Presentación de apoyo a la charla impartida por Antonio Sánchez-Crespo López en el II Foro de Big Data en Salud (Madrid, 21 de septiembre de 2017).

1. Madrid Tecnología Quod non est in acta, non est in mundo 1
Established 1981

2. Los incidentes de seguridad
(de la información)
y su tratamiento jurídico
~ Madrid, septiembre de 2017 ~

3. COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 3
Programa
A. Los incidentes de seguridad de la información
B. Ámbitos afectados
C. Gestión de la seguridad de la información y
protección de datos
D. Objetivos
E. Conclusiones

4. A
Los incidentes
de seguridad de la información
Los bienes jurídicos protegidos:
la información, el conocimiento y el saber
la capacidad de hacer
la capacidad de predecir hechos futuros

5. COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 5
Hablamos de:
o Información
o Acción y efecto de informar
oEnterar o dar noticia de algo
oFormar, perfeccionar a alguien por medio de la
instrucción y la buena crianza
o Averiguación jurídica y legal de uno hecho o
delito
De qué hablamos

6. Hablamos de:
o Información
o Conocimientos comunicados o adquiridos
mediante una información
o Comunicación o adquisición de
conocimientos que permiten ampliar o
precisar los que se poseen sobre una materia
determinada
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 6

7. Hablamos de:
o Conocimiento
o Acción y efecto de conocer
o Entendimiento, inteligencia, razón natural
o Noción, saber o noticia elemental de algo
o Saber o sabiduría
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 7

8. Hablamos de:
o Conocer
o Averiguar por el ejercicio de las facultades
intelectuales la naturaleza, las cualidades y
las relaciones de las cosas
o Entender, advertir, saber, echar de ver a
alguien o algo
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 8

9. Hablamos de:
o Noción
o Conocimiento o idea que se tiene de algo
o Conocimiento elemental
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 9

10. Hablamos de:
o Saber
o Tener noticia o conocimiento de algo
o Estar instruido en algo
o Estar seguro o convencido de un hecho futuro
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 10

11. Hablamos de:
o Idea
o Primero y más obvio de los actos del entendimiento
que se limita al simple conocimiento de algo.
o Conocimiento puro, racional debido a las naturales
condiciones del entendimiento humano
o Concepto, opinión o juicio formado de alguien o de
algo
o Conviciones, creencias, opiniones
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 11

12. Donde hablamos de:
o Seguridad de la información
Deberíamos hablar de:
o Seguridad del conocimiento
O, mejor, deberíamos hablar de:
o Seguridad de la información, del
conocimiento y del saber
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 12

13. Hablamos de:
o Seguridad de la información
o Cualidad de los activos (información incl.)
que reúnen tres cualidades:
o Íntegra
o Confidencial
o Disponible
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 13

14. Hablamos de:
o Seguridad
o Activos
oDe información
oPara el tratamiento de la información
oPersonas
oUbicaciones
o…
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 14

15. Hablamos de:
o Seguridad
Activos
oVulnerabilidades
oAmenazas
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 15

16. Hablamos de:
o Seguridad
o Riesgos (para cada cualidad de cada activo)
oAnálisis de riesgos
oGestión de riesgos
oTratamiento de riesgos
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 16

17. Hablamos de:
o Incidentes de la seguridad de la información
o Evento de seguridad
Hecho, suceso (de todo tipo)
o Incidente de seguridad
o Eventos de seguridad
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 17

18. Hablamos de:
o Incidentes
evento único o conjunto de eventos imprevistos (o
no, y probablemente mal analizados, valorados o
tratados) y no deseados o con efectos no deseados
que pueden amenazar o amenazan la seguridad de
la información y así comprometer o llegar a
comprometer las operaciones de la organización y,
con ello, la consecución de los objetivos de la
misma
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 18

19. Se trata de:
o Proteger la integridad, la confidencialidad y la
disponibilidad de la información, el conocimiento,
el saber, las nociones, las ideas, los conceptos,
las opiniones, las comunicaciones, las noticias y
los juicios y los demás activos que nos permiten
hacer y no hacer lo que hacemos y no hacemos
como lo hacemos y dejamos de hacer para la
consecución de los objetivos de la organización
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 19

20. B Ámbitos afectados
todo confluye en:
alcanzar los objetivos de la organización

21. Los incidentes de seguridad pueden tener
implicaciones jurídicas en materia de:
oSeguridad de la información
oProtección de datos
oViolación derechos fundamentales y
libertades públicas
oPenal
oAdministrativa
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 21

22. Los incidentes de seguridad pueden tener
implicaciones jurídicas en materia de:
oConfidencialidad
oPropiedad intelectual
oPropiedad industrial
oCompetencia desleal
oViolación de secretos profesionales e
industriales
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 22

23. Implicaciones en materia de:
oTecnologías de doble uso
oSeguridad ciudadana
oSalud pública
oEtcétera
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 23

24. Por lo tanto, hablamos de la seguridad de:
o Información de mercado, comercial, estratégica, táctica,
de recursos humanos, operativa, de negocio,
económica, financiera, productos, servicios, precios,
invenciones (materia biológica, procedimientos
biológicos omg,…), modelos de utilidad, topografías de
productos semiconductores, diseños industriales, obras
propiedad intelectual, modelos, procedimientos, reglas,
descubrimientos, teorías, ensayos, datos de carácter
personal,
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 24

25. Hablamos de:
oTratamiento jurídico de los incidentes de
seguridad
oTratamientos de los incidentes de seguridad
con efectos jurídicos o para modificar (a
nuestro favor) los efectos jurídicos que éstos
producen para alcanzar los objetivos de la
organización
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 25

26. Hablamos de:
oAcciones:
o Jurídicas
o Técnicas
o Organizativas
oCombinación de las anteriores
o Si se quiere efectividad (y eficiencia)
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 26

27. C
Tratamiento en el ámbito de la
protección de datos
objetivos de la norma:
proteger derechos fundamentales,
libertades públicas
e intereses de los afectados

28. Hablamos de:
o Datos de carácter personal
o Actividades de tratamiento de datos
o Seguridad de los datos de carácter personal
(como información)
o Violaciones de seguridad de los datos de
carácter personal
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 28

29. Hablamos de:
o Violaciones de seguridad
o Violar:
Infringir o quebrantar un precepto, …
Profanar un lugar sagrado…
Acceso carnal con alguien contra o sin su voluntad
Ajar o deslucir algo
Ajar: maltratar
deteriorar
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 29

30. o violación de la seguridad de los datos
personales (artículo 4.12) GDPR
toda violación de la seguridad que ocasione
la destrucción, pérdida o alteración
accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra
forma, o la comunicación o acceso no
autorizados a dichos datos;
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 30

31. tratamiento de las violaciones de la
seguridad de los datos personales:
o Tratamiento técnico y organizativo
o Tratamiento puramente jurídico
o Implantación de un SGSI
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 31

32. tratamiento de las violaciones de la
seguridad de los datos personales
o previos
o DPIA
o códigos de conducta
o corporate binding rules
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 32

33. Violaciones de seguridad
o Tratamiento previo
o Data Protection Impact Assesment
i.e. AGR y PTR
Riesgos para los afectados
Riesgos para nosotros (ut supra + sanciones)
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 33

34. o tratamiento a posteriori
o Gestión de incidentes de seguridad
oBuenas prácticas ISO 27002
o Comunicaciones
oA Autoridad de control
oA responsables del tratamiento
oA afectados
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 34

35. D Objetivos
objetivos de la organización:
alcanzar objetivos de negocio
“garantizar” la seguridad de la información
mantener “honorabilidad” y evitar sanciones

36. Objetivos
o Objetivo UNO
evitar los incidentes de seguridad
conocer sus potenciales impactos
o Objetivo DOS
acaecidos, evitar impactos
o, en su caso, minimizarlos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 36

37. E Conclusiones
análisis, gestión, aprendizaje e inversión

38. Conclusiones
 Un solo evento puede desencadenar una
amplia serie de consecuencias jurídicas con
implicaciones de distinta gravedad en
muchos niveles de la organización
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 38

39. Conclusiones
 Hay que gestionar los incidentes de
seguridad teniendo en cuenta los objetivos
de la organización
 El tratamiento de los incidentes de seguridad
se ha de realizar desde todos los ámbitos
implicados: jurídico, técnico, organizativo,…
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 39

40. Conclusiones
previsión y continuidad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 40

41. Conclusiones
 Hay que gestionar la seguridad de la
información
 Análisis
 Gestión
 Aprendizaje
 Inversión
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 41

42. Muchas gracias por su atención

43. Póngase en contacto con nosotros

44. Sánchez-Crespo Abogados y Consultores®
C/ Diego de León, 48 · 28006 Madrid
T: +34 913 096 330 mail: bufete@sanchez-crespo.es

45. https://www.linkedin.com/in/antoniosanchezcrespolopez/

46. Madrid Tecnología Quod non est in acta, non est in mundo 46
~ 36 years beyond our clients expectations ~