Archivo de la categoría: Seguridad Información

¿QUÉ ES EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO Y QUÉ DEBE CONTENER?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

El Reglamento Europeo de Protección de datos  entiende por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Pues bien, el RGPD en su artículo 30, establece que “Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Y esto quiere decir que las empresas deberán controlar de una manera proactiva los registros donde se especifiquen los datos que tratan y cómo los tratan, puesto que ya se ha eliminado la obligatoriedad de registrar los ficheros en la Agencia Española de Protección de Datos.

En este mismo artículo, se establece también qué información deberá contener dicho registro:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

  1. a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  2. b) los fines del tratamiento;
  3. c) una descripción de las categorías de interesados y de las categorías de datos personales;
  4. d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  6. f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  7. g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

La Agencia Española de Protección de Datos (AEPD) ha publicado una “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” en la que indica que,  partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, puede ser una buena opción para organizar el registro de actividades de tratamiento.

¿Y Es obligatorio?

En principio, están exentas de llevar un Registro de Actividades de Tratamientos las empresas   que tenga menos de 250 empleados, salvo que el tratamiento que realicen de los datos pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

A pesar de esto, y dado la importancia que el RGPD otorga a la responsabilidad proactiva de la empresa, puede ser recomendable realizar dicho registro, aunque no sea obligatorio.

 

Foto: JUNGLEDRUMS Magazine

¿QUÉ DERECHOS INTRODUCE EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Hasta el momento, los derechos fundamentales de los ciudadanos respecto a la protección de datos de carácter personal venían otorgados por la Ley Orgánica 15/1999 de Protección de Datos (LOPD) y eran conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Pero a partir del 25 de mayo, con la aplicación del Nuevo Reglamento Europeo (RGPD), se introducen nuevos derechos que permitirán mejorar la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

Los derechos que los ciudadanos podrán ejercer ante los responsables de tratamiento de estos serán:

  • Derecho de acceso. El interesado tiene derecho a obtener una copia de los datos personales objeto del tratamiento, siempre y cuando, no afecte negativamente a los derechos y libertades de otros.
  • Derecho de rectificación. Al igual que el actual derecho de rectificación, los usuarios tienen la oportunidad de rectificar los datos incorrectos, o bien completar la información que sea incompleta.
  • Derecho de supresión o derecho al olvido. El ciudadano podrá solicitar que sus datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
  • Derecho a la limitación de tratamiento. Podrá ejercerse en varias condiciones, entre otras, cuando se cumplan los datos ya no son necesarios para el tratamiento, que también determinará su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
  • Derecho de oposición. Similar al actual derecho de oposición, los usuarios tendrán el derecho a oponerse en cualquier momento a que sus datos personales sean objeto de tratamiento. Además, introduce ese derecho de oposición cuando el tratamiento de los datos tiene una finalidad de mercadotecnia directa.
  • Derecho a la portabilidad de los datos. Este derecho hace que los datos se trasmitan de un responsable a otro responsable sin necesidad de que se envíen al interesado.

Estos son los derechos que tendrás a partir del 25 de mayo, así que el tratamiento que se le dé a tus datos dependerá en parte de ti.

 

Foto: Elizabeth Donald

¿Qué cambios trae el nuevo Reglamento Europeo de Protección de Datos (RGPD)?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

A partir del 25 de mayo será de aplicación el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD)

Esto significa que la Ley Orgánica 15/1999 de Protección de Datos (LOPD) deja de estar vigente y habrá que esperar a que se apruebe la que será nueva Ley Orgánica de Protección de Datos 2018, actualmente en fase de proyecto.

Los cambios acaecidos en la sociedad a nivel global, con internet, las redes sociales, comercio online, Big data… han hecho necesaria una regulación, puesto que muchos de los cambios han afectado directamente a los derechos y libertades de las personas, haciendo que los datos personales se conviertan en un valor más de negocio y sin ofrecer garantía alguna sobre la confidencialidad ni sobre el correcto uso de estos.

