RGPD 2019 Cumplimiento normativo

Cumplimiento RGPD 2019 Listado del cumplimiento normativa

Según el Considerando 74 citado por la Agencia Española de Protección de Datos (AEPD) dentro de las publicaciones en las Guías de Análisis de Riesgos y Evaluaciones de Impacto establece que “… el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el RGPD, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas”.

Este material, que constituye una herramienta de ayuda al cumplimiento de todo lo explicado a continuación que a su vez, complementa las guías citadas en el párrafo anterior.

Dicho esto deducimos la importancia de identificar amenazas y riesgos a los que se expone el tratamiento de datos personales, por lo que se considera fundamental disponer de una descripción detalla del mismo, su contexto y los elementos más relevantes.

La AEPD (Agencia Española de Protección de Datos) ha lanzado esta noticia en la que se publicaba el Listado de cumplimiento normativo, para que las organizaciones puedan verificar que se están teniendo en cuenta los requisitos mínimos establecidos por el nuevo Reglamento General de Protección de Datos.

Este listado que será presentado para su correcta aplicación el 25 de mayo, básicamente es un método para obtener una mayor visión del grado de adecuación de un tratamiento de datos personales al RGPD (Reglamento General sobre la Protección de Datos), útil tanto para los procesos de análisis de riesgo como en las evaluaciones de impacto. Dentro de este se muestra lo necesario para analizar que los tratamientos de datos están realizándose de forma correcta. Dentro del documento se encuentran 29 bloques divididos como el registro de actividades de los ciudadanos, transparencia que debe facilitarse, medidas de seguridad, …

Según el Reglamento quien trate con datos debe de cumplir unas medidas mínimas a cumplir (además de demostrar que los cumplen) con los nuevos principios y derechos recogidos en la normativa. Otra de las cosas recogidas es que los procesos de análisis de riesgos han de ser realizados conscientes, de forma objetiva y verificable por los responsables.

Para entidades que tratan datos de escaso riesgo, la Agencia ha puesto a disposición de todos Facilita_RGPD, un cuestionario online gratuito con el que empresas y profesionales pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento.

Para una mayor información sobre el nuevo Listado de Cumplimiento del RGPD échale un vistazo al PDF oficial.

¿Sabes que la protección de datos personales es un factor para la mejora de la competitividad de las empresas?

La privacidad se ha convertido en una prioridad para todas las empresas. Por ello, es importante que las organizaciones de todo tipo, ya sean grandes corporaciones o pymes, examinen su situación en cuanto a la protección de datos personales, pues están en juego factores como la confianza de los clientes o la competitividad.

Cabe recordar que los datos de los clientes son la empresa, es decir con el filtrado, perdida,…de estos datos no hay empresa.

¿Tengo que cumplir?

Las asociaciones, empresas, sociedades, comunidades y autónomos, a los que se le aplica el RGPD son los:

establecidos en la Unión Europea independientemente de si se hace o no el tratamiento dentro de la UE.
que ofrecen servicios o bienes a personas que habitan dentro de las UE.
que monitorizan el comportamiento de estos habitantes de la Unión Europea.

¿Qué pasa si no cumplo?

Todo habitante de la UE tiene derecho a presentar una queja o reclamación de forma individual o colectiva si estima que sus datos personales vulneran el RGPD. Poseen el derecho a una indemnización por los daños y prejuicios sufridos por la violación del RGPD.

¿Cómo cumplo?

Antes de nada debes garantizar el poder cumplir los derechos y libertades de las personas sobre los que vamos a guardar sus datos personales.

Identificar si tratas con datos de alto riesgo, especialmente protegidos o a gran escala.
- Garantizar los derechos de las personas respecto a sus datos de carácter personal:
  - - - Informándoles de una forma clara, sencilla y transparente.
        
        Obtener de ellos el consentimiento inequívoco o expreso según el nivel de tratamiento de datos.*Ya no es válido el consentimiento tácito basado en inacción u omisión*
    - - Permitir que puedan ejercitar sus derechos de forma sencilla en los plazos previstos.
        Si no sabes cuales son sus derechos con el nuevo reglamento, aquí tienes más información.
      - Notificarles en caso de una intrusión de seguridad que pudiese afectar a sus datos.
- Realizar una evaluación de riesgos para establecer una organización y unas medidas preventivas para garantizar el nivel de seguridad de acuerdo con el nivel de riesgo. Si finalmente se trata con datos de alto riesgo, deberás hacer una Evaluación de impacto en la privacidad.
- Revisar los contratos con los encargados de tratamiento de información en el caso de contratar servicios externos que se encarguen de los datos personales.
- Establece un proceso de verificación, valoración y evaluación de la eficacia de estas medidas que apliques.

