Projecte ABP Legislació i

Protecció de dades
Index

Projecte ABP Legislació i Protecció de dades..............................................................................................

Caso 1................................................................................................................................................................
Empresa de software móvil..........................................................................................................................
Caso 2................................................................................................................................................................
Empresa de servicios medicos en linea.......................................................................................................
Caso 3................................................................................................................................................................
Ciberataque..................................................................................................................................................
Caso 4................................................................................................................................................................
Licencias.......................................................................................................................................................
● TIPOS DE COPYRIGHT...........................................................................................................................
Windows:................................................................................................................................................
macOS:...................................................................................................................................................
Linux:......................................................................................................................................................
Configuración de Actualización de Software de Terceros:.....................................................................
Consideraciones Adicionales:................................................................................................................
ANEXOS............................................................................................................................................................
Caso 3....................................................................................................................................................

Caso 1
Empresa de software móvil
Contexto: Una empresa especializada en desarrollo de software móvil gestiona una
aplicación utilizada para recopilar y almacenar datos personales de los usuarios. Esta
aplicación implica el procesamiento de datos sensibles, como la ubicación y la información
del dispositivo. La empresa está comprometida a asegurarse de que su práctica de
recopilación y gestión de datos cumpla con las normativas de protección de datos y
garantice la seguridad de los usuarios.

a) Normativas de Protección de Datos y Legislación Aplicable:

● Realiza un Registro de actividades de tratamiento
● Elaborar un análisis de riesgos
● Realizar una Evaluación de impacto
● Firmar los contratos con terceros
● Incluir los textos legales en la página web
● Solicitar el consentimiento a los clientes
● Facilitar los derechos de los usuarios
● Firmar los contratos con los empleados
● Nombrar un DPD

b) Adaptación al RGPD:
● Análisis de riesgos
● Brechas de seguridad
● Evaluación de Impacto
● La Privacidad desde el diseño y por defecto
● Página web
● Aviso legal
● Política de privacidad
● Política de cookies
● Los Nuevos derechos de RGPD

c) Delegado de Protección de Datos (DPD):

Es aquella persona que va a supervisar el cumplimiento de la normativa de protección de
datos y ha asesorarte en cualquier cuestión relacionada con esta materia. También el que,
en caso de inspección de la AEPD, actuará de intermediario.

Sólo algunas empresas están obligadas a contratar en DPO.

En concreto, será obligatorio contar con un Delegado de Protección de Datos en los

siguientes casos:

- Si el responsable o encargado del tratamiento es un organismo público, con la

excepción de los tribunales que los usen para el ejercicio de sus funciones.
- Actuaciones llevadas a cabo por responsables o encargados del tratamiento que
requieren la observación continua y sistemática de datos a gran escala
- Actividades de tratamiento que requieren el tratamiento de categorías especiales de
datos a gran escala.

d) Asegurar el Cumplimiento de la Normativa:

El RGPD define al encargado de protección de datos como la persona física o jurídica

encargada de procesar la información personal de los interesados en nombre de un
responsable.
Es importante firmar un contrato en el que se determinen las pautas a seguir. El encargado
del tratamiento sólo puede procesar los datos en base a las instrucciones fijadas por
contrato.

Por tanto, establecer unas bases sólidas en el contrato puede servir para eximir de
responsabilidades al responsable en caso de que el encargado haya cometido alguna
irregularidad o no haya actuado según lo pactado.

e) Comunicaciones y Tratamiento de Datos a través de la Aplicación:

Tendrás que informar expresamente de:

● Que realizas un tratamiento de los datos que se le están solicitando

● Propósito
● Destinatarios de aquella información
● Identidad y dirección del responsable del tratamiento de los datos
● Derecho a ejercer sus derechos de acceso, rectificación, cancelación y oposición y
de qué forma.
Todos esos detalles deberán formar parte de la política de privacidad.

e.1) Configuración de Seguridad en las Comunicaciones:

Tal y como señala el Reglamento General de Protección de Datos, los responsables y

encargados del tratamiento deben establecer las medidas técnicas y organizativas
necesarias para garantizar la seguridad de los datos.

Debes realizar un estudio previo que determine los riesgos existentes. En base a ello
podrás establecer medidas en base a diferentes criterios:

● Coste de los medios técnicos.

