Protección de Datos Personales y RGPD

Questions and Answers

¿Cuál de los siguientes NO es un principio fundamental de la protección de datos según el RGPD?

• Máxima divulgación de datos. (correct)
• Limitación del plazo de conservación.
• Minimización de datos.
• Licitud, lealtad y transparencia.

¿Qué tipo de datos personales requieren una protección aún más rigurosa debido a su naturaleza delicada?

• Datos financieros.
• Datos de contacto.
• Datos laborales.
• Datos sensibles. (correct)

Si una organización recopila datos personales para un propósito específico, ¿qué principio del RGPD se aplica para limitar el uso posterior de esos datos?

• Principio de minimización de datos.
• Principio de exactitud.
• Principio de limitación de la finalidad. (correct)
• Principio de transparencia.

¿Cuál de las siguientes NO es una obligación de los controladores y encargados del tratamiento según el RGPD?

Garantizar la libre divulgación de datos personales a terceros. (C)

¿Qué derecho permite a un usuario corregir información personal inexacta o incompleta que una organización tiene sobre él?

Derecho a la rectificación. (C)

¿En qué consiste el derecho a la supresión (o derecho al olvido) según el RGPD?

El derecho a solicitar la eliminación de datos personales cuando ya no son necesarios. (A)

¿Cuál de las siguientes opciones describe mejor la anonimización de datos?

Modificar los datos de manera que no se puedan vincular a una persona específica. (B)

Si una empresa es hackeada y los datos de los usuarios son comprometidos, ¿qué medida NO ayudaría a proteger la información?

Incrementar la transparencia sobre las estrategias de marketing. (B)

¿Qué tipo de cifrado protege los datos mientras son transmitidos entre dispositivos, por ejemplo, al acceder a un sitio web?

Cifrado en tránsito. (D)

¿Cuál es el propósito principal de la desidentificación de datos?

Proteger la privacidad del usuario al eliminar o modificar identificadores directos. (B)

En un escenario donde una red social recopila el nombre, dirección y fecha de nacimiento de un usuario, ¿cuál sería un paso efectivo para desidentificar estos datos?

Eliminar el nombre del usuario y reducir la precisión de la dirección a solo la ciudad y el país. (D)

¿Qué tendencia tecnológica presenta tanto oportunidades para mejorar la protección de datos como nuevos desafíos?

Inteligencia artificial (IA) y Machine Learning (ML). (A)

¿Cuál es una posible implicación de la computación cuántica en el futuro de la protección de datos?

Podría volver vulnerables los sistemas de cifrado que hoy consideramos seguros. (B)

¿En qué consiste la privacidad diferencial?

Recolectar y analizar datos de manera que se preserve la privacidad individual, incluso al combinar múltiples fuentes de datos. (C)

Si una empresa sufrió un ataque cibernético y los datos personales de los usuarios quedaron expuestos, ¿cuál es el primer paso que debería tomar la empresa?

Aislar el incidente desconectando los sistemas comprometidos de la red. (C)

Después de un ataque cibernético que compromete datos personales, ¿a qué autoridad reguladora específicamente se debe notificar en España?

La Agencia Española de Protección de Datos (AEPD). (B)

Marta desea que una empresa elimine sus datos personales de su base de datos de marketing. ¿A qué derecho específico se está acogiendo Marta?

Derecho de supresión (B)

Además del derecho de supresión, ¿qué otro derecho fundamental podría ejercer Marta para dejar de recibir correos electrónicos promocionales de la empresa?

Derecho de oposición (D)

¿Cuál de las siguientes opciones describe mejor el cifrado en reposo?

Proteger los datos almacenados en servidores o bases de datos. (A)

WhatsApp utiliza ¿qué tipo de cifrado para proteger la privacidad de las comunicaciones de sus usuarios?

Cifrado de extremo a extremo (C)

¿Cuál de los siguientes NO es un beneficio de la anonimización de datos?

Garantizar la identificación directa de los individuos (B)

Una plataforma decide almacenar solo el año de nacimiento en lugar de la fecha exacta. ¿Qué técnica de anonimización se está utilizando?

Generalización (B)

¿Cuál es el papel del principio de responsabilidad proactiva en la protección de datos?

Implementar medidas de protección de datos y documentar el cumplimiento de las obligaciones legales. (A)

¿Cuál de los siguientes datos se considera un dato biométrico?

