Archivo de la categoría: Seguridad Información

SERVICIOS DE “CLOUD COMPUTING” Y CÓMO CUMPLIR CON EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Hoy día las tecnologías avanzan a un ritmo vertiginoso para adaptarse a nuestras necesidades y hacernos la vida más fácil y cómoda. Pero este avance nos pone ante el reto de cómo proteger nuestra privacidad cuando toda la información está vagando en internet. Es más, cada día aumenta el número de empresas que optan, para gestionar y almacenar su información, por las distintas modalidades de servicios de “cloud computing” o como la mayoría lo conocemos almacenamiento en la nube.  Este servicio nos aporta muchas ventajas, pero también inconvenientes, siendo el más importante la clara pérdida de control sobre los datos.

¿Qué tener en cuenta para que su empresa cumpla con el RGPD al contratar este servicio?

En primer lugar, debemos tener en cuenta que la empresa que contrata un servicio de “cloud computing” seguirá siendo Responsable de tratamiento de los datos de carácter personal, ya que por el hecho de firmar un contrato no se traspasa esa responsabilidad al proveedor del servicio, sino que éste se convertirá en Encargado de tratamiento.

El Reglamento exige que el proveedor contratado ofrezca garantías suficientes en materia de protección de datos, es decir, que sea capaz de demostrar que dispone de los medios necesarios para cumplir con sus obligaciones como encargado de tratamiento.  Y será muy importante definir muy bien ese contrato de encargo de tratamiento, teniendo en cuenta los siguientes requisitos:

  • Que defina claramente las finalidades de tratamiento.
  • Que incluya información acerca de la intervención de terceras empresas en la prestación del servicio. Ya que, si es así la empresa debe dar su consentimiento para que pueda intervenir y especificando con qué finalidad de tratamiento.
  • Que incorpore información sobre la ubicación de los datos, es decir en qué país. Esta información es importante puesto que si el país es perteneciente a la Comunidad Económica Europea no se considerará transferencia internacional de datos y además ofrecerá todas las garantías jurídicas. Pero en el caso de que vayan a estar localizados en países que no pertenecen al Espacio Económico Europeo habrá transferencia internacional de datos, y se debe tener en cuenta que el país ofrezca garantías jurídicas adecuadas, es decir que ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos o por Decisión de la Comisión Europea. Puede consultar los países considerados de garantía por la Agencia Española de protección de datos pinchando aquí.
  • Que exija ciertas medidas de seguridad, como la de garantizar la integridad de los datos personales, evitar accesos no autorizados y la posibilidad de recuperar la información en caso de que se produzcan incidencias de seguridad.
  • Que incluya un compromiso de garantizar la confidencialidad utilizando los datos sólo para la finalidad de tratamiento establecida en el contrato y que garantice el compromiso de confidencialidad de sus trabajadores.
  • Que defina que en el caso de rescisión del contrato unilateralmente o por ambas partes, el Encargado de tratamiento tendrá la obligación de entregar toda la información al cliente en el formato que se acuerde, en el plazo más breve posible y con total garantía de la integridad de la información. Y para asegurar que el proveedor no se queda con datos de carácter personal, es recomendable requerir una certificación de la destrucción de la información una vez devuelta al Responsable de tratamiento.

Para ampliar información acerca de este tema puede consultar la Guía Para Clientes Que Contraten Servicios De “Cloud Computing” publicada por la Agencia Española de Protección de Datos.

Y si su empresa aún no se ha adaptado al Reglamento General Europeo de Protección de Datos y necesita ayuda, llámenos.

Foto: creativeart

¿Cómo garantizar la seguridad de la información en tu empresa?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Con los avances de las nuevas tecnologías y el aumento del uso y dependencias a las mismas, se están detectando y dando un incremento de la  vulnerabilidad de la información gestionada por cualquier empresa. Por este motivo es primordial adoptar medidas encaminadas a preservar la integridad, disponibilidad y confidencialidad de la información que manejamos.

¿Qué medidas garantizan la no vulnerabilidad de la información en tu empresa?

Las medidas que existen en la actualidad para garantizar la no vulnerabilidad de la información gestionada por cualquier empresa son:

– Adecuación al nuevo Reglamento General de Protección de datos, que es de obligado cumplimiento.

– Implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI)

¿Qué es un Sistemas de Gestión de la Seguridad de la Información?

