Tema 6: Aspectos legales

Question 1

Código de derecho de la ciberseguridad.

Answer 1

• Compendio de leyes y normas.

- No tiene categoría de ley.

Question 2

Ámbito europeo.

Answer 2

• Directiva
• Reglamento
• Recomendación/dictamen

Question 3

Directiva.

Answer 3

• Iniciativa para armonizar a nivel europeo.
• En sí misma no es ley, se trata de recomendaciones para los estados.
• Cada estado hace su propia transposición de la directiva

Question 4

Reglamento.

Answer 4

• No es necesario transponerlo.
• Ej: Reglamento General de Protección de datos.
• No tienen por qué entrar en vigor en la fecha de publicación.
• El reglamento es directamente aplicable -> ley de ámbito europeo

Question 5

Recomendación/dictamen.

Answer 5

No crean derechos ni obligaciones.

Question 6

Ámbito nacional (España)

Answer 6

• Ley / Ley orgánica
• Reglamento
• Real decreto

Question 7

Ley / Ley orgánica (nacional)

Answer 7

• Requiere de mayoría absoluta en el congreso.
• Ley orgánica regula derechos fundamentales.
• Regulan un aspecto en el ordenamiento jurídico.

Question 8

Reglamento (nacional)

Answer 8

• Desarrolla una ley de forma total o parcial.

- Aprobación por mayoría en las Cortes.

Question 9

Real Decreto.

Answer 9

• Actuar por extraordinaria o urgente necesidad (que no sean de especial relevancia).
• Aprobación por el Gobierno y convalidación por las Cortes.

Question 10

Normas / Estándar

Answer 10

ISO, UNE, ITU

• Sin ser leyes, también limitan.

Question 11

ISO:

Answer 11

Definición de productos y servicios que puedan ser objeto de comercio en todo el mundo (son voluntarias).

Question 12

UNE (Una Norma Española)

Answer 12

No son obligatorias, salvo una ley diga que haya que cumplirlas.

Question 13

Normas europeas.

Answer 13

CEN, ETSI, CENELEC.

• Si uno de los anteriores organismo hace la norma, se adopta a nivel europeo.

Question 14

CEN.

Answer 14

Comité Europeo de Normalización.

Question 15

ENISA

Answer 15

Agencia de UE de Ciberseguridad.

Question 16

Reglamento General de Protección de Datos.

Answer 16

• Necesidad:
  ❖ Proteger los datos personales de ciudadanos de la Unión Europea
• Ámbito temporal y espacial.
  ❖ De obligado cumplimiento desde mayo 2018
  ❖ Afecta a cualquier entidad que trate ese tipo de datos, con
  independencia de su situación geográfica.

Question 17

Dato personal.

Answer 17

toda información sobre una persona física identificada o

identificable («el interesado»);

Question 18

Persona física identificable.

Answer 18

persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o
varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona.

Question 19

Tratamiento.

Answer 19

operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como:

• recogida
• registro
• organización
• estructuración
• conservación
• adaptación
• extracción …

Question 20

Seudoanonimización:

Answer 20

tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta
a medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o identificable.

Question 21

Elaboración de perfiles

Answer 21

Tratamiento automatizado consistente en utilizar
datos personales para evaluar determinados aspectos de una persona, en particular para analizar o predecir aspectos relativos a su rendimiento
profesional, situación económica, salud, preferencias personales,
intereses, fiabilidad, comportamiento, ubicación o movimientos.

Question 22

Datos personales de carácter especial

Answer 22

❖ Genéticos: datos de las características genéticas heredadas o
adquiridas de una persona que proporcionen información única sobre su
fisiología o salud, obtenidos del análisis de una muestra biológica.
❖ Biométricos: datos relativos a las características físicas, fisiológicas o
conductuales de una persona que permitan o confirmen su identificación
única, como imágenes faciales o datos dactiloscópicos.

Question 23

Prohibición tratamiento de datos.

Answer 23

Quedan prohibidos el tratamiento de datos personales que revelen el
origen étnico o racial, las opiniones políticas, las convicciones religiosas o
filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos,
datos biométricos dirigidos a identificar de manera unívoca a una persona
física, datos relativos a la salud o datos relativos a la vida sexual o las
orientación sexuales de una persona física.

Question 24

Responsable del tratamiento

Answer 24

persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento;

Question 25

Encargado del tratamiento

Answer 25

la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Question 26

DPD (Delegado de Protección de Datos)

Answer 26

❖ informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les incumben ❖ supervisar el cumplimiento del Reglamento y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, (…) y las auditorías correspondientes; ❖ ofrecer asesoramiento acerca de la evaluación de impacto relativa a la protección de datos ❖ cooperar y actuar como punto de contacto con la autoridad de control;

Question 27

Derechos.

