2. José Manuel Jiménez López
1
ÍNDICE
PRIMERA PARTE EJERCICIOS.............................2
SEGUNDA PARTE EJERCICIOS............................9
WEBGRAFÍA ....................................................11
3. José Manuel Jiménez López
2
PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE
DATOS Y NUEVA LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los
ejemplos que creas convenientes e indica, además, algún ejemplo de dato que no
sea considerado de carácter personal.
Un dato de carácter personal es cualquier información referente a una persona física
identificada o identificable, tanto relativa a su identidad como la relativa a su
existencia y ocupaciones.
Los datos de carácter personal se clasifican en función de las medidas de seguridad
que se deben adoptar para su protección, y están:
- Datos de nivel básico: Referente a los datos identificativos de la persona, así
como su empleo o puestos anteriores.
- Datos de nivel medio: Referentes con la comisión de infracciones
administrativas o penales, administración tributaria, servicios de Seguridad
Social y comportamiento de las personas.
- Datos de nivel alto: Referentes a la ideología, afiliación sindical, religión o vida
sexual.
Por ejemplo un tipo de dato de carácter personal es la dirección postal, la cuenta de
correo, el DNI…
Un ejemplo de dato que no sea considerado de carácter personal puede ser el
domicilio de una persona jurídica, el CIF…
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España?
Indica, además, todos sus datos postales y de contacto.
Las APD son autoridades que supervisan la aplicación de la legislación sobre protección
de datos, ofreciendo asesoramiento experto y tramitando reclamaciones presentadas
por la violación del Reglamento general de protección de datos y las legislaciones
nacionales pertinentes.
4. José Manuel Jiménez López
3
En España:
Agencia de Protección de Datos
Directora: Ms María del Mar España Martí
Ubicación: C/Jorge Juan, 6. 28001 Madrid
Teléfono: +34 91399 6200
Fax: +34 91455 5699
E-mail: internacional@agpd.es
Sitio Web: https://www.agpd.es/
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que
indique cuándo debe ser aplicado y cuándo no.
El Reglamento General de Protección de Datos es el reglamento europeo relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos.
Este Reglamento se aplica a las empresas o entidades que tratan datos personales
como parte de las actividades de una de sus sucursales establecidas en la Unión
Europea, y a las empresas establecidas fuera de la Unión Europea y ofrece productos o
servicios, u observa el comportamiento de las personas en la UE.
En cambio no se aplica a las empresas que el tratamiento de datos personales no
constituye la parte principal de su negocio y su actividad no produce riesgos para las
personas.
5. José Manuel Jiménez López
4
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos
y garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula?
¿nuevos deberes, derechos, obligaciones?
La nueva Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos y Garantía
de los Derechos Digitales (LOPDGDD) entró en vigor el 7 de Diciembre de 2018.
Esta ley regula el tratamiento y uso de los datos personales de las personas físicas que
aceptan el uso de aplicativos y/o servicios de una empresa.
Incluye las siguientes novedades:
- Recibo del consentimiento: La persona en cuestión aceptará o rechazará los
términos bajo los que se presta. Este consentimiento debe ser verificable
pudiendo demostrar que ha obtenido el consentimiento válido.
- Brechas de seguridad: Ante la tesitura de una brecha de seguridad, los
responsables y encargados del tratamiento de la información tienen la
obligación de comunicar a la autoridad de control dicha brecha, y si existe un
alto riesgo para los derechos y libertades de las personas físicas, éstas deben
ser informadas para que puedan tomar sus propias medidas.
- Portabilidad de datos: Las personas tienen derecho a obtener los datos que han
proporcionado a una entidad/empresa/organización en un formato
estructurado y de lectura mecánica.
- Cifrado y Privacidad II: Cada tratamiento de dato tendrá unos requerimientos
particulares en relación con el sistema de cifrado. Hay que tener presente cuál
es la vida del dato para emplear una fortaleza más elevada o baja del cifrado.