● Coste de su implantación.
● Naturaleza de los datos, alcance y finalidad del tratamiento.
● Riesgos que supone para los derechos y libertades del individuo.

e.2) Gestión de Datos Sensibles

La gestión de datos sensibles es fundamental para garantizar la seguridad y privacidad de

la información. Es importante examinar si los datos sensibles recopilados deben ser cifrados
y cómo la empresa puede gestionar esta información de manera segura. Se pueden
implementar medidas como el cifrado de extremo a extremo, el uso de protocolos de
seguridad en la transmisión de datos y la adopción de buenas prácticas de gestión de
claves para proteger la información sensible.

e.3) Políticas de usuário

Las políticas de usuario son cruciales para informar a los usuarios sobre el tratamiento de
sus datos personales. Algunas cláusulas e información relevante que deben incluirse en las
políticas de usuario son: la finalidad del tratamiento de datos, los derechos de los usuarios
en relación con sus datos personales, las medidas de seguridad implementadas para
proteger la información, los procedimientos para el ejercicio de los derechos de privacidad,
la política de retención de datos y cualquier otro aspecto relevante para garantizar que los
usuarios estén bien informados sobre el tratamiento de sus datos personales.

Caso 2
Empresa de servicios medicos en linea

a) ¿Qué debe incluir la página web para cumplir con la normativa de protección de
datos, teniendo en cuenta que se recopilan datos a través de un formulario de
registro?

1. Aviso de Privacidad:
a. Un aviso en el que quede claro y sea accesible para informar a los usuarios
sobre la recopilación, el uso y la protección de datos personales.
b. Explicar el propósito de la recopilación de datos y cómo se utilizarán.
c. Especificar si se compartirán los datos con terceros y con quienes.
2. Consentimiento informado:
a. Implementar un mecanismo claro para obtener el consentimiento de los
usuarios antes de recopilar sus datos.
b. El formulario de registro debe incluir una casilla de verificación que los
usuarios puedan marcar para indicar su consentimiento.
c. El consentimiento debe ser específico para cada finalidad de procesamiento
de datos.
3. Política de Cookies:
a. Si se usan cookies u otras tecnologías de seguimiento, incluir una política de
cookies que informe a los usuarios sobre su uso y obtenga su consentimiento
si es necesario.
4. Derechos de los usuarios:
a. Informar a los usuarios sobre sus derechos en relación con sus datos
personales.
b. Incluir información sobre cómo ejercer sus derechos de acceso, rectificación,
supresión, limitación del tratamiento y portabilidad de datos.
5. Seguridad de los datos:
 a. Describir las medidas de seguridad implementadas para proteger los datos
personales de los usuarios.
b. Asegurarse de que se utilice una conexión segura (HTTPS) para la
transmisión de datos sensibles.

a.) Incluye los textos legales necesarios en la página web según la normativa de
protección de datos y otras leyes relacionadas con la prestación de servicios de
salud en línea. Especifica también el artículo específico del RGPD.

1. Aviso de privacidad y protección de datos: Un aviso claro y accesible que explique

cómo se recogen, utilizan, almacenan y protegen los datos personales,
especialmente los datos médicos. Este aviso debe cumplir con la normativa de
protección de datos y otras leyes relacionadas con la prestación de servicios de
salud en línea.
2. Política de Cookies: Debe detallar qué tipo de cookies se utilizan, su finalidad, cómo
se pueden gestionar y desactivar y cualquier otra información relevante.
3. Artículo RGPD: Es el artículo 6 que trata sobre la base legal para el tratamiento de
datos personales que incluyen las cookies.

Ética y segura

1. Acceso fácil a la información:

a. Asegurarse de que los usuarios tengan acceso fácil a la información de
consentimiento en la página web
b. Proporciona enlaces directos al aviso de privacidad y a los detalles
específicos sobre el tratamiento de datos médicos.
2. Opciones clara para retirar el consentimiento:
a. Permite a los usuarios retirar su consentimiento de manera sencilla y clara
b. Proporciona opciones claras para revocar el consentimiento a través de la
configuración de la cuenta o un formulario en línea.
3. Seguridad de los datos:
a. Garantiza medidas de seguridad robustas para proteger los datos de salud
recopilados.
b. Utiliza protocolos de cifrado para transmitir y almacenar información sensible.
4. Cumplimiento con el RGPD:
a. Asegurarse de que el mecanismo cunple con los principios de RGPD,
especialmente en lo que respecta al consentimiento, la transparencia y la
seguridad.
5. El artículo relevante del RGPD es el artículo 9, que trata sobre el tratamiento de
categorías especiales de datos personales como los datos de salud.

b) ¿Cuáles son los derechos de los usuarios en relación con sus datos de salud y
cómo se deben garantizar estos derechos en la plataforma en línea? Especifica
también el artículo específico del RGPD.

