Your SlideShare is downloading. ×
Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Ponencia aspectos legales seguridad tucamon [modo de compatibilidad]

1,137
views

Published on


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,137
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
7
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Corporate compliance
  • 2. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Principios de la protección de datos • Calidad de la información (los datos deben ser adecuados, pertinentes y no excesivos en relación a la finalidad) • Derecho de información en la recogida (de modo expreso, preciso e inequívoco) • Consentimiento del afectado (salvo que la ley disponga otra cosa) • Seguridad de los datos (responsable y encargado del tratamiento observarán las medidas oportunas) • Deber de secreto (aún después de finalizar la relación con el afectado)
  • 3. Ley Orgánica 15/1999, de Protección de Datos (LOPD) • Dato personal: aquel que identifique a la persona o la haga identificable (nombre, telf., IP, imagen, voz) • Fichero: Conjunto organizado de datos, con estructura y orden suficiente para localizar a una persona, y que está orientado a una finalidad • Responsable del fichero: Persona física o jurídica que decide sobre la finalidad de un tratamiento • Encargado del tratamiento: Tercero que accede a la información que custodia el responsable, para realizar un trabajo por cuenta de éste. ¡Ojo a la anulación de la excepción domestica!
  • 4. Ley Orgánica 15/1999, de Protección de Datos (LOPD) • Cesión de datos: Transferencia de datos a una tercera persona (el cesionario), para otra finalidad • Recabar consentimiento, salvo excepciones por ley • Cesionario debe informar en primera comunicación • Transferencias internacionales: • Muy común en servicios “cloud computing” • Supuestos permitidos: • País con nivel de protección equiparable • Consentimiento del interesado • Excepciones del art. 34 LOPD • Autorización del Director de la AEPD Ley española es una de las más garantistas y exigentes del mundo!
  • 5. Ley Orgánica 15/1999, de Protección de Datos (LOPD)Tres niveles de protección • Básico: datos personales básicos • Medio: datos financieros y patrimoniales, perfil y personalidad • Alto: salud, religión, afiliación sindical, origen racial Aplicación medidas legales, organizativas y técnicas distintas … y acumulativas Desarrollo de las medidas en Real Decreto 1720/2007
  • 6. Ley Orgánica 15/1999, de Protección de Datos (LOPD)Inscripción del fichero en la AEPD ¡Antes de iniciar el tratamiento!• Identificar al responsable y al encargado de tratamiento principal• Dirección ante la que ejercer derechos ARCO• Nombre del fichero y su/s finalidad/es• Origen/procedencia de los datos• Tipo de datos y nivel de seguridad• Indicar si se prevén cesiones y transferencias internacionales
  • 7. Ley Orgánica 15/1999, de Protección de Datos (LOPD)El Documento de Seguridad (De obligado cumplimiento para todo responsable de fichero)• Ámbito de aplicación (ficheros, personas y sistemas)• Medidas, normas y procedimientos para garantizar la seguridad• Funciones y obligaciones del personal …y sanciones por incumplimiento• Estructura del fichero y descripción de los sistemas de información• Importante: relación de los encargados del tratamiento
  • 8. Ley Orgánica 15/1999, de Protección de Datos (LOPD)Política de privacidad Se enlazará en nuestro sitio web o servicio de red socialInformará principalmente acerca de: • Identidad del responsable • Finalidad/es del fichero • Ejercicio de derechos ARCO • Cesiones
  • 9. Ley Orgánica 15/1999, de Protección de Datos (LOPD) Régimen sancionador • Infracciones leves (900 a 40.000 €) Ejemplo: no inscribir el fichero en la AEPD • Infracciones graves (40.001 a 300.000 €) Ejemplo: Tratar los datos sin consentimiento cuando sea necesario • Infracciones muy graves (300.001 a 600.000 €) Ejemplo: Recogida de datos de forma engañosa o fraudulenta
  • 10. Corporate complianceISO 2700xFamilia de estándares definidos por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC)Es un conjunto de buenas prácticas para la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI)
  • 11. Corporate complianceISO/IEC 27001Sistema de certificación para empresas que buscan acreditar la adopción de un SGSILa información como activo de la organización (análisis y tratamiento del RIESGO)Atiende a las buenas prácticas descritas en la ISO 27002Basada en el concepto de “mejora continua” (Plan -> Do -> Check -> Act)
  • 12. Corporate compliance ISO/IEC 27002 Catálogo de buenas prácticas para la implementación de un SGSI No es certificable. Se certifica la ISO/IEC 27001 Contiene 11 dominios, 39 objetivos de control y 133 controles Gran relación con las medidas de seguridad del RD 1720/2007
  • 13. Corporate compliance
  • 14. Corporate complianceCOBIT(Control Objectives for Information and related Technology)Diseñado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA)Es un marco de gobierno TI que busca el alineamiento estratégico entre el negocio y la tecnología. “Acercar la tecnología a la Dirección”Integra otro estándares de gobierno TI como ITIL o ISO 27002
  • 15. Ámbito penalDelitos relacionados con la seguridad
  • 16. Delitos informáticosCódigo penal españolSe da especial relevancia al impacto y gravedad por utilizar medios de comunicación masivos (como es Internet)Reforma 2010. Ley Orgánica 5/2010Responsabilidad penal de las persona jurídicas (empresas) • Cuando el delito es cometido por cuenta de la empresa • Cuando es cometido por el empleado, y la empresa no hubiera ejercido el control pertinente En diferentes tipos de delito relacionados con la red (estafa, descubrimiento y revelación de secretos, contra la propiedad intelectual e industrial)
  • 17. Delitos informáticos Usurpación del estado civil (art. 401 CP) Vulgarmente conocido como “suplantación de identidad” Muy común en redes sociales. Suele ir acompañado de campañas de desprestigio y atentados contra la reputación, o de estafas electrónicas Para constituir delito debe suplantarse a una persona real Pena de entre 6 meses y 3 años de prisión Además, puede constituir una infracción administrativa por vulnerar la LOPD. No se aplica la “excepción domestica”
  • 18. Delitos informáticosEstafa electrónica (art. 248 CP)Actos engañosos con el objetivo de transferir bienes del estafado al estafador. Se genera error en el conocimiento de la victima.Varios ejemplos: cartas nigerianas, ofertas de compraventa de vehículos, phising, comunicación de herencias.Pena de entre 6 meses y 3 años de prisión. Hasta 6 años si se acompaña de suplantación de firma o se aprovecha familiaridad.
  • 19. Delitos informáticosDescubrimiento y revelación de secretos (arts. 197 y 278 CP)Descubrir secretos o vulnerar la intimidad de otro sin su consentimiento, apropiándose de sus documentos o interceptando sus telecomunicaciones.Apoderarse de datos de carácter personal para perjudicar a su titular.Pena de entre 1 a 4 años de prisión. Entre 2 y 5 años si se revelan a terceros.Desde la reforma del CP 2010, también penado el mero acceso no consentido (hacking directo). Pena de entre 6 meses a 2 años.
  • 20. Delitos informáticos Atentados contra el honor (arts. 205 y 208 CP) Injuria: “la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación” Sólo constituye delito si es considerada grave. La imputación de hechos no se considera grave. Calumnia: “la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad” Art. 212 CP: Responsabilidad solidaria del responsable del medio
  • 21. Delitos informáticosContra la propiedad intelectual (art. 270 CP)Atentado contra los derechos reconocidos en la LPI (morales y patrimoniales)Algunas conductas delictivas: plagio, fabricación de dispositivos que eliminen la protección, venta de obras protegidas.Por lo general, NO hay delito si no existe ánimo de lucro o si no perjudica a tercerosPena de entre 6 meses y 2 años de prisión y multa económica
  • 22. Delitos informáticosContra la propiedad industrial (art. 274 CP)En relación con la Ley 17/2001, de Marcas (art. 40 LM).Utilizar en el tráfico económico, sin el consentimiento del titular, un signo distintivo registrado (marca o nombre comercial) idéntico o confundible.Pena de entre 6 meses y 2 años de prisión y multa de 6 a 24 meses.
  • 23. Delitos informáticosDelito de daños informáticos (art. 264 CP) “El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.”
  • 24. Reclamación por la vía civilCódigo civilArt. 1902El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado.Art. 1903Los padres son responsables de los daños causados por los hijos que se encuentren bajo su guarda.Lo son igualmente los dueños o directores de un establecimiento y empresa respecto de los perjuicios causados por sus dependientes.Art. 1904El que paga el daño causado por sus dependientes puede repetir de éstos lo que hubiese satisfecho.
  • 25. Muchas gracias miguelangel.abeledo@gmail.com @miguel_abeledo Miguel Angel Abeledo