Huella dactilar (A)

De acuerdo con el texto, ¿qué elemento se considera un dato sensible?

Creencias religiosas. (C)

¿Qué tipo de información se incluye en los datos de identificación financiera?

Número de cuenta bancaria. (D)

¿En qué consiste el derecho de acceso (ARCO-POL)?

Permite conocer qué datos personales se están recopilando. (C)

¿Cuál de las siguientes NO es una de las bases legales establecidas para justificar el tratamiento de datos personales, según el principio de licitud del RGPD?

La especulación financiera. (B)

Si una persona utiliza su derecho a la portabilidad de datos, ¿qué puede hacer específicamente con los datos?

Transferirlos a otro responsable del tratamiento sin impedimentos. (A)

En el contexto de la protección de datos, ¿qué significa 'lealtad' según el RGPD?

Evitar prácticas engañosas o perjudiciales para los titulares de datos. (B)

Los sistemas de reconocimiento biométrico utilizan datos del iris del ojo, ¿por qué es esto considerado un método de verificación de seguridad más alto?

Por ser difícil de replicar o falsificar (B)

¿Qué medida debe tomar en segundo lugar una empresa después de detectar un ciberataque?

Informar al equipo de respuestas a incidentes. (C)

En relación con los datos personales, ¿qué implica el principio de minimización de datos?

Recopilar solo los datos adecuados, relevantes y estrictamente necesarios para cumplir con los fines para los que fueron recogidos. (B)

¿Qué tipo de datos personales se incluyen en la categoría de datos laborales y profesionales?

Cargos, responsabilidades y fechas de empleo anterior y actual. (C)

¿Cuál de los siguientes sería un ejemplo de 'datos de localización'?

La ubicación obtenida a través del GPS de un dispositivo móvil (D)

¿Cómo puede la Inteligencia Artificial (IA) mejorar la protección de datos de forma proactiva?

Permitiendo una respuesta más rápida y precisa a los ciberataques. (B)

¿Qué obligaciones tienen Las organizaciones con respecto al consentimiento de los usuarios?

El consentimiento debe ser explícito, informado, específico y dado mediante una acción afirmativa clara. (B)

Una empresa almacena las contraseñas de sus usuarios en texto plano, ¿qué principio de protección de datos está violando?

Principio de integridad y confidencialidad. (A)

¿Cuál de las siguientes opciones representa el mayor desafío para la protección de datos personales en el contexto del Internet de las Cosas (IoT)?

El incremento significativo de la superficie de ataque debido a la proliferación de dispositivos interconectados. (C)

En el contexto del Reglamento General de Protección de Datos (RGPD), ¿qué implica el principio de 'limitación de la finalidad'?

Únicamente se deben recopilar los datos personales estrictamente necesarios para los fines específicos definidos. (D)

Si una organización utiliza la técnica de 'generalización' como método de anonimización, ¿qué tipo de acción estaría realizando?

Almacenando solo el año de nacimiento en lugar de la fecha completa para reducir la precisión de los datos. (A)

¿Cuál es el propósito principal del cifrado de extremo a extremo?

Garantizar que solo el remitente y el destinatario puedan leer el contenido de un mensaje, excluyendo incluso a la plataforma intermediaria. (B)

¿En qué contexto la Inteligencia Artificial (IA) y el Machine Learning (ML) representan un desafío para la protección de datos?

En su capacidad para ser utilizados por atacantes para perfeccionar métodos de intrusión, como ataques de phishing más sofisticados. (B)

Flashcards

¿Qué son los datos personales?

¿Qué información identifica directamente a una persona?

¿Qué incluye la identificación básica?

Nombre, DNI, dirección, teléfono, correo electrónico.

¿Qué son los datos financieros?

Tarjetas de pago, cuentas bancarias.

¿Qué son los datos laborales?

Empleo, cargos, certificaciones, títulos.

¿Qué son datos de salud?

Historial médico, condición física.

¿Qué son datos de vida personal?

Preferencias, intereses, hábitos, redes sociales.

¿Qué son datos sensibles?

Origen étnico, religión, orientación sexual, opiniones políticas.

¿Qué son datos biométricos?

Huellas dactilares, reconocimiento facial, iris del ojo.

¿Qué son datos de localización?

