2. 2
Dato de carácter personal………………………………………………………………………………………………..3
Autoridades de protección de datos (APD) ………………………………………………………………………3
Reglamento general de protección de datos…………………………………………..………………………..4
Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales………4
Derechos LOPD…………………………………………..…………………………………………..………………………..4-5
Obligaciones LOPD sector Privado…………………………………………..…………………………………………5-6
Obligaciones LOPD sector Público…………………………………………..………………………………………….6-7
Organismos Españoles relacionados con la seguridad de la información…………………………….7-8
CCN-CERT…………………………………………..…………………………………………..………………………7
INTECO-CERT……………………………………..…………………………………………..………………………7-8
IRIS-CERT……………………………………..…………………………………………..…………………………….8
Familia de Normas ISO 27000……………………………………..…………………………………………..…………..8-9
Bibliografía……………………………………..…………………………………………..………………………………………..10
3. 3
Dato de carácter personal
Con datos personales, nos referimos a: Cualquier información relativa a una persona
física viva identificada o identificable. La información que nos lleve a identificar a una
persona, también serán datos personales.
Los datos que haya sido cifrados o presentados bajo un seudónimo, pero nos valgan
para identificar a una persona, también con satos personales. Si estos datos dejan de
servirnos para identificar a una persona, dejan de ser datos personales.
Estos datos personales, los podemos clasificar en ciertos tipos:
-Identificativos: DNI, Nº SS, nombre, apellidos, teléfono, vivienda, fotos,
email…
-Circunstancias sociales: Aficiones, forma de vida, propiedades, registros en
foros, asociaciones…
-Personales: Lugar y fecha de nacimiento, estado civil, datos familiares, edad…
-Académicos y de formación: Expediente académico, títulos, lugar de estudio
actual…
-Profesiones y de empleo: Experiencia profesional, puesto, categoría, rama…
-Sindical: Pertenencia a comité, agrupación, afiliaciones sindicales…
-Económico-financiero: Información bancaria, renta, préstamos, ingresos,
sueldo, avales, pensión, jubilación…
-Médicos: Historial clínico, enfermedades…
Administrativo: Reclamaciones, recursos, sanciones, registros, solicitudes…
-Judicial: Historial judicial, sanciones, juicios…
-Sociales: Subvenciones, asistencia social, subsidios, pensiones…
-Dirección ip: Identificar el ordenador personal.
Aquí tenemos también, algunos datos, que no son de carácter personal (no
relacionados con una persona física identificada):
-Todos los datos que hayan sido anonimizados y no se pueda relacionar a
ninguna persona (Por ejemplo, hacer una propuesta para la mejora de un local, en una
urna, de manera anónima, o el voto en las elecciones)
Autoridades de protección de datos (APD)
Autoridades públicas independientes, que supervisan que la legislación sobre
protección de datos, se cumpla y se aplique correctamente. Ofrecen asesoramiento
relacionado con la protección de datos y las legislaciones nacionales. En cada estado
de la UE, existe una APD diferente.
En España, tenemos la Asociación Española para la Protección de Datos, que es la
autoridad pública independiente, encargada de velar por la privacidad y la protección
de datos de los ciudadanos. Podemos encontrarla en C/ Jorge Juan, 6, 28001-Madrid.
Podemos asistir de forma presencial de lunes a jueves de 9:00 a 17:30 y viernes de
9:00 a 15:00, o vía telefónica al 901100099 o 912663517, mediante el correo
electrónico prensa@aepd.es o mediante su sede electrónica
https://sedeagpd.gob.es/sede-electronica-web/ .
4. 4
Reglamento general de protección de datos
El RGPD es el reglamento europeo para la protección del tratamiento de los datos
personales de toda persona física. Es una normativa de la UE, por lo que debe ser
aplicado a toda empresa de la unión o que tenga negocios dentro de la UE, deberán
acogerse a este reglamento. En España, la Ley Orgánica de Protección de Datos de
Carácter Personal de 1999, quedó obsoleta, y se sustituyó el 6 de diciembre de 2018
por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos
digitales, la cual si cumplía el RGPD.
Esta ley, debe ser aplicada, por ejemplo, si una empresa de a UE tiene datos de
personas de la UE o alguna empresa externa a la UE, trabaja con personas o empresas,
de dentro de la UE.
Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018. Se dio
este plazo de 2 años, para que las empresas, la introdujesen en su funcionamiento.
Ley Orgánica de Protección de Datos Personales y garantía de
los derechos digitales
Ley aprobada por las cortes generales de España para adaptar el Derecho interno
español al RGPD. Entró en vigor el 7 de diciembre de 2018.
