Untitled Quiz

Questions and Answers

¿Cuál de las siguientes categorías de seguridad se menciona en el contenido?

• Categoría de privacidad
• Categoría de riesgo bajo
• Categoría de seguridad básica (correct)
• Categoría de seguridad alta (correct)

¿Qué metodología se indica que forma parte de la gestión de la seguridad?

• Agile
• COBIT (correct)
• SWOT
• PMBOK

¿Cuál es el principio básico de la seguridad según el contenido?

• Seguridad como un proceso integral (correct)
• La categoría de seguridad más alta es la idónea
• Sólo el personal autorizado debe tener acceso
• Prevención de incidentes a través de auditorías

En la gestión de la seguridad basada en riesgos, ¿qué se busca mantener?

Un entorno controlado (D)

¿Qué aspecto se resalta en la vigilancia continua?

Reevaluación periódica (A)

La política de seguridad debe incluir requisitos para:

Control de los accesos (A)

El principio de no causar un perjuicio significativo al medio ambiente está relacionado con:

La categorización de sistemas de información (C)

¿Cuál de las siguientes acciones es parte de la mejora continua del proceso de seguridad?

Registro de actividad y detección de amenazas (B)

¿Cuál es el periodo de conservación de datos para el seguro de daños según la normativa mencionada?

2 años (B)

¿Cuál es la excepción para el envío de publicidad según la LSSICE?

Una relación contractual previa sobre productos similares (D)

¿Qué establece la corresponsabilidad según el artículo 26?

Se deben establecer responsabilidades de modo transparente (C)

¿Qué tratamiento de datos se rige por la normativa 2016/680?

Tratamiento de imágenes y sonidos obtenidos por cuerpos de seguridad (C)

¿Qué se puede incluir en los sistemas de exclusión publicitaria?

Datos imprescindibles para identificar a los afectados (B)

¿Cuál es el enfoque descrito en el artículo 32 del RGPD?

Enfoque orientado al riesgo (C)

¿Cuánto tiempo deben conservarse los datos relacionados con el seguro de personas?

5 años (C)

¿Qué debe hacer el remitente antes de enviar comunicaciones publicitarias?

Consultar sistemas de exclusión publicitaria (C)

¿Cuál es uno de los principios fundamentales relacionados con el tratamiento de datos personales?

Minimización de datos (A)

¿Qué implica la limitación del tratamiento de datos según el RGPD?

Bloquear y mover los datos a un sistema distinto (A)

¿Qué se debe considerar al momento de publicar un acto administrativo que contenga datos personales?

Publicar solo el nombre y apellidos junto a cuatro cifras aleatorias (D)

¿Qué significa el principio de responsabilidad proactiva en el tratamiento de datos?

El responsable debe ser capaz de demostrar el cumplimiento de las normativas (C)

¿Cuándo no se aplica el principio de exactitud de los datos?

Cuando los datos son obtenidos directamente del afectado (D)

¿Qué es una regla corporativa vinculante (BCR) en el contexto de la protección de datos?

Un código de conducta para organizaciones multinacionales (D)

¿Cuáles son los fines para los que se pueden tratar datos personales según el principio de limitación de finalidad?

Investigación científica y fines estadísticos (C)

¿Cuál de las siguientes acciones se considera un derecho del interesado bajo el RGPD?

Limitar el tratamiento de datos (B)

¿Cuál es la función de las cookies de análisis?

Cuantificar el impacto de los anuncios y analizar el comportamiento de los usuarios. (B)

¿Qué deben incluir las políticas de cookies para cumplir con la obligación de transparencia?

Información sobre quién utiliza las cookies y la manera de aceptar o rechazar. (D)

¿Qué son las cookies de publicidad comportamental?

Cookies que almacenan información sobre el comportamiento de los usuarios para crear perfiles y mostrar publicidad. (C)

¿Qué aspecto del consentimiento para el uso de cookies debe ser claro?

