Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
1 recomendación797 vistas
El documento resume los principales aspectos de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) en España. Establece los principios básicos de protección de datos como la calidad, derecho a la información, consentimiento y seguridad. Define conceptos clave como dato personal, fichero, responsable y encargado del tratamiento. También describe los derechos de los ciudadanos y las obligaciones de las empresas en el tratamiento y transferencia de datos personales, así como las sanciones aplicables.
![Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]](https://image.slidesharecdn.com/ponenciaaspectoslegalesseguridadtucamonmododecompatibilidad-120320084039-phpapp02/85/Ponencia-aspectos-legales-seguridad-tucamon-modo-de-compatibilidad-1-320.jpg)
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
- 3. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Principios de la protección de datos • Calidad de la información (los datos deben ser adecuados, pertinentes y no excesivos en relación a la finalidad) • Derecho de información en la recogida (de modo expreso, preciso e inequívoco) • Consentimiento del afectado (salvo que la ley disponga otra cosa) • Seguridad de los datos (responsable y encargado del tratamiento observarán las medidas oportunas) • Deber de secreto (aún después de finalizar la relación con el afectado)
- 4. Ley Orgánica 15/1999, de Protección de Datos (LOPD) • Dato personal: aquel que identifique a la persona o la haga identificable (nombre, telf., IP, imagen, voz) • Fichero: Conjunto organizado de datos, con estructura y orden suficiente para localizar a una persona, y que está orientado a una finalidad • Responsable del fichero: Persona física o jurídica que decide sobre la finalidad de un tratamiento • Encargado del tratamiento: Tercero que accede a la información que custodia el responsable, para realizar un trabajo por cuenta de éste. ¡Ojo a la anulación de la excepción domestica!
- 5. Ley Orgánica 15/1999, de Protección de Datos (LOPD) • Cesión de datos: Transferencia de datos a una tercera persona (el cesionario), para otra finalidad • Recabar consentimiento, salvo excepciones por ley • Cesionario debe informar en primera comunicación • Transferencias internacionales: • Muy común en servicios “cloud computing” • Supuestos permitidos: • País con nivel de protección equiparable • Consentimiento del interesado • Excepciones del art. 34 LOPD • Autorización del Director de la AEPD Ley española es una de las más garantistas y exigentes del mundo!
- 6. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Tres niveles de protección • Básico: datos personales básicos • Medio: datos financieros y patrimoniales, perfil y personalidad • Alto: salud, religión, afiliación sindical, origen racial Aplicación medidas legales, organizativas y técnicas distintas … y acumulativas Desarrollo de las medidas en Real Decreto 1720/2007
- 7. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Inscripción del fichero en la AEPD ¡Antes de iniciar el tratamiento! • Identificar al responsable y al encargado de tratamiento principal • Dirección ante la que ejercer derechos ARCO • Nombre del fichero y su/s finalidad/es • Origen/procedencia de los datos • Tipo de datos y nivel de seguridad • Indicar si se prevén cesiones y transferencias internacionales
- 8. Ley Orgánica 15/1999, de Protección de Datos (LOPD) El Documento de Seguridad (De obligado cumplimiento para todo responsable de fichero) • Ámbito de aplicación (ficheros, personas y sistemas) • Medidas, normas y procedimientos para garantizar la seguridad • Funciones y obligaciones del personal …y sanciones por incumplimiento • Estructura del fichero y descripción de los sistemas de información • Importante: relación de los encargados del tratamiento
- 9. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Política de privacidad Se enlazará en nuestro sitio web o servicio de red social Informará principalmente acerca de: • Identidad del responsable • Finalidad/es del fichero • Ejercicio de derechos ARCO • Cesiones
- 10. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Régimen sancionador • Infracciones leves (900 a 40.000 €) Ejemplo: no inscribir el fichero en la AEPD • Infracciones graves (40.001 a 300.000 €) Ejemplo: Tratar los datos sin consentimiento cuando sea necesario • Infracciones muy graves (300.001 a 600.000 €) Ejemplo: Recogida de datos de forma engañosa o fraudulenta
- 11. Corporate compliance ISO 2700x Familia de estándares definidos por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) Es un conjunto de buenas prácticas para la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI)
