato o este no llegara a celebrarse, quien haya consultado deberá informar al afectado del resultado de la consulta. 11. Novedades sobre videovigilancia. − Captación de la vía pública: Sólo podrán captarse imágenes de la vía pública cuando resulte imprescindible para preservar la seguridad de las personas y los bienes, así como de sus instalaciones. No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado. − Supresión de los datos: Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando tuvieran que conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal
  • 17. 17 caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación. − Deber de información: El deber de información en el caso de videovigilancia se cumplirá colocando un dispositivo informativo en un lugar suficientemente visible que identifique, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. 12. Operaciones mercantiles. La Ley establece que se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo. 13. La obligación de bloqueo de los datos personales tras el ejercicio de los derechos de rectificación o supresión. El responsable del tratamiento, cuando proceda a la rectificación o supresión de los datos, está obligado a bloquearlos; es decir, a identificarlos y reservarlos mediante técnicas que impidan su tratamiento, visualización incluida. Cuando el bloqueo de esos datos no fuese técnicamente posible o resultara antieconómico, se procederá a un copiado seguro de la información para que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la información, la fecha del bloqueo y la no manipulación de los datos. El bloqueo de los datos personales sólo permitirá su puesta a disposición de jueces y tribunales, Ministerio Fiscal o Administraciones públicas competentes (como la AEPD), para la exigencia de eventuales responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo, deberá procederse a la destrucción de los datos. 14. Tratamiento de datos personales en la notificación de incidentes de seguridad. Las autoridades públicas, los equipos de respuesta a emergencias informáticas (CERT), los equipos de respuesta a incidentes de seguridad informática (CSIRT), los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de seguridad pueden tratar los datos personales contenidos en las notificaciones de incidentes de seguridad exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta, adoptando siempre las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo.
  • 18. 18 15. Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos personales. Los contratos de encargo de tratamiento de datos personales entre las organizaciones (como responsables) y terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022. 16. Tratamiento de datos personales en investigación sanitaria. La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en salud: − amplía las finalidades para las que se puede otorgar el consentimiento al tratamiento. − recoge la posibilidad de reutilizar la información sobre la que se ya se haya prestado consentimiento con anterioridad. − recoge el uso de datos pseudonimizados como una opción para facilitar la investigación sanitaria incluyendo garantías para evitar la reidentificación de los afectados. − regula las garantías de este tratamiento, incluyendo la intervención de los Comités de Ética de la Investigación o, en su defecto, del Delegado de Protección de Datos o de un experto en protección de datos personales. 17. Modificación de la Ley 3/1991, de 10 de enero, de Competencia Desleal: prácticas agresivas. Se recoge como práctica agresiva en la Ley de Competencia Desleal la suplantación de identidad de la Agencia Española de Protección de Datos o de sus funciones y el asesoramiento conocido como “adaptación al Reglamento con coste 0”, a fin de limitar los asesoramientos ofrecidos por empresas con servicios de ínfima calidad.
  • 19. 19 ¿Cuáles son las obligaciones para el sector público? 1. Publicación del Registro de actividades de tratamiento del órgano u organismo del Sector Público. Los órganos y organismos del Sector Público quedan obligados a publicar en su página web el inventario de las actividades de tratamiento de datos personales que realizan, identificando quién trata los datos, con qué finalidad y qué base jurídica legitima ese tratamiento. 2. Obligación de información a los ciudadanos sobre el ejercicio de sus derechos. Los órganos y organismos del Sector Público quedan obligados a incluir en su página web información clara y precisa destinada a los administrados sobre el ejercicio de los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición. 3. Potestad de verificación de los datos personales de los ciudadanos. Los órganos y organismos del Sector Público pueden verificar, sin necesidad de solicitar consentimiento del interesado, la exactitud de los datos personales manifestados por los ciudadanos que obren en poder de los órganos y organismos del Sector Público. 4. Nueva regulación de la aportación de documentación por parte de los ciudadanos: modificación del artículo 28 de la Ley 39/2015. Ya la ley 30/1992 reconocía a los administrados el derecho a no aportar a los procedimientos administrativos los documentos que obrasen en poder de la Administración, o que hubiesen sido elaborados por ésta. La base jurídica del tratamiento de los datos personales por la Administración era el consentimiento del administrado, que se entendía tácitamente concedido si el interesado no se oponía expresamente. Tanto el Reglamento General de Protección de Datos como la nueva Ley Orgánica eliminan la necesidad de recabar el consentimiento, ni siquiera tácito, del ciudadano, al establecer como base jurídica legitimadora principal del tratamiento de datos personales por órganos y organismos del Sector Público el cumplimiento de una misión en interés público o, particularmente, el ejercicio de poderes públicos. Asimismo, la nueva redacción otorgada por la Ley Orgánica al artículo 28 de la Ley 39/2015 reconoce al interesado la posibilidad de oponerse a que órganos y organismos del Sector Público consulten o recaben los citados documentos, pero en ese caso el administrado deberá aportarlos necesariamente para que la Administración pueda conocer que concurren en él los requisitos establecidos por la norma. En caso contrario no podrán estimar su solicitud, precisamente porque no habría demostrado los requisitos requeridos. En todo caso, dicho derecho de oposición no juega en los casos de potestades de verificación o inspección.
