3. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
Principios de la protección de datos
• Calidad de la información (los datos deben ser
adecuados, pertinentes y no excesivos en relación a
la finalidad)
• Derecho de información en la recogida (de modo
expreso, preciso e inequívoco)
• Consentimiento del afectado (salvo que la ley
disponga otra cosa)
• Seguridad de los datos (responsable y encargado
del tratamiento observarán las medidas oportunas)
• Deber de secreto (aún después de finalizar la
relación con el afectado)
4. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Dato personal: aquel que identifique a la persona o la haga
identificable (nombre, telf., IP, imagen, voz)
• Fichero: Conjunto organizado de datos, con estructura y orden
suficiente para localizar a una persona, y que está orientado a
una finalidad
• Responsable del fichero: Persona física o jurídica que decide
sobre la finalidad de un tratamiento
• Encargado del tratamiento: Tercero que accede a la
información que custodia el responsable, para realizar un trabajo
por cuenta de éste.
¡Ojo a la anulación de la excepción domestica!
5. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Cesión de datos: Transferencia de datos a una tercera persona
(el cesionario), para otra finalidad
• Recabar consentimiento, salvo excepciones por ley
• Cesionario debe informar en primera comunicación
• Transferencias internacionales:
• Muy común en servicios “cloud computing”
• Supuestos permitidos:
• País con nivel de protección equiparable
• Consentimiento del interesado
• Excepciones del art. 34 LOPD
• Autorización del Director de la AEPD
Ley española es una de las más garantistas y exigentes del mundo!
6. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
Tres niveles de protección
• Básico: datos personales básicos
• Medio: datos financieros y patrimoniales, perfil y personalidad
• Alto: salud, religión, afiliación sindical, origen racial
Aplicación medidas legales, organizativas y técnicas distintas
… y acumulativas
Desarrollo de las medidas en Real Decreto 1720/2007
7. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
Inscripción del fichero en la AEPD
¡Antes de iniciar el tratamiento!
• Identificar al responsable y al encargado de tratamiento principal
• Dirección ante la que ejercer derechos ARCO
• Nombre del fichero y su/s finalidad/es
• Origen/procedencia de los datos
• Tipo de datos y nivel de seguridad
• Indicar si se prevén cesiones y transferencias internacionales
8. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
El Documento de Seguridad
(De obligado cumplimiento para todo responsable de fichero)
• Ámbito de aplicación (ficheros, personas y sistemas)
• Medidas, normas y procedimientos para garantizar la seguridad
• Funciones y obligaciones del personal
…y sanciones por incumplimiento
• Estructura del fichero y descripción de los sistemas de información
• Importante: relación de los encargados del tratamiento
9. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
Política de privacidad
Se enlazará en nuestro sitio web o servicio de red social
Informará principalmente acerca de:
• Identidad del responsable
• Finalidad/es del fichero
• Ejercicio de derechos ARCO
• Cesiones
10. Ley Orgánica 15/1999, de Protección de Datos (LOPD)
Régimen sancionador
• Infracciones leves (900 a 40.000 €)
Ejemplo: no inscribir el fichero en la AEPD
• Infracciones graves (40.001 a 300.000 €)
Ejemplo: Tratar los datos sin consentimiento cuando sea
necesario
• Infracciones muy graves (300.001 a 600.000 €)
Ejemplo: Recogida de datos de forma engañosa o
fraudulenta
11. Corporate compliance
ISO 2700x
Familia de estándares definidos por la Organización Internacional para
la Estandarización (ISO) y la Comisión Electrotécnica Internacional
(IEC)
Es un conjunto de buenas prácticas para la implementación de un
Sistema de Gestión de la Seguridad de la Información (SGSI)
12. Corporate compliance
ISO/IEC 27001
Sistema de certificación para empresas que buscan acreditar la
adopción de un SGSI
La información como activo de la organización
(análisis y tratamiento del RIESGO)
Atiende a las buenas prácticas descritas en la ISO 27002
Basada en el concepto de “mejora continua”
(Plan -> Do -> Check -> Act)
13. Corporate compliance
ISO/IEC 27002
Catálogo de buenas prácticas para la implementación de un SGSI
No es certificable. Se certifica la ISO/IEC 27001
Contiene 11 dominios, 39 objetivos de control y 133 controles
Gran relación con las medidas de seguridad del RD 1720/2007
15. Corporate compliance
COBIT
(Control Objectives for Information and related Technology)
Diseñado por la Asociación para la Auditoría y Control de Sistemas de
Información (ISACA)
Es un marco de gobierno TI que busca el alineamiento estratégico
entre el negocio y la tecnología. “Acercar la tecnología a la
Dirección”
Integra otro estándares de gobierno TI como ITIL o ISO 27002
17. Delitos informáticos
Código penal español
Se da especial relevancia al impacto y gravedad por utilizar medios de
comunicación masivos (como es Internet)
Reforma 2010. Ley Orgánica 5/2010
Responsabilidad penal de las persona jurídicas (empresas)
• Cuando el delito es cometido por cuenta de la empresa
• Cuando es cometido por el empleado, y la empresa no hubiera
ejercido el control pertinente
En diferentes tipos de delito relacionados con la red (estafa,
descubrimiento y revelación de secretos, contra la propiedad
intelectual e industrial)
18. Delitos informáticos
Usurpación del estado civil (art. 401 CP)
Vulgarmente conocido como “suplantación de identidad”
Muy común en redes sociales. Suele ir acompañado de campañas de
desprestigio y atentados contra la reputación, o de estafas
electrónicas
Para constituir delito debe suplantarse a una persona real
Pena de entre 6 meses y 3 años de prisión
Además, puede constituir una infracción administrativa por vulnerar la
LOPD. No se aplica la “excepción domestica”
19. Delitos informáticos
Estafa electrónica (art. 248 CP)
Actos engañosos con el objetivo de transferir bienes del estafado al
estafador. Se genera error en el conocimiento de la victima.
