Trabajo de clase de la asignatura de SAD del curso ASIR 2º año

1. LEGISLACIÓN SOBRE
SEGURIDAD Y
PROTECCIÓN DE
DATOS
PRACTICA FINAL SAD
Esteban Guerrero Montoya
2ºASIR - SAD

2. Índice
PRIMERA PARTE: Reglamento general de protección de datos y nueva LOPD.............................2
SEGUNDA PARTE: Legislación y normas sobre seguridad.............................................................8
BIBLIOGRAFÍA.............................................................................................................................10

3. PRIMERA PARTE: Reglamento general de protección de datos y
nueva LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos
que creas convenientes e indica, además, algún ejemplo de dato que no sea
considerado de carácter personal.
Un dato de carácter personal es cualquier información de una persona física, tanto de su
identidad, como de su existencia y ocupaciones.
Algunos ejemplos de carácter personal pueden ser el DNI (ya que aparece el nombre,
apellidos, una fotografía, etc...) o datos médicos (como las altas y bajas médicas, sus
enfermedades, etc…).
Luego también están los datos relativos a una persona jurídica que estos no son considerados
de carácter personal, como puede ser el CIF o el domicilio.
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España?
Indica, además, todos sus datos postales y de contacto.
Son autoridades públicas independientes que supervisan la aplicación de la legislación sobre
protección de datos. Estas ofrecen asesoramiento sobre cuestiones de protección de datos y
gestionan las reclamaciones de las infracciones del Reglamento general de protección de datos
y las leyes nacionales pertinentes. Existe uno en cada estado de la Unión Europea.
La autoridad de protección de datos de España es “Agencia Española de Protección de Datos
(AEPD)”. Esta se encuentra en C/Jorge Juan, 6 28001-Madrid.
Se puede contactar a través de:
 Medios electrónicos
o Sede electrónica (https://sedeagpd.gob.es/sede-electronica-web/)
o Correo electrónico para medios de comunicación (prensa@aepd.es)
 Vía telefónica
o 901100099
o 912663517

4. 3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que
indique cuándo debe ser aplicado y cuándo no.
El Reglamento General de Protección de Datos (RGPD) regula el tratamiento que realizan las
personas, empresa y organizaciones de los datos personales relacionados con personas en la
Unión Europea.
Ejemplos de uso del reglamento:
 El reglamento debe ser aplicado cuando una organización con un establecimiento en la
Unión Europea como puede ser un Hospital maneja datos de personas físicas
 El reglamento no debe aplicarse cuando una persona usa sus contactos del whatsapp
para organizar una quedada
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y
garantía de los derechos digitales. ¿Desde cuándo está activa? ¿qué regula? ¿nuevos
deberes, derecho, obligaciones?
Entró en vigor el 7 de diciembre de 2018 La nueva Ley Orgánica 3/2018, de 5 de diciembre.
Tiene como objetivo mejorar el nivel de protección de datos de las personas físicas, con esta
nueva ley se pretende informar mejor de lo que ocurre con los datos, facilitar la comprensión
de las políticas de privacidad con un lenguaje claro y sencillo, reformular los diferentes
derechos para mejorar su acceso sobre todo en caso de menores, aumentar los derechos
sobre los datos personales, etc…
Algunos de los nuevos derechos son:
 Derecho a la supresión o al olvido: Se puede solicitar cuando se han recogido datos sin
autorización
 Derecho a la intimidad frente al uso de videovigilancia y grabación de sonidos en el
trabajo
 Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito
laboral
 Derecho a la limitación del tratamiento: Se puede solicitar cuando ya no se necesiten
los datos
 Protección de datos de los menores en búsquedas de Internet
 Derecho a la portabilidad de los datos: Se puede solicitar para transmitir los datos a
otra empresa o país
 Derecho a ser informado de posibles violaciones en los datos personales
 El consentimiento: Debe de darse de forma inequívoca

5. 5. De acuerdo con la nueva LOPD, ¿cuáles son tus derechos a la hora de proteger tus
datos personales?
 Derecho a conocer para qué se utilizan mis datos, el plazo de conservación o hasta
cuando se van a utilizar…
 Derecho a solicitar al responsable, la suspensión del tratamiento de mis datos, la
conservación de ellos, la portabilidad a otro proveedor de servicios…
 Derecho a rectificar mis datos personales cuando sean inexactos o estén incompletos
 Derecho a suprimir mis datos personales por tratamiento ilícito de ellos, revoco mi
consentimiento o me opongo a que se traten…
 Derecho de oposición al tratamiento de mis datos por motivos personales
6. De acuerdo con la nueva LOPD, ¿qué supone esta ley para el sector privado?
 Obligación de información a los ciudadanos sobre el tratamiento de sus datos y sobre
el ejercicio de sus derechos
 Designación de un Delegado de Protección de Datos y comunicación de la designación
a la Agencia Españoles de Protección de Datos
 Intervención del Delegado de Protección de Datos en la resolución de reclamaciones
 Las bases jurídicas que legitiman el tratamiento de datos personales de los ciudadanos
por parte de las organizaciones
 Tratamiento de datos de menores de edad
 Limitación de la actividad publicitaria
 Derechos de los empleados: mayor intimidad
 Datos de contacto profesionales: legitimación de su tratamiento
 Sistemas de denuncias internas: exención de responsabilidad penal de las
organizaciones
 Inclusión en sistemas de información de solvencia crediticia
 Novedades sobre videovigilancia
o Captación de la vía pública
o Supresión de los datos
o Deber de información
 Operaciones mercantiles
 La obligación de bloqueo de los datos personales tras el ejercicio de los derechos de
rectificación o supresión
 Tratamiento de datos personales en la notificación de incidentes de seguridad
 Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos
personales
 Tratamiento de datos personales en investigación sanitaria
 Modificación de la Ley 3/1991 , 10 de enero, de Competencia Desleal