El SGSI es una herramienta que se implanta en las empresas para garantizar la confidencialidad, disponibilidad e integridad de la información que gestiona y se basa en la Política de la Organización, en su estructura organizativa, en los procedimientos y procesos que desarrollan y en la aportación de los recursos necesarios para garantizar la consecución de la meta: GESTIONAR CORRECTAMENTE LA INFORMACIÓN DE LA QUE DISPONE CUALQUIER ORGANIZACIÓN.

 

Contacte con nosotros, si necesita ampliar información

 

¿TU COMUNIDAD DE PROPIETARIOS CUMPLE CON EL RGPD?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Como ya hemos ido comentando en varias entradas, el Reglamento General de Protección de Datos (RGPD) ha introducido numerosas novedades sobre el tratamiento de los datos personales.

Uno de los principales cambios que introduce es que las relaciones entre el responsable y el encargado de tratamiento deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

En el caso concreto de las Comunidades de propietarios, éstas serán las que actúen como responsable de tratamiento y, si existe la figura de administrador de fincas, éste será el encargado de tratamiento. Deberá existir un contrato de encargo de tratamiento entre ellos que incluirá, según la AEPD (Agencia Española de Protección de Datos), los siguientes aspectos:

  • Objeto, duración, naturaleza y la finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados…

Además, la comunidad de propietarios, como Responsable del tratamiento, debe garantizar que se cumple con el deber de secreto, confidencialidad, veracidad y seguridad de los datos, y asegurándose de que sean tratados para la finalidad para la que fueron recogidos.

Y, ¿cuáles son los tratamientos más comunes que debe realizar una comunidad de propietarios?

  • Tratamiento de los datos relativos a los propietarios en relación con la gestión de la propia comunidad. En este caso la legitimación para el tratamiento de los mismos no se derivará del consentimiento previo, sino que atenderá al cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal).
  • Si tienen contratado personal para la realización de trabajos, como puede ser el de portería, el tratamiento de los datos tampoco va a necesitar el consentimiento, sino la ejecución de un contrato.
  • Si disponen de cámaras de videovigilancia, deberá existir acuerdo de la junta de propietarios, siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal. Y además se deberá cumplir con el deber de información.

En resumen, es importante que tanto las Comunidades de Propietarios como los Administradores de Fincas se pongan al día en materia de protección de datos.

Si necesitas más información llámanos.

FOTO: freepik

¿POR QUÉ TODAS LAS EMPRESAS ESTÁN PIDIENDO AUTORIZACIÓN PARA PODER TRATAR DATOS DE CARÁCTER PERSONAL?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

La antigua Ley Orgánica de Protección de datos (LOPD) , que dejó de estar en vigor el pasado 25 de mayo, permitía el consentimiento tácito para el tratamiento de datos, es decir, que si una empresa recibía datos por parte de un cliente, se daba por hecho que ésta podía hacer usos de ellos.

Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) adquiere gran relevancia el hecho de obtener el consentimiento por parte del interesado para el tratamiento de sus datos personales, dejando de admitirse el consentimiento tácito o sobreentendido.

En el artículo 4.11 del RGPD se define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Así, de acuerdo con el principio de Responsabilidad Proactiva y al añadir el adjetivo inequívoco, se está obligando a las empresas a disponer de una prueba que demuestre que dispone del consentimiento por parte del interesado para tratar sus datos.

Y ha sido este artículo 4.11, el que ha motivado el bombardeo, vía mail principalmente, que todos estamos recibiendo por parte de distintas empresas, que pretenden conseguir nuestro consentimiento de una manera inequívoca.

Pero, ¿siempre debe obtenerse dicho consentimiento inequívoco?

El RGPD establece en el artículo 6, que el tratamiento sólo será lícito si se cumple al menos una de las condiciones siguientes:

  • el interesado dio su consentimiento
  • el tratamiento es necesario para la ejecución de un contratoen el que el interesado es parte
  • el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  • el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
  • el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Por tanto, el RGPD también define supuestos en los que el tratamiento será lícito sin necesidad de disponer del consentimiento inequívoco, siendo quizá, el más relevante para las pequeñas y medianas empresas, aquel que indica que será lícito el tratamiento que sea necesario para la ejecución de un contrato en el que el interesado sea parte.

