Este documento presenta una práctica final sobre legislación de seguridad y protección de datos. Contiene información sobre el Reglamento General de Protección de Datos, la nueva Ley Orgánica de Protección de Datos, y normas de seguridad como la familia de normas ISO 27000. También explica los derechos y obligaciones de ciudadanos y empresas con respecto a la protección de datos personales, y presenta enlaces a formularios para ejercer estos derechos ante la Agencia Española de Protección de Datos. Además, describe
Práctica Final sobre Legislación de Seguridad y Protección de Datos
1. Práctica Final
Marcos Venegas Compaña
Curso 2018-2019
Seguridad y Alta Disponibilidad
Práctica Final
LEGISLACIÓN SOBRE SEGURIDAD
Y PROTECCIÓN DE DATOS
2. MARCOS VENEGAS COMPAÑA SAD
1
ÍNDICE
PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y NUEVA LOPD ............. 2
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España? Indica,
además, todos sus datos postales y de contacto...................................................................... 3
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE PROTECCIÓN
DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que indique cuándo debe
ser aplicado y cuándo no........................................................................................................... 4
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y
garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula? ¿nuevos
deberes, derechos, obligaciones?............................................................................................. 5
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus datos
personales? ............................................................................................................................... 6
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado?................... 7
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público? ........ 8
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder ejercer tus
derechos con respecto al tratamiento de tus datos de carácter personal............................... 9
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD ............................................... 11
a. CCN-CERT (https://www.ccn-cert.cni.es )....................................................................... 11
b. INTECO-CERT (http://cert.inteco.es ).............................................................................. 11
c. IRIS-CERT (https://www.rediris.es/cert )......................................................................... 12
¿por qué todos se llaman CERT?......................................................................................... 12
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que
expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007. ............................ 13
BIBLIOGRAFÍA.............................................................................................................................. 14
3. MARCOS VENEGAS COMPAÑA SAD
2
PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE
DATOS Y NUEVA LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los
ejemplos que creas convenientes e indica, además, algún ejemplo de dato
que no sea considerado de carácter personal.
Un dato de carácter personal es aquella información que relaciona a
una persona con una identificación directamente.
En el momento en que esa persona no se pueda identificar, dejan de
ser datos personales aquellos que tengan que ver con esa persona.
Unos ejemplos de datos personales:
- Nombre y apellidos
- Direccion postal
- Fotografía
- DNI
Unos ejemplos de datos no personales:
- Denominación social
- CIF
4. MARCOS VENEGAS COMPAÑA SAD
3
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de
España? Indica, además, todos sus datos postales y de contacto.
Las Autoridades de Protección de Datos(APD) son autoridades
públicas independientes que se encargan de aplicar la legislación sobre
protección de datos. Además ofrece asesoramiento en el ámbito de la
protección de datos y tramitan reclamaciones.
En España, la Agencia Española de Protección de Datos(AEPD)-
https://www.aepd.es/
5. MARCOS VENEGAS COMPAÑA SAD
4
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL
DE PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún
ejemplo que indique cuándo debe ser aplicado y cuándo no.
Es el documento europeo que regula las acciones que realizan las
personas físicas con respecto a sus datos personales y la libre circulación de
estos datos.
No se puede aplicar a los datos personales de las personas que sean
jurídicas o ya hayan muerto. Además no es aplicable a cualquier dato de
carácter domestico del individuo o personal.
- Un ejemplo de cuando se puede aplicar el reglamento general de
protección de datos sería; una multinacional que quiere enviar
publicidad de forma masiva.
- Un ejemplo de cuando no se aplica el reglamento general de
proteccion de datos sería; cuando le envio un WhatsApp a mi
hermana.
6. MARCOS VENEGAS COMPAÑA SAD
5
4. Explica las principales novedades de la nueva Ley Orgánica de Protección
de Datos y garantía de los derechos digitales: ¿desde cuándo está activa?
¿qué regula? ¿nuevos deberes, derechos, obligaciones?
Esta ley está activa desde el 5 de didiembre de 2018. Incorpora
nuevos aspectos que afectan a los deberes, derechos y oblicaciones de los
ciudadanos y los sectores público y privado, en lo referente a la seguridad
de los datos. Su objetivo es proteger y garantizar los datos personales, las
libertades públicas y los derechos de las personas físicas.
- DEBERES:
Los ciudadanos deben familiarizarse con nuevos derechos. Deben ser
conscientes de que pueden ser incluidos en los sistemas de
información.
En cuanto al sector privado, deben ser tenidos en cuenta el
tratamiento de datos de menores de edad, los morosos y la
videovigilancia.
- DERECHOS:
Los ciudadanos tienen nuevos derechos como el de portabilidad o a
la limitacion del tratamiento. Derecho de informacion, a no ser
objeto de decisiones individuales automatizadas.
