Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Legislació sobre seguretat, protecció de dades i codi penal

No description
by

Alfredo Ballestero

on 22 September 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Legislació sobre seguretat, protecció de dades i codi penal

Legislació sobre seguretat, protecció de dades i codi penal
El desenvolupament de l'activitat pròpia com a professional de la informàtica comporta que sovint s'hauran de manejar gran quantitat de dades, moltes de les quals són sensibles i personals.
La llei protegeix el dret a la intimitat de les persones i l'accés a les seves dades personals.
Es important conéixer les lleis que regulen aquest aspecte per no
COMETRE UN DELICTE INCONSCIENTMENT

Marc jurídic i penal
Tots som conscients que existeixen una sèrie de lleis que regulen els comportaments que poden ser constitutius de delicte.
És important conéixer aquesta normativa tant des del punt de vista de tècnic informàtic com des de l'usuari.
Delicte informàtic
La definició de delicte es pot trobat a:
http://ca.wikipedia.org/wiki/Delicte
La tecnologia informàtica actual permet l'accés i la manipulació de gran quantitats de dades.
Encara que com a tècnics informàtics es domini la tecnologia que està al nostre abast, aixó no vol dir que la puguem utilitzar en qualsevol cas o per realitzar actuacions no lícites.
NO TOT EL QUE ÉS TÈCNICAMENT POSSIBLE ÉS LEGAL
El desconeiment de les normes no exonera el tècnic informàtic
Conductes il·licites relacionades amb la informàtica
Reconeixement del dret a la intimitat.
Constitució Espanyola de 1978. Article 18.

Article 18
1. Es garanteix el dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge.
2. El domicili és inviolable. No s’hi podrà entrar ni fer-hi cap escorcoll sense el consentiment del titular o sense resolució judicial, llevat del cas de delicte flagrant.
3. Es garanteix el secret de les comunicacions i, especialment, de les postals, telegràfiques i telefòniques, excepte en cas de resolució judicial.
4. La llei limitarà l’ús de la informàtica per tal de garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.

Delictes contra la intimitat
El dret a la intimitat
Es regula en l'artícle 197.1 del Codi Penal.
Si no es disposa del
CONSENTIMENT DE LA PERSONA AFECTADA
, les següents actuacions són un delicte:
Veure aquest link:
http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l2t10.html

Usurpació i cessió de dades de caràcter personal
Es regula en els articles 197-200 del Codi Penal
http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l2t10.html#a197

Delicte d'intrusió
La intrusió encara que no es modifiqui cap dada o produexi cap dany es considera un delicte. (article 197 del Codi Penal)
Delicte de frau infomàtic
Qualsevol que aconseguexi un bé d'un tercer sense consentiment d'aquest, amb ànim de lucre o produint-li algun perjudici està cometent un delicte de frau informàtic tipificat 248.2 del Codi Penal.
Exemple d'aquestes tècniques són:
pharming: http://es.wikipedia.org/wiki/Pharming
phishing: http://es.wikipedia.org/wiki/Phishing


Delicte de danys
Tal com indica l'article 264 del Codi Penal el delicte de danys s'aplica a qualsevol acció que comporta l'alteració, destrucció o danys a dades, documents electrònics o sistemes informàtics
https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
Inclou els atacs de denegació de servei DoS
Aquests delictes podem tenir conseqüencies econòmiques importants per qui el sofreix
L'alteració d'una pàgina web per part d'una persona no autoritzada és un delicte de danys.
Delictes contra la propietat intel·lectual
Aquests delictes estan tipificats en l'article 270 del Codi Penal.
Veure l'article per conéixer els detalls:
https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
Còpies, plagis, (entre d'altres) d'obres amb drets de propietat intelectual amb ànim de lucre i en perjudici de tercers, independentment del suport.
També incomplix la legislació qui porporciona els mecanismes per desactivar les proteccions anticòpia que disposen alguns suports
Còpia privada
http://es.wikipedia.org/wiki/Derecho_de_copia_privada
Tipus de llicències
Llicències de programari no lliure:
OEM
Llicències per volum
http://www.microsoft.com/latam/socios/OEM/Licenciamiento/faq.aspx
Retail
Llicències de programari lliure
Llicència GPL
http://ca.wikipedia.org/wiki/GPL
Llicència BSD
http://ca.wikipedia.org/wiki/Llic%C3%A8ncia_BSD
Llicència MPL
http://ca.wikipedia.org/wiki/Mozilla_Public_License
Llicències copyleft
http://ca.wikipedia.org/wiki/Copyleft
Altres delictes
Amenaces i coaccions
Falsetat documental
Tinença i distribució de pornografia infantil
Defraudació d'interessos econòmics dels prestadors del servei
Eines per investigar els delictes informàtics
Arxius de registre local.
Els registres dels proveïdors d'internet (ISP).
Marc jurídic extrapenal
A part de la legislació penal, altres lleis protegeixen les dades d'informació personal.