Varios ejemplos: cartas nigerianas, ofertas de compraventa de
vehículos, phising, comunicación de herencias.
Pena de entre 6 meses y 3 años de prisión. Hasta 6 años si se
acompaña de suplantación de firma o se aprovecha familiaridad.
20. Delitos informáticos
Descubrimiento y revelación de secretos (arts. 197 y 278 CP)
Descubrir secretos o vulnerar la intimidad de otro sin su
consentimiento, apropiándose de sus documentos o interceptando
sus telecomunicaciones.
Apoderarse de datos de carácter personal para perjudicar a su titular.
Pena de entre 1 a 4 años de prisión. Entre 2 y 5 años si se revelan a
terceros.
Desde la reforma del CP 2010, también penado el mero acceso no
consentido (hacking directo). Pena de entre 6 meses a 2 años.
21. Delitos informáticos
Atentados contra el honor (arts. 205 y 208 CP)
Injuria: “la acción o expresión que lesionan la dignidad de otra
persona, menoscabando su fama o atentando contra su propia
estimación”
Sólo constituye delito si es considerada grave. La imputación de
hechos no se considera grave.
Calumnia: “la imputación de un delito hecha con conocimiento de su
falsedad o temerario desprecio hacia la verdad”
Art. 212 CP: Responsabilidad solidaria del responsable del medio
22. Delitos informáticos
Contra la propiedad intelectual (art. 270 CP)
Atentado contra los derechos reconocidos en la LPI (morales y
patrimoniales)
Algunas conductas delictivas: plagio, fabricación de dispositivos que
eliminen la protección, venta de obras protegidas.
Por lo general, NO hay delito si no existe ánimo de lucro o si no
perjudica a terceros
Pena de entre 6 meses y 2 años de prisión y multa económica
23. Delitos informáticos
Contra la propiedad industrial (art. 274 CP)
En relación con la Ley 17/2001, de Marcas (art. 40 LM).
Utilizar en el tráfico económico, sin el consentimiento del titular, un
signo distintivo registrado (marca o nombre comercial) idéntico o
confundible.
Pena de entre 6 meses y 2 años de prisión y multa de 6 a 24 meses.
24. Delitos informáticos
Delito de daños informáticos (art. 264 CP)
“El que por cualquier medio, sin autorización y de manera grave
borrase, dañase, deteriorase, alterase, suprimiese, o hiciese
inaccesibles datos, programas informáticos o documentos
electrónicos ajenos, cuando el resultado producido fuera grave,
será castigado con la pena de prisión de seis meses a dos años
El que por cualquier medio, sin estar autorizado y de manera grave
obstaculizara o interrumpiera el funcionamiento de un sistema
informático ajeno, introduciendo, transmitiendo, dañando,
borrando, deteriorando, alterando, suprimiendo o haciendo
inaccesibles datos informáticos, cuando el resultado producido
fuera grave, será castigado, con la pena de prisión de seis meses a
tres años.”
25. Reclamación por la vía civil
Código civil
Art. 1902
El que por acción u omisión causa daño a otro, interviniendo culpa o
negligencia, está obligado a reparar el daño causado.
Art. 1903
Los padres son responsables de los daños causados por los hijos que se
encuentren bajo su guarda.
Lo son igualmente los dueños o directores de un establecimiento y empresa
respecto de los perjuicios causados por sus dependientes.
Art. 1904
El que paga el daño causado por sus dependientes puede repetir de éstos lo
que hubiese satisfecho.
26. Muchas gracias
miguelangel.abeledo@gmail.com
@miguel_abeledo
Miguel Angel Abeledo