1. Derecho de acceso a la información de salud:

 a. Los usuarios tienen el derecho de acceder a su información de salud
almacenada.
b. Deben poder revisar y obtener copias de seguridad de sus registros médicos
y otros datos relacionados con su salud.
2. Derecho de rectificación y borramiento de datos:
a. Los usuarios tienen el derecho de corregir inexactitudes en sus datos de
salud.
b. Pueden solicitar la eliminación de ciertos datos, especialmente si ya son
relevantes para los fines para los cuales fueron recopilados.
3. Derechos a limitar el tratamiento y a la portabilidad de datos de salud:
a. En determinadas situaciones, los usuarios pueden solicitar la limitación del
tratamiento de sus datos de salud.
b. Tienen el derecho a recibir sus datos de salud en un formato estructurado y
de uso común, facilitando su transferencia a otro proveedor de servicios
médicos.

Cómo garantizar estos derechos en la plataforma en línea

1. Interfaz dedicada para la gestión de derechos:

a. La plataforma debe proporcionar una interfaz donde los usuarios pueden
revisar, actualizar o solicitar la eliminación de su información de salud.
b. Esta interfaz debe ser fácilmente accesible desde el panel de control de la
cuenta del usuario.
2. Procedimientos de respuesta a solicitudes:
a. Establecer procedimientos seguros y efectivos para responder a las
solicitudes de los usuarios en los plazos establecidos por la ley.
b. Garantizar que el personal esté debidamente capacitado para manejar
solicitudes relacionada con datos de salud.
3. Información transparente:
a. Proporcionar información clara sobre cómo ejercer estos derechos en la
plataforma.
b. Indicar claramente los procesos para acceder, corregir, eliminar, limitar el
tratamiento y portar datos de salud.

Artículo específico del RGPD

Artículo 15 se refiere específicamente al derecho de acceso del interesado, mientras que el

Artículo 16 y 17 abordan el derecho de rectificación y el derecho al olvido.
Caso 3
Ciberataque

La agencia de viajes en linea “ViatgesSegurs” ha sufrido un ciberataque. Su base de datos

con información sensible de los clientes ha sido comprometida.

¿Qué tiene que hacer?

Una de las obligaciones que tienen estas empresas la cual establece el nuevo Reglamento
es la notificación de los incidentes de seguridad que se producen en la empresa.

- VALORACIÓN DEL RIESGO

Se debe definir el tipo de amenaza al que se enfrenta la empresa (virus, malware, ataque
man-in-the-middle, ataque DNS, etc…).
- DAÑOS MATERIALES O INMATERIALES
Se debe determinar los daños que dicha amenaza puede suponer tanto a sus equipos de
trabajo como para su operativa interna.
- ALCANCE
Las consecuencias que podría acarrear. ¿Supone algún riesgo para los empleados? ¿Y
para la seguridad o privacidad de los clientes?
- EVIDENCIA O INCIDENTE REAL
En caso de que las brechas de seguridad pudieran tener graves consecuencias, es
recomendable ponerse en contacto con la autoridad de supervisión tan pronto como sea
posible.

Para informar sobre todo esto se ha de enviar un formulario “Formularios para la notificación
de una brecha de seguridad a la AEPD y a los afectados”.
1*
2*
¿A quien tiene que comunicarlo?

Dicho suceso tiene que comunicarse tanto a los afectados como a la AEPD (Agencia
Española de Protección de Datos).

¿Cuánto tiempo tiene?

Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información,
por lo que debes someter el plan a prueba para garantizar que cumpla con el plazo.

¿Tiene algún plan de respuesta?

En el caso de que se dé una situación de ciberataque o infracción en la agencia de viajes, lo

ideal es que estés prevenido con un plan de respuesta ante incidentes.
En caso de no cumplir lo anterior existen distintas sanciones por incumplimiento las cuales
impone el RGPD. Las sanciones de dicha entidad cambian y aumentan considerablemente.

Caso 4
Licencias

● La empresa TechInnovate, ha recibido información sobre una antigua trabajadora,

traidora, que estaba involucrada en temas de licencias. Solicita ayuda para
comprender mejor las licencias Creative Commons, el Copyright y las licencias
Copyleft.

LICENCIAS:

QUE ES COPYRIGHT ?

El autor dispone de todos los derechos sobre su obra y no permite que se utilice bajo ningún
concepto. La licencia copyright es la más estricta y restrictiva de todas. El autor conserva
todos los derechos y no puede ser utilizada su obra ni total ni parcialmente sin previa
autorización por su parte.

