Práctica final sobre seguridad y protección de datos de francisco javier redondo moya. 2ºASIR 2018-2019 IES ROMERO ESTEO

1. Página Nº1
Práctica final
Legislación sobre seguridad y
protección de datos
REDONDO MOYA, FRANCISCO JAVIER
2ºASIR

2. Página Nº2
ÍNDICE
PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y NUEVA LOPD 3
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los ejemplos
que creas convenientes e indica, además, algún ejemplo de dato que no sea considerado
de carácter personal. 3
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de España? Indica,
además, todos sus datos postales y de contacto. 4
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL DE PROTECCIÓN
DE DATOS y qué es lo que regula. Escribe, además, algún ejemplo que indique cuándo
debe ser aplicado y cuándo no. 5
4. Explica las principales novedades de la nueva Ley Orgánica de Protección de Datos y
garantía de los derechos digitales: ¿desde cuándo está activa? ¿qué regula? ¿nuevos
deberes, derechos, obligaciones? 6
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de proteger tus datos
personales? 7
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector privado? 8
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector público? 9
8. Explica y especifica los enlaces a todos los formularios de la AGPD para poder ejercer
tus derechos con respecto al tratamiento de tus datos de carácter personal. 10
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD 12
9. Indica qué son y de qué se encargan los siguientes organismos españoles relacionados
con la seguridad de la información: 12
a. CCN-CERT (https://www.ccn-cert.cni.es ) 12
b. INTECO-CERT (http://cert.inteco.es ) 12
c. IRIS-CERT (https://www.rediris.es/cert ) 13
¿Por qué todos se llaman CERT? 13
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una tabla en la que
expliques brevemente todas las normas ISO/IEC 27000 a ISO/IEC 27007 14
Bibliografía 15

3. Página Nº3
PRIMERA PARTE: REGLAMENTO GENERAL DE PROTECCIÓN DE
DATOS Y NUEVA LOPD
1. Define el concepto de dato de carácter personal y clasifícalo. Usa todos los
ejemplos que creas convenientes e indica, además, algún ejemplo de dato
que no sea considerado de carácter personal.
Dato de carácter personal: Es cualquier información que tenga algo que ver
con una persona que se pueda identificar.
Si esa persona ya no es identificable, los datos que tengan que ver con ella,
dejan de considerarse datos personales.
Por ejemplo:
- El nombre y los apellidos.
- El domicilio.
- Un correo electrónico personal.
- El DNI.
- Teléfono móvil.
Ejemplo de lo que no es un dato de carácter personal:
- El modelo de un coche.
- La URL de una pagina web.

4. Página Nº4
2. ¿Qué son las autoridades de protección de datos (APD)? ¿Cuál es la de
España? Indica, además, todos sus datos postales y de contacto.
Las APD son autoridades públicas que supervisan mediante su capacidad de
investigación y corrección que se aplique la legislación sobre protecciones
de datos.
En España tenemos la AEPD - https://www.aepd.es/
Agencia de Protección de Datos
C/Jorge Juan, 6
28001 Madrid
Tel. +34 91399 6200
Fax +34 91455 5699
e-mail: internacional@aepd.es
El nombre de su director es : Ms María del Mar España Martí

5. Página Nº5
3. Escribe una breve introducción sobre qué es el REGLAMENTO GENERAL
DE PROTECCIÓN DE DATOS y qué es lo que regula. Escribe, además, algún
ejemplo que indique cuándo debe ser aplicado y cuándo no.
Es un documento que regula el tratamiento que realizan
personas,compañías, empresas de los datos personales que tengan
relación con los ciudadanos de la Unión Europea.
No es aplicable al tratamiento de los datos personales de las personas que
ya hayan fallecido o sean jurídicas (Persona jurídica es un individuo con
derechos y obligaciones que existe, pero no como persona, sino como
institución que es creada por una o más personas físicas para cumplir un
objetivo social que puede ser con o sin fines de lucro).
Tampoco es aplicable a los datos que trate alguna persona por motivos
personales o por alguna actividad doméstica que no tenga nada que ver
con su trabajo.
EJEMPLO DE CUANDO SI SE APLICARÍA:
- Una empresa quiere mandar emails a una serie de personas para
hacer publicidad.
EJEMPLO DE CUANDO NO SE APLICARÍA:
- Quiero mandarle un email a algún contacto mio de forma privada.

