Leyes relacionadas con la seguridad de la información

En los siguientes apartados vamos a tratar las principales leyes relacionadas con la seguridad de la información: Ley de protección de datos de carácter personal y Ley de servicios de la información y el comercio electrónico.

5.1. Normativa que protege los datos personales

Muy a menudo, en nuestra vida diaria, nuestros datos personales son solicitados para realizar diversos trámites en empresas o en organismos tanto públicos como privados; por e¡emplo, cuando cambiamos de número de móvil o contratamos un nuevo proveedor servicios de Internet. Desde ese instante, nuestro nombre, apellidos, dirección, etc., pasan a formar parte de una serie de ficheros. Su gestión está regulada por la Ley de Protección de Datos de Carácter Personal (LO 15/1999), más conocida como LOPD, que se desarrolla en el RD 1720/2007, y es supervisada por la Agencia Española de Protección de Datos.
El ob¡etivo de esta ley es garantizar y proteger los derechos fundamentales y, especialmente, la intimidad de las personas físicas en relación con sus datos personales. Es decir, específica para qué se pueden usar, cómo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen las personas a las que se refieren, entre otros aspectos.
Es habitual encontrar carteles donde se hacen referencia a esta ley, por ejemplo en las estaciones de RENFE o cuando rellenas tu matrícula.
madrid
Los datos personales recogidos, serán tratados con su consentimiento
informado en los términos del artículo 5 de la Ley
Orgánica 15/ 1999, y de conformidad con los principios dispuestos
en la misma y en la Ley 8/2001, de la Comunidad de
Madrid, pudiendo ejercer el derecho de acceso, rectificación,
cancelación y oposición ante el responsable del fichero. Para
cualquier cuestión relacionada con esta materia, o si tiene usted
alguna sugerencia que permita mejorar este impreso, puede
dirigirse al teléfono de información administrativa 012.
o Protección de datos

La LOPD no solo la tenemos que conocer desde nuestra profesión como técnicos en sistemasmicroinformáticos y redes, sino también como particulares, ya que nuestros datos están almacenados en ficheros que deberán cumplir esta legislación.
o Medidas de seguridad

Como ya sabes, siempre que se vaya a crear un fichero de datos de carácter personal, es necesario solicitar la aprobación de la Agencia de Protección de Datos. Cuando se realiza esta solicitud es obligatorio especificar los datos que contendrá elfichero y el nivel de seguridad que se aplicará al fichero. Los niveles de seguridad son tres: básico, medio y alto. Los datos implicados en cada uno de ellos se muestran en la tabla siguiente sobre datos y seguridad:
Datos del fichero Nivel de seguridad
Todos los datos de carácter personal tienen que tener como mínimo este nivel. Básico
Referidos a infracciones administrativas (o penales), a gestión tributaria, datos fiscales y financieros.
Datos que proporcionan información sobre las características o personalidad de las afectados.
Medio
Referidos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Alto
El nivel que debe aplicarse es el más alto que corresponda a los datos incluidos en el fichero, es decir, si solo contiene los datos personales (nombre, apellidos y NIF) el nivel
es básico, pero si además se incluye la afiliación sindical, el nivel de seguridad del fichero será alto. Cada nivel tiene unas características de seguridad propias, como se ve en la tabla siguiente:
Nivel de seguridad Característica de seguridad
Básico Debe existir un documento de seguridad donde figuren las funciones y obligaciones de cada usuario del fichero.
El responsable del fichero debe mantener una lista de usuarios y sus accesos actualizada. Las contraseñas de
los usuarios (en caso de ser este el método de autenticación) serán cambiadas en un periodo no superior a un
año. Es obligatorio crear un registro de las incidencias relacionadas con este fichero. Cualquier documento que
contenga datos de carácter personal que se deseche tendrá que ser borrado o destruido. Habrá que realizar
copias de seguridad como mínimo una vez a la semana.
Medio Al menos una vez cada dos años una auditoría verificará que los procedimientos de seguridad aplicados son los
correctos. Deben establecerse mecanismos para evitar el acceso reiterado no autorizado a los datos y sistemas
de control de acceso a los lugares donde estén los equipos que almacenen los datos.
Alto Los datos deben ser cifrados para que no se manipulen cuando se realice su transporte, por ejemplo, cuando se
almacenen los datos en un portátil. También deberán cifrarse para realizar cualquier transmisión por redes
públicas o inalámbricas. Las copias de seguridad deben almacenarse en un lugar físico diferente a los datos.
Deberán registrarse los intentos de acceso a los datos de los dos últimos años como mínimo.

5.2. Normativa de los sistemas de información y comercio electrónico

La regulación de los sistemas de información es un tema muy extenso y complejo, tanto que existe un organismo, la Comisión del Mercado de las Telecomunicaciones (CMT), que establece las normas y procedimientos de los mercados nacionales de comunicaciones electrónicas y de servicios audiovisuales. La ley 34/2002 de servicios de la información y el comercio electrónico regula el régimen jurídico de los servicios de la sociedad de la información y la contratación por vía electrónica en las empresas que proporcionan estos servicios establecidos en España o en estados miembros de la Unión Europea. Algunos de los aspectos más importantes de esta ley son:

• Las empresas a las que afecta están obligadas a proporcionar información sobre nombre, domicilio, dirección de correo electrónico, número de identificación fiscal e información clara sobre el precio de los productos. Si esta información se incluye en la página web, la empresa estará cumpliendo con este requisito.

• Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la información contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos o enlaces a datos incluidos por clientes.

• Establece la validez de los contratos realizados por vía electrónica. Para demostrar la existencia de dicho contrato jurídicamente es suficiente con la presentación del documento en formato electrónico. Por ejemplo en el caso de los billetes de transporte adquiridos a través de Internet, el documento electrónico justifica dicho  contrato.

La aplicacián de estas leyes ha derivado en acciones judiciales, como los siguientes ejemplos:

Ejemplo nº 1     Protección de Datos multa a Telefónica con 60.000 euros .La Agencia Española de Protección de Datos (AEPD) ha impuesto a Telefónica una multa de 60 101 ,21 euros por haber revelado datos de clientes a consecuencia de un problema técnico que sufrió el portal de Terra.
http://www.consumer.es/web/es/tecnolagia/2008/03/17/175496.php

 Ejemplo nº 2

Un grupo de jóvenes insulta y veja en 2006 a un chico de 17 años con síndrome de Dawn. Uno de ellos lo graba y acaba colgado en Google Video, el servicio de hospedaje de vídeos del gigante informático que más tarde adquiriría Youtube. La escena llega a recibir 5.500 visitas en dos meses y aparece entre los«vídeos más divertidos». ¿Quién es el responsable de lo dignidad del agredido, socavada en unas imágenes que alcanzaron una audiencia global? Un juez en Milán lo juzga desde hoy, centrándose en la responsabilidad de cuatro directivos de Google. Los altos cargos, entre los que se encuentra un vicepresidente de la empresa, se enfrentan a una acusación penal por difamar a la víctima y a Vivi Down, una asociación de personas con síndrome de down. Ademós, la Fiscalía les considera responsables del incumplimiento de la legislación italiana en materia de privacidad. 15/12/2009 Daniel Basteiro • Diario Público
Anuncios
Los comentarios están cerrados.
A %d blogueros les gusta esto: