Tema 6: Aspectos legales Flashcards
Código de derecho de la ciberseguridad.
- Compendio de leyes y normas.
- No tiene categoría de ley.
Ámbito europeo.
- Directiva
- Reglamento
- Recomendación/dictamen
Directiva.
- Iniciativa para armonizar a nivel europeo.
- En sí misma no es ley, se trata de recomendaciones para los estados.
- Cada estado hace su propia transposición de la directiva
Reglamento.
- No es necesario transponerlo.
- Ej: Reglamento General de Protección de datos.
- No tienen por qué entrar en vigor en la fecha de publicación.
- El reglamento es directamente aplicable -> ley de ámbito europeo
Recomendación/dictamen.
No crean derechos ni obligaciones.
Ámbito nacional (España)
- Ley / Ley orgánica
- Reglamento
- Real decreto
Ley / Ley orgánica (nacional)
- Requiere de mayoría absoluta en el congreso.
- Ley orgánica regula derechos fundamentales.
- Regulan un aspecto en el ordenamiento jurídico.
Reglamento (nacional)
- Desarrolla una ley de forma total o parcial.
- Aprobación por mayoría en las Cortes.
Real Decreto.
- Actuar por extraordinaria o urgente necesidad (que no sean de especial relevancia).
- Aprobación por el Gobierno y convalidación por las Cortes.
Normas / Estándar
ISO, UNE, ITU
- Sin ser leyes, también limitan.
ISO:
Definición de productos y servicios que puedan ser objeto de comercio en todo el mundo (son voluntarias).
UNE (Una Norma Española)
No son obligatorias, salvo una ley diga que haya que cumplirlas.
Normas europeas.
CEN, ETSI, CENELEC.
- Si uno de los anteriores organismo hace la norma, se adopta a nivel europeo.
CEN.
Comité Europeo de Normalización.
ENISA
Agencia de UE de Ciberseguridad.
Reglamento General de Protección de Datos.
- Necesidad:
❖ Proteger los datos personales de ciudadanos de la Unión Europea - Ámbito temporal y espacial.
❖ De obligado cumplimiento desde mayo 2018
❖ Afecta a cualquier entidad que trate ese tipo de datos, con
independencia de su situación geográfica.
Dato personal.
toda información sobre una persona física identificada o
identificable («el interesado»);
Persona física identificable.
persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o
varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona.
Tratamiento.
operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como:
- recogida
- registro
- organización
- estructuración
- conservación
- adaptación
- extracción …
Seudoanonimización:
tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta
a medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o identificable.
Elaboración de perfiles
Tratamiento automatizado consistente en utilizar
datos personales para evaluar determinados aspectos de una persona, en particular para analizar o predecir aspectos relativos a su rendimiento
profesional, situación económica, salud, preferencias personales,
intereses, fiabilidad, comportamiento, ubicación o movimientos.
Datos personales de carácter especial
❖ Genéticos: datos de las características genéticas heredadas o
adquiridas de una persona que proporcionen información única sobre su
fisiología o salud, obtenidos del análisis de una muestra biológica.
❖ Biométricos: datos relativos a las características físicas, fisiológicas o
conductuales de una persona que permitan o confirmen su identificación
única, como imágenes faciales o datos dactiloscópicos.
Prohibición tratamiento de datos.
Quedan prohibidos el tratamiento de datos personales que revelen el
origen étnico o racial, las opiniones políticas, las convicciones religiosas o
filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos,
datos biométricos dirigidos a identificar de manera unívoca a una persona
física, datos relativos a la salud o datos relativos a la vida sexual o las
orientación sexuales de una persona física.
Responsable del tratamiento
persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento;
Encargado del tratamiento
la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento.
DPD (Delegado de Protección de Datos)
❖ informar y asesorar al responsable o al encargado del tratamiento y a
los empleados de las obligaciones que les incumben
❖ supervisar el cumplimiento del Reglamento y de las políticas del
responsable o del encargado del tratamiento en materia de protección
de datos personales, (…) y las auditorías correspondientes;
❖ ofrecer asesoramiento acerca de la evaluación de impacto relativa a
la protección de datos
❖ cooperar y actuar como punto de contacto con la autoridad de control;
Derechos.
- Acceso
- Rectificación
- Supresión
- Oposición
- Limitación del tratamiento
- Portabilidad
Acceso
❖ Obtener del responsable del tratamiento confirmación de si se están
tratando o no datos personales que le conciernen
❖ Cuando se transfieran datos personales a un tercer país o a una
organización internacional, saber si se cumplen las garantías
adecuadas.
❖ Obtener una copia de los datos personales objeto del tratamiento
Rectificación
❖ Sin dilación indebida, así como que se completen los datos
personales que sean incompletos
Supresión
❖ Sin dilación indebida, cuando concurra que:
❖ los datos personales ya no sean necesarios en relación con los
fines para los que fueron recogidos o tratados de otro modo
❖ el interesado retire el consentimiento
❖ el interesado se oponga al tratamiento
❖ los datos personales hayan sido tratados ilícitamente o deban
suprimirse para el cumplimiento de una obligación legal;
❖ los datos personales se refieran a niños en relación con la oferta
de servicios de la sociedad de la información
Oposición
❖ Derecho a oponerse en cualquier momento, por motivos relacionados
con su situación particular, a que datos personales que le conciernan
sean objeto de tratamiento, incluida la elaboración de perfiles
❖ Deberá efectuarse, salvo que se acredite motivos legítimos
imperiosos para el tratamiento que prevalezcan sobre los intereses,
los derechos y las libertades del interesado, o para la formulación, el
ejercicio o la defensa de reclamaciones.