- Gestiona: Los responsables y encargados del tratamiento de datos personales
están obligados a hacer un análisis de riesgos e implantar las medidas que sean
necesarias para garantizar los derechos y libertades de las personas, para
facilitar esta labor, la Agencia Española de Protección de Datos ha creado
Gestiona EIPD.
- Felicitaciones de Navidad: Si las organizaciones corporativas utilizan el envío de
felicitaciones para realizar algún tipo de oferta o publicidad, se deberá cumplir
con las obligaciones que marca la legislación para este tipo de comunicaciones
comerciales.
- Prevención del acoso digital: Para ayudar a las empresas a adaptarse al
cumplimiento de sus obligaciones respecto a la protección de datos, se
incorporará un conjunto de recomendaciones específicas orientadas a erradicar
el acoso laboral y el acoso por razón de género cuando se produzca en el
ámbito digital y se materialicen a través del uso y tratamiento de datos
personales.
6. José Manuel Jiménez López
5
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus
datos personales?
- Su ejercicio es gratuito.
- Si las solicitudes son infundadas o excesivas el responsable podrá:
o Cobrar un canon proporcional a los costes administrativos soportados.
o Negarse a actuar.
- Las solicitudes deben responderse en el plazo de un mes, pudiendo prorrogarse
a dos meses.
- El responsable está obligado a informarte sobre los medios para ejercitar estos
derechos. Estos medios deben ser accesibles y no se pueden denegar.
- Si la solicitud se presenta por medios electrónicos, la información se facilitará
por estos medios, salvo que el interesado solicite que sea de otro modo.
- Si el responsable no da curso a la solicitud podrá reclamar ante una Autoridad
de Control.
- Puedes ejercer los derechos directamente o por medio de tu representante
legal o voluntario.
- Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por
cuenta del responsable si ambos lo han establecido en el contrato o acto
jurídico que les vincule.
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado?
- Obligación de información a los ciudadanos sobre el tratamiento de sus datos y
sobre el ejercicio de sus derechos.
- Designación de un Delegado de Protección de Datos (DPD) y comunicación de
la designación a la Agencia Española de Protección de Datos (AEPD).
- Intervención del Delegado de Protección de Datos en la resolución de
reclamaciones.
- Las bases jurídicas que legitiman el tratamiento de datos personales de los
ciudadanos por parte de las organizaciones.
- Tratamiento de datos de menores de edad.
- Limitación de la actividad publicitaria: las “listas Robinson”.
- Derechos de los empleados: mayor intimidad.
- Datos de contacto profesionales: legitimación de su tratamiento.
- Sistemas de denuncias internas: exención de responsabilidad penal de las
organizaciones.
7. José Manuel Jiménez López
6
- Inclusión en sistemas de información de solvencia crediticia (“ficheros de
morosos”).
- Novedades sobre videovigilancia.
- Operaciones mercantiles.
- La obligación de bloqueo de los datos personales tras el ejercicio de los
derechos de rectificación o supresión.
- Tratamiento de datos personales en la notificación de incidentes de seguridad.
- Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de
datos personales.
- Tratamiento de datos personales en investigación sanitaria.
- Modificación de la Ley 3/1991, de 10 de enero, de Competencia Desleal:
prácticas agresivas.
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público?
- Publicación del Registro de actividades de tratamiento del órgano u organismo
del Sector Público.
- Obligación de información a los ciudadanos sobre el ejercicio de sus derechos.
- Potestad de verificación de los datos personales de los ciudadanos.
- Nueva regulación de la aportación de documentación por parte de los
ciudadanos: modificación del artículo 28 de la Ley 39/2015.
- Notificación de actos administrativos: identificación de los ciudadanos.
- Comunicación de datos personales de los administrados a sujetos privados.
- Designación de un Delegado de Protección de Datos (DPD) y comunicación de
la designación a la AEPD.
- Intervención del Delegado de Protección de Datos en la resolución de
reclamaciones en el Sector Público.
- Mayor transparencia de las sanciones impuestas al Sector Público.
- Tratamiento de datos personales en la notificación de incidentes de seguridad.