Como ya hemos hablado en el artículo de más arriba si tus datos son de bajo riesgo, podrás utilizar la herramienta Facilita de la AEPD.

Evaluación de riesgos de privacidad

Para comenzar con este análisis debemos de :

Catalogar todos los agentes responsables además de las operaciones que se hacen con esos datos durante su ciclo de vida:

“Captura –> Clasificación –> Uso –> Transferencia –> Destrucción”

Ser exhaustivos con los datos que se recogen: ¿ Dónde se almacenan?, ¿siguen los principios del tratamiento del RGPD?..
Contar con un diagrama de flujo de datos del tratamiento, desde que se recogen o se utilizan o desechan con las transformaciones intermedias.
Analizar los agentes involucrados en el tratamiento de datos y las malas acciones sobre los datos, como aquellas que puedan tener una consecuencia adversa sobre la privacidad.

Organización

Una vez realizada la evaluación de riesgos conoceremos mejor el proceso y cómo proteger la privacidad durante el mismo.

Si se da el caso de tener un tratamiento de datos de alto riesgo, deberás tener en cuenta que:

Tener un Registro de actividad del tratamiento de los datos.
Nombrar un Delegado de Protección de datos.
Realizar un Análisis de impacto del tratamiento.

En cualquier caso, para todo tipo de tratamientos de datos, deberás:

Adecuar todo tipo de procedimientos y canales para informar, permitir el ejercicio de los derechos y llevar a cabo una notificación en caso de surgir una brecha de seguridad que afecte a la privacidad de los datos.
Revisar el contrato de los responsables del tratamiento de datos, en el caso de tenerlos.
Crear una serie de políticas para garantizar la de seguridad de los datos a tratar.
Se recomienda (al menos una vez al mes) emplear un tiempo de formación y conciencia para todos los empleados que mantengan un contacto con estos datos.
Puedes utilizar estos recursos de formación y el kit de concienciación.

Todas estas medidas citadas anteriormente deben garantizar la seguridad en los datos personales, ya sea en nuestras propias intraestructuras (local), en una empresa externa o en la nube.

Tecnología

La evaluación de los riesgos servirá para dar preferencia a las medidas tecnológicas a implantar. Se debe tener en cuenta y revisar los canales tecnológicos como el online (políticas de privacidad web, cookies, apps para moviles) que se encuentren adecuados.

Pero después de todas estas preguntas y términos seguimos sin saber las brechas de seguridad en el Cumplimiento RGPD 2019, es por eso que hemos sacado un pequeño extracto de la página publicada recientemente, donde hacen especial hincapié en esto último.

LO MÁS DESTACADO EN RGDP

La RGPD, antes la LOPD no era cumplida por la mayoría de las empresas y ahora se intensifica. Cuál es el objetivo de la norma con relación al tráfico de información actual por Internet:

Poner freno al tráfico de datos
Informar de qué se va a hacer con tus datos. Evitar hacer de todo
Ya no hay ficheros, hay que ser consciente de los datos que se tienen y aplicar las medidas necesarias por parte del empresario. El reglamento da potestad a la empresa para auto evaluarse.

Ahora hay Inteligencia Artificial, Big Data… La RGPD va mucho más lejos:

El teléfono en el bolsillo está contínuamente conectándose a redes. Las redes detectan la MAC de un móvil que va paseando por la calle, la acera, etc. Como lo tienes identificado, puedes saber la velocidad, la ruta, a dónde vas…

Normalmente se puede hacer por uno mismo en autónomos, pequeñas empresas y medianas (a menos que tratemos datos de política, tendencias sexuales, etc.)

Se hace un análisis de riesgo y pensamos por empezar por lo más básico e imprescindible en todas las empresas:

Es necesario el https
Es necesario el cifrado de archivos
Es necesario un antivirus
Externalizar copias de seguridad en lugares que cumplan la norma.
Evitar el robo o fuga de datos
En las entradas de formulario quien soy, porque me entregas los datos, finalidad, tiempo, etc.

Y ahora implantamos las medidas y ponemos la frase (“finalidad, posibilidad de se denunciado, cuánto tiempo tenerlo”) El texto lo encontramos de ejemplo en AEPD.

¿Ejemplo de datos personal? Si soy una empresa, qué se considera dato personal.