Answer 27

- Acceso - Rectificación - Supresión - Oposición - Limitación del tratamiento - Portabilidad

Question 28

Acceso

Answer 28

❖ Obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen ❖ Cuando se transfieran datos personales a un tercer país o a una organización internacional, saber si se cumplen las garantías adecuadas. ❖ Obtener una copia de los datos personales objeto del tratamiento

Question 29

Rectificación

Answer 29

❖ Sin dilación indebida, así como que se completen los datos personales que sean incompletos

Question 30

Supresión

Answer 30

❖ Sin dilación indebida, cuando concurra que: ❖ los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo ❖ el interesado retire el consentimiento ❖ el interesado se oponga al tratamiento ❖ los datos personales hayan sido tratados ilícitamente o deban suprimirse para el cumplimiento de una obligación legal; ❖ los datos personales se refieran a niños en relación con la oferta de servicios de la sociedad de la información

Question 31

Oposición

Answer 31

❖ Derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de tratamiento, incluida la elaboración de perfiles ❖ Deberá efectuarse, salvo que se acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. ❖ Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.

Question 32

Limitación del tratamiento

Answer 32

❖ el interesado impugne la exactitud de los datos, durante un plazo que permita verificarlo ❖ el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso ❖ el responsable ya no necesite los datos, pero el interesado los necesite para reclamar o defenderse ❖ el interesado se haya opuesto al tratamiento, mientras se verifica qué motivos prevalecen

Question 33

Portabilidad

Answer 33

❖ Recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando: ❖ el tratamiento esté basado en el consentimiento con arreglo al artículo 6 (licitud del tratamiento), o el artículo 9 (Tratamiento de categorías especiales de datos personales) ❖ el tratamiento se efectúe por medios automatizados.

Question 34

Obligaciones.

Answer 34

❖ Notificación de violaciones, a la autoridad competente ❖ Decisiones individuales automatizadas, incluida la elaboración de perfiles

Question 35

Notificación de violaciones, a la autoridad competente

Answer 35

❖ El responsable del tratamiento la notificará a la autoridad de control competente ❖ 72 horas máximo después de que haya tenido constancia de ella, a menos que sea improbable que constituya un riesgo para los derechos y las libertades de las personas físicas ❖ La notificación deberá incluir como mínimo: ❖ naturaleza de la violación, nombre y los datos del DPD ❖ Posibles consecuencias y medidas adoptadas o propuestas para remediarla y mitigar sus efectos.

Question 36

Decisiones individuales automatizadas, incluida la elaboración de perfiles

Answer 36

❖ Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte de modo similar. ❖ No se aplica si la decisión: ❖ es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; ❖ está autorizada por el Derecho de la Unión o de los Estados miembros ❖ se basa en el consentimiento explícito del interesado.

Question 37

Consecuencias

Answer 37

❖ Necesidad de consentimiento expreso para el tratamiento ❖ Responsabilidad proactiva ❖ Evaluación del impacto ❖ Marco sancionador: ❖ Máximo entre 20 M€ o 4% del volumen de negocio total anua

Question 38

Reglamento eIDAS

Answer 38

❖ Establece un marco legal común para las firmas electrónicas en la Unión Europea ❖ La Directiva anterior (Directiva 1999/93/CE) era interpretada de forma distinta por los estados miembros

Question 39

Directiva NIS.

Answer 39

❖ Objetivo: Lograr un elevado nivel común de las redes y SI dentro de la Unión 1. Adopción de una estrategia nacional de seguridad de las redes y sistemas de información, en todos los estados miembros. 2. Formar un grupo de cooperación para crear una estrategia común y permitir el intercambio de información entre los estados miembros. 3. Crear una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT) que ayude a constituir una cooperación más rápida, eficaz y de confianza entre los países. 4. Establecer condiciones de seguridad para operadores de servicios esenciales y proveedores de servicios digitales. 5. Las autoridades nacionales de cada estado tendrán obligaciones en todas las tareas relacionadas con la seguridad de redes y sistemas de información.

Question 40

Esquema Nacional de Seguridad

Answer 40

❖ Establecer la política de seguridad en la utilización de medios electrónicos

Question 41

Directiva PSD2

Answer 41

❖ Contribuir al desarrollo del mercado de servicios de pago en el entorno de la UE ❖ Normalizar nuevos métodos de pago, especialmente online. Permitir la apertura de los servicios de pago de los bancos a terceras partes (Third Party Payment services)

Question 42

Regulación de criptomonedas en España (RDL 7/2021)

Answer 42

❖ Evitar el blanqueo de capitales y la financiación del terrorismo ❖ Imponer una supervisión similar a otros sectores afines (banca, seguros, inversiones, etc.) ❖ Facilitar el intercambio de información sobre estas entidades en el ámbito de la UE - Definición de moneda virtual: aquella representación digital de valor no emitida ni garantizada por un banco central o autoridad pública, no necesariamente asociada a una moneda legalmente establecida y que no posee estatuto jurídico de moneda o dinero, pero que es aceptada como medio de cambio y puede ser transferida, almacenada o negociada electrónicamente.