Este documento trata sobre la legislación española en materia de protección de datos y seguridad de la información. Resume las principales características del Reglamento General de Protección de Datos de la UE y de la nueva Ley Orgánica de Protección de Datos española, incluyendo los derechos de los ciudadanos, las obligaciones de las organizaciones públicas y privadas, y los organismos responsables de la protección de datos en España. También explica brevemente algunos organismos españoles relacionados con la seguridad de la información como el C
Institucion educativa la esperanza sede la magdalena
Legislación Sobre Seguridad y Protección de datos
1. Práctica Final: Legislación Sobre Seguridad
y Protección de Datos
Realizado por Francisco Javier Sánchez Moreno
2. Legislación Sobre Seguridad y Protección de Datos
2
ÍNDICE
Reglamento General de Protección de Datos y Nueva LOPD ………………… 3
Pregunta 1 ……………………………………………………………………………………………… 3
Pregunta 2 ……………………………………………………………………………………………… 3
Pregunta 3 ……………………………………………………………………………………………… 4
Pregunta 4 ……………………………………………………………………………………………… 4
Pregunta 5 ……………………………………………………………………………………………… 5
Pregunta 6 ……………………………………………………………………………………………… 5
Pregunta 7 ……………………………………………………………………………………………… 6
Pregunta 8 ……………………………………………………………………………………………… 7
Legislación y Normas de Seguridad ………………………………………………..……… 8
Pregunta 9 ………………………………………………………………………………………….…… 9
Pregunta 10 ………………………………………………………………………………..………… 10
Bibliografía ………………………………………………..…………………..………………....… 11
3. Legislación Sobre Seguridad y Protección de Datos
3
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y NUEVA LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos
que creas convenientes e indica, además, algún ejemplo de dato que no sea
considerado de carácter personal.
Un dato personal es cualquier información referente a una persona física que esté viva
identificable o identificada. Las diferentes informaciones, a través de las cuales se puede
llegar a identificar a una determinada persona, constituyen también datos de carácter
personal. Los datos personales que han sido anonimizados dejan de considerarse como
tal. El RGPD (Reglamento General de Protección de Datos) resguarda los datos
personales indistintamente de la tecnología usada para su tratamiento.
Ejemplos de datos personales:
- Apellidos y nombre
- Domicilio
- Correo electrónico (nombre.apellido@ejemplo.com)
- DNI
Ejemplos de datos no personales:
- Correo electrónico (ejemplo@ejemplo.com)
- Datos anonimizados
- Número de registro mercantil
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España?
Indica, además, todos sus datos postales y de contacto.
Las Autoridades de Protección de Datos (APD) son autoridades públicas independientes
que controlan la aplicación de la legislación sobre protección de datos mediante la
investigación y los correctivos. Presentan asesoramiento experto relacionado con la
protección de datos y gestionan reclamaciones relacionadas con la violación del RGPD.
En cada Estado miembro de la UE existe una.
La de España es la Agencia de Protección de Datos. Datos postales y de contacto:
C/ Jorge Juan, 6
28001 Madrid
Teléfono: +34 913 99 62 00
Fax: +34 914 55 56 99
Correo electrónico: internacional@agpd.es
Sitio web: https://www.agpd.es/
4. Legislación Sobre Seguridad y Protección de Datos
4
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que
indique cuándo debe ser aplicado y cuándo no.
El RGPD es el reglamento del Parlamento Europeo y del Consejo referente a la
protección de las personas físicas con respecto al tratamiento de los datos personales y
su libre circulación.
El RGPD regula el procedimiento que realizan las organizaciones, empresas o personas
de los datos personales enlazados con personas en la Unión Europea (UE).
Este procedimiento no se aplica al tratamiento de datos personales de personas
fallecidas o jurídicas.
- Ejemplo de cuándo se aplica el Reglamento:
Ofrece servicios de viaje una empresa asentada en la UE a clientes de la península
balcánica y trata datos de personas físicas.
- Ejemplo de cuándo no se aplica el Reglamento:
Una persona usa su propia agenda de contactos para invitar por correo familiares a
una quedada.
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos
y garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula? ¿nuevos
deberes, derechos, obligaciones?
Esta nueva Ley busca la adaptación del ordenamiento jurídico español al Reglamento
del Parlamento Europeo relativo a la protección de las personas físicas en cuanto al
tratamiento de sus datos personales.
Las novedades están relacionadas con las medidas de seguridad en el ámbito del sector
público, el cual contempla que el Esquema Nacional de Seguridad incorporará las
medidas que se deban implantar en caso de tratamiento de datos personales y que
cuando un tercero conceda un servicio en régimen de concesión, contrato o encomienda
de gestión, las medidas de seguridad serán correspondidas con las de la Administración
Pública de origen y serán ajustadas al Esquema Nacional de Seguridad.
Esta Ley está activa desde el 5 de diciembre de 2018.
5. Legislación Sobre Seguridad y Protección de Datos
5
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus
datos personales?
Los datos personales pueden ser recogidos solo para su tratamiento siempre y cuando
sean pertinentes, adecuados y no excesivos con respecto al ámbito y los propósitos
determinados, explícitos y legítimos para los que se hayan obtenido. Estos datos de
tratamiento no pueden ser utilizados para fines contradictorios para los que hubiesen
sido recogidos.
Los datos personales deben ser exactos y puestos al día de manera que muestren
exactamente la situación actual del ciudadano afectado. Si los datos no son exactos
serán anulados y sustituidos de oficio por los convenientes datos completos y
corregidos. También serán anulados los datos personales que hayan dejado de ser
pertinentes para el fin por el que fueron registrados.
Los datos personales se guardarán de forma que se permita el derecho de acceso, a no
ser que hayan sido anulados de manera legal.
La recolección de datos de manera fraudulenta, ilícita o desleal está prohibida.
La normativa de protección de datos permite que puedas ejercer ante el responsable
del tratamiento tus derechos de acceso, rectificación, oposición, supresión (“derecho al
olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones
individualizadas. Estos derechos han sido explicados en la pregunta 8 junto con sus
respectivos formularios de solicitud.
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado?
Con esta nueva ley, las organizaciones deben informar a los ciudadanos acerca del
tratamiento de sus datos de una forma sencilla y clara. Tienen que identificar quién trata
los datos, con qué base jurídica, la finalidad y la manera de ejercitar los derechos de
acceso, supresión, rectificación, limitación del tratamiento, oposición, portabilidad y
decisiones automatizadas, incluyendo la producción de perfiles.
Las organizaciones también tienen que designar a un Delegado de Protección de Datos
(DPD) y comunicarlo a la Agencia Española de Protección de Datos (AEPD). El Delegado
de Protección de Datos se encargará de la observación habitual y sistemática de los
ciudadanos a gran escala. Cabe destacar que no tiene responsabilidad a título personal
por las probables infracciones en materia de protección de datos consumadas por su
organización. Este delegado puede recibir las reclamaciones de los ciudadanos, cuando
estos no opten por reclamar ante la AEPD, y tiene que comunicar la decisión tomada al
ciudadano en un plazo máximo de dos meses.
Esta nueva Ley también flexibiliza el tratamiento de datos para investigar en salud. Se
amplían los propósitos para que se pueda ceder el consentimiento al tratamiento, se
recoge la opción de reutilizar información que se haya prestado consentimiento
anteriormente, recoge el uso de datos pseudonimizados como posibilidad para facilitar
6. Legislación Sobre Seguridad y Protección de Datos
6
la investigación sanitaria y normaliza las garantías del tratamiento incluyendo la
participación de los Comités de Ética de la Investigación o el Delegado de Protección de
Datos.
En el caso de datos personales de ciudadanos menores de edad, la organización deberá
que tener el consentimiento del menor en caso de que tenga al menos 14 años, y el
consentimiento de los padres o representantes legales en caso de que tenga menos de
14 años.
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público?
Los organismos y órganos del sector público deben publicar en su página web el registro
de las actividades de tratamiento de datos personales que desarrollan. Tienen que
identificar quién trata los datos, su finalidad y qué base jurídica legitima ese tratamiento.
Estos organismos pueden verificar la exactitud de los datos personales sin tener que
solicitar el consentimiento del interesado.
Esta nueva Ley imposibilita el uso conjunto de nombre, apellidos y número del
documento identificativo oficial de las personas que sean objeto de notificación o
publicación por medio de anuncios. Cuando se deba publicar un acto administrativo se
tendrá que identificar a la persona a través de su nombre y apellidos, a los cuales hay
que añadir cuatro cifras numéricas aleatorias de su documento identificativo oficial.
Cuando sean notificaciones por medio de anuncios se reconocerá a la persona solo con
el número de su documento identificativo. En caso de que la persona no tenga
documento identificativo, tendrá que ser identificada solo a través de su nombre y
apellidos.
La nueva Ley implanta que los registros que establece la base legitimadora del
tratamiento pueden tratar los datos personales que sean estrictamente necesarios para
cumplir sus propósitos.
Esta nueva Ley también flexibiliza el tratamiento de datos para investigar en salud. Se
amplían los propósitos para que se pueda ceder el consentimiento al tratamiento, se
recoge la opción de reutilizar información que se haya prestado consentimiento
anteriormente, recoge el uso de datos pseudonimizados como posibilidad para facilitar
la investigación sanitaria y normaliza las garantías del tratamiento incluyendo la
participación de los Comités de Ética de la Investigación o el Delegado de Protección de
Datos.