El RGPD viene a reforzar los derechos de las personas físicas a través de:

  • mayor claridad e información cuando se recopilen datos,
  • pone fin de los consentimientos tácitos,
  • establece el derecho al olvido,
  • establece el derecho a la portabilidad de datos,
  • etc.

En cuanto al proceso de adaptación, éste va a depender del tipo de empresa y de los tipos de datos con los que trabaje (datos de riesgo, sensibles, financieros…).

Y a grandes rasgos ¿qué le va a exigir el RGPD a tu empresa?

  • Que la prevención sea el aspecto esencial,  puesto que ya no va a bastar con actuar cuando se haya producido una infracción sino que hay que evitar que ocurra.
  • Que tenga una Responsabilidad activa, es decir, que deberá poder demostrar y garantizar que se cumple con lo que establece el Reglamento.
  • Que establezca medidas basadas en los resultados del análisis del riesgo, actúen sobre aquellas actividades de tratamiento de datos que supongan un mayor riesgo para los derechos y libertades de las personas.

 

Imagen: Teravitia

¿A que tipo de empresas se recomienda la ISO 27000?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

empresas iso 27000

¿A qué empresas se recomienda la implantación de un Sistema de Gestión de la Seguridad de la Información?

Antes de conocer a qué empresas se recomienda la implantación de un Sistema de Gestión de la Seguridad de la Información, es conveniente tener presente qué es la norma ISO 27000 de Seguridad de la Información.

Como su propio nombre indica, la ISO 27000 es una norma que define los requisitos que debe cumplir el Sistema de Gestión de Seguridad de la Información en una empresa u organización.

Por tanto, su implantación ofrece a la empresa la ventaja de proteger su información de manera fiable a través de tres principales objetivos: preservar la confidencialidad de sus datos, conservación de la integridad de sus datos y disponibilidad fácil de la información protegida.

Por todo ello, es evidente que debido al tipo de información con la que trabajan, muchas empresas y organizaciones que tratan asuntos confidenciales en cuanto a datos personales (sanitaria, laboral, médica, financiera…), la aplicación de la ISO 27000 es fundamental.

No obstante, los Sistemas de Gestión de la Seguridad de la Información pueden ser implantados en cualquier organización pública o privada que desee garantizar tanto la preservación como la protección de sus datos.

Imagen | Diego3336

¿Que es la norma ISO 27000 de Seguridad de la Información?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

iso 27000Los sistemas de gestión sectoriales son herramientas que han sido especialmente adaptadas a la actividad principal de cada empresa, lo que a su vez brinda la posibilidad de añadir una certificación específica a la genérica, que encontramos dentro de los diferentes sistemas de gestión.

Uno de estos sistemas son los implantados bajo los requisitos de la norma ISO 22000 de Sistemas de Gestión de la Inocuidad de los Alimentos, sobre la que ya en momentos anteriores nos hemos ocupado de forma extensa.

Pero en lo que se refiere a la seguridad de la información, las empresas tienen a su disposición los Sistemas de Gestión de la Seguridad de la Información, que se implantan bajo los requisitos de la norma ISO 27000.

La ISO 27000 es una norma que define de qué manera se debe implantar un Sistema de Gestión de la Seguridad de la Información en una empresa u organización.

Su implantación ofrece a la organización o empresa la ventaja de proteger su información de la forma más fiable posible, persiguiéndose para ello un total de tres objetivos principales:

  1. Preservar la confidencialidad de sus datos.
  2. Conservar la integridad de sus datos.
  3. Disponibilidad de la información protegida.

No en vano, tal es su importancia que la implantación de este tipo de herramienta garantiza que los riesgos de seguridad de la información son controlados por la organización eficientemente, tanto de forma interna como al resto de las empresas.

Es interesante tener en cuenta que los sistemas de gestión implantados balo los requisitos de la norma ISO 27000 son totalmente compatibles con otros sistemas de gestión como son los sistemas de gestión de la calidad,etc.

El nuevo Reglamento Europeo de Protección de Datos ya esta en vigor

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

El pasado 25 de mayo de 2016 entro en vigor el nuevo Reglamento Europeo de Protección de Datos pero no será de aplicación hasta el 25 de mayo de 2018, periodo establecido para que todas las entidades a las cuales, le es de aplicación puedan adaptarse a sus requerimientos y asegurar su cumplimiento a partir de dicha fecha.

