Tema 6: Aspectos legales

Question 1

Código de derecho de la ciberseguridad.

Answer 1

• Compendio de leyes y normas.

- No tiene categoría de ley.

Question 2

Ámbito europeo.

Answer 2

• Directiva
• Reglamento
• Recomendación/dictamen

Question 3

Directiva.

Answer 3

• Iniciativa para armonizar a nivel europeo.
• En sí misma no es ley, se trata de recomendaciones para los estados.
• Cada estado hace su propia transposición de la directiva

Question 4

Reglamento.

Answer 4

• No es necesario transponerlo.
• Ej: Reglamento General de Protección de datos.
• No tienen por qué entrar en vigor en la fecha de publicación.
• El reglamento es directamente aplicable -> ley de ámbito europeo

Question 5

Recomendación/dictamen.

Answer 5

No crean derechos ni obligaciones.

Question 6

Ámbito nacional (España)

Answer 6

• Ley / Ley orgánica
• Reglamento
• Real decreto

Question 7

Ley / Ley orgánica (nacional)

Answer 7

• Requiere de mayoría absoluta en el congreso.
• Ley orgánica regula derechos fundamentales.
• Regulan un aspecto en el ordenamiento jurídico.

Question 8

Reglamento (nacional)

Answer 8

• Desarrolla una ley de forma total o parcial.

- Aprobación por mayoría en las Cortes.

Question 9

Real Decreto.

Answer 9

• Actuar por extraordinaria o urgente necesidad (que no sean de especial relevancia).
• Aprobación por el Gobierno y convalidación por las Cortes.

Question 10

Normas / Estándar

Answer 10

ISO, UNE, ITU

• Sin ser leyes, también limitan.

Question 11

ISO:

Answer 11

Definición de productos y servicios que puedan ser objeto de comercio en todo el mundo (son voluntarias).

Question 12

UNE (Una Norma Española)

Answer 12

No son obligatorias, salvo una ley diga que haya que cumplirlas.

Question 13

Normas europeas.

Answer 13

CEN, ETSI, CENELEC.

• Si uno de los anteriores organismo hace la norma, se adopta a nivel europeo.

Question 14

CEN.

Answer 14

Comité Europeo de Normalización.

Question 15

ENISA

Answer 15

Agencia de UE de Ciberseguridad.

Question 16

Reglamento General de Protección de Datos.

Answer 16

• Necesidad:
  ❖ Proteger los datos personales de ciudadanos de la Unión Europea
• Ámbito temporal y espacial.
  ❖ De obligado cumplimiento desde mayo 2018
  ❖ Afecta a cualquier entidad que trate ese tipo de datos, con
  independencia de su situación geográfica.

Question 17

Dato personal.

Answer 17

toda información sobre una persona física identificada o

identificable («el interesado»);

Question 18

Persona física identificable.

Answer 18

persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o
varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona.

Question 19

Tratamiento.

Answer 19

operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como:

• recogida
• registro
• organización
• estructuración
• conservación
• adaptación
• extracción …

Question 20

Seudoanonimización:

Answer 20

tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta
a medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o identificable.

Question 21

Elaboración de perfiles

Answer 21

Tratamiento automatizado consistente en utilizar
datos personales para evaluar determinados aspectos de una persona, en particular para analizar o predecir aspectos relativos a su rendimiento
profesional, situación económica, salud, preferencias personales,
intereses, fiabilidad, comportamiento, ubicación o movimientos.

Question 22

Datos personales de carácter especial

Answer 22

❖ Genéticos: datos de las características genéticas heredadas o
adquiridas de una persona que proporcionen información única sobre su
fisiología o salud, obtenidos del análisis de una muestra biológica.
❖ Biométricos: datos relativos a las características físicas, fisiológicas o
conductuales de una persona que permitan o confirmen su identificación
única, como imágenes faciales o datos dactiloscópicos.

Question 23

Prohibición tratamiento de datos.

Answer 23

Quedan prohibidos el tratamiento de datos personales que revelen el
origen étnico o racial, las opiniones políticas, las convicciones religiosas o
filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos,
datos biométricos dirigidos a identificar de manera unívoca a una persona
física, datos relativos a la salud o datos relativos a la vida sexual o las
orientación sexuales de una persona física.

Question 24

Responsable del tratamiento

Answer 24

persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento;

Question 25

Encargado del tratamiento

Answer 25

la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento.

Question 26

DPD (Delegado de Protección de Datos)

Answer 26

❖ informar y asesorar al responsable o al encargado del tratamiento y a
los empleados de las obligaciones que les incumben
❖ supervisar el cumplimiento del Reglamento y de las políticas del
responsable o del encargado del tratamiento en materia de protección
de datos personales, (…) y las auditorías correspondientes;
❖ ofrecer asesoramiento acerca de la evaluación de impacto relativa a
la protección de datos
❖ cooperar y actuar como punto de contacto con la autoridad de control;

Question 27

Derechos.

