Legislacién y normas sobre seguridad Objetives Y Conocer los apartados més importantes de la normativa general. Tener una referencia de toda la normativa.‘SEGURIDAD ¥ ALTA DISPONIBILIDAD Mapa conceptual | Lorpcpp Reguladora } Penal LSsIcE Cédigo Penal (Convenio de Budapest) uot Boletin Oficial del Estado (BOE). Diario oficial del Estado espafiol donde el poder ejecu- tivo publica leyes y otras disposiciones. Su elaboracién, publicacién y difusién estd a cargo de la Agencia Estatal Boletin Oficial del Estado. Cookie. Unidad de informacién intercambiada entre un cliente y un servidor web, con el ob- jetivo de mejorar la experiencia del usuario en un determinadh sitio web. Es el equivalen- te, en el mundo de la programacién, a una variable, pues tiene un nombre y un valor. Adi- cionalmente pueden (y suelen) tener una fecha de caducidad, pasada la cual la cookie es eliminada del navegador. Su principal uso es mantener, entre sucesivas peticiones HTTP, la informacién de la sesién del usuario o de sus preferencias en un determinado sitio web. Diario Oficial de la Unién Europea (DOUE). Equivalente al BOE a nivel de la Union Euro- pea. En él se publican principalmente disposiciones de instituciones europeas, aunque también de Estados miembros, la Asociacién Europea de Libre Comercio (AELC), etc. DNI (documento nacional de identidad). Tarjeta identificativa de las personas fisicas es- pajiolas, emitida por el Ministerio de Interior a través de la Policfa Nacional, que contiene datos de identidad, entre otros NIF, nombre, apellidos, domicilio, fecha de nacimiento y fotografia. DNle (DNI electrénico). DNI dotado de un chip que almacena los datos personales del duejio, incluyendo sus certificados digitales, y que le capacita para firmar documen- tos digitalmente y autenticarse en la Administraci6n Electronica. Ignorantia juris non excusat. Expresi6n latina que refleja el siguiente principio del dere- cho: el desconocimiento de la ley no exime de su cumplimiento. Ley organica. Ley que nace como consecuencia de un mandato constitucional para la regulacién de una materia especifica, Néimero de identificacién fiscal (NIF). Sistema espafiol de identificaci6n de personas fisi- cas 0 juridicas ante el fisco. El NIF adopta el nombre de NIE (ntimero de identificacién de extranjero) en el caso de personas extranjeras residentes en Espafia, Capitulo 9LEGISLACION ¥ NORMAS SOBRE SEGURIDAD 9.1. Introduccién Podriamos dividir la legislacién relacionada con la seguridad informatica en dos ambitos: 1. Legislacién reguladora: pretende estable- cer las pautas que toda persona 0 em- presa debe seguir para un buen uso de los datos personales y Ja transmisién segura de la informacién, asi como las sanciones aplicables a quien se salte di- chas pautas, Las normas reguladoras es- tablecen los derechos y obligaciones de ils, cacda arn GE Ia gt cada uno de los elementos reglamenta- (estes Ge amnbOEean ls Balsa, dos, ya sean personas, empresas u orga- Wiepey a venaat nismos pitblicos. 2. Legislacién penal: define los distintos frau- des o delitos relacionados con la informa- tica y cules son las penas aplicables a la comisi6n de cada uno de ellos. Figura 9.1 En el presente capftulo nos vamos a centrar en la legislacién reguladora, aunque daremos alguna pincelada sobre la penal al final del capitulo. Como profesionales informaticos, pues, debemos ser conscientes de la existencia de legislacién y normativa que se aplica a nuestro trabajo diario. 9.2. El Reglamento General de Proteccién de Datos (RGPD) E124 de mayo de 2016 entré en vigor el Reglamento General de Proteccién de Datos (RGPD, siendo sus siglas en inglés GDPR), publicado en el Diario Oficial de la Unién Europea y que, tras un periodo de adaptacién, comenzé a aplicarse el 25 de mayo de 2018. En Espaiia este reglamento ha sido adaptado y ampliado por medio de la Ley Orgiinica 3/2018 de Proteccién de Datos y Garantia de los Derechos Digitales (LOPDGDD), que deroga la anterior Ley de Proteccién de Datos de 1999 (LOPD). Dado que la LOPDGDD traslada al ordenamiento juridico espaol lo establecido por el RGPD y, aunque hay algunas pequefias diferencias (derechos adicionales en la ley espa- ola), es habitval aludir a la normativa referente a proteccién de datos con cualquiera de los términos LOPD, LOPDGDD o RGPD. En este libro se ha optado por hablar de la norma general, RGPD, excepto cuando se mencionan aspectos exclusives de la LOPDGDD, ya que la misma ley espafiola hace referencia constantemente del articulado del reglamento europeo hasta el punto de que es imposible entender el contenido de aquella sin disponer del texto de este, Capiruto '‘SEGURIDAD ¥ ALTA DISPONIBILIDAD En nuestro pais, la Agencia Espaitola de Proteccién de Datos es el organismo encargado de velar por el cumplimiento de la legislacién sobre proteccién de datos, controlar su aplicacién (en especial en lo relativo a los derechos de informacién, acceso, rectificacién, oposicién y cancelacién de datos) y sancionar las infracciones. Su pagina web (apgd.es) contiene un buen repositorio de documentos de ayuda y referencia a la legislacién vigente en materia de protec- cién de datos. 