Confidencial

Entre los aspectos mas destacables recogidos en el nuevo texto legislativo de aplicación al tratamiento de los datos de carácter personal podemos indicar los siguientes:

– Se incluyen más derechos para los ciudadanos como son el derecho al olvido y a la portabilidad de datos de un usuario de un sistema de tratamiento electrónico a otro.

– Aparece la figura del Delegado de Protección de Datos.

– Se deben realizar análisis de riesgos y evaluación del impacto con objeto de asegurar el cumplimiento de la legislación de aplicación en esta materia.

– Se deben documentar las actividades de tratamiento de datos de carácter personal llevadas a cabo por los Responsables de los Ficheros y por los Encargados de Tratamiento.

– Incremento de las sanciones económicas que conocíamos hasta el momento.

Como hemos comentado al inicio de nuestra publicación, la definición de estos nuevos requisitos implica que las empresas y entidades se vean obligadas a revisar los procedimientos definidos en relación con la protección de datos de carácter personal para adaptarlos a los nuevos requisitos legales de aplicación.

¿Estás seguro de que tu empresa trata de forma correcta los datos de carácter personal que posee? Si la respuesta es No, contacta con Integra, nuestros expertos se encuentran a tu disposición para asesorarte.

Imagen|Prawny

 

¿Cómo asegurar que tu empresa cumple con la Ley Orgánica de Protección de Datos?

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Para asegurar que tu empresa cumple con la Ley Orgánica de Protección de Datos, en adelante LOPD y teniendo en cuenta que cada empresa tiene sus peculiaridades dependiendo del origen de los datos, de su tipología, de las características relacionadas con el tratamiento de los mismos y del tipo de sistemas y de soportes con los que los manejan, entre otros.

LOPDA continuación de forma breve queremos definir algunos de los términos mas usados, relacionados con la LOPD con objeto de que estas definiciones te permitan familiarizarte con ellos:

Nivel de seguridad: La LOPD define 3 niveles de seguridad: bajo, medio y alto. El nivel de seguridad de aplicación a cada fichero dependerá del tipo de datos que se tratan en cada empresa y a partir de la definición de dicho nivel se podrán definir e implantar las medidas de seguridad de aplicación en cada caso.

Inscripción de ficheros: Cada uno de los ficheros de aplicación a cada empresa debe de ser inscrito en el Registro General de Protección de Datos (RGPD) previa recopilación de los datos personales que los compondrán, tal y como se define en la legislación de aplicación.

Documento de Seguridad: Es un documento de carácter interno que debe definir todo lo relacionado con las medidas, normas, procedimientos, reglas y estándares que siguen las organizaciones para garantizar la seguridad de los datos de carácter personal que tratan.

Contratos con terceros: Siempre que exista una figura externa que pueda tener acceso o tratar datos de carácter personal gestionados por las empresas deberán formalizarse contratos en los que se especifiquen las instrucciones que se deben seguir para asegurar la seguridad de los mismos.

¿Necesitas asegurarte de que tu empresa cumple con la LOPD? A que esperas, contacta con Integra.

Imagen|Alvimann

 

 

Garantiza la seguridad de la información de tu empresa

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Cada vez son más las empresas que se fijan como propósito, el poder garantizar la seguridad de la información que manejan para el desarrollo de su actividad cotidiana. Por este motivo se ha incrementando la demanda de consultas que hasta día de hoy, recibíamos sobre la Norma Internacional ISO 27001 de Sistemas de Gestión de la Seguridad de la Información (SGSI).

La norma ISO 27001 define los requisitos necesarios para el establecimiento, la implantación, la correcta operatividad, el monitoreo, la revisión, el mantenimiento y la mejora del Sistema de Gestión de Seguridad de la Información (SGSI) que se implante en cualquier empresa.