La opción de rechazo debe ser fácil de encontrar y comprensible. (C)

Las cookies técnicas son...

Cookies que facilitan la navegación y el funcionamiento del sitio web. (D)

¿Cómo debe presentarse la información sobre las cookies?

De manera concisa, comprensible y accesible en todo momento. (B)

¿Qué deben agruparse las cookies según su uso?

Por finalidad y también en función de si son de terceros. (D)

¿Qué implica el consentimiento claro y afirmativo del usuario?

Que el usuario debe realizar una acción específica para aceptar las cookies. (B)

¿Qué es el riesgo residual en el contexto de una EIPD?

El riesgo evaluado después de aplicar medidas de mitigación. (D)

¿Cuál de las siguientes afirmaciones es incorrecta sobre la realización de una EIPD?

Siempre es obligatoria para cualquier tipo de tratamiento. (D)

¿Cuál es el primer paso en la gestión del riesgo según el contenido?

Identificar y caracterizar los fines del tratamiento. (B)

¿Qué implica la resiliencia en el contexto de gestión de riesgos?

La adaptabilidad de un organismo a situaciones cambiantes. (B)

Sobre las medidas de control en el tratamiento del riesgo, ¿cuál es una medida correcta?

La implementación de políticas de protección de datos es una medida correcta. (D)

¿Cuál de las siguientes medidas puede ser considerada proactiva en la gestión del riesgo?

Realizar simulaciones de posibles brechas de seguridad. (C)

¿Qué aspecto NO se debe tener en cuenta al realizar una EIPD?

La percepción pública de la organización. (B)

En el contexto de la EIPD, ¿cuál de las siguientes acciones es considerada una garantía orientada a reducir el riesgo?

Impartir formación sobre manejo de datos. (A)

¿Cuál de las siguientes medidas NO es parte de las prácticas recomendadas para la gestión de incidentes?

Evaluación de riesgos anuales (B)

¿Qué aspecto se evalúa en el juicio de idoneidad al realizar una EIPD?

El umbral de efectividad del tratamiento (A)

Al realizar una EIPD, ¿cuándo es obligatoria hacer una consulta previa a la AEPD?

Cuando el riesgo no puede mitigarse por medios razonables (C)

¿Qué se entiende por datos biométricos según la normativa mencionada?

Datos que permiten identificar a una persona a través de características físicas, fisiológicas o conductuales (A)

En el juicio de necesidad, se evalúa principalmente:

La relevancia de los fines del tratamiento (A)

¿Cuál es el propósito de la protección frente a incidencias como incendios e inundaciones?

Proteger los datos y activos de la organización (B)

¿Qué elemento NO se considera parte de la evaluación de proporcionalidad?

Edad de los interesados (C)

¿Cuál de las siguientes es una consecuencia de no realizar una EIPD cuando es necesaria?

Exposición a riesgos legales (A)

Flashcards

Tratamiento transfronterizo

El procesamiento de datos personales entre miembros de diferentes países.

Principios de tratamiento de datos

Guías para el uso ético de datos personales por ejemplo: licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos y exactitud.

Principio de limitación de la finalidad

Usar datos solo para la razón especificada al obtenerlos.

Principio de exactitud

Mantener datos personales precisos y actualizados.

Limitación del tratamiento

Bloqueo del uso de datos personales mediante métodos técnicos.

Derechos del interesado

Derechos de las personas sobre sus datos personales, como el derecho a la limitación del tratamiento

Publicación de datos

Difusión de datos personales con modificaciones para proteger la privacidad.

BCR (Binding Corporate Rules)

Reglas corporativas vinculantes para empresas multinacionales.

Conservación de Datos

Tiempo durante el cual se deben conservar los datos, dependiendo del tipo de seguro (daños o personas).

Corresponsabilidad (art. 26)

Cuando dos o más partes son responsables del tratamiento de datos; se necesita un acuerdo transparente que establezca las responsabilidades de cada una.