L'Agència Espanyola de Protecció de Dades
és l'orgamisme encarregat de vetllar pel complimet de la llegislació en aquest terreny.
Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPDP).
Aquesta norma té per objecte garantiri protegir, en relació amb el tractament de dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i en especial el seu honor, intimitat i privacitat.
Objectiu
: protegir l'intimitat i la privacitat de les persones físiques


Reglament d’aplicació de mesures de seguretat
tècniques i organitzatives (1720/2007)
Aquest reglament desenvolupa la llei i estableix l’obligació de les organitzacions d’adoptar mesures destinades a garantir la protecció d’aquestes dades que afecten sistemes informàtics, fitxers, suports d’emmagatzematge, personal i procediments operatius.
Objectiu
: pendre mesures tècniques per garantir la seguretat del sistemes i fitxers que formen part del tractament de les dades personals.
Principis bàsics de l’LOPDP
Principi de qualitat de les dades
. No poden utililtzar-se per a accions direrents de les que s'han definit quan s'han recollit.
Finalitat expresa
: no poden ser usades per a finalitats que no siguin compatibles amb aquelles per a les quals s’han recollit.
Les dades del fitxer han d'estar actualitzades
.
S'ha d'informar a la persona afectada
.
Es necessita el consentiment de la persona afectada
per recollir i incloure les seves dades en un fitxer.
Resum del document:
Seguretat física, lògica i legislació
Josep Maria Arqués Soldevila Alba Batlle Linares Jordi Cárdenas Guia
Miquel Colobran Huguet
© Departament d’Ensenyament


Tractament i manteniment de le dades
Tractament inicial:

Determinar el tipus de dades que es recolliran.
Crear el fitxer i determinar el nivell de seguretat.
Elaborar el document de seguretat.
Garantir que l'ús d’aquestes dades és l’adient.
Comunicar-lo a l'AEPD.
Deure de secret.
Dret d'informació en la recollida de les dades.
Consentiment de la persona afectada.
Drets ARCO
Apliacar les mesures de seguretat adequades.
Manteniment:
Donar permisos a les persones que han de tenir accés a les dades.

Nivell de seguretat dels fitxers
Nivell bàsic:
Document de seguretat

Figures que intervenen:
Responsable del fitxer.
Responsable del tractament de les dades.
Responsable de seguretat.
Parts que formen el document de seguretat:
Àmbit d’aplicació del document de seguretat.
Identificació del responsable del fitxer.
Identificació de les persones que tenen accés a les dades.
Mesures, normes i procediments de seguretat
Descripció del sistema informàtic: PCs, xarxa, SO, tallafocs, etc.
Mesures de seguretat física del local i del sistema on s'emmagatzemen les dades.
Funcions i obligacions del personal.
S’identificarà el personal de l’organització que tingui accés a les dades i s’indicaran les funcions i obligacions d’accés de cadascuna d’elles.
També les persones externes.
Estructura dels fitxers
Estructura de les dades i programes utilitzats per al tractament
Registre d'incidències.
Llistat de les incidencies de seguretat
Quan s'han produït.
Persona que l'ha notificat i a qui l'ha notificat.
Còpies de seguretat.
Descripció del procés de còpia i restauració.
Periodicitat. Com a mínim una per setmana.
Programari utilitzat.
Gestió de suports.
Ser etiquetats de manera que permetin conèixer la informació que contenen.
Ser inventariats.
Ser emmagatzemats en un lloc al qual només tingui accés el personal autoritzat (que ha de constar en el document de seguretat).
Identificació i autenticació.
El responsable del fitxer mantindrà una llista actualitzada d’usuaris amb dret d’accés al sistema d’informació.
Quan l’autenticació dels usuaris es basi en l’existència de contrasenyes, aquestes hauran de complir els requisits següents:
Establirem un sistema d’assignació, distribució i emmagatzemament de les contrasenyes que en garanteixi la integritat i confidencialitat.
Les contrasenyes s’emmagatzemaran de manera inintel·ligible.
Les contrasenyes es canviaran amb la periodicitat que assenyalemen el document de seguretat.
Llei 34/2002, d’11 de juliol, de serveis de la societat
de la informació i del comerç electrònic (LSSICE)

Objectiu:
generar un entorn de confiança en el qual es delimitin clarament les responsabilitats i els deures de cadascú, sense el qual no és possible l’establiment de transaccions, com ara el comerç electrònic.