6. Página Nº6
4. Explica las principales novedades de la nueva Ley Orgánica de Protección
de Datos y garantía de los derechos digitales: ¿desde cuándo está activa?
¿qué regula? ¿nuevos deberes, derechos, obligaciones?
Esta ley entro en vigor el pasado 5 de diciembre de 2018.
Su objetivo es garantizar y proteger, en lo que tenga que ver con el
tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar.
Regula los derechos y las obligaciones de los ciudadanos, las empresas y el
sector publico deben tener con seguridad de los datos.
Algunos derechos:
- Derecho de acceso
- Derecho de rectificación
- Derecho de oposición
- Derecho de supresión ("al olvido")
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad
- Derecho a no ser objeto de decisiones individuales automatizadas
- Derecho de información
Algunas Obligaciones:
- Principio de Licitud, transparencia y lealtad
- Principio de Limitación de la finalidad
- Minimización de datos
- Principio de exactitud
- Integridad y confidencialidad

7. Página Nº7
5. De acuerdo con la nueva LOPD, ¿Cuáles son tus derechos a la hora de
proteger tus datos personales?
- Derecho a conocer el registro de actividades de tratamiento de
datos personales de las organizaciones públicas.
- Derecho de los ciudadanos a ser informados sobre el ejercicio de
sus derechos.
- Verificación de datos personales de los ciudadanos por los
órganos y organismos del Sector Público.
- Derecho al olvido en redes sociales y otros servicios equivalentes.
- Derecho a la intimidad de los empleados en el lugar de trabajo
frente al uso de dispositivos de videovigiláncia y de grabación de
sonidos, así como frente al uso de los dispositivos digitales y
sistemas de geolocalización, de los que deberán ser informados
de manera expresa, clara e inequívoca.
- Limitación de la actividad publicitaria de las empresas: las “listas
Robinson”.
- Identificación de los ciudadanos en los actos administrativos.

8. Página Nº8
6. De acuerdo con la nueva LOPD, ¿Qué supone esta ley para el sector
privado?
Para el sector privado, aunque no entre dentro de su apartado, es muy
importante el derecho de los ciudadanos: Limitación de la actividad
publicitaria de las empresas: las “listas Robinson”. Ya que a partir de esta
lista, no podrán publicitarse como muchas empresas lo hacían antes.
Las organizaciones están obligadas a comunicar a los ciudadanos los
aspectos más importantes del tratamiento de sus datos, dejando claro
quién trata los datos, con qué base jurídica para que se van a utilizar, y y
como se ejercen los derechos de acceso, rectificación, supresión, limitación
del tratamiento, portabilidad, oposición y decisiones automatizadas,
incluida la elaboración de perfiles.

9. Página Nº9
7. De acuerdo con la nueva LOPD, ¿Cuáles son las obligaciones para el sector
público?
Publicación del Registro de actividades de tratamiento del órgano u organismo
del Sector Público
Obligación de información a los ciudadanos sobre el ejercicio de sus derechos
Potestad de verificación de los datos personales de los ciudadanos
Nueva regulación de la aportación de documentación por parte de los
ciudadanos: modificación del artículo 28 de la Ley 39/2015
Notificación de actos administrativos: identificación de los ciudadanos
Comunicación de datos personales de los administrados a sujetos privados
Designación de un Delegado de Protección de Datos (DPD) y comunicación de
la designación a la AEPD
Intervención del Delegado de Protección de Datos en la resolución de
reclamaciones en el Sector Público
Mayor transparencia de las sanciones impuestas al Sector Público
Tratamiento de datos personales en la notificación de incidentes de seguridad
Registros de personal del sector público: legitimación del tratamiento
Derechos de los empleados públicos: mayor intimidad
Adaptación a la Ley Orgánica de los contratos de encargo de tratamiento de
datos personales
Tratamiento de datos personales por concesionarios de servicios públicos
Educación para la digitalización
Tratamiento de datos personales en investigación sanitaria

10. Página Nº10
8. Explica y especifica los enlaces a todos los formularios de la AGPD para
poder ejercer tus derechos con respecto al tratamiento de tus datos de
carácter personal.
https://www.aepd.es/media/formularios/formulario-derecho-de-
acceso.pdf
Este enlace nos lleva a un formulario donde podemos ejercer nuestro
derecho frente a un responsable del tratamiento de datos de carácter
personal.
En el nos pide los datos del responsable de tratamiento y los del afectado,
donde le pediremos cierta información sobre los datos del afectado.
https://www.aepd.es/media/formularios/formulario-derecho-de-
rectificacion.pdf
En este formulario podremos rectificar los datos personales que no sean
exactos y que nos notifiquen de forma escrita cuando estos hayan sido
rectificados.
https://www.aepd.es/media/formularios/formulario-derecho-de-
oposicion.pdf
En este formulario podemos oponernos a que el responsable del
tratamiento de datos usen nuestros datos con fines públicos o de uso
legítimo.
https://www.aepd.es/media/formularios/formulario-derecho-de-
supresion.pdf
En este formulario podemos solicitar la supresión de algunos datos si estos
ya no son necesarios en relación al uso cuando fueron recogidos, si retiras
el consentimiento de uso de esos datos que diste, si has usado tu derecho
de oposición , si han sido tratados ilícitamente...

11. Página Nº11
https://www.aepd.es/media/formularios/formulario-derecho-de-
limitacion.pdf
En este formulario puedes limitar el uso de los datos que haga el
responsable cuando impugnes la exactitud de tus datos personales, cuando
te hayas opuesto al tratamiento de los datos personales o cuando el
responsable ya no necesite tus datos personales.
https://www.aepd.es/media/formularios/formulario-derecho-de-
portabilidad.pdf
En este formulario puedes reforzar el control de tus datos personales de
forma que si el tratamiento se efectúa automaticamente, recibas tus datos
personales y puedas enviarlos a otro responsable del tratamiento.
https://www.aepd.es/media/formularios/formulario-derecho-de-
oposicion-decisiones-automatizadas.pdf
En este formulario puedes ejercer tu derecho a no ser objeto de decisiones
individualmente automatizadas, esto quiere decir que no permites que
sistemas automáticos manejen tus datos personales.

