INICIO > BLOG

Entrada de Blog

Leyes de ciberseguridad que afectan a tu empresa

Desde la entrada en vigor del Real Decreto 43/2021, las empresas y los usuarios somos más conscientes de nuestros derechos y obligaciones en materia de ciberseguridad. Pero hay casos en los que podemos encontrarnos con situaciones que no sabemos muy bien cuál es la responsabilidad que tenemos para cumplir con las normas establecidas.

Estas son algunas de las leyes que afectan a pymes y autónomos desde el punto de vista de la seguridad de la información:

Ley LSSI-CE

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico tiene como objetivo regular el régimen jurídico de los servicios relacionados con Internet y la contratación electrónica, como son llamadas telefónicas o mensajería SMS. Esta ley se aplica en los siguientes supuestos siempre que el prestador del servicio, es decir el empresario, obtenga algún tipo de beneficio:

  • Comercio electrónico
  • Contratación en línea
  • Información y publicidad
  • Servicios de intermediación

Cualquier empresa o autónomo que realice alguna actividad de las anteriores deberá incluir toda la información que se encuentra en el apartado «Información para la identificación del prestador de servicios relacionados con Internet». Toda esta información, normalmente se sitúa en la sección denominada “Aviso legal”.

Política de Cookies

Las cookies permiten a los prestadores de servicios, como una tienda online o un blog, almacenar información en el dispositivo del cliente o del usuario. Antes de instalarlas en un equipo del cliente se debe solicitar su consentimiento, que comúnmente se realiza mediante un banner.

Una buena práctica es incluir una sección denominada Política de Cookies, que podría estar dentro del apartado Aviso Legal.

LOPDGDD y RGPD

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales y el Reglamento General de Protección de Datos o  RGPD, son las normas que velan en España por la protección y privacidad de datos personales. La mayoría de empresas y autónomos utilizan datos personales, ya sean de clientes, proveedores o empleados en sus labores cotidianas. Esto implica que deberán cumplir con esta legislación.

El RGPD es un marco normativo común para todos los países miembros de la Unión Europea, pero será cada país quién deba desarrollar el reglamento de manera interna.

Cualquier empresa o autónomo que realice algún tipo de tratamiento de datos personales deberá cumplir tanto con la LOPDGDD, como con el RGPD. En caso de incumplimiento quedará expuesto a las sanciones correspondientes.

Ley LPI

La Ley de Propiedad Intelectual se encuentra regulada en el Real Decreto Legislativo 1/1996, cuyo objetivo es proteger cualquier tipo de obra literaria, artística o científica, fruto de cualquier actividad empresarial.

La LPI protege los derechos de los autores, tanto derechos morales, que son inalienables e irrenunciables, como derechos patrimoniales o de explotación de la obra. En cuanto a estos últimos, las empresas y autónomos deberán:

  • Pagar derechos de autor a cualquier creación protegida, tal como imágenes, audios, vídeos, software, etc. Mediante la compra, alquiler o la mención de su autor, dependiendo del caso.
  • Proteger los derechos de las creaciones propias.
  • Cuando la creación sea por parte de un empleado, respetar el derecho de este al reconocimiento de la obra. En caso de cesión, deberá de darse por escrito.
  • Si la creación ha sido realizada por parte de un empleado en el ejercicio de sus funciones dentro de su cometido en la empresa, la titularidad corresponderá exclusivamente al empresario.

Real Decreto 43/2021

Obligaciones derivadas del RD 43/2021:

  • Designar al Responsable de Seguridad de la Información o CISO (Chief Information Security Officer). Esta figura puede ser una persona, entidad u órgano colegiado, y se nombrará ante el Ministerio correspondiente. Ejercerá como punto de contacto con la autoridad competente y supervisará que la empresa cumple con los requisitos de ciberseguridad establecidos.
  • Elaborar la Declaración de Aplicabilidad. Conforme a lo establecido en el artículo 6 del RD 43/2021, el CISO debe realizar un documento denominado Declaración de Aplicabilidad de las medidas de seguridad de la empresa. A grandes rasgos, debe incluir:
    • Análisis del estado actual de la ciberseguridad de la empresa con el fin de identificar carencias y riesgos.
    • Reflejar las deficiencias detectadas y cómo se pretenden solucionar.
    • Desarrollar un plan de seguimiento para verificar que estas deficiencias se acaben subsanando.
    • Establecer planes para la detección, gestión, recuperación y aseguramiento de la continuidad de las operaciones en caso de ciber incidente.
  • Firmar y presentar la Declaración de Aplicabilidad. Debe ser firmada por el CISO y aprobada por la empresa y será revisable como mínimo cada 3 años.

 

Si tienes dudas de si tu empresa cumple con toda la normativa vigente de ciberseguridad, te asesoraremos en todo lo que necesites. Ponte en contacto con nosotros a través de [email protected] o llamando al 900 52 52 45.