Legislación sobre seguridad y protección de datos 2019, Trabajo para la asignatura de Seguridad y Alta Disponibilidad de 2º de ASIR del IES Romero Esteo
2. INDICE
PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y
NUEVA LOPD
Define el concepto de dato de carácter personal y clasifícalo
Página 3
¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España?
Página 3
Introducción sobre qué es el Reglamento General de Proteccion de Datos
Página 5
Principales novedades de la nueva Ley Orgánica de Protección de Datos
Página 5
Tus derechos a la hora de proteger tus datos personales
Página 6
¿Qué supone la LOPD para el sector privado?
Página 6
¿Qué supone la LOPD para el sector publico?
Página 7
Enlaces a todos los formularios de la AGPD
Página 7
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
CCN-CERT, INTECO-CERT y IRIS-CERT
Página 8
La Familia de Normas ISO 27000.
Página 9
Bibliografía
Página 10
3. PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE
DATOS Y NUEVA LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos
que creas convenientes e indica, además, algún ejemplo de dato que no sea considerado
de carácter personal.
Cualquier información numerica, alfabetica, gráfica, fotográfica, acustica o de cualquier otro tipo
concerniente a personas físicas identificadas o identificables.
Ejemplos, una firma, una fotocopia del Dni, nombres y apellidos, un numero de telefono o una
direccion de correo electronico.
Existen diferentes categorías de datos, por ejemplo:
•De identificación (nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, fecha de
nacimiento, edad, nacionalidad, estado civil, etc.);
•Laborales (puesto, domicilio, correo electrónico y teléfono del trabajo)
•Patrimoniales (información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.)
•Académicos (trayectoria educativa, título, número de cédula, certificados, etc.)
•Ideológicos (creencias religiosas, afiliación política y/o sindical, pertenencia a organizaciones de la
sociedad civil y/o asociaciones religiosas
•De salud (estado de salud, historial clínico, enfermedades, información relacionada con cuestiones
de carácter psicológico y/o psiquiátrico, etc.)
•Características personales (tipo de sangre, ADN, huella digital, etc.)
•Características físicas (color de piel, iris y cabellos, señales particulares, etc.)
•Vida y hábitos sexuales, origen (étnico y racial.); entre otros.
Los datos relativos a una persona jurídica (domicilio, denominación social, CIF, etc.) no tienen la
consideración de datos de carácter personal,
2, ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España?
Indica, además, todos sus datos postales y de contacto.
La Agencia Española de Protección de Datos entra la normativa española como el órgano de control
y fiscalización del cumplimiento de la Ley Orgánica de Protección de Datos, no obstante es visto
hacia el exterior como un órgano básicamente sancionador.
La Agencia Española de Protección de Datos es un ente de derecho público con personalidad
jurídica propia y plena capacidad pública y privada, que actua con plena independencia de las
administraciones públicas en el ejercicio de sus funciones.
Son funciones de la Agencia Española de Protección de Datos:
•Velar por el cumplimiento de las legislación sobre protección de datos y controlar su aplicación en
lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
•Emitir las autorizaciones previstas en la ley o en el Reglamento
4. •Dictar en su caso a las instrucciones precisas para adecuar los tratamientos a los principios de la ley
•Atender las peticiones y reclamaciones formuladas por las personas afectadas
•Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los
datos de carácter personal
•Requerir a los responsables y los encargados de los tratamientos, previa audiencia a estos, la
adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones
legales, y en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros,
cuando no se ajuste a las disposiciones legales
•Ejercer la potestad sancionadora
•Recabar de los responsables de ficheros cuánta ayuda información estime necesaria para el
desempeño de sus funciones
•Redactar una memoria anual y remitirlo al Ministerio de Justicia
•Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos
internacionales de datos, así como desempeñar las funciones de cooperación internacional en
materia de protección de datos personales
•Administrar y gestionar el Registro General de Protección de Datos
Número de teléfono +34-913-99-62-00
Nombre oficial
Agencia Española de Protección de
Datos
Ubicación de la sede Calle de Jorge Juan
Nombre corto AEPD
Nombre de usuario en Twitter aepd_es
Código postal 28001
Número de fax +34-914-55-56-99
Fecha de fundación o creación 1994
Correo electrónico
mailto:prensa@agpd.es
mailto:internacional@agpd.es
5. 3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo
que indique cuándo debe ser aplicado y cuándo no.
El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la
protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la
libre circulación de estos datos. Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de
mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las
instituciones han debido ir adaptándose para su cumplimiento. Es una normativa a nivel de la Unión
Europea, por lo que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la
Unión Europea, que manejen información personal de cualquier tipo deberán acogerse a la misma.
Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.
Cuándo se aplica el Reglamento:
Una empresa con un establecimiento en la UE ofrece servicios de viaje a clientes de los países
bálticos y, en ese contexto, trata datos personales de personas físicas.
Cuándo no se aplica el Reglamento
Una persona utiliza su propia libreta de direcciones para invitar por correo electrónico a amigos a
una fiesta que está organizando (excepción doméstica).
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos
y garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula? ¿nuevos
deberes, derechos, obligaciones?
Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante
los cuales las empresas, las organizaciones, los organismos y las instituciones han debido ir
adaptándose para su cumplimiento
Los obligados al cumplimiento de las estipulaciones contenidas en el nuevo Reglamento europeo de
protección de datos son las organizaciones, empresas, entidades y autónomos que hagan uso de los
datos personales a nivel comercial dentro de la Unión Europea y también fuera, siempre y cuando
ofrezcan servicios a consumidores o usuarios que estén dentro de la UE.
Hay tres novedades: la responsabilidad activa y los mecanismos para llevarla a cabo: el análisis de
riesgos y la evaluación de impactos; la figura del delegado de protección de datos; y los nuevos
derechos que otorga el Reglamento a los propietarios de datos.
La responsabilidad activa
Con esta nueva regulación, hemos pasado de una normativa que regulaba exhaustivamente los
criterios con los que tenías que cumplir: estableciendo la medidas de seguridad concretas, el modo
de obtener el consentimiento,etc. a una responsabilidad activa, que no es más que el reflejo de la
evolución que está tomando la sociedad a nivel tecnológico. El nuevo Reglamento considera que
quien es el responsable de del tratamiento de los datos tiene que poner las medidas que considere
oportunas para la protección de los mismos.
El delegado de protección de datos
Se trata de una figura no obligatoria en todas las sociedades, pero si en entidades públicas. En
concreto, es obligatoria para aquellas organizaciones que traten con categorías especiales de datos
personales a gran escala (ej: hospitales) o responsables que realicen una monitorización continua de
6. datos de carácter personal (ej: empresas de vigilancia)
Derechos de los propietarios de los datos
Con el nuevo reglamento se añaden dos derechos más: el derecho a exigir la portabilidad de tus
datos, a retirarlos y pasarlos a otro responsable del tratamiento. Además de los derechos ARCO que
ya teníamos, el nuevo reglamento añade el derecho de portabilidad y el de limitación al tratamiento.
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus
datos personales?
1. Derecho a conocer:
• Para qué utilizan tus datos (Quién los tiene, para qué los tienen, a quién los pueden ceder, quienes
son sus destinatarios)
• El plazo de conservación de tus datos o hasta cuando van a ser utilizados
• Que puedes presentar una reclamación ante la Agencia Española de Protección de Datos
• La existencia de decisiones automatizadas, la elaboración de perfiles y sus consecuencias
2. Derecho a solicitar al responsable:
• La suspensión del tratamiento de tus datos
• La conservación de tus datos
• La portabilidad de tus datos a otros proveedores de servicios
3. Derecho a rectificar tus datos personales:
• Cuando sean inexactos
• Cuando estén incompletos
4. Derecho a suprimir tus datos personales:
• Por tratamiento ilícito de datos
• Por la desaparición de la finalidad que motivó el tratamiento o recogida
• Cuando revocas tu consentimiento
• Cuando te opones a que se traten
5. Derecho de oposición al tratamiento de tus datos:
• Por motivos personales, salvo que quien trata tus datos acredite un interés legítimo
• Cuando el tratamiento tenga por objeto el marketing directo.
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado?
Para adaptarse a la normativa, hay que empezar informando sobre la recogida de datos que se
realiza. La legislación impide su acumulación sin sentido, por lo que se debe justidicar por qué se
han reunido los datos, y cuál es su fin en la actividad que ejerce la empresa. Además, si se pide
consetimiento para que los datos sean tratados (es decir, utilizados o cedidos), la compañía tiene que
solicitar una autorización que certifique que el permiso se reclama inequívocamente. El RGPD, por
otra parte, requiere la firma de un contrato con los proveedores que acceden a los datos; notificar las
violaciones de la protección; efectuar Evaluaciones de Impacto en casos de peligro concreto; la
realización de un informe de riesgos con medidas de seguridad; y la elaboración de un registro de
actividades de tratamiento (qué se hace con ellos).
Este último documento sustituirá a los habituales ficheros que las empresas debían presentar en la
Agencia Española de Protección de Datos (AEPD), y que incluían datos de carácter personales. A
partir de ahora, mantendrán esta obligación las compañías con más de 250 trabajadores o las que
pertenezcan a sectores especiales como el sanitario o el ideológico. Otra de las medidas de
7. aplicación ineludible sólo para determinadas empresas es la figura del delegado de protección de
datos.
Será el encargado de coordinar la política de protección de datos dentro de la compañía (aunque
podrá contratarse mediante un servicio externo) y de relacionarse con la AEPD. La norma exige que
cuenten con un delegado las entidades públicas; las privadas destinadas a actividades con
información sensible como la sexual o los antecedentes penales; o las que establezcan perfiles,
modelos de comportamiento, o a fidelicen consumidores a través del seguimiento de los usuarios en
internet a gran escala.
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público?
Publicación del Registro de actividades de tratamiento del órgano u organismo del Sector Público.
Obligación de información a los ciudadanos sobre el ejercicio de sus derechos.
Potestad de verificación de los datos personales de los ciudadanos
Nueva regulación de la aportación de documentación por parte de los ciudadanos: modificación del
artículo 28 de la Ley 39/2015
Notificación de actos administrativos: identificación de los ciudadanos
Comunicación de datos personales de los administrados a sujetos privados
Designación de un Delegado de Protección de Datos (DPD) y comunicación de la designación a la
AEPD
Intervención del Delegado de Protección de Datos en la resolución de reclamaciones en el Sector
Público
Mayor transparencia de las sanciones impuestas al Sector Público
Tratamiento de datos personales en la notificación de incidentes de seguridad
Registros de personal del sector público: legitimación del tratamiento
Derechos de los empleados públicos: mayor intimidad
Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de datos personales
Tratamiento de datos personales por concesionarios de servicios públicos
Educación para la digitalización
Tratamiento de datos personales en investigación sanitaria
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder ejercer
tus derechos con respecto al tratamiento de tus datos de carácter personal.
Derecho de Acceso:
https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf
Derecho a saber que datos tuyos tienen y para que se usan
Ejercicio de oposicion:
https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf
Oponerte al uso de los datos para cierto uso
Ejercicio de supresion:
https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf
Eliminar tus datos de las bases de datos
8. SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
9. Indica qué son y de qué se encargan los siguientes organismos españoles relacionados
con la seguridad de la información: a. CCN-CERT (https://www.ccn-cert.cni.es ) b.
INTECO-CERT (http://cert.inteco.es ) c. IRIS-CERT (https://www.rediris.es/cert )
¿por qué todos se llaman CERT?
El Centro Criptológico Nacional Computer Emergency Response Team, también conocido por su
sigla CCN–CERT, es el organismo español, creado en 2006, encargado de contribuir a la
ciberseguridad de la administración pública, los organismos público y empresas estratégicas del
país. CCN-CERT depende directamente del Centro Criptológico Nacional, del que toma parte del
nombre.
INCIBE-CERT/ INTECO-CERT es el centro de respuesta a incidentes de seguridad de referencia
para los ciudadanos y entidades de derecho privado en España operado por INCIBE tras la
aprobación por parte del Gobierno del Real Decreto-ley para la trasposición de la Directiva NIS. En
el caso de la gestión de incidentes que afecten a operadores críticos del sector privado, INCIBE-
CERT está operado conjuntamente por INCIBE y CNPIC, Centro Nacional de Protección de
Infraestructuras y Ciberseguridad del Ministerio del Interior.
INCIBE-CERT es uno de los equipos de respuesta de referencia ante incidentes que se coordina con
el resto de los equipos nacionales e internacionales para mejorar la eficacia en la lucha contra los
delitos que involucran a las redes y sistemas de información, reduciendo sus efectos en la seguridad
pública.
