Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Transcript of Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Corporate complianceCorporate compliance
Principios de la protección de datos
• Calidad de la información (los datos deben seradecuados, pertinentes y no excesivos en relación ala finalidad)
• Derecho de información en la recogida (de modoexpreso, preciso e inequívoco)
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
expreso, preciso e inequívoco)
• Consentimiento del afectado (salvo que la leydisponga otra cosa)
• Seguridad de los datos (responsable y encargadodel tratamiento observarán las medidas oportunas)
• Deber de secreto (aún después de finalizar larelación con el afectado)
• Dato personal: aquel que identifique a la persona o la hagaidentificable (nombre, telf., IP, imagen, voz)
• Fichero: Conjunto organizado de datos, con estructura y ordensuficiente para localizar a una persona, y que está orientado auna finalidad
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Responsable del fichero: Persona física o jurídica que decidesobre la finalidad de un tratamiento
• Encargado del tratamiento: Tercero que accede a lainformación que custodia el responsable, para realizar un trabajopor cuenta de éste.
¡Ojo a la anulación de la excepción domestica!
• Cesión de datos: Transferencia de datos a una tercera persona(el cesionario), para otra finalidad
• Recabar consentimiento, salvo excepciones por ley• Cesionario debe informar en primera comunicación
• Transferencias internacionales:
• Muy común en servicios “cloud computing”
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Muy común en servicios “cloud computing”
• Supuestos permitidos:
• País con nivel de protección equiparable• Consentimiento del interesado• Excepciones del art. 34 LOPD• Autorización del Director de la AEPD
Ley española es una de las más garantistas y exigentes del mundo!
Tres niveles de protección
• Básico: datos personales básicos
• Medio: datos financieros y patrimoniales, perfil y personalidad
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Alto: salud, religión, afiliación sindical, origen racial
Aplicación medidas legales, organizativas y técnicas distintas
… y acumulativas
Desarrollo de las medidas en Real Decreto 1720/2007
Inscripción del fichero en la AEPD
¡Antes de iniciar el tratamiento!
• Identificar al responsable y al encargado de tratamiento principal
• Dirección ante la que ejercer derechos ARCO
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Dirección ante la que ejercer derechos ARCO
• Nombre del fichero y su/s finalidad/es
• Origen/procedencia de los datos
• Tipo de datos y nivel de seguridad
• Indicar si se prevén cesiones y transferencias internacionales
El Documento de Seguridad
(De obligado cumplimiento para todo responsable de fichero)
• Ámbito de aplicación (ficheros, personas y sistemas)
• Medidas, normas y procedimientos para garantizar la seguridad
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Medidas, normas y procedimientos para garantizar la seguridad
• Funciones y obligaciones del personal…y sanciones por incumplimiento
• Estructura del fichero y descripción de los sistemas de información
• Importante: relación de los encargados del tratamiento
Política de privacidad
Se enlazará en nuestro sitio web o servicio de red social
Informará principalmente acerca de:
• Identidad del responsable
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Identidad del responsable
• Finalidad/es del fichero
• Ejercicio de derechos ARCO
• Cesiones
Régimen sancionador
• Infracciones leves (900 a 40.000 €)
Ejemplo: no inscribir el fichero en la AEPD
Ley Orgánica 15/1999, de Protección de Datos (LOPD)
• Infracciones graves (40.001 a 300.000 €)
Ejemplo: Tratar los datos sin consentimiento cuando sea necesario
• Infracciones muy graves (300.001 a 600.000 €)
Ejemplo: Recogida de datos de forma engañosa o fraudulenta
ISO 2700x
Familia de estándares definidos por la Organización Internacional parala Estandarización (ISO) y la Comisión Electrotécnica Internacional(IEC)
Corporate compliance
Es un conjunto de buenas prácticas para la implementación de unSistema de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27001
Sistema de certificación para empresas que buscan acreditar laadopción de un SGSI
La información como activo de la organización
Corporate compliance
La información como activo de la organización
(análisis y tratamiento del RIESGO)
Atiende a las buenas prácticas descritas en la ISO 27002
Basada en el concepto de “mejora continua”
(Plan -> Do -> Check -> Act)
ISO/IEC 27002
Catálogo de buenas prácticas para la implementación de un SGSI
No es certificable. Se certifica la ISO/IEC 27001
Corporate compliance
No es certificable. Se certifica la ISO/IEC 27001
Contiene 11 dominios, 39 objetivos de control y 133 controles
Gran relación con las medidas de seguridad del RD 1720/2007
Corporate compliance
COBIT
(Control Objectives for Information and related Technology)
Diseñado por la Asociación para la Auditoría y Control de Sistemas deInformación (ISACA)
Corporate compliance
Información (ISACA)
Es un marco de gobierno TI que busca el alineamiento estratégicoentre el negocio y la tecnología. “Acercar la tecnología a laDirección”
Integra otro estándares de gobierno TI como ITIL o ISO 27002
Ámbito penal
Delitos relacionados con la seguridadDelitos relacionados con la seguridad
Código penal español
Se da especial relevancia al impacto y gravedad por utilizar medios de comunicación masivos (como es Internet)
Reforma 2010. Ley Orgánica 5/2010
Responsabilidad penal de las persona jurídicas (empresas)
Delitos informáticos
Responsabilidad penal de las persona jurídicas (empresas)
• Cuando el delito es cometido por cuenta de la empresa
• Cuando es cometido por el empleado, y la empresa no hubieraejercido el control pertinente
En diferentes tipos de delito relacionados con la red (estafa,descubrimiento y revelación de secretos, contra la propiedadintelectual e industrial)
Usurpación del estado civil (art. 401 CP)
Vulgarmente conocido como “suplantación de identidad”
Muy común en redes sociales. Suele ir acompañado de campañas dedesprestigio y atentados contra la reputación, o de estafaselectrónicas
Delitos informáticos
electrónicas
Para constituir delito debe suplantarse a una persona real
Pena de entre 6 meses y 3 años de prisión
Además, puede constituir una infracción administrativa por vulnerar laLOPD. No se aplica la “excepción domestica”
Estafa electrónica (art. 248 CP)
Actos engañosos con el objetivo de transferir bienes del estafado alestafador. Se genera error en el conocimiento de la victima.
