¿QUÉ EMPRESAS DEBEN CUMPLIR LA NUEVA LOPD-GDD Y CÓMO?

Comparte: Facebooktwittergoogle_pluslinkedin

Todas aquellas entidades públicas y privadas que traten datos personales en el desarrollo de su actividad, están obligadas a cumplir con la Ley Orgánica 3/2018 de protección de datos y Garantía de los Derechos Digitales (LOPD-GDD) 

Y ¿qué entendemos por dato personal?

Cualquier información relativa a una persona física identificada o identificable, por lo que, además de nombres, apellidos, domicilio, DNI, correo electrónico …se considera dato personal aquel que permite identificar a una persona concreta, como puede ser su imagen, su voz, su información biométrica, o incluso una dirección.

Por tanto, una empresa que trate, en el ejercicio de su actividad, datos de proveedores, de clientes, de empleados, información sobre contactos de la web… debe cumplir con la LOPD-GDD. Y para el cumplimiento de la Ley, se le va a exigir que tenga una actitud de responsabilidad proactiva y por tanto, entre otras cosas, se le exigirá que previamente a cualquier tratamiento de datos personales realice un análisis de riesgo que le permita tomar las medidas adecuadas para garantizar la seguridad y su mitigación en la medida de lo posible.

¿Qué debe hacer una empresa para cumplir con la nueva LOPD y el RGPD?

Una empresa privada que en el ejercicio de su actividad diaria realiza el tratamiento de datos personales deberá dar los siguientes pasos para cumplir con la nueva LOPD y con el Reglamento europeo (RGPD):

  • Crear un registro de actividades de tratamiento

Es un documento interno en el que se especifican los tratamientos de datos personales que se realizan en la empresa, analizando previamente sus riesgos y estableciendo las medidas de seguridad que se aplican a cada tratamiento. No están obligadas a realizarlo aquellas empresas a las que les sea de aplicación la excepción del apartado 5 del artículo 30 del Reglamento (UE) 2016/679, pero sí es recomendable que cualquier empresa disponga de este documento.

El Registro de actividades de tratamiento debe incluir la siguiente información: el nombre del Responsable de tratamiento, la finalidad de tratamiento, la categoría de interesados, categoría de los datos, destinatarios a los que se les pueden comunicar los datos, si se realizan transferencias a otros países, los plazos de supresión de los datos y cuando sea posible, la descripción general de las medidas de seguridad.

  • Establecer un protocolo o procedimiento para el ejercicio de los derechos del interesado

Se establecerá el procedimiento a seguir para que las personas interesadas puedan solicitar el ejercicio de sus derechos de acceso, rectificación, oposición, supresión, limitación de tratamiento o portabilidad, sobre su información personal. Además debe especificar los pasos a seguir por el Responsable de tratamiento para dar respuesta de una manera eficaz.

  • eSTABLECER UN PROTOCOLO O PROCEDIMIENTO DE NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

Dicho procedimiento especificará los pasos a seguir en el caso de que una empresa detecte una brecha de seguridad que puede poner en riesgo la confidencialidad y/o integridad de los datos de carácter personal que trata. Se debe disponer de formatos que permitan, llegado el caso, notificar las brechas de seguridad a la Agencia Española de Protección de datos y a los propios afectados.

digital composite of laptop with hacking graphic

  • Firmar contratos de Confidencialidad con trabajadores y colaboradores

La empresa informará a sus trabajadores y colaboradores que tengan acceso a datos de carácter personal de su obligación de mantener la confidencialidad y de su responsabilidad en caso de realizar tratamiento de los mismos.

  • Firmar contratos de encargo de tratamiento a terceros

La organización debe firmar un contrato de encargo de tratamiento con aquellas empresas subcontratadas o autónomos con los que comparta información de carácter personal de la que él es Responsable, y que ellos podrán tratar.  En dicho contrato deben incluirse los límites de tratamiento y los deberes y obligaciones del Encargado de tratamiento respecto a los datos y  es importante además, exigir garantías.

  • Incluir cláusulas de consentimiento informado

Tanto la LOPD- GDD como el RGPD, exigen que previamente al tratamiento de datos personales de un interesado exista un consentimiento informado explícito por parte del mismo. Por tanto, se deben incluir cláusulas informativas en todos los lugares en los que se solicite información personal y especificar en todo momento la finalidad de tratamiento, especialmente en aquellos casos en los que el tratamiento de la información recogida no esté legitimado por una base legal.

  • Adaptar la página web de la empresa a las nuevas normativas

La web debe incluir algunos textos como la Política de privacidad, el aviso legal, la política de cookies y las cláusulas de consentimiento informado mencionados anteriormente en los formularios de recogida de datos.

Integra, puede asesorar a su empresa para que la adaptación a la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales sea lo más fácil posible.