El IRIS-CERT creado en 1994, cuyo colaboradores son los mismos que el esCERT. Está orientado a
la comunidad científica, por ello depende del Ministerio de Ciencia y Tecnología. RIS-CERT es
miembro del FIRST desde el 11 de febrero de 1997. Actualmente participa activamente en el Task
Force auspiciado por TERENA, TF-CSIRT, para promover la cooperación entre CSIRTs en Europa.
Los productos y servicios del esCERT e IRIS-CERT incluyen asistencia técnica 24 horas al día para
responder a problemas o incidentes informáticos, asistencia sobre vulnerabilidad de productos,
documentos técnicos y cursos de formación. Además mantiene listas de correo y ofrece un servidor
de FTP anónimo.
Los tres forman parte del CERT Computer Emergency Response Team, que es un centro de
respuesta a incidentes de seguridad en tecnologías de la información , formado por expertos para
crear medidas preventivas y protocolos de respuesta ante estos incidentes
9. 10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que
expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007.
A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en
fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la
información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
ISO/IEC 27000
Proporciona una visión general de las normas que componen la serie
27000, indicando para cada una de ellas su alcance de actuación y el
propósito de su publicación. Recoge todas las definiciones para la serie de
normas 27000 y aporta las bases de por qué es importante la implantación
de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de
la Información, una breve descripción de los pasos para el
establecimiento, monitorización, mantenimiento y mejora de un SGSI
ISO/IEC 27001
Es la norma principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Es la norma con arreglo a la cual
se certifican por auditores externos los SGSIs de las organizaciones.
ISO/IEC 27002
Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información. No es
certificable. Contiene 39 objetivos de control y 133 controles, agrupados
en 11 dominios.
ISO/IEC 27003
Es una guía que se centra en los aspectos críticos necesarios para el
diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC
27001. Describe el proceso de especificación y diseño desde la
concepción hasta la puesta en marcha de planes de implementación, así
como el proceso de obtención de aprobación por la dirección para
implementar un SGSI.
ISO/IEC 27004
Es una guía para el desarrollo y utilización de métricas y técnicas de
medida aplicables para determinar la eficacia de un SGSI y de los
controles o grupos de controles implementados según ISO/IEC 27001.
ISO/IEC 27005
Proporciona directrices para la gestión del riesgo en la seguridad de la
información. Apoya los conceptos generales especificados en la norma
ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria
de la seguridad de la información basada en un enfoque de gestión de
riesgos.
ISO/IEC 27006
Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información.
ISO/IEC 27007
Es una guía de auditoría de un SGSI, sistema de gestión de la seguridad
de la información, como complemento a lo especificado en ISO 19011.
10. Bibliografía:
Manual De Formación En Proteccion de Datos para empresas nivel 1
Editor: Daboprodat S.L
ISBN-13: 978-84-614-7819-4
https://www.lopd-proteccion-datos.com/3-%C2%BFqu%C3%A9-es-un-dato-de-car%C3%A1cter-
personal
http://www.protecciondedatospersonales.org/2011/06/30/%C2%BFque-tipo-de-datos-personales-
hay/
https://es.wikipedia.org/wiki/Agencia_Espa%C3%B1ola_de_Protecci%C3%B3n_de_Datos
https://es.wikipedia.org/wiki/Reglamento_General_de_Protecci%C3%B3n_de_Datos
https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-
regulation-gdpr-govern_es
https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf
https://www.asociacion-eurojuris.es/derechos-para-proteger-tus-datos-personales/
https://www.aepd.es/media/docs/novedades-lopd-sector-privado.pdf
https://www.aepd.es/media/docs/novedades-lopd-sector-publico.pdf
https://www.aepd.es/media/docs/novedades-lopd-ciudadanos.pdf
https://es.wikipedia.org/wiki/Centro_Criptol
%C3%B3gico_Nacional_Computer_Emergency_Response_Team
https://es.wikipedia.org/wiki/EsCERT_e_IRIS-CERT
https://es.wikipedia.org/wiki/Instituto_Nacional_de_Ciberseguridad
http://www.iso27000.es/iso27000.html
https://es.wikipedia.org/wiki/ISO/IEC_27000