La legislación española en este ámbito no ha cambiado significativamente en el último año. Sin embargo, el gobierno español ha anunciado recientemente la «España Digital 2025», un plan que contiene 47 medidas para impulsar la transformación digital en España.
En cuanto a la implementación de la Directiva NIS, el gobierno español aprobó una ley (mediante la aprobación de un real decreto-ley), aunque aún no se ha aprobado un reglamento para desarrollar la ley. Un borrador de norma sobre seguridad en la tecnología 5G también se encuentra en una etapa muy preliminar (el gobierno español ha llevado a cabo una consulta pública sobre su idoneidad).
En España se han dictado varias sentencias judiciales de relevancia a nivel nacional (principalmente del Tribunal Supremo español) modulando el alcance del derecho al olvido. En este sentido, los tribunales españoles han sostenido que el derecho al olvido es un derecho distintivo de las normas de protección de datos, en línea con el reconocimiento de un derecho digital al olvido en la Ley de Protección de Datos española. Más recientemente, el 22 de noviembre de 2019, la Audiencia Nacional española dictó sentencia sobre el alcance y la naturaleza del ‘derecho al olvido’.
Veamos la normativa existente en España en materia de Ciberseguridad.
Indice
Código de Derecho de la Ciberseguridad en España
En España existe un Código de la Ley de Ciberseguridad, publicado en el Boletín Oficial del Estado (BOE), que establece las principales normas a tener en cuenta en materia de protección del ciberespacio y para garantizar la ciberseguridad antes mencionada.
Este código hace referencia a las siguientes leyes, entre otras:
Regulaciones de seguridad nacional
- Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos fundamentales, así como las funciones que deben desempeñar, para la defensa de la Seguridad Nacional.
- Orden TIN / 3016/2011, de 28 de octubre, por la que se crea la Comisión de Seguridad en las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
- Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia.
- Ley 9/1968, de 5 de abril, sobre secretos oficiales.
- Real Decreto 1008/2017, de 1 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2017.
- Ley Orgánica de los estados de alarma, excepción y sitio
- Ley de Secretos Empresariales
- Estrategia Nacional de Ciberseguridad 2019
Infraestructuras críticas
- Ley que establece medidas para la protección de las infraestructuras críticas
- Reglamento de protección de las infraestructuras críticas
- Contenidos de Planes de Seguridad del Operador y de Planes de Protección Específicos
Normas de seguridad
- Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
- Ley 5/2014, de 4 de abril, de Seguridad Privada.
- Desarrollo de estructura orgánica y funciones de la Dirección General de la Policía
Incidentes de seguridad
En relación a los incidentes de seguridad, existe toda una red relacionada con las Fuerzas Armadas, como el Centro Criptológico Nacional, Organización básica de las Fuerzas Armadas y Desarrollo de la organización básica del Estado Mayor de la Defensa. También hay una inclusión parcial en la Ley 34/2002, de 1 de julio, de servicios a la sociedad de la información y comercio electrónico.
Telecomunicaciones
- Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico (citada anteriormente).
- Real Decreto 381/2015, de 14 de mayo, por el que se establecen medidas contra el tráfico ilícito o irregular que tenga fines fraudulentos en las comunicaciones electrónicas.
- Ley 50/2003, de 19 de diciembre, de firma electrónica.
- Ley 9/2014, de 9 de mayo, de telecomunicaciones en general.
- Reglamento sobre el uso del dominio público radioeléctrico
- Ley 25/2007, de 18 de octubre, de retención de datos relacionados con las comunicaciones electrónicas y las redes públicas de comunicación.
Ciberdelincuencia
En relación con el ciberdelito, encontramos inclusiones parciales en el Código Penal, la Ley Orgánica 5/2000, de 12 de enero, que regula la responsabilidad penal de los menores; o en el Real Decreto por el que se aprueba la Ley de Enjuiciamiento Criminal.
También es de aplicación el reglamento de protección de datos, desarrollado por la Ley Orgánica 15/1999, de 13 de diciembre y su reglamento, aprobado por el Real Decreto 1720/2007 de 21 de diciembre.
