Leyes relacionadas con la seguridad de la información

Normativa que protege los datos personales

LOPD: es la Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999), que se desarrolla en el RD 1720/2007.

Objetivo: El objetivo de esta ley es garantizar y proteger los derechos fundamentales y, especialmente, la intimidad de las personas físicas en relación con sus datos personales. Es decir, especifica para qué se pueden usar, cómo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen las personas a las que se refiere, entre otros aspectos.

3 niveles de seguridad en el tratamiento de los datos:

Medidas de seguridad

El nivel que debe aplicarse es el más alto que corresponda a los datos incluidos en el fichero, es decir, si solo contiene datos personales básicos, se aplicará el nivel básico, pero si además se incluye información como la afiliación sindical, el nivel de seguridad del fichero será alto.

  • Nivel básico: Todos los datos de carácter personal tienen que tener como mínimo este nivel.
  • Nivel Medio: Referido a infracciones administrativas (o penales), a gestión tributaria, datos fiscales y financieros. Datos que proporcionan información sobre las características o personalidad de los afectados.
  • Nivel alto: El fichero tiene que estar encriptado (Art. 18 c. y Art 31 ant.).
Derechos fundamentales:
  • Información: Derecho que tenemos cuando alguien nos pide nuestra información. Necesitamos saber el motivo o finalidad (Art.5 LOPD). Queremos saber los ficheros que están manipulados con mis datos. Solo se puede usar el derecho a la información una vez por año. A partir de la fecha de reclamación de los derechos ARCO tenemos un mes para obtener respuesta.

Información que debemos recibir:

  • Dónde está el fichero.
  • Quién es la persona que manipula el fichero.
  • Motivo por el cual se tratan los datos.
  • Quién ha solicitado la información.
  • Identidad de las personas que han manipulado el tratamiento de nuestros datos.
  • Posibilidad de ejercer derechos “ARCO”.
ARCO: (Acceso, Rectificación, Cancelación, Oposición):
  • A: Acceso: Es el derecho que tiene el propietario de los datos a acceder a ellos, a solicitud suya. Nos dice de dónde vienen nuestros datos, de dónde se han sacado, si hay una solicitud, etc. El procedimiento es gratuito y el plazo de contestación es de 1 mes desde que hacemos la solicitud. Si pasado ese mes no han contestado, podemos interponer una “reclamación de tutela de derechos”.
  • R – Rectificación: Si al acceder a la información vemos que algunos datos no son correctos, tenemos derecho a rectificarlos. Hay que acreditarlo, ya que nos interesa que los datos estén actualizados. Tiene que ser por escrito, con fotocopias compulsadas, el DNI y la fecha en que se solicita. El procedimiento es gratuito. El plazo de respuesta es de 10 días. Si pasado este tiempo no hay respuesta, podemos interponer una “reclamación de tutela de derechos”.
  • C – Cancelación: Solo podemos usarlo los propietarios de la información de los datos personales. Incluye dos derechos: el derecho a la consulta y el derecho a cancelar los datos que estén obsoletos, innecesarios o inadecuados. Lo presentamos en un documento oficial. Es un derecho que no podemos delegar en un representante, excepto cuando estemos hospitalizados o no podamos presentarnos (con informe médico). La petición ha de ser clara y breve, explicando por qué queremos que esos datos queden cancelados, y hay que argumentar y adjuntar fotocopias que justifiquen la cancelación. Es gratuito y tenemos 10 días para obtener respuesta.
  • O – Oposición: Derecho a oponerse a que ciertos datos puedan facilitarse. Este derecho solo lo tiene la persona titular de los datos, no su representante. Se utiliza cuando hay datos que no queremos que sean transmitidos. El plazo para la oposición son 10 días y si pasan esos días podemos hacer una “reclamación de tutela de derechos”.
Excepciones del uso del derecho ARCO:
  • Si hay una prohibición legal.
  • Si hay peligro para la defensa del estado.
  • Alguna cuestión de seguridad pública.
  • Proteger derechos y libertades de terceras personas.
  • Si hay alguna investigación policial.
  • Orden de un tribunal.
  • Inspección de hacienda.
  • Derecho a renovación del consentimiento: Contradecir la orden anterior. El plazo es de 10 días desde la solicitud, pero en este caso no nos van a contestar. Podemos pedir que nos comuniquen cuándo se va a llevar a cabo. Además de forma escrita, es el único que puede hacerse vía telefónica, cuando solicitamos se hará una grabación de voz. Aunque hagamos la grabación, responden por escrito.
  • Derecho de consulta de registro de protección de datos: Es el número de fichero en los cuales aparecemos, ya sea en instituto, federación… (donde estamos nosotros). El plazo de respuesta es de 10 días y nos darán una información de ficheros por escrito. Nos va a permitir obtener la información de los registros que están (registro en línea).
  • Derecho de impugnación de la valoración: La impugnación puede ser porque los plazos no los han cumplido o bien porque nos contestan una parte de la solicitud. Para reclamar sería por el derecho de impugnación. Valoración por fecha o contenido que le reclamamos.
Derecho a la indemnización:

Cuando sufrimos daños por datos erróneos, siempre personales, nunca físicos, podemos pedir un derecho a la indemnización. Hay diferentes tipos:

  • Leves: 3.000€
  • Graves: 3.000€ a 5.000€
  • Muy graves: a partir de 5.000€

Reclamar: Si los errores vienen de la administración pública, la forma de denunciar será mediante un documento a la Ley de Protección de Datos, que se pueden usar los distintos modelos para reclamar. Se va a poner a 2 organismos:

Administraciones públicas: Hay diferentes recursos:

  • Recursos potestativo de reposición.

Juzgado:

  • Con empresas privadas.
  • Recurso administrativo: “APDCAT” (Llacuna, 166, 7ª planta, 08018 Barcelona).
  • Recurso administrativo: “AEPD” (Jorge Juan, 6, 28001 Madrid).

LSSICE 34/2002:

Va a servir para arreglar o dar seguridad al comercio electrónico. Es una ley que empieza a actualizarse, y está en actualización desde el 11/04/2012. Está relacionada con el correo electrónico, las empresas han de estar obligadas a dar una información clara y el precio del producto, la importancia de la persona responsable del fichero. Ponemos en la página web un contrato de compra y venta y se establece una validez del contrato, durante el tiempo estimado que esté asignado ese contrato.

Objetivo:
  • Contraprestación.
  • Sea vía telemática.
  • Individual.
  • Ámbito de la ley.
  • Inc. Contrato.
  • Individuales.
  • Aplicaciones de la ley (art. 10.1).
  • Requisitos del prestador del servicio.

CMT: (Comisión del Mercado de las Telecomunicaciones):

Coge toda la información telemática y va a normalizar y el procedimiento de tratar toda esa información.

  • Obligación de las…
  • Exculpar de responsabilidad.
  • Periodos de validez de contratos.

Contrato:

Fecha de validez del contrato, lo firmamos y aceptamos que queremos comprar aquello. Mientras compramos el producto y mientras llega puede pasar un periodo de 10 días, la garantía empezará en vigor desde el recibo del producto.

Infracciones y Sanciones (art.21):

  • Leves: hasta 30.000 euros.
  • Graves: 30.001 – 150.000 euros.
  • Muy graves: 150.001 – 600.000 euros.

Art.45 Prescripciones:

Son cuando caducan las infracciones o sanciones.

Infracciones:
  • Leves: 1 año.
  • Graves: 2 años.
  • Muy graves: 3 años.
Sanciones:
  • Leves: 6 meses.
  • Graves: 2 años.
  • Muy graves: 3 años.

Art.21 Spam:

  • Nivel individual: 3 correos.
  • Nivel de persona: 1 al año.
Infracciones:
  • Graves.
  • Leves.
Sanciones:
  • Leves: 30.000 euros.
  • Graves: 30.001 – 150.000 euros.

Art.39:

  • Cuando en el periodo de 3 años hay una infracción muy grave sancionada con carácter firme, podrá dar lugar a una sanción de prohibición de actividad en España en un periodo de 2 años.
  • Código de conducta.

Licencias de software:

El objetivo es un contrato entre un proveedor de un producto y los distintos usuarios.

Debe incluir:

  • El número de copias.
  • La forma en que se instala la aplicación.
  • El periodo de la instalación.
  • El precio de la licencia (IVA, periodo anual o mensual).
  • Periodo de garantía.

Tipos de licencias:

  • La licencia de uso: puede ser mensual o anual.
  • Licencia de uso (total): como si fuera un contrato de propiedad o de compra-venta.
  • Estandarizadas (libre): nos la bajamos pero no pagamos nada por ello.
Leyes que lo recogen:
  • LPI (1/1996) (art. 95 – 104).
  • Código Civil.
  • Código Mercantil.
  • Ley 7/1998 del 13 de abril.
  • RDL 1/2007 de noviembre.
  • Ley 34/2002 (click-wrap).