- OBLIGACIONES:
Obliga a una minimización de datos, un principio de exactitud… En lo
referente al sector privado, obliga por ejemplo, a designar a un
delegado de proteccion de datos.
7. MARCOS VENEGAS COMPAÑA SAD
6
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de
proteger tus datos personales?
Derecho a conocer el registro de actividades de tratamiento de datos
personales de las organizaciones públicas
Derecho de los ciudadanos a ser informados sobre el ejercicio de sus
derechos
Verificación de datos personales de los ciudadanos por los órganos y
organismos del Sector Público
Comunicación de datos personales de los ciudadanos a sujetos
privados por los órganos y organismos del Sector Público
La aportación de documentación a los procedimientos
administrativos por parte de los ciudadanos: modificación del
artículo 28 de la Ley 39/2015
Identificación de los ciudadanos en los actos administrativos
El consentimiento como base jurídica que legitima el tratamiento de
datos personales de los ciudadanos
8. MARCOS VENEGAS COMPAÑA SAD
7
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector
privado?
Obligación de información a los ciudadanos sobre el tratamiento de
sus datos y sobre el ejercicio de sus derechos
Designación de un Delegado de Protección de Datos (DPD) y
comunicación de la designación a la Agencia Española de Protección
de Datos (AEPD)
Intervención del Delegado de Protección de Datos en la resolución
de reclamaciones
Las bases jurídicas que legitiman el tratamiento de datos personales
de los ciudadanos por parte de las organizaciones
Tratamiento de datos de menores de edad
Limitación de la actividad publicitaria: las “listas Robinson”
Derechos de los empleados: mayor intimidad
Entre otras, las cuales están obligadas a comunicar a los ciudadanos los
aspectos más importantes de sus datos, especificando minuciosamente
todos los movimientos de los mismos. Hay mas novedades para el sector
privado, vienen recogidas en la LEY ORGÁNICA 3/2018, DE 5 DE
DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS
DERECHOS DIGITALES NOVEDADES PARA EL SECTOR PRIVADO.
9. MARCOS VENEGAS COMPAÑA SAD
8
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector
público?
Publicación del Registro de actividades de tratamiento del órgano u
organismo del Sector Público
Obligación de información a los ciudadanos sobre el ejercicio de sus
derechos
Potestad de verificación de los datos personales de los ciudadanos
Nueva regulación de la aportación de documentación por parte de
los ciudadanos: modificación del artículo 28 de la Ley 39/2015
Notificación de actos administrativos: identificación de los
ciudadanos
Comunicación de datos personales de los administrados a sujetos
privados
Designación de un Delegado de Protección de Datos (DPD) y
comunicación de la designación a la AEPD
Entre otras, que estan recogidas en LEY ORGÁNICA 3/2018, DE 5 DE
DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS
DERECHOS DIGITALES NUEVAS OBLIGACIONES PARA EL SECTOR PÚBLICO
10. MARCOS VENEGAS COMPAÑA SAD
9
8. Explica y especifica los enlaces a todos los formularios de la AGPD para
poder ejercer tus derechos con respecto al tratamiento de tus datos de
carácter personal.
- Derecho de acceso
https://www.aepd.es/media/formularios/formulario-derecho-de-
acceso.pdf
Este formulario nos deja la opción de poder ejercer nuestro derecho a
dirigirte al responsable del tratamiento para saber si está tratando o no tus
datos de carácter personal. Si están realizando dicho tratamiento de datos,
se puede obtener bastante información sobre los datos afectados.
- Derecho de rectificación
https://www.aepd.es/media/formularios/formulario-derecho-de-
rectificacion.pdf
Este formulario nos deja obtener una rectificación de los datos personales
que no esten correctos. Debes indicar a que datos te refieres y la
corrección que quieres hacer. Tienes que adjuntar una prueba de la
inexactitud.
- Derecho de oposición
https://www.aepd.es/media/formularios/formulario-derecho-de-
oposicion.pdf
En este enlace podemos rellenar un formulario para que puedas oponer a
que el responsable realice un tratamiento de los datos personales, cuando
sean objeto basado en una misión de interes público o cuando tenga como
finalidad la mercadotecnia directa.
11. MARCOS VENEGAS COMPAÑA SAD
10
- Derecho de supresión ("al olvido")
https://www.aepd.es/media/formularios/formulario-derecho-de-
supresion.pdf
Con este formulario solicitamos la supresión de los datos que no sean
necesarios con respecto a su uso anterior, si se ha basado en el
consentimiento que prestastes al responsable, si han sido tratados
ilícitamente tus datos…
-Derecho a la limitación del tratamiento
https://www.aepd.es/media/formularios/formulario-derecho-de-
limitacion.pdf
Este formulario te permite solicitar la suspensión del tratamiento de tus
datos o puedes solicitar al responsable la conservación de tus datos,
dependiendo del tratamiento de tus datos y su responsable.
