Corporate compliance
Ley Orgánica 15/1999, de Protección de Datos (LOPD)   Principios de la protección de datos       •   Calidad de la informa...
Ley Orgánica 15/1999, de Protección de Datos (LOPD) •   Dato personal: aquel que identifique a la persona o la haga     id...
Ley Orgánica 15/1999, de Protección de Datos (LOPD) •   Cesión de datos: Transferencia de datos a una tercera persona     ...
Ley Orgánica 15/1999, de Protección de Datos (LOPD)Tres niveles de protección   •    Básico: datos personales básicos   • ...
Ley Orgánica 15/1999, de Protección de Datos (LOPD)Inscripción del fichero en la AEPD                     ¡Antes de inicia...
Ley Orgánica 15/1999, de Protección de Datos (LOPD)El Documento de Seguridad      (De obligado cumplimiento para todo resp...
Ley Orgánica 15/1999, de Protección de Datos (LOPD)Política de privacidad        Se enlazará en nuestro sitio web o servic...
Ley Orgánica 15/1999, de Protección de Datos (LOPD) Régimen sancionador •   Infracciones leves (900 a 40.000 €)        Eje...
Corporate complianceISO 2700xFamilia de estándares definidos por la Organización Internacional para  la Estandarización (I...
Corporate complianceISO/IEC 27001Sistema de certificación para empresas que buscan acreditar la   adopción de un SGSILa in...
Corporate compliance ISO/IEC 27002 Catálogo de buenas prácticas para la implementación de un SGSI No es certificable. Se c...
Corporate compliance
Corporate complianceCOBIT(Control Objectives for Information and related Technology)Diseñado por la Asociación para la Aud...
Ámbito penalDelitos relacionados con la seguridad
Delitos informáticosCódigo penal españolSe da especial relevancia al impacto y gravedad por utilizar medios de            ...
Delitos informáticos Usurpación del estado civil (art. 401 CP) Vulgarmente conocido como “suplantación de identidad” Muy c...
Delitos informáticosEstafa electrónica (art. 248 CP)Actos engañosos con el objetivo de transferir bienes del estafado al  ...
Delitos informáticosDescubrimiento y revelación de secretos (arts. 197 y 278 CP)Descubrir secretos o vulnerar la intimidad...
Delitos informáticos Atentados contra el honor (arts. 205 y 208 CP) Injuria: “la acción o expresión que lesionan la dignid...
Delitos informáticosContra la propiedad intelectual (art. 270 CP)Atentado contra los derechos reconocidos en la LPI (moral...
Delitos informáticosContra la propiedad industrial (art. 274 CP)En relación con la Ley 17/2001, de Marcas (art. 40 LM).Uti...
Delitos informáticosDelito de daños informáticos (art. 264 CP)  “El que por cualquier medio, sin autorización y de manera ...
Reclamación por la vía civilCódigo civilArt. 1902El que por acción u omisión causa daño a otro, interviniendo culpa o   ne...
Muchas gracias  miguelangel.abeledo@gmail.com @miguel_abeledo  Miguel Angel Abeledo
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Upcoming SlideShare
Loading in...5
×

Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]

1,256

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,256
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
8
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]

  1. 1. Corporate compliance
  2. 2. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Principios de la protección de datos • Calidad de la información (los datos deben ser adecuados, pertinentes y no excesivos en relación a la finalidad) • Derecho de información en la recogida (de modo expreso, preciso e inequívoco) • Consentimiento del afectado (salvo que la ley disponga otra cosa) • Seguridad de los datos (responsable y encargado del tratamiento observarán las medidas oportunas) • Deber de secreto (aún después de finalizar la relación con el afectado)
  3. 3. Ley Orgánica 15/1999, de Protección de Datos (LOPD) • Dato personal: aquel que identifique a la persona o la haga identificable (nombre, telf., IP, imagen, voz) • Fichero: Conjunto organizado de datos, con estructura y orden suficiente para localizar a una persona, y que está orientado a una finalidad • Responsable del fichero: Persona física o jurídica que decide sobre la finalidad de un tratamiento • Encargado del tratamiento: Tercero que accede a la información que custodia el responsable, para realizar un trabajo por cuenta de éste. ¡Ojo a la anulación de la excepción domestica!
