2. P á g i n a 2 | 12
Índice
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y NUEVA LOPD
Datos de carácter personal Pág. 3
¿Qué son las autoridades de protección de datos? Pág. 3
Reglamento General de Protección de Datos Pág. 4
Ley Orgánica de Protección de Datos Pág. 4-5
Nuestros derechos sobre nuestros datos Pág. 5
LOPD y el sector privado Pág. 6-7
LOPD y el sector público Pág. 7-8
Enlaces a los formularios de la AGPD Pág. 9-10
LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
Organismos españoles relacionados con la seguridad de
la información Pág. 11
Normas ISO 27000 Pág. 11
BIBLIOGRAFÍA Pág. 12
3. P á g i n a 3 | 12
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
Y NUEVA LOPD
DATOS DE CARÁCTER PERSONAL
Los datos personales abarcan toda la información que hace referencia a una persona, viva,
la cual puede ser identificada.
Podemos distinguir varios tipos de datos personales:
Identificación: nuestro DNI, correo electrónico, edad, firma serían ejemplos de
este tipo.
Laborales: puesto que desempeñamos, localización de la oficina.
Patrimoniales: nuestras cuentas bancarias estarían en este tipo.
Ideológicos: afiliaciones a algún partido, u orden religiosa.
De salud: nuestro historial clínico, por ejemplo.
Características personales: un ejemplo claro es nuestro grupo sanguíneo.
Características físicas: datos acerca de nuestra apariencia.
Por ejemplo, el NIF de una empresa no es considerado un dato personal, ya que una
empresa es una persona jurídica.
¿QUÉ SON LAS AUTORIDADES DE PROTECCIÓN DE DATOS?
Son autoridades públicas independientes que con el poder que les corresponde, tienen
como objetivo aplicar la legislación sobre protección de datos, ofrecer un asesoramiento
adecuado sobre esta legislación, y tramitar las reclamaciones por el incumplimiento del
Reglamento establecido y las legislaciones nacionales. En cada miembro de la Unión
Europea.
En España la APD pertinente es la Agencia de Protección de Datos, sus datos son los
siguientes:
Se encuentra en C/Jorge Juan, 6 28001 Madrid.
Teléfono +34 91399 6200
Fax +34 914555699
e-mail: internacional@agpd.es
Website: https://www.agpd.es/
Directora: María del Mar España Martí
4. P á g i n a 4 | 12
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
El RGPD es el Reglamento (UE) 2016/679, el cual se encarga del tratamiento de los datos
personales de las personas físicas y de la libre circulación de estos.
El Reglamento vela por los derechos de los ciudadanos y hace que sea más sencillo para
las empresas cumplir dichas normas.
Por ejemplo, el reglamento se aplicará cuando ofrezcamos un servicio a europeos en
Europa. Por el contrario, no se aplicará si se realiza fuera del territorio europeo.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS
La nueva Ley de Protección de Datos recibe el nombre de Reglamento General de
Protección de Datos, esta será aplicable dentro de dos años, ya que entró en vigor el 25
de mayo de 2018. Lo que pretende este Reglamento es proporcionar más poder a los
clientes/interesados sobre sus datos personales.
Las principales novedades son:
Nueva redacción LOPD
Se aplica a todas aquellas entidades que traten datos de carácter personal que se
encuentren dentro de la Unión Europea.
Mayor rendición de cuentas
Ahora, la información que se les debe dar a los interesados es mayor.
Se introduce el concepto de privacidad desde el diseño. Esto se traduce en que la
elaboración de los procedimientos empresariales se tiene que realizar teniendo en
cuenta la protección de datos desde un primer momento.
Responsabilidad proactiva
Las organizaciones deben tomar medidas cautelares para asegurar que pueden
cumplir las reglas, derechos y garantías que el Reglamento establece
Análisis, riesgos de empresa
las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus
tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.
Nueva figura DPO
El delegado de protección de datos es el encargado de planificar las medidas de
seguridad que se deben aplicar a los datos, y la gestión de estos.
Nuevos derechos ciudadanos
Derecho al olvido: eliminación de datos si se cumplen las normas para ello.