Recoge los derechos digitales y libertades del entorno de Internet tales como la
neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación
digital ,así como los derechos al olvido, a la portabilidad y al testamento digital, junto
con el derecho a la desconexión digital en el marco del derecho a la intimidad en el uso
de dispositivos digitales en el ámbito laboral y la protección de los menores en
Internet; más la garantía de la libertad de expresión y el derecho a la aclaración de
informaciones en medios de comunicación digitales.
Derechos LOPD
-Neutralidad en Internet: Con respecto a los proveedores de los servicios de Internet.
Los proveedores no podrán discriminar a sus clientes, por cuestiones económicas o
técnicas. (Ni por las instalaciones que tengan, ni por el contrato que tengan con ese
proveedor)
-Acceso universal a internet: Toda persona podrá acceder a internet, en igualdad de
condiciones, sin importar inconvenientes sociales, geográficos, personales o
económicos.
-Seguridad digital: La seguridad entre conexiones, será garantizada en toda
comunicación online.
5. 5
-Educación digital: Conseguir la inserción de alumnos en la sociedad digital. Los
profesores deberán contar con la formación oportuna, para promover la enseñanza
digital, estas clases deberán ser incluidas en las programaciones al menos como
asignaturas de libre configuración.
-Protección de menores en internet: Establece una protección para el uso y acceso de
los menores a los dispositivos, los cuales tendrán ciertas limitaciones. Control de la
difusión de contenido digital que suponga una violación de los derechos
fundamentales. Se protegerá con más ímpetu, la seguridad de los datos personales de
estos menores.
-Rectificación en internet: Toda persona que ha atentado contra la intimidad y el
honor de otra, va a tener la oportunidad para rectificar sus errores.
-Intimidad en el trabajo: Se define frente a los dispositivos digitales de video vigilancia
y grabación de sonidos y geolocalización. Su uso de esta información, deberá ceñirse a
necesidades laborales y se informará debidamente a los trabajadores.
-Desconexión digital en el trabajo: Fomenta el respeto al tiempo de descanso y
vacaciones de los trabajadores. Evita la fatiga, mediante una utilización responsable
del teletrabajo y herramientas digitales.
-Negociación colectiva: Favorece ampliar garantías mediante convenios colectivos.
-Olvido: Referido a los rastreos en Internet y las redes sociales. Consiste en la
eliminación de las referencias inadecuadas en las búsquedas por el nombre en todos
los motores de búsqueda.
-Portabilidad: Transmisión de datos entre prestadores de servicios digitales.
-Testamento digital: Derecho para tomar decisiones sobre datos digitales de un
fallecido.
Obligaciones LOPD sector Privado
-Informar a los ciudadanos sobre el tratamiento de sus datos y el ejercicio de sus
derechos.
-Designar un delegado de protección de datos (DPD) y comunicar de ello a la Agencia
Española de Protección de Datos (AEPD).
-Intervención del DPD en la resolución de reclamaciones.
-Cumplimiento de las bases jurídicas que legitiman el tratamiento de los datos
personales de los ciudadanos por parte de las organizaciones.
6. 6
-Tratamiento especial para datos de menores de edad.
-Limitación de la actividad publicitaria, mediante “La lista Robinson”.
-Mayor intimidad para los empleados.
-Legitimar el tratamiento de los datos de contacto profesionales.
-Crear un sistema de denuncias internas, para la responsabilidad penal de las
organizaciones.
-Crear sistemas de información de solvencia crediticia “Lista de morosos”.
-Solo captar imágenes de vía pública, si es imprescindible. Informar de la captación de
imágenes.
-El responsable del tratamiento, será el responsable para suspender los datos y
bloquearlos.
-Los datos personales se podrán utilizar en investigaciones sanitarias.
Obligaciones LOPD sector Público
-Publicación del Registro de actividades de tratamiento del órgano del Sector Público.
Se publicará quien trata los datos, para qué y mediante qué base jurídica se trata.
-Informar a los ciudadanos sobre el ejercicio de sus derechos.
-Verificar datos sin solicitar el consentimiento del ciudadano.
-Se deberá reconocer al interesado la posibilidad de oponerse a que el órgano consulte
o recabe ciertos documentos.
-Impide el uso de apellidos, nombre y número completo del DNI de las personas en
aquellos actos administrativos que vayan a ser objeto de publicación.
-Se puede comunicar los datos personales de los administrados a sujetos de derecho
privado, cuando cuenten con el consentimiento.
-Designar un Delegado de Protección de Datos (DPD) y comunicarlo a la AEPD.
-El DPD, intervendrá en la resolución de reclamaciones en el Sector Público.
-Transparencia en las sanciones impuestas el Sector Público.
-Tratar los datos personales en la notificación de incidentes de seguridad.