12. Página Nº12
SEGUNDA PARTE: LEGISLACIÓN Y NORMAS SOBRE SEGURIDAD
9. Indica qué son y de qué se encargan los siguientes organismos españoles
relacionados con la seguridad de la información:
a. CCN-CERT (https://www.ccn-cert.cni.es )
El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad
de la Información del Centro Criptológico Nacional, CCN, adscrito al
Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año
2006 como CERT Gubernamental Nacional español y sus funciones
quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD
421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero,
regulador del Esquema Nacional de Seguridad (ENS), modificado por
el RD 951/2015 de 23 de octubre.
El objetivo de este organismo es mejorar la ciberseguridad española,
siendo el centro de alerta y respuesta nacional que ayuda a
responder de forma rápida y eficiente a los ciberataques y afronta
de forma activa las ciberamenazas, apoyándose en el resto de
centros de operaciones de ciberseguridad existentes.
b. INTECO-CERT (http://cert.inteco.es )
https://www.incibe.es/
El Instituto Nacional de Ciberseguridad de España (INCIBE),
anteriormente Instituto Nacional de Tecnologías de la Comunicación,
es una sociedad dependiente del Ministerio de Economía y Empresa
a través de la Secretaría de Estado para el Avance Digital y
consolidada como entidad de referencia para el desarrollo de la
ciberseguridad y de la confianza digital de ciudadanos, red
académica y de investigación, profesionales, empresas y
especialmente para sectores estratégicos.
El INCIBE trabaja en mejorar la confianza digital, la ciberseguridad y
ayudar al mercado digital de manera que aumente el uso seguro del
ciberespacio en España.

13. Página Nº13
c. IRIS-CERT (https://www.rediris.es/cert )
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como objetivo
detectar los problemas que afectan a la seguridad de las redes de
centros de RedIRIS, así como actuar coordinadamente con dichos
centros para solucionar estos problemas. También se ayuda a
prevenir los problemas, avisando con tiempo de problemas
potenciales, ofreciendo asesoramiento a los centros, organizando
actividades de acuerdo con los mismos, y ofreciendo servicios
complementarios.
¿Por qué todos se llaman CERT?
Porque son Equipos de Respuesta ante Emergencias Informáticas, y
estas siglas lo indican.

14. Página Nº14
10. Explica qué son la Familia de Normas ISO 27000. Además, añade una
tabla en la que expliques brevemente todas las normas ISO/IEC 27000 a
ISO/IEC 27007
Son una serie de normas recogidas por la Organización Internacional de
Estandarización que facilitan un estándar para mejorar la gestión de la
seguridad de la información.
ISO 27001 Es la norma principal. Incluye todos los requisitos del Sistema
de Gestión de Seguridad de la Información en las
organizaciones.
ISO 27002 Es un manual que contiene los objetivos de control y las
pruebas que se deberían de hacer para asegurar la
información.
ISO 27003 Es un estándar internacional que contiene una guía para
implementar un Sistema de Gestión de Seguridad de la
Información.
ISO 27004 Es un estándar donde se especifica como se tiene que medir la
eficacia de un Sistema de Gestión de Seguridad de la
Información.
ISO 27005 Establece las diferentes instrucciones para la gestión de los
Riesgos en la Seguridad de la Información. Es un apoyo a ISO
27001.
ISO 27006 Especifica todos los requisitos para conseguir que nos
acrediten las entidades de auditoría y la certificación de
Sistema de Gestión de Seguridad de la Información.
ISO 27007 Es una guía para organismos de certificación acreditados,
auditores internos, auditores externos y otros auditores
contra la norma ISO 27001, es decir, auditar el Sistema de
Gestión para dar cumplimiento a la norma.

15. Página Nº15
Bibliografía
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_es
https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-are-data-protection-
authorities-dpas_es
https://www.aepd.es/media/docs/novedades-lopd-ciudadanos.pdf
https://www.aepd.es/blog/2019-01-30.html
https://www.ccn-cert.cni.es/
https://www.incibe.es/
https://es.wikipedia.org/wiki/Equipo_de_Respuesta_ante_Emergencias_Inform%C3%A1ticas
http://www.iso27000.es/
https://www.isotools.org/2015/01/21/familia-normas-iso-27000/
https://www.isotools.org/2018/03/05/la-norma-iso-iec-27000-va-a-ser-revisada/
https://www.aepd.es/reglamento/cumplimiento/index.html
https://www.aepd.es/reglamento/derechos/index.html
https://www.aepd.es/media/guias/guia-ciudadano.pdf
https://www.aepd.es/media/docs/novedades-lopd-sector-publico.pdf