LISBETH PAMELA ANDINO ESCOBAR

.: CONSOLIDACIÓN :.
1·· ¿En qué consiste la protección de datos?
Básicamente la protección de datos permite al titular de los datos poder controlar su información, decidir con quién
la comparte, conocer para qué será utilizada, exigir que se le dé un tratamiento adecuado, así como evitar su mal uso
y permitir el ejercicio de otros derechos.
2·· ¿Qué tipo de datos protege la Ley Orgánica de Protección de Datos?
Los datos de carácter personal o cualquier información concerniente a personas físicas identificadas o identificables
3·· ¿Qué diferencias hay entre el responsable del fichero y el responsable del tratamiento del mismo?
Desde un punto de vista intuitivo, la diferencia entre el fichero como «conjunto de datos organizados» y el
tratamiento como procesamiento de esos datos. La diferenciación de dos responsables en función de que el poder de
decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la
creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de
decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es
el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos,
esto es, sobre una aplicación específica.
4·· Indica qué tipos de medidas de seguridad se aplicarían a los ficheros que contienen la siguiente información
sobre tu persona:
a) Datos fiscales.
b) Estado de salud.
c) Afiliación a un partido político.
d) Color de pelo.
e) Número de teléfono.
f) Multas de tráfico.
5·· ¿Qué es una auditoría de protección de datos?
Auditoría de protección de datos es un proceso de verificación de la correcta implantación de las medidas de
seguridad a adoptar en la organización para la protección de los datos de carácter personal que maneja; estas medidas
vienen determinadas en función del nivel que el corresponda: bajo, medio y alto.
6·· ¿Qué es un documento de seguridad?
Documento elaborado por el sujeto obligado que contiene las medidas de seguridad administrativa, física y técnica
aplicables a sus sistemas de datos personales con el fin de asegurar la integridad, confidencialidad y disponibilidad
de la información personal que éstos contienen.
7·· ¿Qué es INTECO? ¿Existen más organismos del mismo tipo?
El Instituto Nacional de Tecnologías de la Comunicación SA (INTECO) nace con varios objetivos, entre los cuales está el de servir como
instrumento para desarrollar la sociedad de la información basándose la investigación aplicada, la prestación de servicios y la formación.

8·· ¿Qué es un SGSI?

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de administración
de la información.
9·· ¿Cómo podrías saber qué ficheros de titularidad pública o privada contienen tus datos de carácter personal? ¿Qué
deberías hacer si quisieras que tus datos fueran eliminados de los mismos?
El registro nacional de las personas
 LISBETH PAMELA ANDINO ESCOBAR

APLICACIÓN :.
Una empresa tiene una base de datos de clientes en la que únicamente figuran sus nombres y apellidos, dirección,
correo electrónico y número de teléfono. ¿Qué medidas de seguridad debe de tomar esa empresa según la
legislación de protección de datos?
Tiene que implementar una mayor seguridad en cuanto al fireware.

Imagina que habéis creado una página web para la clase. En ella hay páginas relativas a los estudios, las prácticas,
apuntes, fotos de actividades, etc.
a) ¿Puedes colocar en ella fotos con tus compañeros de clase, algunos de los cuales son menores de edad? ¿Por qué?
No puedo colocarlos ya que son menores de edad.
b) ¿Qué tendrías que hacer para cumplir con las obligaciones de la LOPD?
Proteger los datos y la integridad personal y familiar de la persona en cuestión.
c) ¿Puedes ser sancionado?
Si puede incurrir a una sanción si son revelados los datos de los estudiantes.
d) ¿Pueden publicarse en la web las notas de los alumnos? Justifica tu respuesta.
No se puede, porque estas faltando a la privacidad de datos de los alumnos.
¿Existen medidas que protejan los distintos tipos de datos o información personal que publicas en una red social
(Tuenti, Facebook, Twitter, etc.)? Cita ejemplos.
1. Sé cuidadoso con la información que compartes. Una vez publicada en Internet, ésta es permanente,
escapa de tu control y es accesible desde cualquier lugar del mundo.
2. Configura adecuadamente las opciones de privacidad en tus perfiles de redes sociales.  Controla quién
tiene acceso a tus publicaciones.
3. Conoce tus derechos. La Ley de protección de datos (LOPD) obliga a todas las empresas españolas a
proteger tus datos, sin embargo, no a todas las empresas les aplica esta ley por estar ubicadas en otros
países. Antes de hacer uso de un servicio infórmate y lee bien las políticas de privacidad.  Haz valer tus
derechos.
4. Sé precavido con tus dispositivos y los lugares públicos. No olvides la seguridad de tus dispositivos, y
utilizar siempre redes seguras para compartir información.
5. Si alguna información publicada sobre ti te está perjudicando solicita su retirada a Google o al servicio
que corresponda. Tienes derecho al olvido en Internet.
Investiga la forma de darse de baja de las principales redes sociales. ¿Conservan estas redes sociales los
datos de sus antiguos usuarios?
Facebook
En la app:
Ve a la pestaña menú (icono en la esquina superior derecha)
Pulsa en Configuración y privacidad < Configuración
En la sección Tu información de Facebook, pulsa en Propiedad y control de la cuenta < Desactivación y eliminación
Selecciona Eliminar la cuenta y pulsa Ir a la eliminación de la cuenta
Continuar con la eliminación de la cuenta < Eliminar cuenta
A partir de este momento dispondrás de 30 días para cancelar el cierre de tu cuenta. Para cancelar este proceso deberás
iniciar sesión en ella antes de que se cumplan los 30 días.
La eliminación completa de tu perfil y todo el contenido publicado puede llevar hasta 90 días, período durante el cual nadie
podrá acceder a dicha información.
Ten en cuenta que al eliminar tu cuenta de Facebook ya no podrás seguir utilizando Messenger.
Si los pueden conservar.
 LISBETH PAMELA ANDINO ESCOBAR