A qui afecta aquesta llei?
A qui realitza activitats com:
Contractació de béns i serveis per via electrònica.
Subministrament d’informació per via electrònica (per exemple, els diaris digitals).
Activitats d’intermediació relatives a:
La provisió d’accés a la xarxa.
La transmissió de dades.
La realització de la còpia temporal de les pàgines d’Internet sol·licitades pels usuaris.
L’allotjament de dades en els servidors d’informació.
Els serveis o aplicacions facilitats per altres.
La provisió d’eines de cerca.
Els enllaços a altres llocs d’Internet.
Qualsevol altre servei que es presti a petició individual dels usuaris (descàrrega de fitxers de vídeo o àudio. . . ),
sempre que representi una activitat econòmica per al prestador.

Obligacions del prestadors del servei
La llei imposa el
deure de col·laboració
dels prestadors de serveis d’intermediació per impedir que determinats serveis o continguts il·lícits es continuïn divulgant.
Només pot retenir les dades imprescindibles per identificar l’origen de la connexió i el moment en què s’inicià la prestació del servei
Responsabilitats dels prestadors del servei
Els prestadors de serveis de la societat de la informació estan subjectes a responsabilitat civil, penal i administrativa.
Quan el prestador del servei es l'autor de la informació és responsable.
Quan no es l'autor o no participa activament no ho és.
Obligacions de les empreses que fan comerç electrònic
El portal web
ha de mostrar, entre d’altres,les dades següents:
La denominació social, NIF, domicili i adreça de correu electrònic o fax.
Els codis de conducta als quals s’ha adherit.
Preus dels productes o serveis que ofereix, amb indicació dels impostos i despeses d’enviament.
Si escau, les dades relatives a l’autorització administrativa necessàriaper a l’exercici de l’activitat, dades de col·legiació i títol acadèmic delsprofessionals que exerceixin l’activitat.
En cas que
l’empresa faci contractes en línia
, també caldrà que ofereixi la informació següent, amb caràcter previ a la contractació del servei:
Tràmits que cal seguir per fer la contractació en línia.
Si el document electrònic del contracte s’arxivarà i si serà accessible.
Mitjans tècnics per identificar i corregir errors durant el procés d’introducció de dades.
Idioma o idiomes en els quals es pot formalitzar el contracte.
Condicions generals del contracte.
Amb relació
als usuaris d’Internet, els titulars de pàgines personals que no percebin cap ingrés econòmic pel seu web no estan subjectes a la llei.
No obstant això, si guanyen diners (per exemple, gràcies a la inclusió de bàners en la seva
pàgina), hauran de mostrar informació bàsica (nom, residència, adreça de correu electrònic, telèfon o fax i NIF) i respectar les normes de publicitat incloses en la llei:
L’anunciant s’ha d’identificar clarament.
El caràcter publicitari de la informació ha de resultar inequívoc.

Obligacions de les empreses que fan comerç electrònic

Correu brossa
No està recollida en el Codi Penal.
L’LOPDP determina la necessitat del consentiment de la persona interessada en el cas del tractament de dades amb finalitats de publicitat i de prospecció comercial.
L’LSSICE també prohibeix l’enviament de comunicacions publicitàries per correu electrònic (o mitjans electrònics equivalents) si no haestat prèviament autoritzat de manera expressa pels destinataris.
En general, pel que fa a la publicitat, cal que recordeu que qualsevol usuari té dret a conèixer la identitat de l’anunciant, a no rebre publicitat no sol·licitada i deixar de rebre la que ha autoritzat (si així ho fa saber).
Infracció
lleu
, punible amb una multa de fins a
30.000
euros, o bé una infracció
greu
, que es pot castigar amb una multa de
30.001
a
150.000
euros.
Full transcript