  4. 4. Ley Orgánica 15/1999, de Protección de Datos (LOPD) • Cesión de datos: Transferencia de datos a una tercera persona (el cesionario), para otra finalidad • Recabar consentimiento, salvo excepciones por ley • Cesionario debe informar en primera comunicación • Transferencias internacionales: • Muy común en servicios “cloud computing” • Supuestos permitidos: • País con nivel de protección equiparable • Consentimiento del interesado • Excepciones del art. 34 LOPD • Autorización del Director de la AEPD Ley española es una de las más garantistas y exigentes del mundo!
  5. 5. Ley Orgánica 15/1999, de Protección de Datos (LOPD)Tres niveles de protección • Básico: datos personales básicos • Medio: datos financieros y patrimoniales, perfil y personalidad • Alto: salud, religión, afiliación sindical, origen racial Aplicación medidas legales, organizativas y técnicas distintas … y acumulativas Desarrollo de las medidas en Real Decreto 1720/2007
  6. 6. Ley Orgánica 15/1999, de Protección de Datos (LOPD)Inscripción del fichero en la AEPD ¡Antes de iniciar el tratamiento!• Identificar al responsable y al encargado de tratamiento principal• Dirección ante la que ejercer derechos ARCO• Nombre del fichero y su/s finalidad/es• Origen/procedencia de los datos• Tipo de datos y nivel de seguridad• Indicar si se prevén cesiones y transferencias internacionales
  7. 7. Ley Orgánica 15/1999, de Protección de Datos (LOPD)El Documento de Seguridad (De obligado cumplimiento para todo responsable de fichero)• Ámbito de aplicación (ficheros, personas y sistemas)• Medidas, normas y procedimientos para garantizar la seguridad• Funciones y obligaciones del personal …y sanciones por incumplimiento• Estructura del fichero y descripción de los sistemas de información• Importante: relación de los encargados del tratamiento
  8. 8. Ley Orgánica 15/1999, de Protección de Datos (LOPD)Política de privacidad Se enlazará en nuestro sitio web o servicio de red socialInformará principalmente acerca de: • Identidad del responsable • Finalidad/es del fichero • Ejercicio de derechos ARCO • Cesiones
  9. 9. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Régimen sancionador • Infracciones leves (900 a 40.000 €) Ejemplo: no inscribir el fichero en la AEPD • Infracciones graves (40.001 a 300.000 €) Ejemplo: Tratar los datos sin consentimiento cuando sea necesario • Infracciones muy graves (300.001 a 600.000 €) Ejemplo: Recogida de datos de forma engañosa o fraudulenta
  10. 10. Corporate complianceISO 2700xFamilia de estándares definidos por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC)Es un conjunto de buenas prácticas para la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI)
  11. 11. Corporate complianceISO/IEC 27001Sistema de certificación para empresas que buscan acreditar la adopción de un SGSILa información como activo de la organización (análisis y tratamiento del RIESGO)Atiende a las buenas prácticas descritas en la ISO 27002Basada en el concepto de “mejora continua” (Plan -> Do -> Check -> Act)
  12. 12. Corporate compliance ISO/IEC 27002 Catálogo de buenas prácticas para la implementación de un SGSI No es certificable. Se certifica la ISO/IEC 27001 Contiene 11 dominios, 39 objetivos de control y 133 controles Gran relación con las medidas de seguridad del RD 1720/2007
  13. 13. Corporate compliance
  14. 14. Corporate complianceCOBIT(Control Objectives for Information and related Technology)Diseñado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA)Es un marco de gobierno TI que busca el alineamiento estratégico entre el negocio y la tecnología. “Acercar la tecnología a la Dirección”Integra otro estándares de gobierno TI como ITIL o ISO 27002
  15. 15. Ámbito penalDelitos relacionados con la seguridad