Foto: creativeart

¿Cómo garantizar la seguridad de la información en tu empresa?

Comparte: Facebooktwittergoogle_pluslinkedin

Con los avances de las nuevas tecnologías y el aumento del uso y dependencias a las mismas, se están detectando y dando un incremento de la  vulnerabilidad de la información gestionada por cualquier empresa. Por este motivo es primordial adoptar medidas encaminadas a preservar la integridad, disponibilidad y confidencialidad de la información que manejamos.

¿Qué medidas garantizan la no vulnerabilidad de la información en tu empresa?

Las medidas que existen en la actualidad para garantizar la no vulnerabilidad de la información gestionada por cualquier empresa son:

– Adecuación al nuevo Reglamento General de Protección de datos, que es de obligado cumplimiento.

– Implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI)

¿Qué es un Sistemas de Gestión de la Seguridad de la Información?

El SGSI es una herramienta que se implanta en las empresas para garantizar la confidencialidad, disponibilidad e integridad de la información que gestiona y se basa en la Política de la Organización, en su estructura organizativa, en los procedimientos y procesos que desarrollan y en la aportación de los recursos necesarios para garantizar la consecución de la meta: GESTIONAR CORRECTAMENTE LA INFORMACIÓN DE LA QUE DISPONE CUALQUIER ORGANIZACIÓN.

 

Contacte con nosotros, si necesita ampliar información

 

¿Qué cambios trae el nuevo Reglamento Europeo de Protección de Datos (RGPD)?

Comparte: Facebooktwittergoogle_pluslinkedin

A partir del 25 de mayo será de aplicación el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD)

Esto significa que la Ley Orgánica 15/1999 de Protección de Datos (LOPD) deja de estar vigente y habrá que esperar a que se apruebe la que será nueva Ley Orgánica de Protección de Datos 2018, actualmente en fase de proyecto.

Los cambios acaecidos en la sociedad a nivel global, con internet, las redes sociales, comercio online, Big data… han hecho necesaria una regulación, puesto que muchos de los cambios han afectado directamente a los derechos y libertades de las personas, haciendo que los datos personales se conviertan en un valor más de negocio y sin ofrecer garantía alguna sobre la confidencialidad ni sobre el correcto uso de estos.

El RGPD viene a reforzar los derechos de las personas físicas a través de:

  • mayor claridad e información cuando se recopilen datos,
  • pone fin de los consentimientos tácitos,
  • establece el derecho al olvido,
  • establece el derecho a la portabilidad de datos,
  • etc.

En cuanto al proceso de adaptación, éste va a depender del tipo de empresa y de los tipos de datos con los que trabaje (datos de riesgo, sensibles, financieros…).

Y a grandes rasgos ¿qué le va a exigir el RGPD a tu empresa?

  • Que la prevención sea el aspecto esencial,  puesto que ya no va a bastar con actuar cuando se haya producido una infracción sino que hay que evitar que ocurra.
  • Que tenga una Responsabilidad activa, es decir, que deberá poder demostrar y garantizar que se cumple con lo que establece el Reglamento.
  • Que establezca medidas basadas en los resultados del análisis del riesgo, actúen sobre aquellas actividades de tratamiento de datos que supongan un mayor riesgo para los derechos y libertades de las personas.

 

Imagen: Teravitia

Fases que componen la implantación de un Sistema de Gestión de la Seguridad de la Información

Comparte: Facebooktwittergoogle_pluslinkedin

Para poder garantizar la correcta implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), la base es definir la estrategia a seguir por toda la organización para garantizar la seguridad de la información y posteriormente delimitar e identificar la información de carácter protegido que será el objeto del SGSI.

¿Pero como garantizamos desde Integra, que el SGSI que vamos a implantar en su organización se adapta a sus necesidades?

  1. Analizando los riesgos que determinan las amenazas y vulnerabilidad de la información que gestiona la empresa
  2. Seleccionando los controles y detallando los objetivos que quieren cumplir en materia de seguridad
  3. Definiendo las medidas correctoras más adecuadas para la empresa, basadas en los riesgos detectados que se deben minimizar.

 

¿Qué ventajas obtiene tras la implantación de un SGSI?

– Poder certificarse conforme la norma ISO 27001 de Sistemas de Gestión de la Seguridad de la Información, diferenciándose de la competencia.

Cumplir con la legislación vigente

– Mejora de los procesos y procedimientos existentes relacionados con la gestión de la información

Garantizarle a los clientes, proveedores, trabajadores…que la información proporcionada se gestiona de forma segura

Nuestros expertos, están esperando para poder subsanar sus dudas. No lo dude el equipo técnico de Integra, dará cumplimiento a sus expectativas y garantizara la seguridad de la información que gestionan en su empresa.

Imagen|Cohdra