6. 7. De acuerdo con la nueva LOPD, ¿cuáles son las obligaciones para el sector público?
 Publicación del Registro de actividades de tratamiento del órgano u organismo del
Sector Público
 Obligación de información a los ciudadanos sobre el ejercicio de sus derechos
 Potestad de verificación de los datos personales de los ciudadanos
 Nueva regulación de la aportación de documentación por parte de los ciudadanos:
modificación del artículo 28 de la Ley 39/2015
 Notificación de actos administrativos: identificación de los ciudadanos
 Comunicación de datos personales de los administrados o sujetos privados
 Designación de un Delegado de Protección de Datos y comunicación de la designación
a la AEPD
 Intervención del Delegado de Protección de Datos en la resolución de reclamaciones
en el Sector Público
 Mayor trasparencia de las sanciones impuestas al Sector Público
 Tratamiento de datos personales en la notificación de incidentes de seguridad
 Registros de personal del sector público: legitimación de tratamiento
 Derechos de los empleados públicos: mayor intimidad
 Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos
personales
 Tratamiento de datos personales por concesionarios de servicios públicos
 Educación para la digitalización
 Tratamiento de datos personales en investigación sanitaria
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder ejercer
tus derechos con respecto al tratamiento de tus datos de carácter personal
Derecho de acceso:
Este formulario es para ejercer tu derecho frente al responsable del tratamiento para conocer
si está tratando o no tus datos de carácter personal. En caso de que sí que se estén tratando
obtendrás la siguiente información:
Una copia de tus datos personales que están siendo tratados, conocer para que se están
tratando, los destinatarios de esta información, el plazo de conservación, ser informado de
cuando se transfieren tus datos personales a un tercer país u organización…
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-acceso.pdf
Derecho de rectificación:
Este formulario es para ejercer tu derecho frente al responsable del tratamiento de tus datos
de carácter personal para poder rectificar tus datos personales que sean inexactos, que sean
incompletos, etc… Deberás de indicar a que datos te refieres y la corrección que hay que
realizar.
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-rectificacion.pdf

7. Derecho de oposición:
Este formulario es para ejercer tu derecho a oponer que el responsable realice un tratamiento
de tus datos personales en los siguientes supuestos:
 Cuando sean objeto de tratamiento basado en una misión de interés público o legítimo
 Cuando el tratamiento tenga como finalidad mercadotecnia directa y elaboración de
perfiles
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-oposicion.pdf
Derecho de supresión (“al olvido”):
Este formulario es para ejercer tu derecho ante el responsable para la suspensión de tus datos
de carácter personal cuando concurran algunas de las siguientes circunstancias:
Si tus datos ya no son necesarios para los fines por los que se han recogido, si se ha basado en
el consentimiento y este se retira, si se han tratado de forma ilícita, por alguna razón legal o se
han obtenido en relación con la oferta de servicios de la sociedad de la información.
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-supresion.pdf
Derecho a la limitación del tratamiento:
Este formulario es para ejercer tu derecho ante el responsable para la limitación del
tratamiento de tus datos si se dan alguno de estos casos:
Para la suspensión: Cuando impugnes la exactitud de tus datos personales, durante un plazo
que permita al responsable su verificación o te hayas opuesto al tratamiento de tus datos
personales en base al interés legítimo o misión de interés público, mientras el responsable
verifica si esos motivos prevalecen sobre los tuyos
Para la conservación: Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus
datos y solicitas la limitación de uso o el responsable ya no necesite los datos personales para
los fines del tratamiento pero tú los necesitas para la formulación, ejercicio o defensa de
reclamaciones.
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-limitacion.pdf

8. Derecho a la portabilidad:
Este formulario es para ejercer tú derecho ante el responsable para reforzar aún más el control
de tus datos personales, de forma que cuando el tratamiento de tus datos se hagan de forma
automatizadas, recibas tus datos personales en un formulario estructurado. Pero no se puede
aplicar este derecho cuando el tratamiento sea necesario para el cumplimiento de una misión
de interés público o en el ejercicio de poderes públicos conferidos al responsable.
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-portabilidad.pdf
Derecho a no ser objeto de decisiones individuales automatizadas:
Este formulario es para ejercer tu derecho ante el responsable para garantizar que no seas
objeto de una decisión basada solamente en el tratamiento de tus datos, incluyéndose la
elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte de manera similar.
Pero este derecho no se puede aplicar cuando es necesaria la celebración de un contrato entre
tú y el responsable o el tratamiento de tus datos tengan tu consentimiento prestado
previamente
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-oposicion-
decisiones-automatizadas.pdf