Publicidad (LSSI)

Para enviar publicidad, se debe verificar el consentimiento expreso del usuario o una relación contractual previa.

Sistemas de exclusión publicitaria

Permiten a los usuarios bloquear la recepción de comunicaciones comerciales.

LO 7/2021

Ley que traspone el Reglamento General de Protección de Datos (RGPD) en España.

Riesgo (RGPD)

Probabilidad de que una amenaza se materialice.

2016/680

Reglamento que rige el tratamiento de imágenes y sonidos por fuerzas de seguridad.

Cookies técnicas

Cookies necesarias para el funcionamiento básico de un sitio web, como la navegación y el acceso a áreas seguras.

Cookies de preferencia

Cookies que permiten al sitio web recordar las preferencias del usuario, como el idioma o la hora, para una mejor experiencia.

Cookies de análisis

Cookies que permiten analizar el comportamiento de los usuarios en un sitio web, incluyendo el impacto de los anuncios.

Cookies de publicidad comportamental

Cookies que almacenan información sobre el comportamiento del usuario para desarrollar un perfil específico y mostrarle anuncios personalizados.

Cookies de sesión

Cookies temporales que se eliminan al cerrar el navegador.

Cookies persistentes

Cookies que permanecen en el dispositivo del usuario después de cerrar el navegador, para futuras visitas.

Consentimiento de cookies

Aprobación explícita del usuario para el uso de cookies en un sitio web.

Panel de configuración de cookies

Herramienta para gestionar las preferencias de cookies, incluyendo la aceptación, denegación o revocación.

Obligaciones de transparencia

Requisitos de claridad y concisión en la información sobre el uso de cookies en la política de cookies.

Política de cookies

Documento que explica cómo se usan las cookies en un sitio web.

CCN

Centro de Coordinación de Ciberseguridad Nacional (España).

Guías de seguridad

Instrucciones para implementar mejores prácticas de ciberseguridad.

ISO 27001

Estándar internacional para la gestión de seguridad de la información.

Metodologías COBIT

Marco de control para gestión de TI en negocios.

Seguridad como proceso integral

Enfoque de la seguridad que involucra a toda la organización.

Gestión de riesgos

Identificar y gestionar posibles amenazas a la seguridad.

Sistema de información (redes)

Conjunto de dispositivos interconectados que intercambian información.

Evento de seguridad

Cualquier incidente o suceso relacionado con la seguridad.

Incidente de seguridad

Evento que compromete la seguridad y puede causar daño.

Monitorización continua

Proceso de supervisión constante de sistemas detectando amenazas.

Política de seguridad

Documentación que establece las reglas y directrices de seguridad.

Principios básicos de seguridad

Fundamentos fundamentales de la seguridad en materia de ciberseguridad.

Minimo privilegio

Principio de seguridad: otorgar los derechos mínimos necesarios.

Categorías de seguridad

Clasificaciones de la protección de un sistema

EIPD

Evaluación de Impacto a la Protección de Datos. Un documento que analiza los riesgos de un tratamiento de datos personales.

Alto Riesgo (EIPD)

Situación donde la probabilidad de daño por el tratamiento de datos es significativa.

Riesgo Inherente

Riesgo que se evalúa antes de implementar medidas para mitigarlo.

Riesgo Residual

Nivel de riesgo después de implementar las medidas de seguridad.

Tratamiento de Riesgo

Acciones para reducir riesgos, implementar medidas de seguridad.

Medidas de Seguridad

Controles o acciones para mitigar los riesgos en el tratamiento de datos.

Política de Protección de Datos

Conjunto de reglas y procedimientos para cuidar la información personal.

Probabilidad de Riesgo

Posibilidad de que ocurra un evento dañado por el tratamiento de datos.

Resiliencia

Capacidad de un sistema para adaptarse y recuperarse ante un evento dañino.

Principios de tratamiento de datos

Principios específicos, medibles, alcanzables, realistas y acotados (SMART); relacionados con los objetivos del tratamiento de datos.

