¡Examínate GRATIS del B1/B2/C1!

Cursos

Mi Cuenta

Buscar

Carro 0 0,00 

Encuentra lo que buscas

1. Conceptos básicos de seguridad de la información. La protección de datos. TEMA 10 – CUERPO EJECUTIVO ESPECIALIDAD ADMINISTRATIVA – GRUPO C1 – JCCM

por | Ago 12, 2024

1. Conceptos básicos de seguridad de la información. La protección de datos.

1.1. Introducción.

En cualquier actividad de la vida contemporánea, es común que se nos requiera información relacionada con nuestros datos personales. Los datos personales son información que puede identificarnos o hacernos reconocibles, como el nombre, el número de identificación fiscal (NIF), una imagen o una grabación de voz. Cuando nos inscribimos en un programa de estudios, reservamos una habitación de hotel, abrimos una cuenta en una entidad bancaria, navegamos por la red o compartimos información, estamos proporcionando datos que quedan bajo la responsabilidad de la institución o las personas que los solicitan.

En las plataformas de redes sociales, compartimos información acerca de nosotros mismos, subimos imágenes, videos y publicamos comentarios. También nos unimos a grupos que tratan sobre temas que nos interesan, y etiquetamos a nuestros amigos, compartiendo datos y opiniones acerca de ellos.

Cada vez más, es esencial que aprendamos a vivir respetando la privacidad de los demás ya defender y salvaguardar nuestros derechos, así como los de aquellos que están más cerca de nosotros.

El derecho a la protección de datos implica que los ciudadanos tenemos la facultad de controlar y decidir sobre toda la información que se relaciona con nosotros. En este tema, exploraremos cuestiones cruciales acerca del uso y la seguridad de nuestros propios datos, así como de la información de terceros que pueda estar en nuestras manos o en las computadoras de nuestro lugar de trabajo.

1.2. Regulación.

La salvaguardia de datos de carácter personal constituye un derecho fundamental respaldado por el artículo 18 de la Constitución Española. Este artículo establece lo siguiente:

  1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
  2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en el sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
  3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
  4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

El Tribunal Constitucional, en su Sentencia 94/1998 de 4 de mayo, ha establecido que este derecho fundamental a la protección de datos garantiza a las personas el control sobre sus datos personales, cualquier información de carácter personal y su uso, con el fin de Evite el uso indebido de estos datos que pueda perjudicar la dignidad y los derechos de las personas afectadas. En este sentido, el derecho a la protección de datos se concibe como la facultad de los ciudadanos para oponerse al uso de sus datos personales para fines diferentes a los que justificaron su recopilación.

Por su parte, la Sentencia 292/2000, de 30 de noviembre, considera este derecho como independiente y autónomo, otorgando a las personas un poder para disponer y controlar sus datos personales. Esto permite a las personas decidir qué datos proporcionan a terceros, ya sea el Estado o particulares, y cuáles pueden ser recopilados por terceros. También permite a las personas saber quién posee sus datos personales y con qué propósito, y la capacidad de oponerse a dicho uso.

A nivel legislativo, la definición y desarrollo del derecho fundamental de protección de datos de personas en relación con el procesamiento de información personal tuvo lugar inicialmente con la Ley Orgánica 5/1992, del 29 de octubre, que regulaba el tratamiento automatizado de datos personales, conocida como LORTAD.

Esta ley fue reemplazada por la Ley Orgánica 15/1999, del 5 de diciembre, de protección de datos personales, que adoptó en la legislación española lo establecido en la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995, que se refería a la protección de datos personales y la libre circulación de estos datos.

Además, el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea recogen este derecho.

Previo a esto, a nivel europeo, se había aprobado la Directiva 95/46/CE mencionada, cuyo objetivo era asegurar que la garantía del derecho a la protección de datos personales no obstaculizara la libre circulación de datos en la Unión Europea, estableciendo un espacio. común de garantía de este derecho y asegurando que, en caso de transferencia internacional de datos, su tratamiento en el país de destino esté protegido adecuadamente.

El 25 de mayo de 2016, entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de datos personales y la libre circulación de estos datos, derogando la Directiva 95. /46/CE, aunque no comenzó a aplicarse hasta dos años después, el 25 de mayo de 2018. Este reglamento se conoce como Reglamento General de Protección de Datos (RGPD).

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de datos personales por parte de las autoridades competentes para multas de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de datos, también se ha incorporado a la legislación española.

El principio de seguridad jurídica obliga a los Estados miembros a incorporar el ordenamiento europeo al interno de una manera clara y pública, de modo que pueda ser plenamente conocido tanto por los operadores legales como por los ciudadanos, y eliminar situaciones de incertidumbre derivadas de normativas nacionales. incompatibles con las europeas.