Derecho a la portabilidad: Implica que el interesado que haya proporcionado sus
datos a un responsable que los esté tratando de forma digitalizada podrá requerir
recobrar esos datos en un formato que le permita su traslado a otro responsable.
Mayor información a los ciudadanos
A los interesados se les deberá proporcionar más información acerca del proceso.
5. P á g i n a 5 | 12
Consentimientos libre, específico, inequívoco
Las empresas deberán revisar la forma en la que obtienen y guardan el
consentimiento.
El llamado consentimiento tácito dejará de ser aceptado cuando el Reglamento
sea de aplicación.
Para poder considerar que el consentimiento es “incuestionable”, el Reglamento
obliga a que exista una declaración por parte de los interesados.
La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos.
Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos.
Por ejemplo, para autorizar el tratamiento de datos sensibles.
Por tanto, el consentimiento tiene que ser verificable y quienes recopilen datos
personales deben poder probar que el afectado les concedió su consentimiento.
NUESTROS DERECHOS SOBRE NUESTROS DATOS
Derecho a conocer
Para que van a ser utilizados nuestros datos.
Tiempo que van a ser utilizados y conservados nuestros datos.
Podemos presentar una reclamación a la Agencia Española de Protección de
Datos.
Existencia de decisiones automatizadas, la creación de perfiles y qué
consecuencias tienen.
Derecho a solicitar al responsable
La suspensión del tratamiento de nuestros datos.
La conservación de nuestros datos.
La portabilidad de nuestros datos a otros proveedores.
Derecho a rectificar nuestros datos personales
Cuando no sean exactos.
Cuando no estén completos.
Derecho a suprimir nuestros datos personales
Por el uso ilegal de estos.
Porque la finalidad por la cual se proporcionaron ha desaparecido.
Porque nos opongamos a que se traten.
Derecho de oponernos al tratamiento de nuestros datos
Por motivos personales, a no ser que quién los trate tenga un interés legítimo.
Cuando el tratamiento sea para el marketing directo.
6. P á g i n a 6 | 12
LOPD Y EL SECTOR PRIVADO
Las organizaciones van a tener la obligación de informar a los ciudadanos del tratamiento
que van a tener sus datos, además de informarles sobre sus derechos.
Deberán designar un Delegado de Protección de Datos y comunicarlo a la Agencia
Española de Protección de Datos.
El Delegado de Protección de Datos será quien deba intervenir en la resolución de
reclamaciones.
El Reglamento General de Protección de Datos y la Ley Orgánica recogen varias bases
jurídicas legitimadoras del tratamiento de datos personales por parte de las organizaciones
privadas.
En el caso de datos personales de menores, la organización debe obtener el
consentimiento del menor cuando este tenga al menos 14 años y el de los padres o sus
tutores legales en el caso de que sea menor de 14 años.
Las entidades que vayan a realizar una campaña publicitaria deben consultar con carácter
previo las “listas Robinson” para evitar el envío de publicidad a todos los ciudadanos que
se hayan registrado en ellas
Las organizaciones deberán tener en cuenta el derecho de los empleados a una mayor
intimidad.
La Ley permite utilizar los datos personales de contacto de las personas que prestan
servicios en una entidad, así como de los profesionales y de los empresarios individuales,
siempre que se traten con la finalidad de mantener contacto con la entidad en la que
prestan sus servicios o de establecer contacto con fines profesionales o empresariales.
La Ley recoge los sistemas de denuncia interna, incluso anónima, como mecanismo para
que los integrantes de una organización puedan poner en su conocimiento la comisión de
infracciones en su organización.
Inclusión en sistemas de información de solvencia crediticia (“ficheros de morosos”).
Respecto a la videovigilancia:
Captación de la vía pública: Sólo podrán captarse imágenes de la vía pública
cuando resulte imprescindible para preservar la seguridad.
Supresión de los datos: Los datos serán suprimidos en el plazo máximo de un mes
desde su captación, salvo cuando tuvieran que conservarse para acreditar la
realización de los actos.
Deber de información: El deber de información en el caso de videovigilancia se
cumplirá colocando un dispositivo informativo en un lugar suficientemente
visible.