Necesidad y Proporcionalidad

Análisis de que los tipos de datos personales que se tratan sean necesarios para cumplir esos fines específicos.

Evaluación de Impacto de Protección de Datos (EIPD)

Proceso para analizar si un tratamiento de datos personales conlleva riesgos altos y determinar medidas de seguridad necesarias.

Alto riesgo (EIPD)

Tratamiento de datos que potencialmente puede causar daño considerable a los derechos y libertades de las personas.

Necesidad y proporcionalidad (EIPD)

Fase crucial de la EIPD que evalúa si el tratamiento de datos es realmente necesario y si las medidas son proporcionadas.

Juicio de idoneidad (EIPD)

Análisis de la EIPD para definir el umbral mínimo de efectividad del tratamiento.

Juicio de necesidad (EIPD)

Análisis de la justificación del tratamiento: pertinencia de los fines y configuración actual.

Juicio de proporcionalidad (EIPD)

Evaluación del equilibrio entre el impacto del tratamiento y las medidas de protección.

Opinión de interesados (EIPD)

Consulta obligatoria a personas afectadas por el tratamiento de sus datos.

Consulta previa a la AEPD

Requerida cuando la EIPD revela un riesgo no mitigable por medios razonables sin garantías adicionales.

Datos biométricos

Datos técnicos relativos a características físicas, fisiológicas o conductuales con fines de identificación única, como imágenes faciales o dactiloscópicas.

Study Notes

Reglamento General de Protección de Datos (RGPD)

• Entró en vigor el 25 de mayo de 2018.
• Reemplaza la Directiva 95/46/CE.
• Se aplica al tratamiento de datos personales de personas físicas en la UE.
• Se aplica a empresas con sede en la UE y a aquellas que ofrezcan bienes o servicios a personas en la UE, independientemente de su ubicación.
• Deroga la Ley Orgánica de Protección de Datos de España (LOPD).
• No se aplica a las relaciones domésticas, ni a las actividades no reguladas por el derecho de la UE, ni a la prevención, investigación, detección de infracciones penales.
• Aplica a los tratados por instituciones, órganos y organismos de la UE.
• No aplica a personas jurídicas.
• Aplica al tratamiento de datos de personas fallecidas y herederos.

Derechos Fundamentales

• Derecho de información.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.
• Derecho a la limitación del tratamiento.
• Derecho a la portabilidad.
• Derecho de oposición.

Principios del RGPD

• Licitud, lealtad y transparencia.
• Minimización de datos.
• Exactitud.
• Integridad y confidencialidad.
• Limitación del plazo de conservación.
• Integridad y confidencialidad.
• Responsabilidad proactiva.

Obligaciones del Responsable del Tratamiento (RT)

• Informar al interesado sobre el tratamiento de sus datos (artículo 13).
• Respetar el interés legítimo del afectado (Art. 6.1.f).
• Mantener datos exactos, actualizados.
• Adoptar medidas de seguridad para el tratamiento de datos.
• Asignar Delegado de Protección de Datos (DPO) en ciertas situaciones.
• Notificar brechas de datos a la autoridad de control en un plazo de 72 horas.

Transferencias de datos (TI)

• Se permiten cuando existen garantías adecuadas.
• La Comisión Europea puede autorizar TI a terceros países.
• Las transferencias internacionales requieren, en algunos casos, autorización previa.

Medidas técnicas y organizativas (MTO)

• El RT debe implantar medidas para garantizar la seguridad de los datos.
• Se analizará el riesgo de tratamiento de datos para los sujetos.
• Se incluyen las EIPD para tratamientos de alto riesgo

Responsabilidades solidarias

• Corresponsabilidad en relación a la subcontratación y a las obligaciones.

Sanciones

• Pueden imponerse multas por incumplimiento de las normas (artículo 83).
• Las multas se basan en la naturaleza, gravedad, duración de la infracción etc.