9.2.1. Conceptos Los datos personales son toda aquella informacién sobre una persona fisica, el interesado, que describan elementos propios de su identidad fisica, fisiol6gica, genética, psiquica, econdmica, cultural o social, y que permitan identificarla. Un listado de teléfonos, sin especificar nombres, no contiene datos personales pues no se pueden asociar los ntimeros de teléfono a sus propie~ tarios. Sin embargo, si en ese mismo listado aparece el DNI de cada uno de los propietarios, ya se convierte en un listado con datos personales. Cualquier operacién que se realice sobre datos personales, desde la recogida de estos hasta su cancelaci6n, pasando por su registro, clasificacién, modificacién, etc., se denomina tratamiento. Dentro del tratamiento de datos personales, se habla de elaboracién de perfiles si dicho tratamiento persigue el anilisis 0 la prediccién de ciertos aspectos de los interesados, como su rendimiento laboral, preferencias personales, intereses politicos, etc. La elaboracién de perfiles solo podria llevarse a cabo si el interesado ha sido debidamente informado y ha dado su consen- timiento expreso. Los datos personales se almacenan es- tructuradamente en un fichero, Este pue- de ser en formato papel o digital, estar centralizado o distribuido. Con anterio~ ridad al RGPD, era obligatorio para to- dos los organismos que manejaban datos _ personales registrar el fichero o ficheros “i utilizados en la Agencia Espafiola de Pro~ teccién de Datos (la autoridad de control espafiola) para su supervision. Sin embar~ go, a partir del RGPD y, por tanto, de la aplicacin en Espaiia de la LOPDGDD, —— no es necesario registrar los ficheros como paso previo para utilizarlos. Los ficheros son propiedad de los Figura 9.2 destinatarios de los datos personales, ha- __Interesado, consentimiento, destinatario, bitualmente empresas, grupos de empre- _fichero y autoridad de control. sas u1 organismos piiblicos. Pero los datos personales en él almacenados son siempre propiedad de los interesados, y solo ellos pueden decidir sobre su tratamiento, mo- dificacién 0 cancelacién. Para que un destinatario pueda disponer de los datos personales de un interesado, este debe dar su consentimiento de forma libre, especifica, informada e inequivoca, mediante una Capito 9declaracién firmada o alguna accién afirmativa clara (por ejemplo, un bot6n “Aceptar para con tinuar” en una web, cuya pulsacién es imprescindible, siempre y para todos los usuarios, antes del envio de sus datos) EL RGPD entiende como destinatario no solo a la empresa u organismo propietario del fichero, sino a cualquier otro tercero que pueda recibir o tratar esos datos, por ejemplo mediante | una cesién, Es habitual encontrar, pues, cléusulas del tipo “Marque esta casilla si desea recibir publicidad de otras empresas del grupo”, en virtud de las cuales el interesado da su. consenti- miento a la cesién de sus datos a terceras empresas. EI RGPD contempla tres categorias de datos personales: Bisicos: todos los que no son ni especiales ni de delitos 0 condenas. 2. Especiales: origen étnico o racial, opiniones politicas, convicciones religiosas 0 filos6- ficas, afiliacién sindical, datos genéticos o biométricos que impliquen la identificacién univoca de la salud, vida y orientacién sexual de la persona. Delitos penales y condenas: los érganos judiciales, en tanto en cuanto son destinatarios de estos datos, disponen de una regulacién diferente dentro del RGPD al del resto de empresas que aqui no vamos a tratar. Es interesante resaltar que las categorias no siempre se establecen basindose en los datos personales recabados, sino en virtud del destinatario de estos. Por ejemplo, un fichero con da- tos personales como domicilio, teléfono, fecha nacimiento y lugar de nacimiento entra en la categoria basica si el destinatario es (por poner un ejemplo) una empresa de venta online. Sin embargo, si el destinatario es un partido politico, se convierte automiticamente en un fichero de categorfa especial, ya que, aunque no haya ningtin dato referente a la afiliacién politica de los interesados, el simple hecho de que el fichero pertenezca a un partido politico concreto ya aporta dicha informacién implicitamente. Cuando se trabaja con datos de categoria especial el RGPD obliga a los propietarios de ficheros a realizar un anilisis de riesgos denominado “evaluacién del impacto en la proteccion de datos” 0 DPIA, por sus siglas en inglés, antes del inicio del tratamiento. Dentro de la empresa u organismo propietario del fichero, encontramos hasta cinco figuras importantes: © Responsable del tratamiento o responsable: persona fisica 0 juridica que determina los fines y los medios del tratamiento de los datos personales. Como su nombre indica, es sobre quien recae la responsabilidad de un mal uso de los datos, Por ejemplo, podria ser una empresa llamada EMPRESA, S, A. © Encargado del tratamiento o encargado: persona fisica o juridica que, en el ejercicio de su actividad trata datos personales que son responsabilidad del responsable del tratamiento. Por ejemplo, podria tratarse de la empresa que realiza el mantenimiento de las im- presoras y que, durante su labor, tiene 0 puede tener acceso a documentos con datos personales, llamada TONERSAT, S. L. El responsable y el encargado deben firmar un contrato de confidencialidad. © Delegado de proteccién de datos (DPO, Data Protection Officer): persona fisica 0 juridica que ayuda al responsable o al encargado, gracias a sus conocimientos en normativa sobre seguridad de datos, a garantizar un correcto tratamiento de estos. Por ejemplo, podria tratarse de una empresa de asesoria en seguridad de datos, llamada ASESORIA. RGDP S.A. El DPO puede ser 0 no un empleado del responsable, pero en cualquier caso debe tener total independencia para llevar a cabo sus funciones, incluso cuando Capiruo 9