La Ley establece que se presumirán lícitos los tratamientos de datos, incluida su
comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier
operación de modificación estructural de sociedades o la aportación o transmisión de
7. P á g i n a 7 | 12
negocio o de rama de actividad empresarial, siempre que los tratamientos fueran
necesarios para el buen fin de la operación y garanticen, cuando sea necesario, la
continuidad en la prestación de los servicios.
La obligación de bloqueo de los datos personales tras el ejercicio de los derechos de
rectificación o supresión.
Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos
personales.
La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en salud.
Se recoge como práctica agresiva en la Ley de Competencia Desleal la suplantación de
identidad de la Agencia Española de Protección de Datos o de sus funciones y el
asesoramiento conocido como “adaptación al Reglamento con coste 0”, a fin de limitar
los asesoramientos ofrecidos por empresas con servicios de ínfima calidad.
Fuente: https://www.aepd.es
LOPD Y EL SECTOR PÚBLICO
Publicación del Registro de actividades de tratamiento del órgano u organismo del Sector
Público.
Obligación de información a los ciudadanos sobre el ejercicio de sus derechos.
Potestad de verificación de los datos personales de los ciudadanos.
Nueva regulación de la aportación de documentación por parte de los ciudadanos:
modificación del artículo 28 de la Ley 39/2015.
La nueva Ley impide el uso conjunto apellidos, nombre y número completo del
documento de identificación oficial de las personas en aquellos actos administrativos que
vayan a ser objeto de publicación o notificación por medio de anuncios.
Los órganos y organismos del Sector Público pueden comunicar los datos personales de
los administrados a sujetos de derecho privado que lo soliciten:
a) o bien cuando cuenten con el consentimiento de los administrados.
b) o bien, cuando aprecien que concurre en el sujeto privado solicitante un interés
legítimo que prevalezca sobre los derechos e intereses de los administrados
concernidos.
Designación de un Delegado de Protección de Datos (DPD) y comunicación de la
designación a la AEPD.
8. P á g i n a 8 | 12
El Delegado de Protección de Datos del órgano u organismo del Sector Público debe
recibir las reclamaciones que les dirijan los administrados, cuando opten por esta vía antes
de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al
administrado en el plazo máximo de dos meses.
Mayor transparencia de las sanciones impuestas al Sector Público
Las autoridades públicas, los equipos de respuesta a emergencias informáticas (CERT),
los equipos de respuesta a incidentes de seguridad informática (CSIRT), los proveedores
de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y
servicios de seguridad pueden tratar los datos personales contenidos en las notificaciones
de incidentes de seguridad exclusivamente durante el tiempo y alcance necesarios para su
análisis, detección, protección y respuesta, adoptando siempre las medidas de seguridad
adecuadas y proporcionadas al nivel de riesgo.
La nueva Ley Orgánica establece que la base legitimadora del tratamiento de datos
personales que realizan los registros de personal del sector público es el ejercicio de
potestades públicas.
Los empleados pueden ejercer su derecho a tener una mayor intimidad.
Los contratos de encargo de tratamiento de datos personales entre los órganos y
organismos del Sector Público (como responsables) y otros órganos u organismos del
sector público o terceros (como encargados de tratamiento) suscritos antes del 25 de mayo
de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022.
Los órganos y organismos del Sector Público mantendrán el control sobre los datos
personales de los usuarios de los servicios públicos, aunque haya finalizado la vigencia
del contrato de concesión de servicios.
El Gobierno debe remitir en el plazo de un año desde la entrada en vigor de la Ley
Orgánica un proyecto de ley dirigido a garantizar un uso de los medios digitales que sea
seguro y adecuado.
La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en salud:
• amplía las finalidades para las que se puede otorgar el consentimiento al
tratamiento.
• recoge la posibilidad de reutilizar la información sobre la que se ya se haya
prestado consentimiento con anterioridad.
• recoge el uso de datos pseudonimizados como una opción para facilitar la
investigación sanitaria incluyendo garantías para evitar la reidentificación de los
afectados.