Para adaptarse al RGPD, se requiere una nueva ley orgánica que sustituya a la LO 15/1999. En este proceso se han mantenido los principios de buena regulación, ya que se trata de una norma necesaria para adaptar el sistema legal español a la normativa europea y proporcionar seguridad jurídica.

Con el propósito de incorporar de inmediato al derecho interno cuestiones esenciales para la adecuada implementación en España del RGPD, se promulgó el Real Decreto-ley 5/2018, de 27 de julio, que establece medidas urgentes para adaptar el derecho español a la legislación de la Unión Europea en cuanto a la protección de datos.

Finalmente, las Cortes Generales han aprobado la tan esperada nueva ley orgánica, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que deroga la LO 15/1999 y el RDL 5/ 2018.

El derecho fundamental de las personas a la protección de datos de carácter personal, respaldado por el artículo 18.4 de la Constitución, se ejerce conforme a lo dispuesto en el Reglamento (UE) 2016/679 y en esta ley orgánica.

1.3. Seguridad de la información.

La extensión necesaria de la sociedad de la información depende en gran medida de la confianza que inspire a los ciudadanos la interacción a través de medios electrónicos.

De acuerdo con el artículo 32 del RGPD, considerando el estado de la tecnología, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como los riesgos de diversas probabilidades y gravedades para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad que sea apropiado en función del riesgo, lo cual puede incluir, entre otros:

A) El enmascaramiento de datos personales y el cifrado.

B) La capacidad para asegurar la permanente confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento.

C) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera rápida en caso de un incidente físico o técnico.

D) Un proceso de verificación, evaluación y valoración periódica de la eficacia de las técnicas y organizativas destinadas a garantizar la seguridad del procesamiento medidas.

Al evaluar si el nivel de seguridad es adecuado, se consideran especialmente los riesgos asociados al procesamiento de datos, en particular como resultado de la destrucción, pérdida o alteración accidental o ilegal de datos personales transmitidos, almacenados o de otro modo procesados, así como el acceso o la comunicación no autorizados de dichos datos.

El Esquema Nacional de Seguridad.

Dentro del ámbito de las Administraciones públicas, el reconocimiento del derecho a comunicarse con ellas a través de medios electrónicos conlleva una responsabilidad recíproca por parte de estas entidades. Esto se basa en la premisa de promover condiciones que hagan efectiva la libertad y la igualdad, eliminando obstáculos que obstaculicen su plenitud, lo que implica incorporar las particularidades necesarias para garantizar una aplicación segura de estas tecnologías.

Este enfoque fue abordado por el artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, a través de la creación del Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad en el contexto de la Administración Electrónica se rige actualmente por el Real Decreto 311/2022, de 3 de mayo, que es aplicable a todo el sector público.

El Esquema Nacional de Seguridad está compuesto por los principios fundamentales y los requisitos mínimos necesarios para garantizar una protección adecuada de la información manejada y los servicios ofrecidos por las entidades dentro de su ámbito de aplicación. Su finalidad es asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos en el ejercicio de sus competencias.

Según la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, el Esquema Nacional de Seguridad incluye las medidas necesarias para prevenir la pérdida, la alteración o el acceso no autorizado de datos personales, adaptando los criterios de evaluación del riesgo en el tratamiento de los datos de acuerdo con lo establecido en el artículo 32 del RGPD.

Los responsables de los tratamientos de datos en el sector público deben aplicar las medidas de seguridad pertinentes contempladas en el Esquema Nacional de Seguridad para los tratamientos de datos personales. Asimismo, deben promover un nivel de implementación de medidas equivalentes en las entidades privadas o fundaciones vinculadas a ellas y sujetas al Derecho privado.

En situaciones en las que un tercero presta servicios bajo un contrato de concesión, encargo de gestión o contrato, las medidas de seguridad deben ajustarse a las establecidas por la Administración pública de origen y cumplir con el Esquema Nacional de Seguridad.

El artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que el Esquema Nacional de Seguridad tiene como objetivo definir la política de seguridad en la utilización de medios electrónicos en el ámbito de dicha ley. Está conformado por los principios fundamentales y los requisitos mínimos necesarios para garantizar adecuadamente la seguridad de la información tratada.

A) Principios fundamentales:

El fundamental de garantizar la seguridad de la información es asegurar que una entidad administrativa pueda alcanzar sus metas, desempeñar sus funciones y ejercer sus competencias utilizando sistemas de información. En lo que concierne a la seguridad, es necesario considerar los siguientes principios esenciales:

  1. Seguridad como un proceso integral.
  2. Gestión de la seguridad basada en la evaluación de riesgos.
  3. Enfoque en la prevención, detección, respuesta y conservación.
  4. Establecimiento de múltiples líneas de defensa.
  5. Mantenimiento de una vigilancia constante.
  6. Evaluación periódica de la situación.
  7. Asignación clara de responsabilidades.