7. 7
-Registrar el personal del sector público.
-Mayor intimidad para los empleados públicos.
-El sector público, mantendrá el control sobre los datos personales de los usuarios de
los servicios públicos, aunque haya finalizado la vigencia del contrato.
-Educar para la digitalización.
-Se flexibilizará el tratamiento de los datos, para la investigación sanitaria.
Organismos Españoles relacionados con la seguridad de la
información
CCN-CERT
Centro Criptolígico Nacional. Es el Organismo responsable de coordinar la acción de los
diferentes organismos de la Administración que utilicen medios o procedimientos de
cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito,
informar sobre la adquisición coordinada del material criptológico y formar al personal
de la Administración especialista en este campo. Se dedica a criptoanalizar y descifrar
por procedimientos manuales, medios electrónicos y criptofonía, así como realizar
investigaciones tecnológico-criptográficas y formar al personal especializado en
criptología.
Creado en 2004, tras el Real Decreto 421/2004, adscrito al Centro Nacional de
Inteligencia.
INTECO-CERT
Instituto Nacional de Tecnologías de la Comunicación. Es un centro donde dar
respuesta a los incidentes de seguridad informáticos de las PYMES españolas. Es un
grupo de personas dedicadas a preparar medidas activas y pasivas ante problemas de
seguridad en los sistemas informáticos.
Objetivos:
-Proporcionar información clara y concisa acerca de la tecnología.
-Concienciar a las PYMEs y ciudadanos de la importancia de abordar
adecuadamente los aspectos relacionados con la seguridad informática.
-Proporcionar guías de buenas prácticas.
-Proporcionar mecanismos y servicios de divulgación, formación, prevención y
reacción.
-Actuar como enlace entre las necesidades de las PymeS y ciudadanos y las
soluciones que ofertan las empresas del sector de la seguridad informática.
8. 8
Servicios que se ofrecen:
-Información sobre actualidad de la seguridad.
-Servicios de formación en seguridad y legislación.
-Servicios de protección y prevención.
-Servicios de respuesta y soporte.
-Observatorio sobre seguridad.
IRIS-CERT
Servicio de seguridad de RedIRIS. Tiene como finalidad la detección de problemas que
afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación
coordinada con dichos centros para poner solución a estos problemas. También se
realiza una labor preventiva, avisando con tiempo de problemas potenciales,
ofreciendo asesoramiento.
IRIS-CERT, presta servicios a las instituciones afiliadas a RedIRIS y da soporte a centros
ajenos a RedIRIS (de forma limitada). IRIS_CERT actúa como último punto de contacto
para graves incidentes en dominios .es.
RedIRIS: Es la red académica y de investigación española que proporciona servicios
avanzados de comunicaciones a la comunidad científica y universitaria nacional. El
Ministerio de Economía y empresa, se hace cargo de su gestión.
CERT
Computer Emergency Response TEAM. Equipo de respuesta para emergencias
informáticas. Es el grupo de expertos que se encargan de resolver problemas de
seguridad informática, creado en 1988 en respuesta al incidente del gusano Morris,
que paralizó gran parte de internet.
Familia de Normas ISO 27000
Es una agrupación de normas desarrolladas que facilitan un marco de gestión de la
seguridad de la información que se aplica a cualquier tipo de empresa, pública o
privada, grande o pequeña. Este desarrollo, se amplía a una serie de estándares, entre
el ISO27000 a 27019 y entre 27030 y 27044.
Tabla con los estándares desde ISO27000 hasta ISO27007
9. 9
Estándares ISO Explicación
27000 En fase de desarrollo. Consiste en las definiciones y términos
empleados en toda la serie 27000. Define el vocabulario para
conceptos de gestión y técnicos.
27001 La normal principal de la serie. Contiene requerimientos del
Sistema de Gestión de Seguridad de la información. Estándar por
el cual se certifican por auditores los Sistemas Gestores de
Seguridad de la Información de las empresas.
27002 Guía de buenas prácticas para los objetivos de control en la
seguridad de la información.
27003 En desarrollo. Guía de implantación de SGSI del empleo del
modelo PDCA y los requisitos de las etapas.
27004 En desarrollo. Establece técnicas para la determinación de una
Gestión de Seguridad de la Información eficiente y sus controles.
27005 Principios para la gestión del riesgo en la seguridad de la
información. Realizado para ayudar a la aplicación de la
seguridad de la información, enfocado a la gestión de riesgos.
27006 Requerimientos de la acreditación de entidades auditoras y
certificadoras de Sistemas Gestores de Seguridad de la
Información.
27007 En desarrollo, guía para la auditoría de un Sistema Gestor de
Seguridad de la Información.