LA COMUNICACIÓN DE LAS BRECHAS DE SEGURIDAD EN EL RGPD

Comparte: Facebooktwittergoogle_pluslinkedin

El Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) las brechas e incidentes de seguridad que puedan afectar a los datos personales.

Cualquier organización que trate datos personales se encuentra expuesta a sufrir brechas de seguridad que pueden repercutir o no en la privacidad de los interesados. El RGPD define las violaciones de seguridad como aquellas “que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptible en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales”.

Cuando se produzca una violación de la seguridad de los datos que pueda suponer un riesgo para los derechos y libertades de los afectados (robo de la información, acceso no autorizado a la información, publicación de información en internet de datos personales, etc), el Responsable del tratamiento tendrá la obligación de notificarla en el plazo de 72 horas a la Autoridad de Control (Agencia Española de Protección de Datos).  La notificación incluirá toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales y se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es.

La notificación de la quiebra de seguridad deberá incluir como mínimo la siguiente información:

  • Tipo de incidencia
  • Fecha y hora en que se produjo o se detecta
  • Persona que realiza la notificación
  • Persona a quien se comunica
  • Efectos que puede producir la incidencia
  • Descripción detallada de la misma
  • Medidas correctoras aplicadas

En los casos en los que la violación de seguridad entrañe un alto riesgo para los interesados, además de la comunicación a la Autoridad de Control, se deberá comunicar dicha quiebra en la seguridad a los interesados con el objetivo que los mismos puedan tomar medidas oportunas para protegerse de las posibles consecuencias.

En el caso que no se pueda identificar a todos los afectados, la comunicación se podrá realizar mediante la publicación de un anuncio en los medios de comunicación.

Foto: onlyyouqj

LA ADAPTACIÓN AL RGPD PUEDE TENER PREMIO

Comparte: Facebooktwittergoogle_pluslinkedin

La Agencia Española de Protección de Datos (AEPD) ha convocado una nueva edición de los ‘Premios Protección de Datos Personales 2018’. En esta ocasión se incluye nuevas categorías como:

  • Categoría de Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento
  • Comunicación,
  • Buenas Prácticas Educativas para el uso seguro de internet por los menores
  • Investigación Emilio Aced.

Con estas categorías, la AEPD pretende reconocer el trabajo realizado en distintos ámbitos de nuestra sociedad para proteger el derecho de los individuos a que sus datos personales estén seguros. Concretamente quiere valorar el esfuerzo llevado a cabo en el ámbito educativo, empresarial, científico, en los medios de comunicación y/o en las administraciones públicas.

Las empresas del sector privado pueden presentarse al Premio a las Buenas prácticas sobre iniciativas para adaptarse al Reglamento, en el que se valorarán principalmente aquellas iniciativas en las que la adaptación al RGPD haya presentado una mayor dificultad,  por tratarse de empresas que realizan tratamientos de datos de alto riesgo.  El plazo para la presentación de candidaturas finalizará el 30 de noviembre.

La AEPD quiere reconocer el esfuerzo de las empresas porque la adaptación al Reglamento les ha supuesto incorporar en el día a día de su actividad las medidas de seguridad necesarias para proteger los datos de carácter personal, siendo por tanto, la protección de datos un aspecto más que se asume la empresa dentro de su filosofía y política. El Reglamento además obliga a que la empresa implante medidas de evaluación y seguimiento continuas que permitan acreditar el cumplimiento de este, lo que les supone grandes esfuerzos de adaptación.

Si su empresa aún no se ha adaptado al RGPD o no sabe cómo demostrar que cumple con la responsabilidad proactiva que se le exige, llámenos.

Foto: rawpixel.com

ANÁLISIS DE RIESGOS Y EVALUACIÓN DE IMPACTO EN EL REGLAMENTO DE PROTECCIÓN DE DATOS

Comparte: Facebooktwittergoogle_pluslinkedin

Hoy en día, es fundamental para la buena marcha de una empresa que su gestión se apoye en una identificación y evaluación de riesgos que le permita poner en marcha las medidas necesarias para prevenirlos y evitarlos. De hecho, son ya varias las normativas de sistemas de gestión que están incluyendo este enfoque en su estructura, como es el caso de las últimas versiones de las normas ISO 9001, ISO 14001, ISO 45001, ISO 22000…y muchas otras.

