Datos de Carácter Personal

Los datos de carácter personal son cualquier información concerniente a personas físicas identificadas o identificables.

Derechos del Interesado: ARCO y Más

La normativa de protección de datos confiere a los individuos una serie de derechos fundamentales sobre su información personal. Tradicionalmente conocidos como derechos ARCO, se han ampliado con el Reglamento General de Protección de Datos (RGPD).

Derechos ARCO

  • Derecho de Acceso: Permite al interesado obtener información sobre si sus datos personales están siendo tratados, con qué finalidad y qué tipo de datos son.
  • Derecho de Rectificación: El afectado tiene derecho a solicitar la modificación de sus datos cuando sean inexactos o incompletos.
  • Derecho de Cancelación (Supresión): También conocido como “derecho al olvido”, permite al interesado solicitar la eliminación de sus datos personales cuando, entre otros motivos, ya no sean necesarios para los fines que fueron recogidos.
  • Derecho de Oposición: El derecho del afectado a que no se lleve a cabo un tratamiento de sus datos personales o a que cese en el mismo, en determinadas circunstancias.

Otros Derechos Relevantes

  • Derecho de Consulta: Permite consultar el Registro General de Protección de Datos para conocer la existencia de tratamientos de datos de carácter personal.
  • Derecho a Indemnización: Por los daños o lesiones ocasionados en sus bienes o derechos como consecuencia de un tratamiento ilícito de datos.

Delitos Informáticos y Ciberseguridad

El ámbito digital no está exento de actividades ilícitas. A continuación, se definen algunos de los delitos más comunes relacionados con la tecnología:

Tipos de Delitos Digitales

  • Fraude Informático: Delito de estafa que se realiza a través de la manipulación de datos o programas con el fin de obtener un lucro ilícito.
  • Delito Tecnológico: Se define como todo acto ilícito penal llevado a cabo a través de medios informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las tecnologías de la información.
  • Sabotaje Informático: Delito de daños que implica la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos.

Seguridad Informática vs. Seguridad de la Información

Aunque a menudo se usan indistintamente, estos términos tienen matices importantes:

  • La seguridad informática es un término que engloba todas las acciones destinadas a la protección, tanto física como lógica, de un sistema informático y su contenido (hardware, software, datos).
  • La seguridad de la información hace referencia específicamente a la protección de los datos que son tratados, independientemente del medio en que se encuentren (papel, digital, oral, etc.). Su objetivo es preservar la confidencialidad, integridad y disponibilidad de la información.

Roles Clave en la Protección de Datos

La normativa de protección de datos establece diferentes roles con responsabilidades específicas:

Responsable del Tratamiento y Encargado del Tratamiento

  • El Responsable del Tratamiento (anteriormente “responsable del fichero” bajo la LOPD) es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos.
  • El Encargado del Tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trata datos personales por cuenta del Responsable del Tratamiento, siguiendo sus instrucciones.

Servicios de la Sociedad de la Información

Según la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), se entiende por “servicio de la sociedad de la información” toda actividad que cumple las siguientes características:

  • Recibe una contraprestación económica.
  • La actividad se realiza a distancia (no presencial).
  • Se lleva a cabo por medios electrónicos o telemáticos.
  • Se presta a petición individual del destinatario del servicio.

En resumen, son servicios que se prestan telemáticamente o que se apoyan en plataformas de telecomunicaciones para su difusión, y que suponen una actividad económica para la empresa, entidad o individuo que los ofrece.

Consideraciones Importantes sobre la LOPD y el RGPD

Nota clave: La Ley Orgánica de Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD) afectan a toda la empresa u organización que trate datos personales, sin excepción, independientemente de su tamaño o sector.

Medidas de Seguridad Obligatorias según el Nivel de Protección de Datos

La normativa establece diferentes niveles de seguridad en función de la sensibilidad de los datos tratados:

Nivel Básico de Seguridad

Tipo de DatosMedidas de Seguridad Obligatorias
  • Nombre
  • Apellidos
  • Dirección de contacto
  • Teléfono
  • Otros datos identificativos no sensibles
  • Documento de seguridad
  • Existencia de un responsable de los ficheros de datos personales
  • Régimen de funciones y obligaciones del personal
  • Registro de incidencias
  • Identificación y autenticación de usuarios
  • Control de acceso físico
  • Gestión de soportes de almacenamiento
  • Copia de respaldo y recuperación

Nivel Medio de Seguridad

Tipo de DatosMedidas de Seguridad Obligatorias
  • Comisión de infracciones penales
  • Comisión de infracciones administrativas
  • Información de Hacienda Pública
  • Información de servicios financieros
  • Medidas de seguridad de nivel básico
  • Designación de un responsable de seguridad
  • Auditoría bianual
  • Medidas adicionales de identificación y autenticación de usuarios
  • Control de acceso físico (adicional)

Nivel Alto de Seguridad

Tipo de DatosMedidas de Seguridad Obligatorias
  • Ideología
  • Religión
  • Creencias
  • Origen racial
  • Salud
  • Vida sexual
  • Datos genéticos o biométricos
  • Medidas de seguridad de nivel básico y medio
  • Seguridad en la distribución de soportes
  • Registro de acceso a los datos
  • Medidas adicionales de copias de respaldo
  • Cifrado de datos para telecomunicaciones

Diferencias en la Información Requerida: LOPD vs. LSSICE

Ambas leyes regulan aspectos importantes de la información, pero con enfoques distintos:

Según la LOPD (Datos Personales)Según la LSSICE (Información del Prestador de Servicios)
  • Domicilio
  • Fecha de nacimiento
  • Estado civil
  • Nivel de estudios
  • Número de teléfono
  • DNI
  • Grupo social
  • Ideología
  • (Ejemplos de datos personales protegidos)
  • El nombre o denominación social del prestador de los servicios
  • El número de identificación fiscal (NIF)
  • Datos de inscripción del prestador en el registro mercantil (o similar)
  • Forma de contacto por correo electrónico
  • Información si la actividad profesional está regulada (colegio profesional, título, etc.)
  • Información clara sobre los precios de productos o servicios

Ciclo de Mejora Continua en Seguridad de la Información (PDCA)

La implementación y gestión de un Sistema de Gestión de Seguridad de la Información (SGSI) se beneficia enormemente de un enfoque de mejora continua, a menudo basado en el ciclo PDCA (Plan-Do-Check-Act):

  • Planificación (Plan): Esta fase inicial requiere un firme compromiso por parte de la dirección de la empresa u organización. Se definen el alcance del SGSI, la política y los objetivos de seguridad, y la metodología para la evaluación y tratamiento de riesgos.
  • Implementación (Do): Se lleva a cabo la ejecución de las medidas y controles de seguridad planificados. Esto incluye la asignación de responsables, la formación del personal y la puesta en marcha de los procesos definidos.
  • Revisión (Check): Es crucial monitorizar y revisar el rendimiento del SGSI. Se mide la eficacia de los controles implementados, se analizan los incidentes de seguridad y se evalúa la aparición de nuevos riesgos.
  • Actuación (Act): Basándose en los resultados de la revisión, se implantan mejoras y se adoptan medidas correctoras y preventivas para optimizar continuamente el SGSI y asegurar su adaptación a los cambios del entorno.