Answer 27

• Acceso
• Rectificación
• Supresión
• Oposición
• Limitación del tratamiento
• Portabilidad

Question 28

Acceso

Answer 28

❖ Obtener del responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen
❖ Cuando se transfieran datos personales a un tercer país o a una
organización internacional, saber si se cumplen las garantías
adecuadas.
❖ Obtener una copia de los datos personales objeto del tratamiento

Question 29

Rectificación

Answer 29

❖ Sin dilación indebida, así como que se completen los datos
personales que sean incompletos

Question 30

Supresión

Answer 30

❖ Sin dilación indebida, cuando concurra que:
❖ los datos personales ya no sean necesarios en relación con los
fines para los que fueron recogidos o tratados de otro modo
❖ el interesado retire el consentimiento
❖ el interesado se oponga al tratamiento
❖ los datos personales hayan sido tratados ilícitamente o deban
suprimirse para el cumplimiento de una obligación legal;
❖ los datos personales se refieran a niños en relación con la oferta
de servicios de la sociedad de la información

Question 31

Oposición

Answer 31

❖ Derecho a oponerse en cualquier momento, por motivos relacionados
con su situación particular, a que datos personales que le conciernan
sean objeto de tratamiento, incluida la elaboración de perfiles
❖ Deberá efectuarse, salvo que se acredite motivos legítimos
imperiosos para el tratamiento que prevalezcan sobre los intereses,
los derechos y las libertades del interesado, o para la formulación, el
ejercicio o la defensa de reclamaciones.
❖ Cuando el interesado se oponga al tratamiento con fines de
mercadotecnia directa, los datos personales dejarán de ser tratados
para dichos fines.

Question 32

Limitación del tratamiento

Answer 32

❖ el interesado impugne la exactitud de los datos, durante un plazo que
permita verificarlo
❖ el tratamiento sea ilícito y el interesado se oponga a la supresión de
los datos personales y solicite en su lugar la limitación de su uso
❖ el responsable ya no necesite los datos, pero el interesado los
necesite para reclamar o defenderse
❖ el interesado se haya opuesto al tratamiento, mientras se verifica qué
motivos prevalecen

Question 33

Portabilidad

Answer 33

❖ Recibir los datos personales que le incumban, que haya facilitado a
un responsable del tratamiento, en un formato estructurado, de uso
común y lectura mecánica, y a transmitirlos a otro responsable del
tratamiento sin que lo impida el responsable al que se los hubiera
facilitado, cuando:
❖ el tratamiento esté basado en el consentimiento con arreglo al
artículo 6 (licitud del tratamiento), o el artículo 9 (Tratamiento de
categorías especiales de datos personales)
❖ el tratamiento se efectúe por medios automatizados.

Question 34

Obligaciones.

Answer 34

❖ Notificación de violaciones, a la autoridad competente
❖ Decisiones individuales automatizadas, incluida la elaboración
de perfiles

Question 35

Notificación de violaciones, a la autoridad competente

Answer 35

❖ El responsable del tratamiento la notificará a la autoridad de control
competente
❖ 72 horas máximo después de que haya tenido constancia de
ella, a menos que sea improbable que constituya un riesgo para
los derechos y las libertades de las personas físicas
❖ La notificación deberá incluir como mínimo:
❖ naturaleza de la violación, nombre y los datos del DPD
❖ Posibles consecuencias y medidas adoptadas o propuestas para
remediarla y mitigar sus efectos.

Question 36

Decisiones individuales automatizadas, incluida la elaboración
de perfiles

Answer 36

❖ Derecho a no ser objeto de una decisión basada únicamente en
el tratamiento automatizado, incluida la elaboración de perfiles,
que produzca efectos jurídicos en él o le afecte de modo similar.
❖ No se aplica si la decisión:
❖ es necesaria para la celebración o la ejecución de un contrato
entre el interesado y un responsable del tratamiento;
❖ está autorizada por el Derecho de la Unión o de los Estados
miembros
❖ se basa en el consentimiento explícito del interesado.

Question 37

Consecuencias

Answer 37

❖ Necesidad de consentimiento expreso para el tratamiento
❖ Responsabilidad proactiva
❖ Evaluación del impacto
❖ Marco sancionador:
❖ Máximo entre 20 M€ o 4% del volumen de negocio total anua

Question 38

Reglamento eIDAS

Answer 38

❖ Establece un marco legal común para las firmas electrónicas en la Unión
Europea
❖ La Directiva anterior (Directiva 1999/93/CE) era interpretada de
forma distinta por los estados miembros

Question 39

Directiva NIS.

Answer 39

❖ Objetivo: Lograr un elevado nivel común de las redes y SI dentro de la Unión

1. Adopción de una estrategia nacional de seguridad de las redes y sistemas de
   información, en todos los estados miembros.
2. Formar un grupo de cooperación para crear una estrategia común y permitir el
   intercambio de información entre los estados miembros.
3. Crear una red de Equipos de Respuesta a Incidentes de Seguridad
   Informática (red CSIRT) que ayude a constituir una cooperación más rápida,
   eficaz y de confianza entre los países.
4. Establecer condiciones de seguridad para operadores de servicios esenciales
   y proveedores de servicios digitales.
5. Las autoridades nacionales de cada estado tendrán obligaciones en todas las
   tareas relacionadas con la seguridad de redes y sistemas de información.

Question 40

Esquema Nacional de Seguridad

Answer 40

❖ Establecer la política de seguridad en la utilización de medios electrónicos

Question 41

Directiva PSD2

Answer 41

❖ Contribuir al desarrollo del mercado de servicios de pago en el entorno de la UE
❖ Normalizar nuevos métodos de pago, especialmente online.

Permitir la apertura de los servicios de pago de los bancos a terceras partes
(Third Party Payment services)

Question 42

Regulación de criptomonedas en España (RDL 7/2021)

Answer 42

❖ Evitar el blanqueo de capitales y la financiación del terrorismo
❖ Imponer una supervisión similar a otros sectores afines (banca, seguros,
inversiones, etc.)
❖ Facilitar el intercambio de información sobre estas entidades en el ámbito de la
UE

• Definición de moneda virtual: aquella representación digital de valor no emitida ni
  garantizada por un banco central o autoridad pública, no necesariamente
  asociada a una moneda legalmente establecida y que no posee estatuto jurídico
  de moneda o dinero, pero que es aceptada como medio de cambio y puede ser
  transferida, almacenada o negociada electrónicamente.