- Derecho a la portabilidad
https://www.aepd.es/media/formularios/formulario-derecho-de-
portabilidad.pdf
Formulario con el que puedes reforzar el control de tus datos personales.
De forma que el tratamiento se efectua de manera automática. Este
derecho, no se puede aplicar cuando el tratamiento sea necesario para el
cumplimiento de una misión de interés público.
- Derecho a no ser objeto de decisiones individuales automatizadas
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion-
decisiones-automatizadas.pdf
Con este formulario podemos ejercer el derecho a no ser objeto de una
decisión basada únicamente en el tratamiento de tus datos. Esto quiere
decir que no dejas que manejen tus datos personales de manera
automatizada.
12. MARCOS VENEGAS COMPAÑA SAD
11
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
9. Indica qué son y de qué se encargan los siguientes organismos españoles
relacionados con la seguridad de la información:
a. CCN-CERT (https://www.ccn-cert.cni.es )
El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad
de la Información del Centro Criptológico Nacional (CCN), adscrito al Centro
Nacional de Inteligencia (CNI). Este servicio se creó en el año 2006
como CERT Gubernamental Nacional español y sus funciones quedan
recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de
regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del
Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015de
23 de octubre.
Su objetivo es mejorar la ciberseguridad española, siendo el centro
que coopere y ayude a responder rapidamente y de manera eficiente a los
ciberataques y las ciberamenazas, con la ayuda de los demas centros de
ciberseguridad. Todo ello, para conseguir un ciberespacio más seguro y
confiable.
b. INTECO-CERT (http://cert.inteco.es )
El Instituto Nacional de Ciberseguridad de España (INCIBE),
anteriormente Instituto Nacional de Tecnologías de la Comunicación, es
una sociedad dependiente del Ministerio de Economía y Empresa a través
de la Secretaría de Estado para el Avance Digital y consolidada como
entidad de referencia para el desarrollo de la ciberseguridad y de la
confianza digital de ciudadanos, red académica y de investigación,
profesionales, empresas y especialmente para sectores estratégicos.
La misión de INCIBE es por tanto reforzar la ciberseguridad, la
confianza y la protección de la información y privacidad en los servicios de
la Sociedad de la Información, aportando valor a ciudadanos, empresas,
Administración, red académica y de investigación española, sector de las
tecnologías de la información y las comunicaciones y sectores estratégicos
en general.
13. MARCOS VENEGAS COMPAÑA SAD
12
c. IRIS-CERT (https://www.rediris.es/cert )
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad
la detección de problemas que afecten a la seguridad de las redes de
centros de RedIRIS, así como la actuación coordinada con dichos centros
para poner solución a estos problemas. También se realiza una labor
preventiva, avisando con tiempo de problemas potenciales, ofreciendo
asesoramiento a los centros, organizando actividades de acuerdo con los
mismos, y ofreciendo servicios complementarios.
¿por qué todos se llaman CERT?
Es debido a que CCN, INTECO e IRIS, son Equipos de Respuesta ante
Emergencias Informáticas.
14. MARCOS VENEGAS COMPAÑA SAD
13
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una
tabla en la que expliques brevemente todas las normas ISO/IEC 27000 a
ISO/IEC 27007.
ISO 27000 es una agrupación de normas desarrolladas o en fase de
desarrollo que facilitan un marco de gestión de la seguridad de la
información aplicable a cualquier tipo de empresa, privada o publica,
pequeña o grande.
NORMAS EXPLICACIÓN
ISO/IEC 27001 Tiene como objetivo garantizar que los controles que existen
para salvaguardar la información de las partes interesadas son
adecuados para proteger la confidencialidad, integridad y
disponibilidad de la información.
ISO/IEC 27002 Establecer directrices y principios generales para iniciar,
implementar, mantener y mejorar la gestión de la seguridad de
la información.
ISO/IEC 27003 Estándar que posee una guía para implementar y mejorar la
gestión de la seguridad de la información.
ISO/IEC 27004 Guía para medir la eficacia de un sistema de gestión de la
seguridad informática.
ISO/IEC 27005 Proporciona las directrices para gestionar los riesgos en la
seguridad de la informacion. Apoya los conceptos generales de
ISO 27001.
ISO/IEC 27006 Especifica los requisitos para la acreditación de entidades de
auditoria y certificación de sistemas de gestión de seguridad de
la información.
ISO/IEC 27007 Es una guía para organismos de certificación acreditados,
auditando el sistema de gestion para dar cumplimiento a la
norma.