Ubicación precisa obtenida por GPS.

¿Qué es el RGPD?

Reglamento Europeo que armoniza las leyes de protección de datos.

¿Cuál es el ámbito del RGPD?

Aplicable a cualquier organización que procese datos de ciudadanos de la UE.

¿Cómo debe ser el consentimiento según el RGPD?

Debe ser explícito, informado y dado con acción afirmativa.

¿Qué obligaciones tienen los responsables?

Mantener registros, evaluar impactos, notificar violaciones.

¿Cuáles son los derechos ARCO-POL?

Acceso, rectificación, cancelación, oposición, portabilidad, limitación.

¿Qué permite el ARCO-POL?

Permite conocer, rectificar, cancelar, oponerse, etc.

¿Qué es la LOPDGDD?

Ley española que garantiza los derechos digitales.

¿Qué es "licitud" en la protección de datos?

El tratamiento debe tener base legal.

¿Qué es "lealtad" en la protección de datos?

Evitar prácticas engañosas y respetar derechos.

¿Qué es "transparencia" en la protección de datos?

Informar detalladamente sobre el uso de datos.

¿Qué es la "limitación de la finalidad"?

Recoger datos para fines específicos y legítimos.

¿Qué es la "minimización de datos"?

Recopilar solo los datos necesarios.

¿Qué es la "exactitud" de los datos?

Asegurar que los datos sean exactos y actualizados.

¿Qué es la "limitación del plazo de conservación"?

Establecer plazos de conservación.

¿Qué es "integridad y confidencialidad"?

Proteger contra acceso no autorizado.

¿Qué es la "responsabilidad proactiva"?

Implementar medidas y demostrar cumplimiento.

¿Qué es el cifrado?

Convierte datos en formato ilegible sin clave.

¿Qué es el cifrado en tránsito?

Protege los datos durante la transmisión.

¿Qué es el cifrado en reposo?

Protege los datos almacenados.

¿Qué es el cifrado de extremo a extremo?

Solo remitente y destinatario pueden leer el mensaje.

¿Qué es la anonimización?

Modificar datos para que no se vinculen a una persona.

¿Qué es la desidentificación?

Eliminar o modificar identificadores directos.

¿Qué es la generalización?

Reducir la precisión de los datos.

¿Cómo ayuda la IA en la protección de datos?

Detección de amenazas mediante patrones anómalos.

¿Cómo afecta la computación cuántica?

Podrían volver vulnerables los sistemas de cifrado actuales.

¿Qué ofrecen las tecnologías blockchain?

Registros inmutables y transparentes de datos.

¿Cómo afecta el Internet de las Cosas (IoT)?

Amplía la superficie de ataque.

¿Qué es la privacidad diferencial?

Recolección y análisis preservando la privacidad.

¿Qué es el machine learning (ML)?

AI que aprende de los datos y mejora sin programación explícita.

¿Qué acciones tomar ante un ataque?

Aislar, informar, investigar, notificar, actualizar.

¿A qué derecho se acoge Marta en el caso práctico?

Derecho a oponerse al uso de datos para marketing.

¿Qué implica ejercer el derecho a la supresión?

Solicitar la eliminación de datos de la empresa.

¿Cómo desidentificar datos de un usuario?

Eliminar nombre, reducir precisión de dirección, quitar contacto.

¿Qué hemos estudiado en esta unidad?

Conocer los tipos de datos, normativa, principios, medidas, impacto tecnológico.

Study Notes

Introducción y Contextualización Práctica

• La protección de datos personales es fundamental para individuos y organizaciones en la era digital
• Los datos sensibles requieren una protección más rigurosa debido a su naturaleza delicada, como datos de salud, orientación sexual y creencias religiosas
• La gestión y protección correctas de los datos son una obligación legal y una responsabilidad ética
• El Reglamento General de Protección de Datos (RGPD) en Europa establece principios y derechos fundamentales para asegurar la protección de los datos personales
• Los derechos de los usuarios, conocidos como ARCO-POL, ayudan a controlar cómo se utilizan los datos personales

¿Qué es la protección de datos personales?