- Registros de personal del sector público: legitimación del tratamiento.
- Derechos de los empleados públicos: mayor intimidad.
- Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de
datos personales.
- Tratamiento de datos personales por concesionarios de servicios públicos.
- Educación para la digitalización.
- Tratamiento de datos personales en investigación sanitaria.
8. José Manuel Jiménez López
7
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder
ejercer tus derechos con respecto al tratamiento de tus datos de carácter personal.
- Derecho de acceso:
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-acceso.pdf
Formulario para ejercer el derecho de acceder a los datos que la corporativa está tratando de
la persona física en cuestión.
- Derecho de supresión:
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-supresion.pdf
Formulario para ejercer el derecho de la supresión de los datos personales de la persona física
que lo solicita.
- Derecho de oposición:
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-oposicion.pdf
Formulario para ejercer el derecho de oposición de los datos personales de la persona física
solicitante.
- Derecho de limitación:
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-limitacion.pdf
Formulario para ejercer el derecho de limitación al tratamiento de los datos personales de la
persona física.
- Derecho de portabilidad:
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-portabilidad.pdf
Formulario para ejercer el derecho a la entrega, en un formato estructurado, los datos
personales tratados de la persona física.
- Derecho de rectificación:
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-rectificacion.pdf
Formulario para ejercer el derecho a la rectificación de los datos personales de la persona
física.
9. José Manuel Jiménez López
8
- Derecho a no ser objeto de decisiones individuales automatizadas:
https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-oposicion-
decisiones-automatizadas.pdf
Formulario para ejercer el derecho de no ser objeto de una decisión basada en el tratamiento
automatizado, incluida la elaboración de perfiles.
10. José Manuel Jiménez López
9
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
9. Indica qué son y de qué se encargan los siguientes organismos españoles
relacionados con la seguridad de la información:
- CCN-CERT
- INTECO-CERT
- IRIS-CERT
CCN-CERT: Es un órgano nacional (Centro Criptológico Nacional) cuya misión es contribuir a la
mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que
coopere y ayude a responder de forma rápida y eficiente los ciberataques y a afrontar de
forma activa las ciberamenazas.
INTECO-CERT: (INCIBE) es el Instituto Nacional de Ciberseguridad de España, anteriormente el
Instituto Nacional de Tecnologías de la Comunicación (INTECO) que se dedica al desarrollo de
la ciberseguridad como motor de transformación social y oportunidad de innovación.
IRIS-CERT: Es la red académica y de investigación española que proporciona servicios
avanzados en comunicaciones a la comunidad científica y universitaria nacional.
¿por qué todos se llaman CERT?
Computer Emergency Response Team. Se denominan CERT, abreviatura de lo anterior
descrito, ya que son centros de respuesta a incidentes de seguridad en tecnologías de la
información.
11. José Manuel Jiménez López
10
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la
que expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007.
Es una agrupación de normas desarrolladas o en fase de desarrollo que facilitan un
marco de gestión de la seguridad de información aplicable a cualquier tipo de
empresa.
ISO 27001
Incluye todos los requisitos del Sistema
de Gestión de Seguridad de la
Información en las organizaciones
ISO 27002
Se describen los objetivos de control y las
evaluaciones recomendables en cuanto a
la seguridad de la información
ISO 27003
Nos informan de la utilización del ciclo
PHVA(Planificar, Hacer, Verificar y Actuar)
y todos los requerimientos de sus
diferentes fases.
ISO 27004
Se especifican las técnicas de medida y las
métricas que son aplicables a la
determinación de la eficacia de un
Sistema de Gestión de Seguridad de la
Información
ISO 27005
Establece las directrices para la gestión
de los Riesgos en la Seguridad de la
Información
ISO 27006
Especifica todos los requisitos para lograr
la acreditación de las entidades de
auditoría y certificación de Sistema de
Gestión de Seguridad de la Información
ISO 27007
Proporciona un modelo para establecer,
implementar, operar, monitorear,
mantener y mejorar un Sistema de
Gestión de Seguridad de la Información