❖ Cuando el interesado se oponga al tratamiento con fines de
mercadotecnia directa, los datos personales dejarán de ser tratados
para dichos fines.
Limitación del tratamiento
❖ el interesado impugne la exactitud de los datos, durante un plazo que
permita verificarlo
❖ el tratamiento sea ilícito y el interesado se oponga a la supresión de
los datos personales y solicite en su lugar la limitación de su uso
❖ el responsable ya no necesite los datos, pero el interesado los
necesite para reclamar o defenderse
❖ el interesado se haya opuesto al tratamiento, mientras se verifica qué
motivos prevalecen
Portabilidad
❖ Recibir los datos personales que le incumban, que haya facilitado a
un responsable del tratamiento, en un formato estructurado, de uso
común y lectura mecánica, y a transmitirlos a otro responsable del
tratamiento sin que lo impida el responsable al que se los hubiera
facilitado, cuando:
❖ el tratamiento esté basado en el consentimiento con arreglo al
artículo 6 (licitud del tratamiento), o el artículo 9 (Tratamiento de
categorías especiales de datos personales)
❖ el tratamiento se efectúe por medios automatizados.
Obligaciones.
❖ Notificación de violaciones, a la autoridad competente
❖ Decisiones individuales automatizadas, incluida la elaboración
de perfiles
Notificación de violaciones, a la autoridad competente
❖ El responsable del tratamiento la notificará a la autoridad de control
competente
❖ 72 horas máximo después de que haya tenido constancia de
ella, a menos que sea improbable que constituya un riesgo para
los derechos y las libertades de las personas físicas
❖ La notificación deberá incluir como mínimo:
❖ naturaleza de la violación, nombre y los datos del DPD
❖ Posibles consecuencias y medidas adoptadas o propuestas para
remediarla y mitigar sus efectos.
Decisiones individuales automatizadas, incluida la elaboración
de perfiles
❖ Derecho a no ser objeto de una decisión basada únicamente en
el tratamiento automatizado, incluida la elaboración de perfiles,
que produzca efectos jurídicos en él o le afecte de modo similar.
❖ No se aplica si la decisión:
❖ es necesaria para la celebración o la ejecución de un contrato
entre el interesado y un responsable del tratamiento;
❖ está autorizada por el Derecho de la Unión o de los Estados
miembros
❖ se basa en el consentimiento explícito del interesado.
Consecuencias
❖ Necesidad de consentimiento expreso para el tratamiento
❖ Responsabilidad proactiva
❖ Evaluación del impacto
❖ Marco sancionador:
❖ Máximo entre 20 M€ o 4% del volumen de negocio total anua
Reglamento eIDAS
❖ Establece un marco legal común para las firmas electrónicas en la Unión
Europea
❖ La Directiva anterior (Directiva 1999/93/CE) era interpretada de
forma distinta por los estados miembros
Directiva NIS.
❖ Objetivo: Lograr un elevado nivel común de las redes y SI dentro de la Unión
- Adopción de una estrategia nacional de seguridad de las redes y sistemas de
información, en todos los estados miembros. - Formar un grupo de cooperación para crear una estrategia común y permitir el
intercambio de información entre los estados miembros. - Crear una red de Equipos de Respuesta a Incidentes de Seguridad
Informática (red CSIRT) que ayude a constituir una cooperación más rápida,
eficaz y de confianza entre los países. - Establecer condiciones de seguridad para operadores de servicios esenciales
y proveedores de servicios digitales. - Las autoridades nacionales de cada estado tendrán obligaciones en todas las
tareas relacionadas con la seguridad de redes y sistemas de información.
Esquema Nacional de Seguridad
❖ Establecer la política de seguridad en la utilización de medios electrónicos
Directiva PSD2
❖ Contribuir al desarrollo del mercado de servicios de pago en el entorno de la UE
❖ Normalizar nuevos métodos de pago, especialmente online.
Permitir la apertura de los servicios de pago de los bancos a terceras partes
(Third Party Payment services)
Regulación de criptomonedas en España (RDL 7/2021)
❖ Evitar el blanqueo de capitales y la financiación del terrorismo
❖ Imponer una supervisión similar a otros sectores afines (banca, seguros,
inversiones, etc.)
❖ Facilitar el intercambio de información sobre estas entidades en el ámbito de la
UE
- Definición de moneda virtual: aquella representación digital de valor no emitida ni
garantizada por un banco central o autoridad pública, no necesariamente
asociada a una moneda legalmente establecida y que no posee estatuto jurídico
de moneda o dinero, pero que es aceptada como medio de cambio y puede ser
transferida, almacenada o negociada electrónicamente.
