Corporate complianceCorporate compliance

Principios de la protección de datos

• Calidad de la información (los datos deben seradecuados, pertinentes y no excesivos en relación ala finalidad)

• Derecho de información en la recogida (de modoexpreso, preciso e inequívoco)

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

expreso, preciso e inequívoco)

• Consentimiento del afectado (salvo que la leydisponga otra cosa)

• Seguridad de los datos (responsable y encargadodel tratamiento observarán las medidas oportunas)

• Deber de secreto (aún después de finalizar larelación con el afectado)

• Dato personal: aquel que identifique a la persona o la hagaidentificable (nombre, telf., IP, imagen, voz)

• Fichero: Conjunto organizado de datos, con estructura y ordensuficiente para localizar a una persona, y que está orientado auna finalidad

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

• Responsable del fichero: Persona física o jurídica que decidesobre la finalidad de un tratamiento

• Encargado del tratamiento: Tercero que accede a lainformación que custodia el responsable, para realizar un trabajopor cuenta de éste.

¡Ojo a la anulación de la excepción domestica!

• Cesión de datos: Transferencia de datos a una tercera persona(el cesionario), para otra finalidad

• Recabar consentimiento, salvo excepciones por ley• Cesionario debe informar en primera comunicación

• Transferencias internacionales:

• Muy común en servicios “cloud computing”

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

• Muy común en servicios “cloud computing”

• Supuestos permitidos:

• País con nivel de protección equiparable• Consentimiento del interesado• Excepciones del art. 34 LOPD• Autorización del Director de la AEPD

Ley española es una de las más garantistas y exigentes del mundo!

Tres niveles de protección

• Básico: datos personales básicos

• Medio: datos financieros y patrimoniales, perfil y personalidad

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

• Alto: salud, religión, afiliación sindical, origen racial

Aplicación medidas legales, organizativas y técnicas distintas

… y acumulativas

Desarrollo de las medidas en Real Decreto 1720/2007

Inscripción del fichero en la AEPD

¡Antes de iniciar el tratamiento!

• Identificar al responsable y al encargado de tratamiento principal

• Dirección ante la que ejercer derechos ARCO

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

• Dirección ante la que ejercer derechos ARCO

• Nombre del fichero y su/s finalidad/es

• Origen/procedencia de los datos

• Tipo de datos y nivel de seguridad

• Indicar si se prevén cesiones y transferencias internacionales

El Documento de Seguridad

(De obligado cumplimiento para todo responsable de fichero)

• Ámbito de aplicación (ficheros, personas y sistemas)

• Medidas, normas y procedimientos para garantizar la seguridad

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

• Medidas, normas y procedimientos para garantizar la seguridad

• Funciones y obligaciones del personal…y sanciones por incumplimiento

• Estructura del fichero y descripción de los sistemas de información

• Importante: relación de los encargados del tratamiento

Política de privacidad

Se enlazará en nuestro sitio web o servicio de red social

Informará principalmente acerca de:

• Identidad del responsable

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

• Identidad del responsable

• Finalidad/es del fichero

• Ejercicio de derechos ARCO

• Cesiones

Régimen sancionador

• Infracciones leves (900 a 40.000 €)

Ejemplo: no inscribir el fichero en la AEPD

Ley Orgánica 15/1999, de Protección de Datos (LOPD)

• Infracciones graves (40.001 a 300.000 €)

Ejemplo: Tratar los datos sin consentimiento cuando sea necesario

• Infracciones muy graves (300.001 a 600.000 €)

Ejemplo: Recogida de datos de forma engañosa o fraudulenta

ISO 2700x

Familia de estándares definidos por la Organización Internacional parala Estandarización (ISO) y la Comisión Electrotécnica Internacional(IEC)

Corporate compliance

Es un conjunto de buenas prácticas para la implementación de unSistema de Gestión de la Seguridad de la Información (SGSI)

ISO/IEC 27001

Sistema de certificación para empresas que buscan acreditar laadopción de un SGSI

La información como activo de la organización

Corporate compliance

La información como activo de la organización

(análisis y tratamiento del RIESGO)

Atiende a las buenas prácticas descritas en la ISO 27002

Basada en el concepto de “mejora continua”

(Plan -> Do -> Check -> Act)

ISO/IEC 27002

Catálogo de buenas prácticas para la implementación de un SGSI

No es certificable. Se certifica la ISO/IEC 27001

Corporate compliance

No es certificable. Se certifica la ISO/IEC 27001

Contiene 11 dominios, 39 objetivos de control y 133 controles

Gran relación con las medidas de seguridad del RD 1720/2007

Corporate compliance

COBIT

(Control Objectives for Information and related Technology)

Diseñado por la Asociación para la Auditoría y Control de Sistemas deInformación (ISACA)

Corporate compliance

Información (ISACA)

Es un marco de gobierno TI que busca el alineamiento estratégicoentre el negocio y la tecnología. “Acercar la tecnología a laDirección”

Integra otro estándares de gobierno TI como ITIL o ISO 27002

Ámbito penal

Delitos relacionados con la seguridadDelitos relacionados con la seguridad

Código penal español

Se da especial relevancia al impacto y gravedad por utilizar medios de comunicación masivos (como es Internet)

Reforma 2010. Ley Orgánica 5/2010

Responsabilidad penal de las persona jurídicas (empresas)

Delitos informáticos

Responsabilidad penal de las persona jurídicas (empresas)

• Cuando el delito es cometido por cuenta de la empresa

• Cuando es cometido por el empleado, y la empresa no hubieraejercido el control pertinente

En diferentes tipos de delito relacionados con la red (estafa,descubrimiento y revelación de secretos, contra la propiedadintelectual e industrial)

Usurpación del estado civil (art. 401 CP)

Vulgarmente conocido como “suplantación de identidad”

Muy común en redes sociales. Suele ir acompañado de campañas dedesprestigio y atentados contra la reputación, o de estafaselectrónicas

Delitos informáticos

electrónicas

Para constituir delito debe suplantarse a una persona real

Pena de entre 6 meses y 3 años de prisión

Además, puede constituir una infracción administrativa por vulnerar laLOPD. No se aplica la “excepción domestica”

Estafa electrónica (art. 248 CP)

Actos engañosos con el objetivo de transferir bienes del estafado alestafador. Se genera error en el conocimiento de la victima.

Delitos informáticos

Varios ejemplos: cartas nigerianas, ofertas de compraventa devehículos, phising, comunicación de herencias.

Pena de entre 6 meses y 3 años de prisión. Hasta 6 años si seacompaña de suplantación de firma o se aprovecha familiaridad.

Descubrimiento y revelación de secretos (arts. 197 y 278 CP)

Descubrir secretos o vulnerar la intimidad de otro sin suconsentimiento, apropiándose de sus documentos o interceptandosus telecomunicaciones.

Delitos informáticos

Apoderarse de datos de carácter personal para perjudicar a su titular.

Pena de entre 1 a 4 años de prisión. Entre 2 y 5 años si se revelan aterceros.

Desde la reforma del CP 2010, también penado el mero acceso noconsentido (hacking directo). Pena de entre 6 meses a 2 años.

Atentados contra el honor (arts. 205 y 208 CP)

Injuria: “la acción o expresión que lesionan la dignidad de otrapersona, menoscabando su fama o atentando contra su propiaestimación”

Delitos informáticos

estimación”Sólo constituye delito si es considerada grave. La imputación dehechos no se considera grave.

Calumnia: “la imputación de un delito hecha con conocimiento de sufalsedad o temerario desprecio hacia la verdad”

Art. 212 CP: Responsabilidad solidaria del responsable del medio

Contra la propiedad intelectual (art. 270 CP)

Atentado contra los derechos reconocidos en la LPI (morales ypatrimoniales)

Delitos informáticos

Algunas conductas delictivas: plagio, fabricación de dispositivos queeliminen la protección, venta de obras protegidas.

Por lo general, NO hay delito si no existe ánimo de lucro o si noperjudica a terceros

Pena de entre 6 meses y 2 años de prisión y multa económica

Contra la propiedad industrial (art. 274 CP)

En relación con la Ley 17/2001, de Marcas (art. 40 LM).

Utilizar en el tráfico económico, sin el consentimiento del titular, un

Delitos informáticos

Utilizar en el tráfico económico, sin el consentimiento del titular, unsigno distintivo registrado (marca o nombre comercial) idéntico oconfundible.

Pena de entre 6 meses y 2 años de prisión y multa de 6 a 24 meses.

Delito de daños informáticos (art. 264 CP)

“El que por cualquier medio, sin autorización y de manera graveborrase, dañase, deteriorase, alterase, suprimiese, o hicieseinaccesibles datos, programas informáticos o documentoselectrónicos ajenos, cuando el resultado producido fuera grave,será castigado con la pena de prisión de seis meses a dos años

Delitos informáticos

será castigado con la pena de prisión de seis meses a dos años

El que por cualquier medio, sin estar autorizado y de manera graveobstaculizara o interrumpiera el funcionamiento de un sistemainformático ajeno, introduciendo, transmitiendo, dañando,borrando, deteriorando, alterando, suprimiendo o haciendoinaccesibles datos informáticos, cuando el resultado producidofuera grave, será castigado, con la pena de prisión de seis meses atres años.”

Código civil

Art. 1902

El que por acción u omisión causa daño a otro, interviniendo culpa onegligencia, está obligado a reparar el daño causado.

Art. 1903

Reclamación por la vía civil

Art. 1903

Los padres son responsables de los daños causados por los hijos que seencuentren bajo su guarda.

Lo son igualmente los dueños o directores de un establecimiento y empresarespecto de los perjuicios causados por sus dependientes.

Art. 1904

El que paga el daño causado por sus dependientes puede repetir de éstos loque hubiese satisfecho.

Muchas gracias

miguelangel.abeledo@gmail.com

@miguel_abeledo

Miguel Angel Abeledo