  16. 16. Delitos informáticosCódigo penal españolSe da especial relevancia al impacto y gravedad por utilizar medios de comunicación masivos (como es Internet)Reforma 2010. Ley Orgánica 5/2010Responsabilidad penal de las persona jurídicas (empresas) • Cuando el delito es cometido por cuenta de la empresa • Cuando es cometido por el empleado, y la empresa no hubiera ejercido el control pertinente En diferentes tipos de delito relacionados con la red (estafa, descubrimiento y revelación de secretos, contra la propiedad intelectual e industrial)
  17. 17. Delitos informáticos Usurpación del estado civil (art. 401 CP) Vulgarmente conocido como “suplantación de identidad” Muy común en redes sociales. Suele ir acompañado de campañas de desprestigio y atentados contra la reputación, o de estafas electrónicas Para constituir delito debe suplantarse a una persona real Pena de entre 6 meses y 3 años de prisión Además, puede constituir una infracción administrativa por vulnerar la LOPD. No se aplica la “excepción domestica”
  18. 18. Delitos informáticosEstafa electrónica (art. 248 CP)Actos engañosos con el objetivo de transferir bienes del estafado al estafador. Se genera error en el conocimiento de la victima.Varios ejemplos: cartas nigerianas, ofertas de compraventa de vehículos, phising, comunicación de herencias.Pena de entre 6 meses y 3 años de prisión. Hasta 6 años si se acompaña de suplantación de firma o se aprovecha familiaridad.
  19. 19. Delitos informáticosDescubrimiento y revelación de secretos (arts. 197 y 278 CP)Descubrir secretos o vulnerar la intimidad de otro sin su consentimiento, apropiándose de sus documentos o interceptando sus telecomunicaciones.Apoderarse de datos de carácter personal para perjudicar a su titular.Pena de entre 1 a 4 años de prisión. Entre 2 y 5 años si se revelan a terceros.Desde la reforma del CP 2010, también penado el mero acceso no consentido (hacking directo). Pena de entre 6 meses a 2 años.
  20. 20. Delitos informáticos Atentados contra el honor (arts. 205 y 208 CP) Injuria: “la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación” Sólo constituye delito si es considerada grave. La imputación de hechos no se considera grave. Calumnia: “la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad” Art. 212 CP: Responsabilidad solidaria del responsable del medio
  21. 21. Delitos informáticosContra la propiedad intelectual (art. 270 CP)Atentado contra los derechos reconocidos en la LPI (morales y patrimoniales)Algunas conductas delictivas: plagio, fabricación de dispositivos que eliminen la protección, venta de obras protegidas.Por lo general, NO hay delito si no existe ánimo de lucro o si no perjudica a tercerosPena de entre 6 meses y 2 años de prisión y multa económica
  22. 22. Delitos informáticosContra la propiedad industrial (art. 274 CP)En relación con la Ley 17/2001, de Marcas (art. 40 LM).Utilizar en el tráfico económico, sin el consentimiento del titular, un signo distintivo registrado (marca o nombre comercial) idéntico o confundible.Pena de entre 6 meses y 2 años de prisión y multa de 6 a 24 meses.
  23. 23. Delitos informáticosDelito de daños informáticos (art. 264 CP) “El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.”
  24. 24. Reclamación por la vía civilCódigo civilArt. 1902El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado.Art. 1903Los padres son responsables de los daños causados por los hijos que se encuentren bajo su guarda.Lo son igualmente los dueños o directores de un establecimiento y empresa respecto de los perjuicios causados por sus dependientes.Art. 1904El que paga el daño causado por sus dependientes puede repetir de éstos lo que hubiese satisfecho.
  25. 25. Muchas gracias miguelangel.abeledo@gmail.com @miguel_abeledo Miguel Angel Abeledo
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×