1. Legislación en materia de
Seguridad Informática
Autor: Sinuhé Navarro Martín
@sinucuantico
2. ❖ Ley Orgánica de Protección de Datos, o LOPD
❖ Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, o LSSI
❖ Ley de Propiedad Intelectual, o LPI
Otras:
● Ley 32/2003, General de Telecomunicaciones, en el caso de que nos dediquemos a la prestación de servicios de comunicaciones electrónicas.
● Ley 25/2013 de impulso de la Factura electrónica y creación del registro contable de facturas en el Sector Público, y su desarrollo. Esta ley obliga, desde
el
● 15/01/2015 a las empresas que tienen relación comercial con la Administración Pública a emitir facturas electrónicas.
● Ley 17/2001, de Propiedad Industrial, si nuestra actividad implica la gestión de patentes y marcas. En cualquier caso nos afecta la Ley 17/2001, de
Marcas porque tendremos una marca y un logotipo corporativo.
● Ley 13/2011, de Regulación del Juego, si nuestra actividad tiene relación con el sector del juego online.
● Ley 59/2003, de Firma Electrónica y la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos para cualquier relación con la
Administración Pública.
Leyes que han de cumplir pymes y autónomos
3. LOPD - Ley orgánica de protección de datos
❖ Vela por la privacidad de los ciudadanos y afecta a seguridad de los datos personales que
gestionan las empresas, ya sea en formato electrónico o papel.
❖ Debemos de implantar diferentes medidas de seguridad según el tipo de datos personales que
tratamos, y documentar todo lo relacionado con la seguridad de estos datos en un «documento
de seguridad».
4. LOPD - Dato personal
❖ Dato personal es cualquier dato que identifique o que pueda ser
asociado a una persona identificada o identificable.
❖ No deja de serlo por estar en ficheros separados.
❖ Debemos recoger los datos personales adecuados, pertinentes y no
excesivos para la finalidad de su tratamiento
5. LOPD - Datos personales de nivel ALTO
❖ De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel
básico.
❖ Recabados con fines policiales sin consentimiento de las personas afectadas.
❖ Derivados de actos de violencia de género.
6. LOPD - Datos personales de nivel MEDIO
❖ Relativos a la comisión de infracciones administrativas o penales.
❖ Que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito); de
Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias.
❖ De entidades financieras para las finalidades relacionadas con la prestación de servicios financieros.
❖ De Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus
competencias.
❖ De mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
❖ Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del
comportamiento de las personas.
❖ Y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.
7. LOPD - Datos personales de nivel BÁSICO
Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que
contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual,
cuando …
❖ Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que
los afectados sean asociados o miembros.
❖ Se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de
datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero.
❖ Y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado
o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de
deberes públicos.
8. LOPD - Actores
❖ Afectado o interesado: es la persona a la cual pertenece el dato personal.
❖ Responsable del fichero o del tratamiento: es la persona física o jurídica que
decide tratar datos personales. Cualquier mal uso de dicha información es
responsabilidad suya.
❖ Responsable de seguridad: es la persona se encarga de coordinar y controlar las
normas de seguridad que se aplican para la protección de los datos.
❖ Un encargado del tratamiento es aquella empresa a la que le «encargamos» un
determinado tratamiento de datos.
9. LOPD - Fichero
«todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a
criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso»
--
No hace referencia al concepto de fichero como se entiende en el ámbito tecnológico. Un fichero
puede estar en soporte tecnológico (automatizado) o en papel (no automatizado). En ambos casos
hay que cumplir la LOPD.
10. LOPD - Tratamiento, cesión y transferencia internacional
❖ Tratamiento: La recogida, grabación, conservación, elaboración, modificación,
consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
❖ Cesión: Cuando los datos personales se revelan a otra organización. En este caso,
siempre es necesario notificar al propietario del dato y recabar su consentimiento.
❖ Transferencia internacional: Tipo de tratamiento en el que los datos, ya sea por
cesión o por tratamiento por un tercero, son tratados por una empresa fuera del Espacio
Económico Europeo. Estos casos han de ser comunicados a la AEPD para verificar que
el país destino protege la privacidad de la misma forma, garantizando los derechos de
privacidad de los consumidores.
11. LOPD - Fases para la adaptación
1. Identificar los datos personales que gestionamos. Incluidos sistemas de videovigilancia,
guías telefónicas o agendas de contacto, logs, bases de datos, direcciones IP,
matrículas, registros de voz, etc.
2. Definir los ficheros a declarar.
3. Definir el nivel máximo de los ficheros.
4. Hacer el documento de seguridad.
5. Implantar las medidas de seguridad para cada dato (no fichero)
6. Prepara procedimientos complementarios:
a. Debemos ofrecer a los propietarios de los datos una forma de ejercer sus derechos de Acceso,
Rectificación, Cancelación u Oposición (ARCO) al tratamiento de su información.
b. Debemos habilitar diferentes medios de contacto
c. Deberemos garantizar que la persona que los ejerce es quien dice ser.
d. Plazo de tiempo limitado
12. LOPD - Medias de seguridad y controles
❖ Responsables y personal
❖ Incidencias
❖ Control de acceso a los ficheros
❖ Gestión de soportes y almacenamiento
❖ Criterios de archivo y custodiadas de
seguridad y controles a aplicar
❖ Copias de respaldo
❖ Copia o reproducción
❖ Traslado o telecomunicación
❖ Auditoría
Pinche aquí para más información sobre las medias según el nivel de dato personal:
13. LSSI - Ley de Servicios de la Sociedad de la Información y de Comercio
Electrónico
Su finalidad es la protección de los derechos de los consumidores de servicios contratados a través de
Internet. Para ello impone una serie de obligaciones tanto a las empresas y particulares que prestan
servicios en internet y a los que venden productos.