● TIPOS DE COPYRIGHT

1. Derechos de autor de textos: protegen a las obras literarias, artísticas y científicas,

como libros, poesía, películas, obras de teatro y música. Los derechos de autor
otorgan al creador el derecho exclusivo de reproducir, distribuir y comunicar
públicamente la obra.
2. Derechos de autor de las obras audiovisuales: protegen a las películas y otros
trabajos audiovisuales, como documentales y programas de televisión. Estos
derechos incluyen el derecho a reproducir, distribuir y comunicar públicamente la
obra.
3. Derechos de autor de las obras musicales: protegen a las obras musicales y a las
letras de las canciones. Estos derechos incluyen el derecho a reproducir y distribuir
la obra, así como el derecho a interpretarla en público.
 4. Derechos de autor de las obras de arte: protegen a las obras de arte visuales, como
pinturas, esculturas y fotografías. Estos derechos incluyen el derecho a reproducir y
distribuir la obra, así como el derecho a exponerla en público.
5. Derechos de autor de las obras de arquitectura: protegen a los diseños y planos de
edificios y estructuras. Estos derechos incluyen el derecho a reproducir y distribuir
los planos, así como el derecho a construir la estructura según el diseño.
6. Derechos de autor de las bases de datos: protegen a las bases de datos, que son
colecciones de información organizada de manera estructurada. Los derechos de
autor de las bases de datos incluyen el derecho a extraer y reutilizar la información
contenida en ellas.
7. Derechos de autor de las obras software: protegen a los programas informáticos y a
sus códigos fuente. Estos derechos incluyen el derecho a reproducir y distribuir el
software, así como el derecho a modificarlo y utilizarlo en la creación de otros
programas.

QUE SON LAS LICENCIAS DE COPYLEFT ?

El copyleft es un método para convertir un programa en software libre y exigir que todas las
versiones del mismo, modificadas o ampliadas, también lo sean. De esta manera, cada vez
que alguien distribuya el contenido con esta licencia, debe traspasar con él la libertad para
copiarlo y modificarlo.

En definitiva, las licencias copyleft son autorizadas por el propio autor de la obra con el fin
de que puedan ser utilizadas y modificadas por un gran número de usuarios. Son el
principal ejemplo de licencias libres, lo que no equivale necesariamente a que sean
gratuitas.

● TIPOS DE COPYLEFT

1. Copyleft fuerte: Se conoce como copyleft fuerte cuando la obra derivada (trabajo o
programa adaptado o modificado de cualquier manera dando lugar a uno diferente)
de un software no puede ser enlazada por programas que no sean libres. El objetivo
es no facilitar ventajas a los desarrolladores de software privativos (que no son
libres), ya que se podrían utilizar para crear programas que arrebaten la libertad de
los usuarios. En la práctica, significa que un programador informático que desarrolla
un programa privativo no puede utilizar el código de un programa libre.

2. Copyleft débil: Se llama copyleft débil cuando la obra derivada de un programa

puede ser enlazada por programas que no son libres. En este caso, el objetivo es
facilitar la adopción de programas de código libre, siempre que existan alternativas
gratuitas privativas del mismo programa. Es decir, en este caso, los programas
privativos sí que podrían utilizar el código del programa libre.
 3. Copyleft completo: El copyleft completo tiene por objetivo que las obras derivadas
de un programa se distribuyan en las mismas condiciones que el programa original.
De esta manera, se evita que pueda crearse un programa privativo a partir de uno
libre.

4. Copyleft parcial: El copyleft parcial permite que una obra derivada de un programa
distribuya la parte editada con las mismas condiciones que la obra original. El resto
del programa puede ser distribuido como el autor considere oportuno.

QUE ES CREATIVE COMMONS ?

Creative Commons es un tipo de licencia que se rige bajo el concepto de Copyleft,

es decir, que el autor permite el uso total o parcial de su obra, pero bajo unas
condiciones especificadas por el propio autor.

● Estas condiciones que debe especificar el autor, se resumen en cuatro:

1. Autoría: Siempre, deberemos citar al autor, ya sea en el pie de página, en el pie de

imagen o en los créditos finales. El nombre del autor debe figurar aunque
únicamente hayamos utilizado una pequeñísima parte de su obra.