Adecuación de una empresa a la normativa de protección de datos

·· Mario acaba de ser contratado como técnico informático por la empresa TUSALUD, SL, que gestiona una clínica dental
llamada MIRAME. Al revisar la documentación de la empresa, descubre que a los pacientes no se les informa de que sus
datos van a ser incorporados a un fichero para su tratamiento. Además, el informático anterior no ha dado de alta en la
AEPD ninguno de los ficheros que utiliza la empresa. Estos ficheros incluyen datos de los pacientes, mientras que una
gestoría externa se ocupa de la elaboración de las nóminas y seguros sociales.
La clínica tiene dos ordenadores, uno en la consulta y otro en recepción. En la clínica trabajan con un sistema Windows en
red y los datos están incluidos en una base de Access, guardada en el ordenador de recepción, que hace las veces de servidor
web. No utilizan ningún control de acceso a la información, por lo que cualquier persona que acceda desde uno de los
ordenadores de la clínica tiene acceso a los datos recogidos en los ficheros.
Como nuevo responsable de informática, le han encomendado que indique las medidas que debería tomar la empresa para
cumplir la LOPD.

Solución ·· Esta empresa no cumple ninguno de los requisitos exigidos por la legislación de protección de datos, por ello,
vamos a dividir las medidas por áreas.
Identificación de usuarios: el primer paso será restringir el acceso a la información. Para ello, se recomienda que se
establezcan en cada uno de los equipos distintas contraseñas de inicio de sesión que, por un lado, impidan el acceso de
personas no autorizadas y, por otro, identifiquen a las personas que acceden a la información. Para evitar que los datos
incluidos en la base se modifiquen por personal no autorizado, se recomienda que se ubique en una carpeta en la que
únicamente los usuarios autorizados tengan permisos de lectura y escritura.
Copias de seguridad: no se indica nada, pero se supone que no se realizan, por ello, debería copiarse al menos semanalmente
el contenido de la base en un dispositivo externo, por ejemplo una memoria USB que debería depositarse en un lugar
distinto a la consulta. Dada la naturaleza de los datos, el contenido de dicho disco debería estar cifrado.
Declaración de ficheros: habría que dar cuenta a la AEPD de los ficheros que contienen datos de carácter personal
(proveedores, pacientes, personal) a través del formulario NOTA o por correo certificado.
Documento de seguridad: debe elaborarse el documento y recoger todas las medidas adoptadas, así como la gestión de las
posibles incidencias.
Designación del responsable de seguridad.
Clausulado: en los documentos en que se recojan los datos de los pacientes debe incluirse una cláusula donde estos,
expresamente, autoricen a la clínica a proceder al tratamiento de sus datos.
Gestión de los datos por terceros: dado que se transfieren los datos de los trabajadores a la gestoría para que elabore sus
nóminas, habrá que suscribir con ella un contrato de acceso a datos por cuenta de terceros. En este caso, la gestoría pasaría a
ser el encargado del tratamiento.
Auditoría de seguridad: al menos cada dos años deberá llevarse a cabo una auditoría detallada sobre la seguridad de la
empresa.
 Tratamiento de los –– Recogida
– Conservación
Datos.

Elementos
–
Protección de personales
datos de carácter
personal Derechos de los
–
afectados

Agencia Española
de Protección de
Datos

–– General
NORMATIVA SOBRE – Previa a la
SEGURIDAD Y Legislación sobre contratación
PROTECCIÓN DE – Sobre seguridad
los servicios de la Información
DATOS y privacidad
sociedad de la – Sobre
comunicaciones
información y comerciales
comercio

Sistemas de – Contenido de
gestión de un SGSI
–
seguridad de – Implantación de
la información un SGSI