Distingue entre:
❖ Prestadores de servicios de intermediación que son las empresas que brindan conexión a
Internet a sus clientes (ISP o Internet Service Providers), los prestadores de servicios de
alojamiento de datos y los buscadores y proveedores de enlaces.
❖ Empresas y ciudadanos que utilicen la red para fines comerciales o lucrativos.
14. LSSI
Excluye:
❖ Notarios
❖ Los registros mercantiles y de la propiedad, en su función pública.
❖ Los abogados y procuradores, en sus funciones de representación y defensa en un juicio.
Afecta:
❖ Empresas y autónomos con páginas web.
❖ Tiendas online o que realicen contratos de servicios con clientes, siempre y cuando estas
actividades tengan fines lucrativos.
❖ Toda actividad económica que utilice internet de alguna forma, por ejemplo: páginas
financiadas con publicidad, patrocinios, comunicaciones comerciales, buscadores y páginas de
enlaces.
15. LSSI - ¿Qué hay que hacer para cumplirla?
En general
❖ Recabar consentimiento en comunicaciones comerciales (email, SMS, redes
sociales, etc.).
❖ Cumplir la LOPD.
❖ Facilitar derechos ARCO.
❖ Marcar el mensaje como publicidad.
16. LSSI - ¿Qué hay que hacer para cumplirla?
Si tenemos un portal o tienda online tenemos que identificarnos:
❖ Denominación social, NIF, dominio social, email y datos de inscripción
registral.
❖ Si es necesario, códigos de conducta a los que estemos adheridos, datos de
colegiación o titulación académica.
❖ Si vendemos productos: los precios de los productos, especificando
impuestos y gastos de envío
17. LSSI - ¿Qué hay que hacer para cumplirla?
Si nuestra página web utiliza cookies propias. Ley de cookies:
❖ Pedir el consentimiento del usuario para poder instalarlas en su equipo.
❖ Informarles en caso de utilizar cookies de terceros.
❖ Una buena práctica es incluir la Política de Cookies o un apartado en el Aviso
Legal.
18. LSSI - ¿Qué hay que hacer para cumplirla?
Si ofrecemos contratación de servicios online:
❖ Los trámites a seguir por el usuario para «celebrar» el contrato.
❖ Si almacenaremos el documento electrónico y si estará disponible
posteriormente para su descarga por parte de nuestro cliente
❖ Los medios técnicos disponibles para corregir datos erróneos durante la
contratación.
❖ Las lenguas en las que podrá formalizarse el contrato.
❖ Las condiciones generales a que debe sujetarse el contrato
19. LPI - Ley de propiedad intelectual
❖ Nace de la necesidad de proteger las obras de propiedad intelectual abarcando
cualquier tipo de creación literaria, artística o científica fruto de nuestra actividad
empresarial.
❖ Se encuentra en constante evolución.
❖ No se trata de una ley con puntos concretos que deban cumplir las empresas
españolas.
➢ Establece un marco para que empresas y ciudadanos puedan registrar sus obras.
➢ Proporciona herramientas para perseguir las actividades delictivas sobre estas obras.
20. LPI - Tendremos que ...
❖ No utilizar obras protegidas sin pagar los derechos a los autores, (software, textos,
imágenes, videos y otras creaciones, incluidas las creaciones que contratemos a
terceros).
❖ Proteger los derechos de las creaciones propias o de los empleados.
➢ Los contratos con empleados han de celebrarse por escrito, respetando siempre el
derecho del creador de reconocerse como autor real de la obra.
➢ Si no hubiera contrato se supone una cesión tácita del empleado de la explotación por
dos años y sólo para la actividad empresarial de la empresa.
21. LPI - Recomendaciones
❖ Documentar en la normativa interna la prohibición de utilizar software sin la
adecuada licencia, así como el compromiso de la dirección de velar por su
cumplimiento.
❖ Proporcionar a los empleados todo aquel software (con sus licencias
pertinentes) que necesiten para desarrollar su trabajo. No tiene sentido que
exijamos a nuestros empleados que no instalen software ilegal si en
ocasiones les proporcionamos copias de programas de los que no tenemos
licencia.
❖ Disponer de un inventario automatizado de software instalado en los
equipos de los usuarios para revisar periódicamente que no existe software
ilegal o que no se excede del número de licencias instaladas.
❖ Revisar las licencias de uso de los distintos programas para asegurarse de
que no se están utilizando licencias destinadas al uso doméstico en un
entorno laboral.
❖ Restringir la instalación de software por parte de los usuarios.
❖ Monitorizar las cuotas de disco en busca de ficheros y
carpetas especialmente grandes (música o películas).
❖ Monitorizar la red y su ancho de banda para detectar el uso
de programas de compartición de ficheros no autorizados.
❖ Filtrar las páginas web de descarga directa.
❖ Limitar el uso de puertos USB para conectar memorias
externas.
❖ Monitorizar el uso que se haga de impresoras,
fotocopiadoras y unidades de grabación de discos
compactos (CD, DVD, BluRay, etc.).
❖ Guardar en lugar seguro las licencias del software
adquirido.
❖ Pagar los derechos (copyright) y reconocer la autoría en
cualquier caso por los textos, imágenes y documentos
multimedia que utilicemos si no son propios ni están sujetos
a licencias Creative Commons