2. No comercial: Esta condición nos indica que el autor, no ha dado permiso para que
el uso de su obra sea para fines comerciales (es decir, que yo extraiga un beneficio
a partir de su trabajo). Únicamente tenemos derecho a utilizar su obra con fines no
lucrativos (como por ejemplo para realizar nuestros trabajos escolares).

3. Sin obras derivadas: El autor no da permiso para que su obra sea transformada. Si
ponemos, por ejemplo, el autor de un libro, esta condición nos indica que no
podemos utilizar ningún capítulo de éste para incorporarlo a una obra nuestra, pues
no da permiso para modificar su obra.

4. Compartir igual: En esta condición, el autor permite crear obras a partir de partes
de su obra, pero siempre y cuando se mantenga la misma licencia cuando
compartamos nuestra obra. Por ejemplo, podríamos utilizar parte de un vídeo
realizado por un autor para la creación de una película nuestra. Esta película
resultante deberá conservar la misma licencia que la que disponía el vídeo del
primer autor.

MODALIDADES DE LICENCIAS CREATIVE COMMONS

MEDIDAS DE SEGURIDAD INFORMÁTICA

● CONFIGURACIÓN DE ACTUALIZACIÓN AUTOMÁTICA DEL SISTEMA:

Windows:
● Windows 10:
● Haz clic en el botón "Inicio" y selecciona "Configuración" (ícono de engranaje).
● Ve a "Actualización y seguridad".
● Selecciona "Windows Update" en el menú de la izquierda.
● En la sección "Actualizar opciones", activa la opción "Actualización automática".

● Windows 7:
● Haz clic en el botón "Inicio" y selecciona "Panel de control".
● Ingresa a "Sistema y seguridad" y luego a "Windows Update".
● En la sección "Configuración importante", selecciona "Buscar actualizaciones
automáticamente".

macOS:
1. macOS:
a. Haz clic en el ícono de la manzana en la esquina superior izquierda y
selecciona "Preferencias del sistema".
b. Ve a "Actualización de software".
c. Marca la casilla "Buscar actualizaciones automáticamente".

Linux:
 1. Ubuntu:
a. Abre el "Centro de software" y selecciona la pestaña "Actualizaciones".
b. Configura las actualizaciones automáticas según tus preferencias.

Configuración de Actualización de Software de Terceros:

1. Navegadores web:
○ La mayoría de los navegadores modernos se actualizan automáticamente.
Asegúrate de tener esta función habilitada en la configuración del navegador.
2. Antivirus y software de seguridad:
○ Configura la actualización automática del software de seguridad para
garantizar que siempre esté al día.
3. Otras aplicaciones:
○ Utiliza servicios como Ninite (para Windows) o la Mac App Store (para
macOS) para instalar y actualizar automáticamente software de terceros.

Consideraciones Adicionales:
1. Programas del sistema:
○ Configura la actualización automática de controladores y firmware, si es
posible, para mantener todos los componentes actualizados.
2. Realiza copias de seguridad:
○ Antes de realizar actualizaciones, realiza copias de seguridad regulares para
proteger tus datos en caso de algún problema durante el proceso.
3. Programación de actualizaciones:
○ Si es posible, configurar un horario conveniente para las actualizaciones
automáticas para minimizar interrupciones durante el uso normal.

Programas para instalar y mantener las actualizaciones más recientes

1. SUMo (Software Update Monitor):

○ Sitio web: SUMo
○ Características:
■ Escanea tu sistema en busca de software desactualizado.
■ Proporciona enlaces directos a las descargas de las versiones más
recientes.
■ Ofrece opciones para realizar actualizaciones automáticas o
manuales.
■ Interfaz fácil de usar.
2. Ninite:
○ Sitio web: NINITE
○ Características:
■ Instala y actualiza automáticamente software popular con un solo clic.
■ Elimina la necesidad de instalar cada programa por separado.
■ Soporte para una amplia variedad de aplicaciones, desde
navegadores hasta herramientas de seguridad.
ANEXOS
Caso 3
1. NOTIFICACIÓN DE BRECHA DE SEGURIDAD A LA AEPD
https://ayudaleyprotecciondatos.es/wp-content/uploads/2017/12/notificacion-brecha-
seguridad-aepd.pdf
2. NOTIFICACIÓN DE BRECHA DE SEGURIDAD A AFECTADO
https://ayudaleyprotecciondatos.es/wp-content/uploads/2017/12/notificacion-afectados-
brechas-seguridad.pdf
3. Infracciones y Sanciones RGPD y LOPDGDD
https://ayudaleyprotecciondatos.es/2019/02/19/sancion´es-rgpd-lopd-2019/