B) Requisitos esenciales La política de seguridad de la información representa el conjunto de directrices que rigen la manera en que una organización gestiona y protege la información que maneja, así como los servicios que presta.

Con ese fin, el documento que aprueba esta política de seguridad deberá incluir, como mínimo, los siguientes aspectos fundamentales:

a) Los propósitos o la misión de la organización.

b) El marco normativo en el cual se desarrollarán las actividades. c) Los roles o funciones de seguridad, definiendo los deberes y responsabilidades para cada uno de ellos, junto con el procedimiento para su nombramiento y renovación.

d) La estructura y composición del comité o comités encargados de la gestión y coordinación de la seguridad, especificando su ámbito de responsabilidad y su relación con otros componentes de la organización.

e) Las directrices para la organización de la documentación del sistema de seguridad, su gestión y acceso.

f) Los riesgos que se originan a partir del tratamiento de datos personales.

Esta política de seguridad se establecerá de acuerdo con los principios fundamentales mencionados y se desarrollará aplicando los siguientes requisitos esenciales:

A) Organización e implementación del proceso de seguridad.

B) Evaluación y gestión de los riesgos.

C) Administración de personal.

D) Competencia y aptitud.

E) Autorización y supervisión de los accesos.

F) Resguardo de las instalaciones.

G) Adquisición de productos de seguridad y contratación de servicios de seguridad.

H) Principio del mínimo privilegio.

I) Mantenimiento de la integridad y actualización del sistema.

J) Protección de la información almacenada y en tránsito.

K) Medidas preventivas para sistemas de información interconectados.

L) Registro de actividad y detección de software malicioso.

M) Respuesta a incidentes de seguridad.

N) Garantía de continuidad de la actividad.

Ñ) Mejora constante del proceso de seguridad. Todos estos requisitos esenciales se aplicarán en consonancia con los riesgos identificados en cada sistema, pudiendo no ser necesarios en sistemas que cuiden de riesgos significativos.

C) Dimensiones de la seguridad.

La determinación de la categoría de seguridad de un sistema se basa en la evaluación del impacto que tendría en la organización un evento que afectará a la seguridad de la información manejada o a los servicios proporcionados, con consecuencias para la capacidad de la organización de:

  1. Cumplir sus objetivos.
  2. Proteger sus activos.
  3. Garantizar la conformidad con la legislación vigente.

Para evaluar el impacto que tendría en la organización un evento que afectará a la seguridad de la información o a los servicios prestados y, por fin, para establecer la categoría del sistema, se considerarán las siguientes dimensiones de la seguridad, que se identificarán por sus respectivas iniciales en mayúsculas:

Disponibilidad [D]. Característica que asegura que las entidades o procesos autorizados tengan acceso a los activos cuando lo requieran.

Autenticidad [A]. Propiedad que garantiza la veracidad de la entidad y la fuente de origen de los datos.

Integridad [I]. Característica que asegura que la información no ha sido modificada de manera no autorizada.

Confidencialidad [C]. Propiedad que garantiza que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

Trazabilidad [T]. Propiedad que permite rastrear de manera irrefutable las acciones de una entidad (ya sea una persona o un proceso) hasta dicha entidad.

La información o un servicio pueden verse afectados en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad afectada se asignará a uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se asignará a ningún nivel.

a) Nivel bajo: Se utilizará cuando las repercusiones de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad impliquen un perjuicio limitado en las funciones de la organización, sus activos o las personas afectadas.

Se entenderá por perjuicio limitado:

1.º Una reducción apreciable en la capacidad de la organización para cumplir óptimamente sus funciones y competencias, aunque estas sigan funcionando.

2.° Causar daño menor en los activos de la organización.

3.º El incumplimiento formal de alguna ley o regulación, que sea de naturaleza subsanable.

4.° Causar un perjuicio menor a una persona, que, aunque molesto, pueda repararse fácilmente.

5.º Otras situaciones de naturaleza similares.

b) Nivel medio: Se aplicará cuando las implicaciones de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad con

Se entenderá por perjuicio importante:

  1. La reducción sustancial de la capacidad de la organización para cumplir eficazmente sus funciones y competencias, aunque estas sigan en marcha.
  2. Causar un daño significativo en los activos de la organización.
  3. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no sea subsanable.
  4. Causar un perjuicio importante a una persona, de difícil reparación.
  5. Otras situaciones de naturaleza similares.

c) Nivel alto: Se aplicará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad resulten en un perjuicio extremadamente grave en las funciones de la organización, sus activos o las personas afectadas.