7. Legislación Sobre Seguridad y Protección de Datos
7
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder ejercer
tus derechos con respecto al tratamiento de tus datos de carácter personal.
El derecho de acceso es el derecho que tenemos a dirigirnos al responsable del
tratamiento para saber si está tratando nuestros datos personales y obtener
información, que podemos obtenerla a través del formulario del derecho de acceso, por
el cual podemos solicitar información como la copia de los datos personales que se están
tratando, los fines del tratamiento, el plazo de conservación de los datos personales,
etc.
Enlace del formulario: https://www.aepd.es/sites/default/files/2019-09/formulario-
derecho-de-acceso.pdf
El derecho de rectificación supone que podremos rectificar nuestros datos personales
que estén inexactos sin dilación indebida del responsable del tratamiento. En la solicitud
hay que indicar los datos a los que se refiere y la corrección que se debe realizar.
Enlace del formulario: https://www.aepd.es/sites/default/files/2019-09/formulario-
derecho-de-rectificacion.pdf
El derecho de oposición es el por el cual puedes oponerte a que el responsable realice
un tratamiento de tus datos personales cuando el tratamiento se base en una misión de
interés público o interés legítimo o cuando tenga como finalidad la mercadotecnia
directa. En el modelo A del formulario se introducen los datos del afectado y se indican
los motivos de la oposición. En el modelo B se introducen los datos del responsable del
tratamiento y los datos del afectado.
Enlace del formulario: https://www.aepd.es/sites/default/files/2019-09/formulario-
derecho-de-oposicion.pdf
El derecho de supresión (“al olvido”) puede ejercerse ante el responsable solicitando la
supresión de los datos personales cuando concurran circunstancias como el tratamiento
ilícito de datos o cuando haya desaparecido la finalidad que había motivado la recogida
de datos o el tratamiento, entre otras. En la solicitud se deben indicar los datos del
responsable del tratamiento y más abajo se especifican las instrucciones de la misma.
Enlace del formulario: https://www.aepd.es/sites/default/files/2019-09/formulario-
derecho-de-supresion.pdf
El derecho a la limitación del tratamiento es un nuevo derecho que consiste en la
posibilidad de obtener la limitación del tratamiento de los datos que realiza el
responsable. Se puede solicitar tanto la suspensión del tratamiento como la
conservación de los datos, dependiendo de las circunstancias. En la solicitud se tienen
que indicar los datos del responsable del tratamiento, los datos del afectado o
8. Legislación Sobre Seguridad y Protección de Datos
8
representante legal y el motivo por el cual se presenta la solicitud. En la segunda página
del formulario se especifican las instrucciones.
Enlace del formulario: https://www.aepd.es/sites/default/files/2019-09/formulario-
derecho-de-limitacion.pdf
El derecho a la portabilidad es un nuevo derecho que tiene como finalidad reforzar el
control de los datos personales, de manera que cuando se efectúe el tratamiento por
medios automatizados se reciban los datos personales en un formato organizado de
lectura que puedan ser transmitidos a otro responsable del tratamiento. Este derecho
no puede ejercerse cuando el tratamiento sea indispensable para el desempeño de una
misión de interés público o en el empleo de poderes públicos adjudicados al
responsable. En la solicitud se deben introducir los datos del responsable del
tratamiento y los datos del afectado o representante legal. En la segunda página del
formulario se especifican las instrucciones.
Enlace del formulario: https://www.aepd.es/sites/default/files/2019-09/formulario-
derecho-de-portabilidad.pdf
El derecho a no ser objeto de decisiones individuales automatizadas pretende asegurar
que no seamos objetos de una resolución basada solo en el tratamiento de nuestros
datos, incluyendo la elaboración de perfiles, que produzca efectos jurídicos sobre
nosotros o nos afecte relevantemente de forma semejante. En la solicitud se tienen que
indicar los datos del responsable del tratamiento y los datos del afectado o
representante legal. En la segunda página del formulario se especifican las instrucciones.