Como puedes ver, existe una red muy compleja que tiene como objetivo regular muchas situaciones diferentes que pueden suceder en Internet.
Puedes descargar aquí el Código de Derecho de la Ciberseguridad
Relacionadas
Normativas relacionadas con la ciberseguridad
Protección de datos y privacidad
El marco legal para la protección de datos personales en España está regulado por el Tratado de Lisboa; Artículo 18, apartado 4, de la Constitución española; el RGPD y la Ley de Protección de Datos Española.
La normativa sectorial también puede contener disposiciones de protección de datos, como la Ley 34/2002 de Comercio Electrónico (LSSI), la Ley General de Telecomunicaciones 9/2014 (GTL), la legislación contra el blanqueo de capitales, la regulación financiera o la normativa sobre historias clínicas. o investigación biomédica. Sin embargo, generalmente se refieren a la antigua normativa española de protección de datos y, ahora que el RGPD y la Ley de Protección de Datos española están en vigor, serán objeto de revisión o al menos deberán reinterpretarse de acuerdo con la nueva normativa.
Los derechos de privacidad están regulados principalmente por la Constitución española, la Ley 1/1982, de 5 de mayo, de protección civil del derecho al honor, la intimidad personal y familiar y la propia imagen de la persona física, y por el Código Penal español.
Los datos personales y los datos privados no son sinónimos. Los datos personales son cualquier tipo de información (alfanumérica, gráfica, fotográfica, acústica, etc.) relativa a una persona física identificada o identificable, con independencia de que esta información sea privada o no. Sin embargo, los datos sobre menores, opiniones políticas, afiliación sindical, religión o creencias filosóficas, origen racial o étnico, datos genéticos, datos biométricos, salud, delitos, vida sexual u orientación sexual se consideran más sensibles y requieren una protección específica.
Seguridad informática, redes y comunicaciones
La aprobación en julio de 2016 de la Directiva NIS fue el hito de ciberseguridad más significativo de los últimos años. Marca la primera instancia de normas europeas sobre ciberseguridad. España tardó en implementar la Directiva NIS, pero en septiembre de 2018 finalmente se aprobó una ley.
En concreto, la Directiva NIS se incorporó a la legislación española mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; no obstante, el Real Decreto-ley 12/2018 establece normas generales e inespecíficas y queda pendiente una nueva regulación que desarrolle dichos aspectos.
Este Real Decreto-ley es coherente con la Directiva NIS y, en general, no introduce particularidades. Solo se aplica a los operadores de servicios esenciales ubicados en España y a los proveedores de servicios digitales registrados en España (siempre que España constituya su principal establecimiento en la UE).
En cuanto a la notificación de las brechas de seguridad, el Real Decreto-ley 12/2018 propone la creación de una plataforma común que también podría utilizarse para notificar las brechas de seguridad de los datos personales según el RGPD. Sin embargo, en este momento, las violaciones de la seguridad de los datos personales se notifican a través de la plataforma en línea disponible en el sitio web de la AEPD.
En 2012 se implantó en España el régimen de notificación de brechas de seguridad a través de la GTL en línea con la Directiva 2009/136 / CE: los proveedores de redes públicas de comunicaciones o servicios de comunicaciones electrónicas disponibles al público deben notificar cualquier brecha de seguridad, cuando se trate de datos personales, a tanto los interesados como la APD.
Asimismo, la LSSI fue modificada en 2014 para establecer obligaciones específicas sobre incidentes de ciberseguridad aplicables a los proveedores de servicios de la sociedad de la información, registros de nombres de dominio y registradores.
Directrices del INCIBE
Además de las leyes mencionadas anteriormente, ciertas autoridades con responsabilidades específicas en materia de ciberseguridad, como el INCIBE, han emitido pautas en los siguientes aspectos:
- ciberseguridad del teletrabajo (2020);
- seguridad en la instalación y uso de dispositivos IoT (2020);
- ciberseguridad de juguetes inteligentes (2020);
- seguridad de la red wi-fi (2019);
- archivos de respaldo (2018);
- aumento de la competitividad mediante el cumplimiento del RGPD (2018); y
- computación en la nube (2017);