• regula las garantías de este tratamiento, incluyendo la intervención de los
Comités de Ética de la Investigación o, en su defecto, del Delegado de Protección
de Datos o de un experto en protección de datos personales.
Fuente: https://www.aepd.es
9. P á g i n a 9 | 12
ENLACES A LOS FORMULARIOS DE LA AGPD
Derecho de acceso
Derecho a dirigirnos al responsable del tratamiento para conocer si está tratando o no
nuestros datos de carácter personal
https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf
Derecho de rectificación
Podemos obtener la rectificación de nuestros datos personales que sean inexactos sin
dilación indebida del responsable del tratamiento.
https://www.aepd.es/media/formularios/formulario-derecho-de-rectificacion.pdf
Derecho de oposición
Podemos oponernos a que el responsable realice un tratamiento de los datos
personales.
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf
Derecho de supresión
Podrás ejercitar este derecho ante el responsable solicitando la supresión de sus datos de
carácter personal.
https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf
Derecho a la limitación del tratamiento
Consiste en que obtengamos la limitación del tratamiento de nuestros datos que realiza el
responsable.
https://www.aepd.es/media/formularios/formulario-derecho-de-limitacion.pdf
Derecho a la portabilidad
La finalidad de este nuevo derecho es reforzar aún más el control de nuestros datos
personales.
https://www.aepd.es/media/formularios/formulario-derecho-de-portabilidad.pdf
10. P á g i n a 10 | 12
Derecho a no ser objeto de decisiones individuales automatizadas
Este derecho pretende garantizar que no seamos objeto de una decisión basada
únicamente en el tratamiento de nuestros datos.
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion-decisiones-
automatizadas.pdf
11. P á g i n a 11 | 12
LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
ORGANISMOS ESPAÑOLES RELACIONADOS CON LA
SEGURIDAD DE LA INFORMACIÖN
CCN-CERT: organismo encargado de la coordinación de la Administración en el
ámbito de la protección de datos, tales como el cifrado, garantizar la seguridad,
etc.
También tiene la responsabilidad de informar y formar a los especialistas en estos
campos para la Administración.
INTECO-CERT: sociedad encargada de la consolidación del desarrollo en
ciberseguridad y de la confianza digital tanto por parte de los ciudadanos como
por parte de redes académicas y de investigación, profesionales y empresas.
IRIS-CERT: es la red académica y de investigación española, que proporciona
servicios avanzados de comunicación a la comunidad científica y universidades
nacionales.
El CERT en el nombre de estos organismos es el acrónimo de Computer Emergency
Response Team, es decir, son un grupo de expertos que se encargan de incidentes de
seguridad informática.
NORMAS ISO 27000
Las normas ISO son normas definidas por la Organización Internacional de
Normalización que se aplican a los productos y servicios. En este caso hablamos de las
encargadas de gestionar la seguridad de la información.
Norma
27001 Son las normas y objetivos que las empresas deben acatar para desarrollar
la norma ISO27001.
27002 Es un manual de buenas prácticas en la que se describen los objetivos de
control y las evaluaciones recomendables en cuanto a la seguridad de la
información.
27003 Es un manual para implementar un Sistema de Gestión de Seguridad de la
Información y todos los requerimientos de sus diferentes fases.
27004 En este estándar se especifican las técnicas de medida y las métricas que
son aplicables a la determinación de la eficacia de un Sistema de Gestión
de Seguridad de la Información y los controles relacionados.
27005 Esta normativa establece las diferentes directrices para la gestión de los
Riesgos en la Seguridad de la Información.
27006 Este estándar específica todos los requisitos para lograr la acreditación de
las entidades de auditoría y certificación de Sistema de Gestión de
Seguridad de la Información.
27007 Es un manual de auditoría de un Sistema de Gestión de Seguridad de la
Información.
12. P á g i n a 12 | 12
Bibliografía
http://www.protecciondedatospersonales.org
https://ec.europa.eu
https://www.aepd.es
https://protecciondatos-lopd.com
https://www.asociacion-eurojuris.es
https://www.ccn-cert.cni.es
http://cert.inteco.es
https://www.rediris.es/cert
https://www.isotools.org/2015/01/21/familia-normas-iso-27000/