Enlace del formulario: https://www.aepd.es/sites/default/files/2019-09/formulario-
derecho-de-oposicion-decisiones-automatizadas.pdf
9. Legislación Sobre Seguridad y Protección de Datos
9
LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
9. Indica qué son y de qué se encargan los siguientes organismos españoles
relacionados con la seguridad de la información:
a) CCN-CERT
El CCN-CERT es la Capacidad de Respuesta ante Incidentes del Centro Criptológico
Nacional, el cual está adscrito al Centro Nacional de Inteligencia (CNI). En un principio
concentró su actividad en los sistemas de las diferentes Administraciones (local,
autonómica y general), pero después amplió esta responsabilidad a los ciberataques
sobre sistemas de empresas que pertenecen a sectores de interés estratégico para la
seguridad nacional y para la economía del país. Por tanto, su misión es contribuir a
mejorar la ciberseguridad de nuestro país, actuando como centro de alerta y respuesta
nacional que ayude a responder rápidamente ante los ciberataques.
b) INTECO-CERT
INTECO-CERT se trata de un grupo de personas expertas que dan respuestas a los
incidentes de seguridad informáticos de las PYMES españolas. Ha sido puesto en marcha
por INTECO (Instituto Nacional de Tecnologías de la Comunicación).
Este grupo ofrece servicios de información sobre la actualidad de la seguridad,
formación en seguridad y legislación, servicios de protección y prevención, servicios de
respuesta y soporte y observatorio de seguridad, donde se ofrecen diferentes estudios
de actualidad sobre seguridad de la información.
c) IRIS-CERT
IRIS-CERT es el servicio de seguridad de RedIRIS, el cual tiene como finalidad detectar
problemas que perjudiquen la seguridad de las redes de los centros de RedIRIS y
solucionarlos. También avisan con tiempo de problemas potenciales, previniéndose así
de futuros inconvenientes. Este equipo de seguridad presta servicio a las instituciones
afiliadas a RedIRIS y presenta soporte a centros ajenos, pero de forma más limitada.
¿Por qué todos se llaman CERT?
Porque CERT es la sigla, en inglés, de Equipo de Respuesta ante Emergencias
Informáticas, que es un grupo de personas especializadas que se dedican a preparar
medidas activas y pasivas ante inconvenientes de seguridad en los sistemas
informáticos. De manera que cada organización (INTECO, IRIS y CCN) tiene su propio
CERT.
10. Legislación Sobre Seguridad y Protección de Datos
10
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la
que expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007.
La familia de Normas ISO 27000 es una agrupación de normas que están desarrolladas
o que están en fase de desarrollo que posibilitan un marco de gestión de la seguridad
de la información que se pueda ejercer a cualquier tipo de empresa, ya sea privada,
pública, pequeña o grande.
Familia de Normas ISO/IEC 27000
ISO/IEC 27000
Vocabulario común para el SGSI (Sistema de Gestión de la
Seguridad de la Información). Se trata de la base e
introducción para el resto de las normas.
ISO/IEC 27001
Certificación que tienen que obtener las organizaciones. Esta
norma especifica los requisitos para el establecimiento del
SGSI. Esta es la norma más importante, ya que toma una
orientación de gestión de riesgos y promueve una continua
mejoría de los procesos.
ISO/IEC 27002
Manual de buenas prácticas en la cual se describen los
propósitos de control y evaluaciones recomendables con
respecto a la seguridad de la información.
ISO/IEC 27003
Manual para implementar un SGSI. También ofrece la
información necesaria para el uso del ciclo PHVA (Planificar,
Hacer, Verificar y Actuar).
ISO/IEC 27004
En esta normativa se indican las técnicas de medida y las
métricas que se pueden aplicar a la determinación de la
eficacia de un SGSI y los controles vinculados.
ISO/IEC 27005
En este estándar se especifican las distintas directrices para
la gestión de los Riesgos en la Seguridad de la Información.
Está diseñada para ayudar a aplicar la seguridad de la
información en un enfoque de gestión de riesgos de forma
segura.
ISO/IEC 27006
En esta normativa se especifican todos los requisitos para
obtener la acreditación de las entidades de auditoría y
certificación de un SGSI.
ISO/IEC 27007 Esta norma es un manual de auditoría de un Sistema de
Gestión de Seguridad de la Información. Se trata de un
estándar internacional creado para proporcionar un modelo
para controlar y mejorar un SGSI.
11. Legislación Sobre Seguridad y Protección de Datos
11
Bibliografía
- https://ec.europa.eu/info/law/law-topic/data-protection_es
- https://ec.europa.eu/justice/article-29/structure/data-
protectionauthorities/index_en.htm
- https://www.isotools.org/2015/01/21/familia-normas-iso-27000/
- https://www.aepd.es/blog/2019-01-30.html
- https://www.aepd.es
- https://www.aepd.es/reglamento/derechos/index.html
- https://www.aepd.es/reglamento/cumplimiento/index.html
- https://www.ccn-cert.cni.es
- http://cert.inteco.es
- https://www.rediris.es/cert
- https://www.boe.es
- https://administracionelectronica.gob.es
- https://es.wikipedia.org