• Datos personales son cualquier información que permita identificar a una persona física, directa o indirectamente
• Los datos de identificación básica incluyen nombre completo, DNI, número de seguridad social, pasaporte, domicilio, ciudad, código postal, teléfono y correo electrónico
• Los datos de identificación financiera se relacionan con tarjetas de pago, cuentas bancarias, número de cuenta y entidad bancaria
• Los datos laborales y profesionales incluyen empleo anterior y actual, cargos, responsabilidades, fechas, certificaciones y títulos
• Los datos de salud y bienestar incluyen historial médico, tratamientos, medicamentos, condición física y antecedentes médicos familiares
• Los datos de vida personal y social incluyen preferencias, hábitos, intereses, comportamientos, perfiles en redes sociales, publicaciones, amigos y conexiones
• Los datos sensibles son el origen étnico o racial, creencias religiosas o filosóficas, orientación sexual y opiniones políticas
• Los datos biométricos son información derivada de huellas dactilares, análisis facial (reconocimiento facial) y datos del iris del ojo
• Los datos de localización dan información sobre la ubicación física precisa obtenida por GPS
• Los datos del iris se usan en sistemas de reconocimiento biométrico para verificar la identidad de manera precisa y rápida, y es difícil de replicar o falsificar.
• Los datos sensibles exigen un nivel más alto de protección debido al riesgo potencial de su exposición

Normativa reguladora de la protección de datos

• El Reglamento General de Protección de Datos (RGPD) armoniza las leyes de protección de datos en Europa y garantiza un alto nivel de protección
• El RGPD fue aplicado el 25 de mayo de 2018
• El ámbito de aplicación del RGPD engloba a organizaciones que procesan datos personales de ciudadanos de la UE, sin importar su ubicación
• El consentimiento debe ser explícito, informado, específico y mediante una acción afirmativa clara
• Los controladores y encargados del tratamiento tienen la obligación de mantener registros, realizar evaluaciones de impacto y notificar violaciones de datos
• El RGPD otorga a los ciudadanos derechos importantes, incluyendo:
• Derecho de acceso: Permite solicitar acceso a los datos personales y obtener una copia.
• Derecho a rectificación: Permite corregir datos inexactos o incompletos.
• Derecho al olvido: Permite eliminar datos personales cuando ya no sean necesarios o se retira el consentimiento.
• Derecho a limitación del tratamiento: Permite restringir el tratamiento de datos personales.
• Derecho a oponerse: Permite oponerse al procesamiento de datos personales para marketing directo.
• Derecho a la portabilidad de datos: Permite transferir datos personales a otro controlador en un formato estructurado.
• La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece normas específicas sobre el tratamiento de datos personales en España

Principios de la protección de datos

• Los principios de la protección de datos garantizan un tratamiento justo, transparente y seguro de los datos personales
• Principios de licitud, lealtad y transparencia:
• Licitud: El tratamiento debe estar justificado legalmente (consentimiento, contrato, obligación legal, interés vital, tarea pública, ejercicio de poderes oficiales).
• Lealtad: Evitar prácticas engañosas o perjudiciales y tratar los datos respetando la dignidad y los derechos.
• Transparencia: Proporcionar información detallada sobre la recopilación, uso, almacenamiento y los derechos relacionados con los datos personales.
• Principio de limitación de la finalidad: Los datos deben ser recogidos con fines específicos, explícitos y legítimos
• Principio de minimización de datos: Solo se deben recopilar datos adecuados, relevantes y estrictamente necesarios
• Principio de exactitud: Los datos personales deben ser exactos y actualizados
• Principio de limitación del plazo de conservación: Establecer plazos de conservación y asegurar la eliminación o anonimización cuando ya no sean necesarios
• Principio de integridad y confidencialidad: Incluye protección contra el tratamiento no autorizado, la pérdida, la destrucción o el daño accidental
• Principio de responsabilidad proactiva: Implementar medidas de protección y documentar el cumplimiento de las obligaciones legales

Derechos de los usuarios (ARCO-POL)

• El RGPD y la LOPDGDD reconocen una serie de derechos fundamentales en relación con la información que se recopila y se utiliza
• Los derechos ARCO-POL representan:
• Acceso: Permite conocer qué datos personales se están recopilando, con qué fines y con quién se comparten.
• Rectificación: Permite corregir datos personales inexactos o incompletos.
• Cancelación: Permite solicitar la eliminación de datos personales cuando ya no sean necesarios o el tratamiento sea ilícito.
• Oposición: Permite oponerse al tratamiento de datos personales en ciertas circunstancias, como el marketing directo.
• Portabilidad de datos: Permite recibir una copia de los datos personales en un formato estructurado y transferirlos a otro responsable.
• Limitación del tratamiento: Permite solicitar que se limite el tratamiento de los datos personales en determinadas circunstancias