Imagen: el Taller del Bit

¿CONOCES LA HOJA DE RUTA PARA ADAPTARSE AL RGPD?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Como se viene anunciando desde hace un tiempo, a partir del 25 de mayo será de aplicación el nuevo Reglamento General de Protección de Datos (RGPD) y esto significa que la Ley Orgánica 15/1999 de Protección de Datos (LOPD) dejará de estar vigente y que tanto las Administraciones públicas como el sector privado tendrán que tomar las medidas necesarias para cumplir con los requisitos que marca dicho Reglamento en materia de seguridad.

Pues bien, la Agencia Española de Protección de Datos (AEPD), ha ido desarrollando distintas guías y herramientas para facilitar el cumplimiento del nuevo Reglamento, y entre ellas ha publicado una hoja de ruta sencilla con las indicaciones imprescindibles para el sector privado, y es la siguiente:

 

Como se puede observar, en ella se recogen los pasos que en principio se deben seguir para la adaptación, pero variarán en función de las características de cada empresa y de la categoría de los datos que manejen.  La AEPD ha incluido también en la hoja de ruta los enlaces a las herramientas que ha diseñado por si alguien necesita ampliar información.

¿QUÉ ES EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO Y QUÉ DEBE CONTENER?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

El Reglamento Europeo de Protección de datos  entiende por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Pues bien, el RGPD en su artículo 30, establece que “Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Y esto quiere decir que las empresas deberán controlar de una manera proactiva los registros donde se especifiquen los datos que tratan y cómo los tratan, puesto que ya se ha eliminado la obligatoriedad de registrar los ficheros en la Agencia Española de Protección de Datos.

En este mismo artículo, se establece también qué información deberá contener dicho registro:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

  1. a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  2. b) los fines del tratamiento;
  3. c) una descripción de las categorías de interesados y de las categorías de datos personales;
  4. d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  6. f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  7. g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

La Agencia Española de Protección de Datos (AEPD) ha publicado una “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” en la que indica que,  partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, puede ser una buena opción para organizar el registro de actividades de tratamiento.

¿Y Es obligatorio?

En principio, están exentas de llevar un Registro de Actividades de Tratamientos las empresas   que tenga menos de 250 empleados, salvo que el tratamiento que realicen de los datos pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

A pesar de esto, y dado la importancia que el RGPD otorga a la responsabilidad proactiva de la empresa, puede ser recomendable realizar dicho registro, aunque no sea obligatorio.

 

Foto: JUNGLEDRUMS Magazine

¿QUÉ DERECHOS INTRODUCE EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Hasta el momento, los derechos fundamentales de los ciudadanos respecto a la protección de datos de carácter personal venían otorgados por la Ley Orgánica 15/1999 de Protección de Datos (LOPD) y eran conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Pero a partir del 25 de mayo, con la aplicación del Nuevo Reglamento Europeo (RGPD), se introducen nuevos derechos que permitirán mejorar la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

Los derechos que los ciudadanos podrán ejercer ante los responsables de tratamiento de estos serán:

  • Derecho de acceso. El interesado tiene derecho a obtener una copia de los datos personales objeto del tratamiento, siempre y cuando, no afecte negativamente a los derechos y libertades de otros.
  • Derecho de rectificación. Al igual que el actual derecho de rectificación, los usuarios tienen la oportunidad de rectificar los datos incorrectos, o bien completar la información que sea incompleta.
  • Derecho de supresión o derecho al olvido. El ciudadano podrá solicitar que sus datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
  • Derecho a la limitación de tratamiento. Podrá ejercerse en varias condiciones, entre otras, cuando se cumplan los datos ya no son necesarios para el tratamiento, que también determinará su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
  • Derecho de oposición. Similar al actual derecho de oposición, los usuarios tendrán el derecho a oponerse en cualquier momento a que sus datos personales sean objeto de tratamiento. Además, introduce ese derecho de oposición cuando el tratamiento de los datos tiene una finalidad de mercadotecnia directa.
  • Derecho a la portabilidad de los datos. Este derecho hace que los datos se trasmitan de un responsable a otro responsable sin necesidad de que se envíen al interesado.

Estos son los derechos que tendrás a partir del 25 de mayo, así que el tratamiento que se le dé a tus datos dependerá en parte de ti.

 

Foto: Elizabeth Donald

¿Qué cambios trae el nuevo Reglamento Europeo de Protección de Datos (RGPD)?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

A partir del 25 de mayo será de aplicación el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD)

Esto significa que la Ley Orgánica 15/1999 de Protección de Datos (LOPD) deja de estar vigente y habrá que esperar a que se apruebe la que será nueva Ley Orgánica de Protección de Datos 2018, actualmente en fase de proyecto.