Pues bien, la protección de datos no podía ser menos, y el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD) exige a los Responsables de tratamiento de los datos que adopten las medidas necesarias de seguridad basándose en los posibles riesgos que detecten. Concretamente, establece lo siguiente:

Artículo 25.1 del RGPD: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

Artículo 32.2 del RGPD: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

En efecto, el RGPD establece la necesidad de que cualquier empresa u organización adopte las medidas de seguridad teniendo en cuenta los riesgos. En cambio, la Evaluación de impacto no se requiere siempre, sino que cada organización debe valorar si es necesaria o no en función de cada actividad de tratamiento que lleve a cabo.  Será fundamental el análisis de riesgo previo para poder determinar si existe algún tratamiento con nivel de riesgo alto para los derechos de las personas físicas que nos obligue a realizar la evaluación de impacto, pero además el RGPD nos da pistas, y en el artículo 35.3 describe varios casos en los cuales se ha considerado que un tratamiento puede derivar en riesgos elevados y son aquello en los que exista:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado como la elaboración de perfiles y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos personales, o datos sobre condenas e infracciones penales o medidas de seguridad conexas.
  • Observación sistemática a gran escala de una zona de acceso público

La Agencia Española de Protección de Datos (AEPD) ha publicado varias guías que abordan tanto el Análisis de Riesgos como la Evaluación de impacto.

Si tiene dudas y necesita más información en relación con el Reglamento General de Protección de Datos (RGPD) contacte con nosotros.

Foto: d3images

¿Cómo garantizar la seguridad de la información en tu empresa?

Comparte: Facebooktwittergoogle_pluslinkedin

Con los avances de las nuevas tecnologías y el aumento del uso y dependencias a las mismas, se están detectando y dando un incremento de la  vulnerabilidad de la información gestionada por cualquier empresa. Por este motivo es primordial adoptar medidas encaminadas a preservar la integridad, disponibilidad y confidencialidad de la información que manejamos.

¿Qué medidas garantizan la no vulnerabilidad de la información en tu empresa?

Las medidas que existen en la actualidad para garantizar la no vulnerabilidad de la información gestionada por cualquier empresa son:

– Adecuación al nuevo Reglamento General de Protección de datos, que es de obligado cumplimiento.

– Implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI)

¿Qué es un Sistemas de Gestión de la Seguridad de la Información?

El SGSI es una herramienta que se implanta en las empresas para garantizar la confidencialidad, disponibilidad e integridad de la información que gestiona y se basa en la Política de la Organización, en su estructura organizativa, en los procedimientos y procesos que desarrollan y en la aportación de los recursos necesarios para garantizar la consecución de la meta: GESTIONAR CORRECTAMENTE LA INFORMACIÓN DE LA QUE DISPONE CUALQUIER ORGANIZACIÓN.

 

Contacte con nosotros, si necesita ampliar información

 

¿TU COMUNIDAD DE PROPIETARIOS CUMPLE CON EL RGPD?

Comparte: Facebooktwittergoogle_pluslinkedin

Como ya hemos ido comentando en varias entradas, el Reglamento General de Protección de Datos (RGPD) ha introducido numerosas novedades sobre el tratamiento de los datos personales.

Uno de los principales cambios que introduce es que las relaciones entre el responsable y el encargado de tratamiento deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

En el caso concreto de las Comunidades de propietarios, éstas serán las que actúen como responsable de tratamiento y, si existe la figura de administrador de fincas, éste será el encargado de tratamiento. Deberá existir un contrato de encargo de tratamiento entre ellos que incluirá, según la AEPD (Agencia Española de Protección de Datos), los siguientes aspectos:

  • Objeto, duración, naturaleza y la finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados…

Además, la comunidad de propietarios, como Responsable del tratamiento, debe garantizar que se cumple con el deber de secreto, confidencialidad, veracidad y seguridad de los datos, y asegurándose de que sean tratados para la finalidad para la que fueron recogidos.

Y, ¿cuáles son los tratamientos más comunes que debe realizar una comunidad de propietarios?

  • Tratamiento de los datos relativos a los propietarios en relación con la gestión de la propia comunidad. En este caso la legitimación para el tratamiento de los mismos no se derivará del consentimiento previo, sino que atenderá al cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal).
  • Si tienen contratado personal para la realización de trabajos, como puede ser el de portería, el tratamiento de los datos tampoco va a necesitar el consentimiento, sino la ejecución de un contrato.
  • Si disponen de cámaras de videovigilancia, deberá existir acuerdo de la junta de propietarios, siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal. Y además se deberá cumplir con el deber de información.

En resumen, es importante que tanto las Comunidades de Propietarios como los Administradores de Fincas se pongan al día en materia de protección de datos.

Si necesitas más información llámanos.