Caso práctico 1: "Derechos del usuario"

• Marta retira su consentimiento para el uso de sus datos en una campaña de marketing directo en Instagram
• Marta desea que cesen todos los correos electrónicos y las comunicaciones de marketing
• Marta tiene el derecho a oponerse al tratamiento de sus datos personales en relación con actividades de marketing directo
• Marta ejerce el derecho a la supresión para solicitar la eliminación de sus datos personales de los sistemas de la empresa
• Marta debe solicitar el retiro de sus datos por correo, y la empresa debe retirar su consentimiento
• La empresa debe enviar una confirmación informando de que su solicitud ha sido procesada y que sus datos han sido eliminados

Medidas técnicas y organizativas para proteger los datos personales

• El cifrado convierte los datos en un formato ilegible para cualquier persona sin la clave de descifrado
• El cifrado es esencial para garantizar la confidencialidad de los datos en tránsito y en reposo
• El cifrado en tránsito protege los datos mientras son transmitidos entre dispositivos
• El cifrado en reposo protege los datos almacenados en servidores o bases de datos
• El cifrado de extremo a extremo garantiza que solo el remitente y el destinatario puedan leer el contenido

Anonimización

• La anonimización modifica los datos personales para que no se puedan vincular directa o indirectamente a una persona
• La desidentificación elimina o modifica identificadores directos (nombres, números de seguridad social, direcciones IP)
• La generalización reduce la precisión de los datos agrupando valores en categorías más amplias (ej. almacenar solo el año de nacimiento)
• Los beneficios de la anonimización son la protección contra brechas de seguridad, el cumplimiento regulatorio y la confianza del usuario

El futuro de la protección de datos

• El futuro de la protección de datos está influenciado por el avance de las tecnologías emergentes
• La IA y el ML están mejorando la detección de amenazas y la respuesta a los ciberataques
• Los sistemas de cifrado actuales podrían volverse vulnerables ante computadoras cuánticas
• Las tecnologías blockchain ofrecen registros inmutables y transparentes de transacciones de datos
• El Internet de las cosas (IoT) amplía la superficie de ataque debido a la proliferación de dispositivos

Caso práctico 2: "Desidentificación de datos"

• Una red social recopila nombre, dirección, teléfono, correo electrónico y fecha de nacimiento de un usuario
• Para proteger la privacidad del usuario, la plataforma decide desidentificar estos datos
• Pasos para la desidentificación:
• Eliminar el nombre completo
• Reducir la precisión de la dirección, conservando solo la ciudad y el país
• Eliminar el teléfono y el correo electrónico
• Desidentificar la fecha de nacimiento, reteniendo solo el mes y el año

Resumen y resolución del caso práctico de la unidad

• La importancia de la protección de datos personales, analizando sus tipos y posteriormente la principal normativa relativa al tema
• Análisis de los derechos fundamentales de la misma, conocidos como ARCO-POL, así como sus principios
• Estudio de las principales medidas técnicas y organizativas para proteger los datos personales, donde se incluyen el cifrado de datos y la anonimización como técnicas principales para ella
• Los avances tecnológicos influyen en la protección de datos y las consideraciones que tenemos que tener en cuenta para enfrentarnos a ellos

Resolución del caso práctico de la unidad

• Aislamineto del incidente se logra desconectando sistemas comprometidos para evitar la propagación del ataque
• Es importante determinar el alcance del mismo e identificar qué datos se han visto afectados y cómo ha ocurrido el incidente
• Hay que informarf al equipo de respuestas a incidentes, y asegurarse de que la alta dirección esté al tanto
• Tambien hay que notificar a las autoridades reguladoras, en España, la Agencia Española de Protección de Datos, dentro del plazo legal, que suelen ser 72 horas
• Hay que notificar a los afectados y proporcionarles apoyo legal si fuera necesario
• Es impresindible actualizar las medidas de seguridad y realizar una auditoría de seguridad, así como estar preparados para enfrentar posibles acciones legales, sanciones o demandas derivadas del incidente