9. SEGUNDA PARTE: Legislación y normas sobre seguridad
9. Indica qué son y de qué se encargan los siguientes organismos españoles
relacionados con la seguridad de la información:
a. CCN-CERT
b. INTECO-CERT
c. IRIS-CERT
¿Por qué todo se llaman CERT?
A) CCN-CERT (“Centro Criptológico Nacional”):
Es el organismo responsable de coordinar la acción de los diferentes organismos de la
Administración que usen medios o procedimientos de cifra, garantizar la seguridad de las
Tecnologías de la Información, informar sobre la adquisición coordinada del material
criptológico y formar al personal de la Administración especialista en este campo
B) INTECO-CERT (“Instituto Nacional de Tecnologías de la Comunicación”):
Es una empresa pública organizada como una sociedad anónima, se dedica a dar soporte en
materia de seguridad informática a los ciudadanos, empresas públicas y privadas.
Sus pilares fundamentales son:
Servicios de ciberseguridad: Proporciona servicios de respuesta ante incidentes de
ciberseguridad y un completo programa de concienciación.
Tecnologías de ciberseguridad: Desarrolla tecnologías y herramientas que permiten identificar,
catalogar y analizar incidentes de seguridad.
Apoyo al desarrollo de la industria I+D+i y talento: Facilita el impulso de nuevas empresas y de
nuevos puestos de trabajos asi como fomentar el talento y la I+D+i
C) IRIS-CERT:
Es un servicio de seguridad de RedIRIS tiene como finalidad la detección de problemas que
afecta a la seguridad de las redes de centros de RedIRIS, y a la actuación coordinada con esos
centros para poner solución a estos problemas. También se hacen labores preventivas,
avisando con tiempo de problemas potenciales y ofreciendo asesoramiento a los centros.
Todos se llaman CERT (“Computer Emergency Response Team”) porque son un equipo de
respuesta ante emergencias informáticas responsable del desarrollo de medidas preventivas y
reactivas ante incidencias de seguridad en los sistemas informáticos.

10. 10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que
expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007.
La Familia de Normas ISO 27000 es una agrupación de normas desarrolladas o en fase de
desarrollo que facilitan una gestión de la seguridad de la información aplicable a cualquier tipo
de empresa tanto privada como pública, grande como pequeña.
ISO/IEC 27000: Esta norma proporciona una visión general de las normas de la serie 27000,
indicando para cada una su alcance de actuación y propósito de su publicación. Recoge todas
las definiciones y aporta las bases de porqué es importante la implantación de un SGSI, una
introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción
de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI.
ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión
de seguridad de la información. En su anexo A, enumera de forma resumida los objetivos de
controles que desarrolla la ISO 27002:27005
ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de controles
recomendables en cuanto a seguridad de la información.
ISO/IEC 27003: Es una guía que se centra en los aspectos críticos necesarios para el diseño e
implementación con éxito de un SGSI de acuerdo a ISO/IEC 27001. Describe el proceso de
especificación y diseño desde la concepción hasta la puesta en marcha de planes de
implementación y también en el proceso de aprobación por la dirección para implementar un
SGSI.
ISO/IEC 27004: Es una guía para el desarrollo y utilización de métricas y técnicas de medidas
aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados según ISO/IEC 27001.
ISO/IEC 27005: Proporciona directrices para gestionar el riesgo en la seguridad de la
información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está
diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en
un enfoque de gestión de riesgos.
ISO/IEC 27006: Especifica los requisitos para la acreditación de entidades de auditoria y
certificación de sistemas de gestión de seguridad de la información.
ISO/IEC 27007: Es una guía de auditoria de un SGSI, como complemento a lo especificado en
ISO 19011

11. BIBLIOGRAFÍA
https://www.lopd-proteccion-datos.com/
https://ec.europa.eu/info/policies/justice-and-fundamental-rights_es
https://www.aepd.es/es
https://rgpd.es/
https://a3.wolterskluwer.es/blog/nueva-ley-organica-proteccion-de-datos-y-garantia-
derechos-digitales
https://clickdatos.es/cambios-relevantes-nueva-lopd-3-2018/
https://www.asociacion-eurojuris.es/derechos-para-proteger-tus-datos-personales/
https://www.aepd.es/sites/default/files/2019-10/novedades-lopd-sector-privado.pdf
https://www.aepd.es/sites/default/files/2019-10/novedades-lopd-sector-publico.pdf
https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos
https://www.ccn-cert.cni.es/
https://www.incibe.es/que-es-incibe
https://www.rediris.es/rediris/
http://iso27000.es/page8.html#Serie27k-00-08