  • 20. 20 5. Notificación de actos administrativos: identificación de los ciudadanos. La nueva Ley impide el uso conjunto apellidos, nombre y número completo del documento de identificación oficial de las personas en aquellos actos administrativos que vayan a ser objeto de publicación o notificación por medio de anuncios. A partir de la entrada en vigor de la Ley Orgánica: − Cuando un acto administrativo se deba publicar se identificará a la persona mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias de su documento identificativo oficial. − Cuando se trate de notificaciones por medio de anuncios se identificará a la persona exclusivamente con el número de su documento identificativo. En ambos casos, cuando la persona carezca de documento identificativo se la identificará sólo mediante su nombre y apellidos. 6. Comunicación de datos personales de los administrados a sujetos privados. Los órganos y organismos del Sector Público pueden comunicar los datos personales de los administrados a sujetos de derecho privado que lo soliciten: − O bien cuando cuenten con el consentimiento de los administrados. − O bien, cuando aprecien que concurre en el sujeto privado solicitante un interés legítimo que prevalezca sobre los derechos e intereses de los administrados concernidos. 7. Designación de un Delegado de Protección de Datos (DPD) y comunicación de la designación a la AEPD. Los órganos y organismos del Sector Público tienen obligación de designar un Delegado de Protección de Datos que cuente con la debida cualificación, de garantizarle los medios necesarios para el ejercicio de sus funciones y de notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos. El Delegado de Protección de Datos no tiene responsabilidad a título personal, por este mero hecho, por las posibles infracciones en materia de protección de datos cometidas por su organización. 8. Intervención del Delegado de Protección de Datos en la resolución de reclamaciones en el Sector Público. El Delegado de Protección de Datos del órgano u organismo del Sector Público debe recibir las reclamaciones que les dirijan los administrados, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al administrado en el plazo máximo de dos meses. Asimismo, el Delegado de Protección de Datos deberá recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El Delegado
  • 21. 21 debe comunicar la decisión adoptada al administrado y a la AEPD en el plazo máximo de un mes. De esta forma, con carácter general, si el Delegado de Protección de Datos consigue que el responsable resuelva por cualquiera de estas dos vías la reclamación, y sin perjuicio de que el interesado posteriormente se dirija a la AEPD, no se iniciaría expediente de declaración de infracción a esa Administración Pública. 9. Mayor transparencia de las sanciones impuestas al Sector Público. Las infracciones cometidas por los órganos y organismos del Sector Público serán sancionadas con un apercibimiento con medidas correctoras y no tendrán sanción económica. La resolución sancionadora de la AEPD identificará el cargo responsable de la infracción, se notificará al infractor, a su superior jerárquico, al Defensor del Pueblo y se publicará en la página web de la AEPD y en el diario oficial correspondiente. La resolución sancionadora podrá proponer al órgano u organismo la iniciación de actuaciones disciplinarias, cuya resolución deberá ser comunicada por el órgano u organismo del Sector Público a la AEPD. Las infracciones sean imputables a autoridades y directivos del Sector Público y se acredite la existencia de informes técnicos o recomendaciones que no hubieran sido atendidos por estos, la resolución sancionadora incluirá una amonestación con la identificación del cargo responsable y se publicará en el diario oficial correspondiente. 10. Tratamiento de datos personales en la notificación de incidentes de seguridad. Las autoridades públicas, los equipos de respuesta a emergencias informáticas (CERT), los equipos de respuesta a incidentes de seguridad informática (CSIRT), los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de seguridad pueden tratar los datos personales contenidos en las notificaciones de incidentes de seguridad exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta, adoptando siempre las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo. 11. Registros de personal del sector público: legitimación del tratamiento. La nueva Ley Orgánica establece que la base legitimadora del tratamiento de datos personales que realizan los registros de personal del sector público es el ejercicio de potestades públicas. Estos registros pueden tratar los datos personales que sean estrictamente necesarios para el cumplimiento de sus fines relativos a infracciones y condenas penales e infracciones y sanciones administrativas, de los que deberán ser informados de manera expresa, clara e inequívoca. 12. Derechos de los empleados públicos: mayor intimidad.
