Nuevo Reglamento General de Protección de Datos (RGPD)

Según IDC (International Data Corporation), el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) es la actualización del reglamento sobre la privacidad más importante desde 1995. El RGPD se aprobó en abril de 2016 y ha entrado en vigor el 25 de mayo de 2018.



¿Porqué elegir a AFS Informática?




AFS Informática. Expertos en Seguridad Informática y Derecho Tecnológico




El RGPD ha tenido un enorme impacto respecto a la manera en la que se recopilan y gestionan los datos personales de los residentes de la UE. Incluso después de su entrada en vigor, muchas empresas y empresairos siguen sin ser conscientes de su importancia y qué tipo de sanciones les pueden imponer.

¿Qué es el GDPR?

El GDPR especifica las funciones, los procesos y las tecnologías con los que deben contar las organizaciones para garantizar que los datos personales de los residentes de la UE estén protegidos y accesibles, y que se usen de la manera apropiada y con el debido consentimiento. Sus artículos y principios establecen una serie de obligaciones que quizás tengas que cumplir, como las siguientes:

Protección de datos desde el diseño: Proteger los datos personales frente al uso indebido en todas las fases de su ciclo de vida.

Minimización de datos: Recopilar y almacenar la menor cantidad de datos posible.

Derecho al olvido: Eliminar todos los datos personales de un individuo, previa solicitud.

Responsabilidad proactiva: Registrar todos los consentimientos, peticiones y medidas correctivas relacionados con los datos, así como proporcionar informes de auditoría al respecto.

Gestión del consentimiento: Definir casos de uso específicos a la hora de obtener el consentimiento, conservar pruebas de este y eliminar los datos una vez concluido el caso de uso en cuestión.

Notificación de las violaciones de seguridad en 72 horas: Determinar el alcance de una violación de seguridad y notificar a los usuarios afectados.

Integridad y disponibilidad: Restaurar el acceso a los datos personales rápidamente después de una interrupción o fallo en el servicio.

Transferencia y portabilidad de los datos: Realizar la transmisión de todos los datos personales de un individuo a otro proveedor, previa solicitud.

Seguridad Informática. Tarifa Plana para tu tranquilidad

12
de las empresas que hemos auditado no cumplían el RGPD

Si no puedes cumplir estos requisitos, tendrás que hacer frente a duras sanciones económicas, al riesgo para tu reputación y a la pérdida de clientes

Para cumplir con el Reglamento, centrándonos en el caso de las empresas, deben ser tenidas en cuenta las nuevas exigencias entre las que destacamos las seis siguientes:

AUDITORÍA DE PROTECCIÓN DE DATOS LEGAL + INFORMÁTICA

Debe auditarse el estado en el que se encuentra el cumplimiento de la normativa de protección de datos en la empresa. Esta auditoría ha de realizarse antes de actualizar las políticas, los protocolos y los textos relativos al tratamiento de datos personales.

El equipo auditor debe estar formado por profesionales del ámbito jurídico e informático. El RGPD, en su artículo 25, determina qué tipo de medidas técnicas y organizativas se deben implementar, retirando el listado tradicional de la LOPD e imponiendo uno que debe ser creado de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:

  • Profesionales con conocimientos jurídicos especializados en protección de datos.
  • Profesionales informáticos con conocimientos especializados en seguridad informática.

Una auditoría (interna o externa) correcta de protección de datos exige contar con perfiles informáticos, no bastando con que el jurista tenga un blog, lea revistas de hackers o sepa usar clientes SSH. El personal contratado debe ser informático y tener conocimientos teóricos y prácticos actualizados de seguridad informática para poder auditar de forma real los sistemas.

Para ayudar a cumplir mejor el RGPD, la AEPD ha publicado este documento: Guía del Reglamento General de Protección de Datos para responsables de tratamiento.

Recomendación: Auditar, con un equipo de profesionales jurídicos e informáticos, y documentar el cumplimiento de la normativa de protección de datos, en relación con el RGPD, antes de iniciar operaciones de adecuación al Reglamento.

DEBER DE INFORMACIÓN

El RGPD amplía la información que debe ser comunicada en el momento de recabar datos personales.