Cabe mencionar que toda empresa debe conocer los riesgos a los que se expone en relación al tratamiento de la información que manejan por este motivo, la ISO 27001 a parte de definir todos los requisitos comentados en el apartado anterior también define los controles de seguridad que se deben llevar a cabo en las empresas, adaptando los mismos a las necesidades de estas o de los departamentos específicos que forman parte de ellas.

En la actualidad, las empresas que deciden implantar un Sistema de Gestión de la Seguridad de la Información (SGSI), logran tras dicho proceso, lo siguiente:

  1. Reducir los posibles riesgos que tenían al tratar la información que poseen
  2. Reducir los costes derivados de los riesgos detectados
  3. Asegurar la rentabilidad de las inversiones realizadas en materia de seguridad
  4. Mejorar su posicionamiento
  5. Aumentar su credibilidad en el mercado
  6. Diferenciarse de la competencia
  7. Etc.

Por último queremos dejar constancia de que un SGSI es totalmente integrable con Sistemas de Gestión que ya estén implantados en las empresas que apuestan por esta herramienta, como lo son los Sistemas de Gestión de la Calidad (ISO 9001), Sistemas de Gestión Medioambiental (ISO 14001), etc.

¿Quieres apostar por los SGSI? ¿Necesitas información y no conoces una empresa experta en este tipo de Sistema de Gestión? Integra, es lo que buscabas, contacta con nuestros consultores y te asesoraran tras detectar tus necesidades.

Imagen|Ronnieb

Fases que componen la implantación de un Sistema de Gestión de la Seguridad de la Información

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

Para poder garantizar la correcta implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), la base es definir la estrategia a seguir por toda la organización para garantizar la seguridad de la información y posteriormente delimitar e identificar la información de carácter protegido que será el objeto del SGSI.

¿Pero como garantizamos desde Integra, que el SGSI que vamos a implantar en su organización se adapta a sus necesidades?

  1. Analizando los riesgos que determinan las amenazas y vulnerabilidad de la información que gestiona la empresa
  2. Seleccionando los controles y detallando los objetivos que quieren cumplir en materia de seguridad
  3. Definiendo las medidas correctoras más adecuadas para la empresa, basadas en los riesgos detectados que se deben minimizar.

 

¿Qué ventajas obtiene tras la implantación de un SGSI?

– Poder certificarse conforme la norma ISO 27001 de Sistemas de Gestión de la Seguridad de la Información, diferenciándose de la competencia.

Cumplir con la legislación vigente

– Mejora de los procesos y procedimientos existentes relacionados con la gestión de la información

Garantizarle a los clientes, proveedores, trabajadores…que la información proporcionada se gestiona de forma segura

Nuestros expertos, están esperando para poder subsanar sus dudas. No lo dude el equipo técnico de Integra, dará cumplimiento a sus expectativas y garantizara la seguridad de la información que gestionan en su empresa.

Imagen|Cohdra

La norma UNE 178301 Open Data

Posted on por
Responder
Comparte: Facebooktwittergoogle_pluslinkedin

La Asociación Española de Normalización y Certificación (AENOR) publico la primera norma para ciudades inteligentes, la norma UNE 178301 Open Data (Datos Abiertos).

La UNE 178301 define los requisitos para reutilizar los datos elaborados o custodiados por el sector publico ya que estos son mecanismos de transparencia si son accesibles a todos y provocan la mejora de las operaciones realizadas entre las Administraciones Publicas y las entidades que colaboran con estas, logrando potenciar la rapidez de estas operaciones, el acceso a la información y la inteligencia de las ciudades.

Open DataLa UNE 178301 tiene como objetivo el facilitar la reutilización de los datos abiertos a los interesados asegurando el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) y es la herramienta que permite a la Administración implantar y gestionar proyectos que cuenten con datos abiertos y analizar la idoneidad del proyecto de datos abiertos de la ciudad inteligente mediante la definición de indicadores y métricas relacionados con la sostenibilidad, la calidad, la eficacia y la eficiencia del proyecto.

¿Le gustaría conocer los requisitos definidos en la norma UNE 178301 Open Data? A que espera, contacte con Integra.

Imagen|FidlenJan