Delitos informáticos
Varios ejemplos: cartas nigerianas, ofertas de compraventa devehículos, phising, comunicación de herencias.
Pena de entre 6 meses y 3 años de prisión. Hasta 6 años si seacompaña de suplantación de firma o se aprovecha familiaridad.
Descubrimiento y revelación de secretos (arts. 197 y 278 CP)
Descubrir secretos o vulnerar la intimidad de otro sin suconsentimiento, apropiándose de sus documentos o interceptandosus telecomunicaciones.
Delitos informáticos
Apoderarse de datos de carácter personal para perjudicar a su titular.
Pena de entre 1 a 4 años de prisión. Entre 2 y 5 años si se revelan aterceros.
Desde la reforma del CP 2010, también penado el mero acceso noconsentido (hacking directo). Pena de entre 6 meses a 2 años.
Atentados contra el honor (arts. 205 y 208 CP)
Injuria: “la acción o expresión que lesionan la dignidad de otrapersona, menoscabando su fama o atentando contra su propiaestimación”
Delitos informáticos
estimación”Sólo constituye delito si es considerada grave. La imputación dehechos no se considera grave.
Calumnia: “la imputación de un delito hecha con conocimiento de sufalsedad o temerario desprecio hacia la verdad”
Art. 212 CP: Responsabilidad solidaria del responsable del medio
Contra la propiedad intelectual (art. 270 CP)
Atentado contra los derechos reconocidos en la LPI (morales ypatrimoniales)
Delitos informáticos
Algunas conductas delictivas: plagio, fabricación de dispositivos queeliminen la protección, venta de obras protegidas.
Por lo general, NO hay delito si no existe ánimo de lucro o si noperjudica a terceros
Pena de entre 6 meses y 2 años de prisión y multa económica
Contra la propiedad industrial (art. 274 CP)
En relación con la Ley 17/2001, de Marcas (art. 40 LM).
Utilizar en el tráfico económico, sin el consentimiento del titular, un
Delitos informáticos
Utilizar en el tráfico económico, sin el consentimiento del titular, unsigno distintivo registrado (marca o nombre comercial) idéntico oconfundible.
Pena de entre 6 meses y 2 años de prisión y multa de 6 a 24 meses.
Delito de daños informáticos (art. 264 CP)
“El que por cualquier medio, sin autorización y de manera graveborrase, dañase, deteriorase, alterase, suprimiese, o hicieseinaccesibles datos, programas informáticos o documentoselectrónicos ajenos, cuando el resultado producido fuera grave,será castigado con la pena de prisión de seis meses a dos años
Delitos informáticos
será castigado con la pena de prisión de seis meses a dos años
El que por cualquier medio, sin estar autorizado y de manera graveobstaculizara o interrumpiera el funcionamiento de un sistemainformático ajeno, introduciendo, transmitiendo, dañando,borrando, deteriorando, alterando, suprimiendo o haciendoinaccesibles datos informáticos, cuando el resultado producidofuera grave, será castigado, con la pena de prisión de seis meses atres años.”
Código civil
Art. 1902
El que por acción u omisión causa daño a otro, interviniendo culpa onegligencia, está obligado a reparar el daño causado.
Art. 1903
Reclamación por la vía civil
Art. 1903
Los padres son responsables de los daños causados por los hijos que seencuentren bajo su guarda.
Lo son igualmente los dueños o directores de un establecimiento y empresarespecto de los perjuicios causados por sus dependientes.
Art. 1904
El que paga el daño causado por sus dependientes puede repetir de éstos loque hubiese satisfecho.