Los cambios acaecidos en la sociedad a nivel global, con internet, las redes sociales, comercio online, Big data… han hecho necesaria una regulación, puesto que muchos de los cambios han afectado directamente a los derechos y libertades de las personas, haciendo que los datos personales se conviertan en un valor más de negocio y sin ofrecer garantía alguna sobre la confidencialidad ni sobre el correcto uso de estos.

El RGPD viene a reforzar los derechos de las personas físicas a través de:

  • mayor claridad e información cuando se recopilen datos,
  • pone fin de los consentimientos tácitos,
  • establece el derecho al olvido,
  • establece el derecho a la portabilidad de datos,
  • etc.

En cuanto al proceso de adaptación, éste va a depender del tipo de empresa y de los tipos de datos con los que trabaje (datos de riesgo, sensibles, financieros…).

Y a grandes rasgos ¿qué le va a exigir el RGPD a tu empresa?

  • Que la prevención sea el aspecto esencial,  puesto que ya no va a bastar con actuar cuando se haya producido una infracción sino que hay que evitar que ocurra.
  • Que tenga una Responsabilidad activa, es decir, que deberá poder demostrar y garantizar que se cumple con lo que establece el Reglamento.
  • Que establezca medidas basadas en los resultados del análisis del riesgo, actúen sobre aquellas actividades de tratamiento de datos que supongan un mayor riesgo para los derechos y libertades de las personas.

 

Imagen: Teravitia

¿A que tipo de empresas se recomienda la ISO 27000?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

empresas iso 27000

¿A qué empresas se recomienda la implantación de un Sistema de Gestión de la Seguridad de la Información?

Antes de conocer a qué empresas se recomienda la implantación de un Sistema de Gestión de la Seguridad de la Información, es conveniente tener presente qué es la norma ISO 27000 de Seguridad de la Información.

Como su propio nombre indica, la ISO 27000 es una norma que define los requisitos que debe cumplir el Sistema de Gestión de Seguridad de la Información en una empresa u organización.

Por tanto, su implantación ofrece a la empresa la ventaja de proteger su información de manera fiable a través de tres principales objetivos: preservar la confidencialidad de sus datos, conservación de la integridad de sus datos y disponibilidad fácil de la información protegida.

Por todo ello, es evidente que debido al tipo de información con la que trabajan, muchas empresas y organizaciones que tratan asuntos confidenciales en cuanto a datos personales (sanitaria, laboral, médica, financiera…), la aplicación de la ISO 27000 es fundamental.

No obstante, los Sistemas de Gestión de la Seguridad de la Información pueden ser implantados en cualquier organización pública o privada que desee garantizar tanto la preservación como la protección de sus datos.

Imagen | Diego3336

¿Que es la norma ISO 27000 de Seguridad de la Información?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

iso 27000Los sistemas de gestión sectoriales son herramientas que han sido especialmente adaptadas a la actividad principal de cada empresa, lo que a su vez brinda la posibilidad de añadir una certificación específica a la genérica, que encontramos dentro de los diferentes sistemas de gestión.

Uno de estos sistemas son los implantados bajo los requisitos de la norma ISO 22000 de Sistemas de Gestión de la Inocuidad de los Alimentos, sobre la que ya en momentos anteriores nos hemos ocupado de forma extensa.

Pero en lo que se refiere a la seguridad de la información, las empresas tienen a su disposición los Sistemas de Gestión de la Seguridad de la Información, que se implantan bajo los requisitos de la norma ISO 27000.

La ISO 27000 es una norma que define de qué manera se debe implantar un Sistema de Gestión de la Seguridad de la Información en una empresa u organización.

Su implantación ofrece a la organización o empresa la ventaja de proteger su información de la forma más fiable posible, persiguiéndose para ello un total de tres objetivos principales:

  1. Preservar la confidencialidad de sus datos.
  2. Conservar la integridad de sus datos.
  3. Disponibilidad de la información protegida.

No en vano, tal es su importancia que la implantación de este tipo de herramienta garantiza que los riesgos de seguridad de la información son controlados por la organización eficientemente, tanto de forma interna como al resto de las empresas.

Es interesante tener en cuenta que los sistemas de gestión implantados balo los requisitos de la norma ISO 27000 son totalmente compatibles con otros sistemas de gestión como son los sistemas de gestión de la calidad,etc.