Con la antigua LOPD, los datos que -aún, a día de hoy- deben ser facilitados son los siguientes (art. 5 LOPD):

  • finalidad
  • destinatarios ficheros
  • obligación o no de la entrega y sus consecuencias
  • los derechos del interesado
  • la identidad del responsable

 

A los anteriores indicados, con el RGPD se suman los siguientes (art. 13 RGPD):

  • la base jurídica del tratamiento
  • el tiempo máximo que se mantendrán los datos
  • la identificación, si procede, del Delegado de Protección de datos
  • si habrá o no trasferencia internacional de datos
  • el derecho a presentar una reclamación
  • la existencia o no de decisiones automatizadas.

En relación con los derechos conocidos por el acrónimo ARCO, el RGPD los cambia y actualiza. Los nuevos ARCO, sobre los que hay que informar, ahora son los derechos siguientes: acceso, rectificación, supresión, limitación, portabilidad, y oposición.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Guía para el cumplimiento del deber de informar.

Recomendación: Leer la Guía para el cumplimiento del deber de informar, de la AEPD. A continuación, editar primero los avisos de privacidad de la web de la empresa para adaptarlos al RGPD con el fin de adquirir soltura. De esta forma, al incluirlos en contratos y formularios se hará de forma más natural.

CONTRATOS DE ENCARGADO DEL TRATAMIENTO

Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.

El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

Recomendación: Empezar a usar el modelo de contrato incluido en el anexo de las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, de la AEPD. Se debe mejorar y personalizar este documento para adaptarlo al caso concreto.

ANÁLISIS DE RIESGO

Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse las medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.

La LOPD recogía una serie de medidas de seguridad que debían ser implementadas y aplicadas por las empresas que tratasen datos personales en función del tipo de datos o de su tratamiento.

El RGPD desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros, por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgo.

Para ayudar a entender qué tipos de empresas están obligadas a cifrar en España, Abanlex y ESET han publicado este documento: Guía sobre el Reglamento General de Protección de Datos.

Recomendación: Realizar y documentar un análisis de riesgo con profesionales informáticos internos o externos. Para el seguimiento, nombrar a un responsable interno y contratar un servicio externo de resolución de consultas concretas legales y de seguridad informática.

EVALUACIÓN DE IMPACTO

Determinadas empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales. En particular, cuando sea probable que un tipo de tratamiento, sobre todo si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.

La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos; mientras que la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Recomendación: Realizar y documentar un análisis de impacto en los casos en que sea obligatorio o recomendable.

DELEGADO DE PROTECCIÓN DE DATOS – DPO O DPD

El DPO será designado “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones” indicadas en el RGPD, según el artículo 35 del RGPD.

Se debe señalar que el DPO no tiene por qué ser abogado ni tener un máster en protección de datos u otro certificado similar. Lo más habitual será, por tanto, que se nombre DPO a un profesional licenciado o graduado en Derecho, no necesariamente abogado, con más de 4 años (lo recomendable sería más de 10 años) de práctica en protección de datos.

El RGPD recoge la obligación, para determinadas empresas de contar con un DPO. Algunas de estas obligadas, además de las autoridades u organismos públicos, son, generalizando los términos, las siguientes:

  • Empresas que lleven a cabo una observación habitual y sistemática de interesados.
  • Empresas que traten a gran escala categorías especiales de datos.

Las empresas que no encajen en esta clasificación pueden valorar contar con esta figura, que tendrá como funciones la gestión y el control de la protección de datos dentro de la empresa, así como actuar como punto de contacto entre esta y la AEPD.

Recomendación: Nombrar a un responsable interno y contratar un servicio externo de resolución de consultas especializadas y para disfrutar de un servicio de seguimiento jurídico.





AFS Informática. Asesoramiento y Formación en Seguridad Informática

No nos centramos solo en la normativa actual,
porque mañana puede cambiar.
¡Nos centramos en tu seguridad!





Contáctanos ahora para una auditoría inicial gratuita



He leido y Acepto el Aviso Legal y la Política de Privacidad

Acepto recibir información de servicios y productos

  1. Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  2. Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  3. Almacenamiento de los datos: Base de datos alojada en Webempresa Europa S.L. (UE)
  4. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.




Declaro que soy el propietario de la web indicada y que He Leido y Acepto el Aviso Legal y la Política de Privacidad

* Informe de nivel básico