Se entenderá por un perjuicio extremadamente grave:

  1. La anulación completa de la capacidad efectiva de la organización para llevar a cabo sus funciones y competencias de manera eficaz.
  2. Causar un daño sumamente grave, incluso irreparable, en los activos de la organización.
  3. El incumplimiento grave de alguna ley o regulación.
  4. Causar un perjuicio grave a una persona, que sea difícil o imposible de reparar.
  5. Otras situaciones de naturaleza similares. Cuando un sistema de información maneje diferentes informaciones y preste diversos servicios, el nivel de seguridad del sistema en cada dimensión será el más alto de los establecidos para cada información y cada servicio.

Para la clasificación de seguridad de un sistema de información se establecen tres categorías: BÁSICA, MEDIA y ALTA.

Un sistema de información será categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. Un sistema de información será categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.

Un sistema de información será categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

Para asegurar el cumplimiento de los principios fundamentales y los requisitos mínimos mencionados, se aplicarán medidas de seguridad que serán proporcionales a:

  • Las dimensiones de seguridad relevantes en el sistema a proteger.
  • La categoría de seguridad del sistema de información a proteger.

Las medidas de seguridad se dividen en tres categorías:

A) Marco organizativo [org]. Incluye el conjunto de medidas relacionadas con la organización global de la seguridad.

B) Marco operativo [op]. Engloba las medidas destinadas a proteger la operación del sistema como un conjunto integral de componentes con un propósito definido.

C) Medidas de protección [mp]. Están orientados a proteger activos específicos de acuerdo con su naturaleza y el nivel de seguridad requerido por las dimensiones afectadas.

Notificación de una violación de la seguridad de los datos personales a la autoridad de control.

El artículo 33 del RGPD establece que, en caso de una violación de la seguridad de los datos personales, el responsable del tratamiento notificará a la autoridad de control competente sin demora indebida y, si es posible, a más tardar 72 horas después de tomar conocimiento de la violación, a menos que sea improbable que dicha violación constituye un riesgo para los derechos y libertades de las personas físicas.

Si la notificación a la autoridad de control no se realiza dentro del plazo de 72 horas, se deberá proporcionar una explicación de los motivos de la demora.

El encargado del tratamiento notificará sin demora indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

La notificación por parte del responsable debe incluir, al menos:

A) Una descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de personas afectadas y las categorías y el número aproximado de registros de datos personales afectados.

B) La comunicación del nombre y los datos de contacto del delegado de protección de datos u otro punto de contacto donde se pueda obtener más información.

C) Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

D) Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para remediar la violación de la seguridad de los datos personales, incluyendo, si es aplicable, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible proporcionar toda la información simultáneamente y en la medida en que no sea posible, la información se proporcionará gradualmente sin demora indebida.

El responsable del tratamiento debe documentar cualquier violación de la seguridad de los datos personales, incluyendo los eventos relacionados, sus efectos y las medidas correctivas adoptadas. Esta documentación permite a la autoridad de control verificar el cumplimiento de lo establecido en este apartado.

De acuerdo con la disposición adicional 9 de la LO 3/2018, cuando, de acuerdo con la legislación nacional aplicable, deban notificarse incidentes de seguridad, las autoridades públicas competentes, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes. de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad podrán procesar los datos personales contenidos en tales notificaciones, exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta ante. incidentes, y tomando las medidas de seguridad apropiadas y proporcionadas al nivel de riesgo determinado.

Comunicación de una violación de la seguridad de los datos personales al interesado.

El artículo 34 del RGPD establece que en caso de que sea probable que la violación de la seguridad de los datos personales represente un riesgo elevado para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá notificar al interesado sin demora indebida.

Esta notificación deberá describir de manera clara y sencilla la naturaleza de la violación de la seguridad de los datos personales e incluir, como mínimo, la información y las medidas mencionadas en las letras b), c) y d) del apartado anterior. La notificación al interesado no será necesaria en los siguientes casos:

a) El responsable del tratamiento ha implementado medidas técnicas y organizativas adecuadas de protección, y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hacen que los datos personales sean inteligibles para cualquier persona no autorizada, como el cifrado.

b) El responsable del tratamiento ha tomado medidas adicionales que aseguran que ya no existe la probabilidad de que se materialice el riesgo elevado para los derechos y libertades del interesado.

c) La notificación al interesado requeriría esfuerzos desproporcionados. En este caso, se optará en su lugar por una notificación pública u otra medida similar que informe de manera igualmente efectiva a los interesados.

d) Si el responsable aún no ha notificado al interesado sobre la violación de la seguridad de los datos personales, la autoridad de control, después de evaluar la probabilidad de que dicha violación represente un riesgo elevado, podrá exigir al responsable que lo haga o decidir que se cumple alguna de las condiciones mencionadas.

Mi carrito
El carrito está vacío.

Parece que aún no te has decidido.

¿Tienes un código de descuento?
Subtotal0,00 
Envíos
Total0,00 
El carrito está vacío. Compra ya
Desarrollado por CartPops (se abre en una pestaña nueva)