FOTO: freepik

¿POR QUÉ TODAS LAS EMPRESAS ESTÁN PIDIENDO AUTORIZACIÓN PARA PODER TRATAR DATOS DE CARÁCTER PERSONAL?

Comparte: Facebooktwittergoogle_pluslinkedin

La antigua Ley Orgánica de Protección de datos (LOPD) , que dejó de estar en vigor el pasado 25 de mayo, permitía el consentimiento tácito para el tratamiento de datos, es decir, que si una empresa recibía datos por parte de un cliente, se daba por hecho que ésta podía hacer usos de ellos.

Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) adquiere gran relevancia el hecho de obtener el consentimiento por parte del interesado para el tratamiento de sus datos personales, dejando de admitirse el consentimiento tácito o sobreentendido.

En el artículo 4.11 del RGPD se define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Así, de acuerdo con el principio de Responsabilidad Proactiva y al añadir el adjetivo inequívoco, se está obligando a las empresas a disponer de una prueba que demuestre que dispone del consentimiento por parte del interesado para tratar sus datos.

Y ha sido este artículo 4.11, el que ha motivado el bombardeo, vía mail principalmente, que todos estamos recibiendo por parte de distintas empresas, que pretenden conseguir nuestro consentimiento de una manera inequívoca.

Pero, ¿siempre debe obtenerse dicho consentimiento inequívoco?

El RGPD establece en el artículo 6, que el tratamiento sólo será lícito si se cumple al menos una de las condiciones siguientes:

  • el interesado dio su consentimiento
  • el tratamiento es necesario para la ejecución de un contratoen el que el interesado es parte
  • el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  • el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
  • el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Por tanto, el RGPD también define supuestos en los que el tratamiento será lícito sin necesidad de disponer del consentimiento inequívoco, siendo quizá, el más relevante para las pequeñas y medianas empresas, aquel que indica que será lícito el tratamiento que sea necesario para la ejecución de un contrato en el que el interesado sea parte.

Imagen: el Taller del Bit

¿CONOCES LA HOJA DE RUTA PARA ADAPTARSE AL RGPD?

Comparte: Facebooktwittergoogle_pluslinkedin

Como se viene anunciando desde hace un tiempo, a partir del 25 de mayo será de aplicación el nuevo Reglamento General de Protección de Datos (RGPD) y esto significa que la Ley Orgánica 15/1999 de Protección de Datos (LOPD) dejará de estar vigente y que tanto las Administraciones públicas como el sector privado tendrán que tomar las medidas necesarias para cumplir con los requisitos que marca dicho Reglamento en materia de seguridad.

Pues bien, la Agencia Española de Protección de Datos (AEPD), ha ido desarrollando distintas guías y herramientas para facilitar el cumplimiento del nuevo Reglamento, y entre ellas ha publicado una hoja de ruta sencilla con las indicaciones imprescindibles para el sector privado, y es la siguiente:

 

Como se puede observar, en ella se recogen los pasos que en principio se deben seguir para la adaptación, pero variarán en función de las características de cada empresa y de la categoría de los datos que manejen.  La AEPD ha incluido también en la hoja de ruta los enlaces a las herramientas que ha diseñado por si alguien necesita ampliar información.

¿QUÉ ES EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO Y QUÉ DEBE CONTENER?

Comparte: Facebooktwittergoogle_pluslinkedin

El Reglamento Europeo de Protección de datos  entiende por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Pues bien, el RGPD en su artículo 30, establece que “Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Y esto quiere decir que las empresas deberán controlar de una manera proactiva los registros donde se especifiquen los datos que tratan y cómo los tratan, puesto que ya se ha eliminado la obligatoriedad de registrar los ficheros en la Agencia Española de Protección de Datos.

En este mismo artículo, se establece también qué información deberá contener dicho registro:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

  1. a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  2. b) los fines del tratamiento;
  3. c) una descripción de las categorías de interesados y de las categorías de datos personales;
  4. d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  6. f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  7. g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

La Agencia Española de Protección de Datos (AEPD) ha publicado una “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” en la que indica que,  partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, puede ser una buena opción para organizar el registro de actividades de tratamiento.

¿Y Es obligatorio?

En principio, están exentas de llevar un Registro de Actividades de Tratamientos las empresas   que tenga menos de 250 empleados, salvo que el tratamiento que realicen de los datos pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

A pesar de esto, y dado la importancia que el RGPD otorga a la responsabilidad proactiva de la empresa, puede ser recomendable realizar dicho registro, aunque no sea obligatorio.

 

Foto: JUNGLEDRUMS Magazine