- 12. Corporate compliance ISO/IEC 27001 Sistema de certificación para empresas que buscan acreditar la adopción de un SGSI La información como activo de la organización (análisis y tratamiento del RIESGO) Atiende a las buenas prácticas descritas en la ISO 27002 Basada en el concepto de “mejora continua” (Plan -> Do -> Check -> Act)
- 13. Corporate compliance ISO/IEC 27002 Catálogo de buenas prácticas para la implementación de un SGSI No es certificable. Se certifica la ISO/IEC 27001 Contiene 11 dominios, 39 objetivos de control y 133 controles Gran relación con las medidas de seguridad del RD 1720/2007
- 15. Corporate compliance COBIT (Control Objectives for Information and related Technology) Diseñado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA) Es un marco de gobierno TI que busca el alineamiento estratégico entre el negocio y la tecnología. “Acercar la tecnología a la Dirección” Integra otro estándares de gobierno TI como ITIL o ISO 27002
- 16. Ámbito penal Delitos relacionados con la seguridad
- 17. Delitos informáticos Código penal español Se da especial relevancia al impacto y gravedad por utilizar medios de comunicación masivos (como es Internet) Reforma 2010. Ley Orgánica 5/2010 Responsabilidad penal de las persona jurídicas (empresas) • Cuando el delito es cometido por cuenta de la empresa • Cuando es cometido por el empleado, y la empresa no hubiera ejercido el control pertinente En diferentes tipos de delito relacionados con la red (estafa, descubrimiento y revelación de secretos, contra la propiedad intelectual e industrial)
- 18. Delitos informáticos Usurpación del estado civil (art. 401 CP) Vulgarmente conocido como “suplantación de identidad” Muy común en redes sociales. Suele ir acompañado de campañas de desprestigio y atentados contra la reputación, o de estafas electrónicas Para constituir delito debe suplantarse a una persona real Pena de entre 6 meses y 3 años de prisión Además, puede constituir una infracción administrativa por vulnerar la LOPD. No se aplica la “excepción domestica”
- 19. Delitos informáticos Estafa electrónica (art. 248 CP) Actos engañosos con el objetivo de transferir bienes del estafado al estafador. Se genera error en el conocimiento de la victima. Varios ejemplos: cartas nigerianas, ofertas de compraventa de vehículos, phising, comunicación de herencias. Pena de entre 6 meses y 3 años de prisión. Hasta 6 años si se acompaña de suplantación de firma o se aprovecha familiaridad.
- 20. Delitos informáticos Descubrimiento y revelación de secretos (arts. 197 y 278 CP) Descubrir secretos o vulnerar la intimidad de otro sin su consentimiento, apropiándose de sus documentos o interceptando sus telecomunicaciones. Apoderarse de datos de carácter personal para perjudicar a su titular. Pena de entre 1 a 4 años de prisión. Entre 2 y 5 años si se revelan a terceros. Desde la reforma del CP 2010, también penado el mero acceso no consentido (hacking directo). Pena de entre 6 meses a 2 años.
- 21. Delitos informáticos Atentados contra el honor (arts. 205 y 208 CP) Injuria: “la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación” Sólo constituye delito si es considerada grave. La imputación de hechos no se considera grave. Calumnia: “la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad” Art. 212 CP: Responsabilidad solidaria del responsable del medio
- 22. Delitos informáticos Contra la propiedad intelectual (art. 270 CP) Atentado contra los derechos reconocidos en la LPI (morales y patrimoniales) Algunas conductas delictivas: plagio, fabricación de dispositivos que eliminen la protección, venta de obras protegidas. Por lo general, NO hay delito si no existe ánimo de lucro o si no perjudica a terceros Pena de entre 6 meses y 2 años de prisión y multa económica
- 23. Delitos informáticos Contra la propiedad industrial (art. 274 CP) En relación con la Ley 17/2001, de Marcas (art. 40 LM). Utilizar en el tráfico económico, sin el consentimiento del titular, un signo distintivo registrado (marca o nombre comercial) idéntico o confundible. Pena de entre 6 meses y 2 años de prisión y multa de 6 a 24 meses.
- 24. Delitos informáticos Delito de daños informáticos (art. 264 CP) “El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.”
- 25. Reclamación por la vía civil Código civil Art. 1902 El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado. Art. 1903 Los padres son responsables de los daños causados por los hijos que se encuentren bajo su guarda. Lo son igualmente los dueños o directores de un establecimiento y empresa respecto de los perjuicios causados por sus dependientes. Art. 1904 El que paga el daño causado por sus dependientes puede repetir de éstos lo que hubiese satisfecho.
- 26. Muchas gracias [email protected] @miguel_abeledo Miguel Angel Abeledo