  • 22. 22 La Ley Orgánica garantiza el derecho a la intimidad de los empleados públicos en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización. 13. Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos personales. Los contratos de encargo de tratamiento de datos personales entre los órganos y organismos del Sector Público (como responsables) y otros órganos u organismos del sector público o terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022. 14. Tratamiento de datos personales por concesionarios de servicios públicos. Los órganos y organismos del Sector Público mantendrán el control sobre los datos personales de los usuarios de los servicios públicos aunque haya finalizado la vigencia del contrato de concesión de servicios. En el Sector Público, un concesionario de servicios, encargado del tratamiento de datos personales, no se convierte nunca en responsable aunque establezca relaciones con las personas a cuyos datos ha accedido en virtud de la prestación del servicio. 15. Educación para la digitalización. El Gobierno debe remitir en el plazo de un año desde la entrada en vigor de la Ley Orgánica un proyecto de ley dirigido a garantizar un uso de los medios digitales que sea seguro y adecuado. Las Comunidades Autónomas dispondrán del mismo plazo para incluir en los currículos los contenidos precisos para garantizar la plena inserción del alumnado en la sociedad digital y asegurar una formación adecuada de todo el personal docente. 16. Tratamiento de datos personales en investigación sanitaria. La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en salud: − amplía las finalidades para las que se puede otorgar el consentimiento al tratamiento. − recoge la posibilidad de reutilizar la información sobre la que se ya se haya prestado consentimiento con anterioridad. − recoge el uso de datos pseudonimizados como una opción para facilitar la investigación sanitaria incluyendo garantías para evitar la reidentificación de los afectados. − regula las garantías de este tratamiento, incluyendo la intervención de los Comités de Ética de la Investigación o, en su defecto, del Delegado de Protección de Datos o de un experto en protección de datos personales.
  • 23. 23 Formularios de la AEPD: tus derechos en el tratamiento de tus datos. A continuación, facilito todos los enlaces de los formularios necesarios para ejercer tus derechos en el tratamiento de tus datos personales: Derecho de acceso https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf Derecho de rectificación https://www.aepd.es/media/formularios/formulario-derecho-de-rectificacion.pdf Derecho de oposición https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf Derecho de supresión ("al olvido") https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf Derecho a la limitación del tratamiento https://www.aepd.es/media/formularios/formulario-derecho-de-limitacion.pdf Derecho a la portabilidad https://www.aepd.es/media/formularios/formulario-derecho-de-portabilidad.pdf Derecho a no ser objeto de decisiones individuales automatizadas https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion-decisiones- automatizadas.pdf
  • 24. 24 CCN-CERT El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. INTECO-CERT Son cuatro los pilares fundamentales en los que se apoya INCIBE: − Servicios: promueve servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. En concreto, INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información, y promueve el avance de la cultura de la seguridad de la información a través de la concienciación, la sensibilización y la formación. − Investigación: cuenta con una importante capacidad para abordar proyectos complejos de diversa naturaleza y con una fuerte componente innovadora. INCIBE cuenta también con capacidad para generar inteligencia en ciberseguridad que revierta en la mejora de los servicios. − Promoción y detección de talento: contribuye a que la industria, el sector académico y los profesionales aprovechen la oportunidad de la confianza digital para la innovación, la generación de talento y la investigación avanzada, construyendo un mercado de productos y servicios competitivo y de referencia internacional. − Coordinación: participa en redes nacionales e internacionales de colaboración que facilitan la inmediatez, globalidad y efectividad a la hora de desplegar una actuación en
  • 25. 25 el ámbito de la ciberseguridad, contando siempre con una perspectiva basada en la experiencia y en el intercambio de información. Sus iniciativas se diseñan y desarrollan para satisfacer las necesidades específicas de públicos concretos, como son: − Empresas y profesionales que hacen uso de las TIC: las empresas y organizaciones disponen de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación para aprovechar al máximo las posibilidades de las TIC de forma segura y confiable. Con especial atención, INCIBE destina esfuerzos para la protección de los sectores estratégicos, imprescindibles para la economía y la sociedad, así como a las instituciones afiliadas a RedIRIS. − Expertos en ciberseguridad: a través del equipo especializado en ciberseguridad, INCIBE ofrece servicios de información y respuesta a colectivos y profesionales expertos para mejorar los niveles de ciberseguridad en España. − Ciudadanos: la Oficina de Seguridad del Internauta (OSI) es el servicio gratuito que proporciona información y soporte al usuario final para evitar y resolver los problemas de seguridad que le pueden surgir al navegar por Internet, sobre todo en sus primeros pasos en las nuevas tecnologías. − Menores, jóvenes, familias, educadores y profesionales del ámbito del menor: Internet Segura for Kids (IS4K) es el Centro de Seguridad en Internet para menores de edad en España y tiene por objetivo la promoción del uso seguro y responsable de Internet y las nuevas tecnologías entre los niños y adolescentes. Forma parte de la red paneuropea INSAFE de Centros de Seguridad en Internet y está cofinanciado por la Comisión Europea. Para acometer su labor, INCIBE cuenta con las siguientes capacidades: − Amplio ámbito de actuación en la respuesta a incidentes de seguridad abarcando desde el ciudadano hasta el sector empresarial (especialmente, a sectores estratégicos e infraestructuras críticas) y al ámbito específico de RedIRIS. − Puesta en marcha de iniciativas de colaboración público-privada para la mejora de los niveles de ciberseguridad en España. − Seguimiento y estudio de los riesgos emergentes para poder anticipar necesidades, adoptar medidas preventivas y, en definitiva, disponer de mecanismos de alerta temprana. − Coordinación con actores clave a nivel nacional e internacional en materia de ciberseguridad.
  • 26. 26 IRIS-CERT RedIRIS es la red académica y de investigación española que proporciona servicios avanzados de comunicaciones a la comunidad científica y universitaria nacional. Está financiada por el Ministerio de Ciencia, Innovación y Universidades, e incluida en su mapa de Instalaciones Científico-Técnicas Singulares (ICTS). Se hace cargo de su gestión la entidad pública empresarial Red.es, del Ministerio de Economía y Empresa. RedIRIS cuenta con más de 500 instituciones afiliadas, principalmente universidades y centros públicos de investigación, que llegan a formar parte de esta comunidad mediante la firma de un acuerdo de afiliación. ¿Por qué todos se llaman CERT? Porque todos son un “Equipo de Respuesta ante Emergencias Informáticas” (CERT, del inglés Computer Emergency Response Team). Son centros de respuesta a incidentes de seguridad en tecnologías de la información. Se tratan de grupos de expertos responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Un CERT estudia el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información que ayude a mejorar la seguridad de estos sistemas. El primer CERT fue creado en 1988 en respuesta al incidente del gusano Morris. También se puede utilizar el término CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante Incidencias de Seguridad Informáticas) para referirse al mismo concepto. De hecho el término CSIRT es el que se suele usar en Europa en lugar del término protegido CERT, que está registrado en EEUU por CERT Coordination Center (CERT/CC).
  • 27. 27 Familia de Normas ISO 27000 ISO/IEC 27000 es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series. Es un grupo de estándares internacionales titulados: − Tecnología de la Información − Técnicas de Seguridad − Sistemas de Gestión de la Seguridad de la Información − Visión de conjunto y vocabulario Tiene como fin ayudar a organizaciones de todo tipo y tamaño a implementar y operar un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma ISO/IEC 27000 fue preparada por el Comité Técnico conjunto ISO/IEC JTC 1 Tecnología de la Información, SC 27 Técnicas de Seguridad. ISO/IEC 27000 proporciona: − Una visión general de normas sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). − Una introducción a los Sistemas de Gestión de la Seguridad de la Información (SGSI). − Una breve descripción del proceso para Planificar - Hacer - Verificar - Actuar (Plan - Do - Check - Act, PDCA). − Los términos y las definiciones utilizadas en la familia de normas Sistemas de Gestión de la Seguridad de la Información (SGSI). Esta norma internacional es aplicable a todo tipo de organizaciones desde empresas comerciales hasta organizaciones sin ánimo de lucro.
  • 28. 28 Tabla con las normas ISO/IEC 27000 a ISO/IEC 27007 Norma Contenido Fecha ISO/IEC 27000 Es un vocabulario estándar para el SGSI. Introducción y base para el resto Tercera versión: enero de 2014. Quinta versión: febrero 2018. ISO/IEC 27000:2018 ISO/IEC 27001 Es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos Fue publicada como estándar internacional en octubre de 2005. Revisada en septiembre de 2013 ISO/IEC 27002 Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de buenas prácticas para la gestión de seguridad de la información Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. Última versión: 27002:2013, de setiembre de 2013 ISO/IEC 27003 Son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001 Publicada el 1 de febrero de 2010. No es certificable ISO/IEC 27004 Son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información Publicada el 7 de diciembre de 2009, no se encuentra traducida al español actualmente ISO/IEC 27005 Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3 Publicada en junio de 2008. Revisada en junio de 2011 ISO/IEC 27006 Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021- 1, la norma genérica de acreditación Publicada en 2007 y revisada en diciembre de 2011 y septiembre de 2015 ISO/IEC 27007 Es una guía para auditar al SGSI Publicada en noviembre de 2011