Nombre = carácter personal (El señor daniel ha llamado)
Tipo de hoja de árbol = no es personal
Nombre de contacto para una empresa (con la antigua LOPD no había que cumplirla; ahora hay que cumplirla porque los datos de contacto de empresas, listados de periodistas, colaboradores, etc si se consideran datos personales). Se pueden hacer dos cosas: primero, por el artículo legítimo puedo coger el dato para contratar su servicio, no es para mandar publicidad. Para los clientes, primero decirle cuál es la finalidad y luego enviarlo. Un ejemplo es dar la tarjeta de visita y meterlo en la base de datos. En ese caso, el dar la tarjeta es un dato legítimo. En el caso de un boletín de noticias, para conseguir el correo donde enviar la publicidad, hay que informarde quién recibe los datos del gestor del boletín de noticias. Si este boletín fuera de un particular, en vez de una empresa o autónomo, no debería cumplir, pero si está destinado a un tipo de contenido profesional, en función de su tipo de seguidores o de la cantidad de ellos, debería cumplirlo.

Si el consentimiento se ha conseguido de forma tácita (no se ha opuesto en 30 días) debe consentirse de nuevo.

En la RGPD hay artículos y considerandos, por ejemplo el 171 que dice que si la forma de consentirlo en la RGPD es la misma ahora que en la LOPD, no hay que volver a pedirlo. Si ya era consentimiento explícito antes, vale para ahora también.

UNA EMPRESA QUE TRABAJA CON DATOS PERSONALES, QUÉ MEDIDAS TIENE QUE CUMPLIR

Fisicas (poner un candado, un firewall, sistemas para que no entren en la empresa)
Organizativas (marketing no podrá ver datos de trabajadores, pero el departamento que hace las nominas, si)
Lógicas (informáticas – antivirus – contraseñas – copias – accesos)
Formación (si se encuentran un pendrive no pueden meterlo en el PC. Hay que documentar que se ha formado al personal y lo tiene que firmar el empresario y las personas formadas. Si es online, debe acreditarse el test con un certificado y firmado físico. Seguridad en los datos y Ciberseguridad.

El documento de seguridad SIGUE existiendo.
El contrato de tratamiento debe firmarse: tengo clientes y necesito enviarle correos. Tú tienes la plataforma de envío. Hay que tener dos contrato uno de prestación y otro de encargado de tratamiento (no vender datos, borrarlos al finalizar) y obligas a implementar las medidas de seguridad que tú tienes que cumplir. Si guardo mis ficheros en dropbox, éste tiene que implantar mis sistemas de seguridad. El modelo está en la AGPD.

¿Se pueden recuperar datos de Redes sociales que deja la gente de fora pública?

Si, se pueden extraer previo consentimiento del usuario. En ciertos casos se puede utilizar el interés legítimo. Tú eres un deudor y necesito tus datos. Pues yo puedo usando el interés legítimo para localizar mis datos y enviarte al cobrador del frac.

PREGUNTAS TÍPICAS SOBRE CUMPLIMIENTO RGPD 2019

TRATAMIENTO CON SENSORES

Te voy a vender micros y otros sensores para que todo funcione. Todo puede recibir datos de carácter personal como el calor corporal, humedad, etc. Esos datos están cubiertos, pero deben estar protegidos. Si no cumplo las medidas de seguridad, alguien puede manipular los datos y se estaría infringuiendo la RGPD.

QUÉ PASA CON LOS DATOS DE LOS CV

¿Cuánto tiempo hay que mantener los CVs desde que los ha recibido para seleccionar al adecuado? Si queremos mantenerlos durante un año, hay que borrarlos del sistema. Son personas que nos han pedido trabajo y no se lo hemos dado, Debemos borrarlo. Si lo queremos para finalidad histórica hay que borra el nombre, dni… es decir, los datos personales.

BORRADO DE DATOS EN COPIAS DE SEGURIDAD

Si yo tengo una base de datos y le hago copias de seguridad junto con otra información de la que almaceno datos. ¿Qué pasa si llega un usuario y quiere que borremos los datos de él y los que tengamos de él en las copias?. Tenemos que aplicar el bloqueo que es que nadie va a tener acceso a ese dato. No se suprime por la imposibilidad técnica porque es casi imposible montar todas las copias, acceder a ese dato y volver a hacer la copia. Es decir, tengo que aplicar un documento para decir que ha pedido el borrado, que no se va a usar y que nunca se use.

COOKIES

El fin es saber qué van a hacer con nuestros datos. Si nos hacen una pregunta por el formulario, el cliente puede seleccionar si quiere sólo que le respondan o bien que le sigan mandando documentación.

La ley de cookies debe informar al usuario sobre qué se va a hacer con su navegación y ahora aceptarlo expresamente.

Si LOPD utilizaba las cookies para creación de contraseñas, uso de perfiles, etc. Ahora, además, debe aceptarlas todas. Ahora el usuario debería seleccionar de forma única por cada una, aunque no está implantado Más adelante, los navegadores podrán bloquear cookies en función de su uso.

ENCRIPTACIÓN Y EVITAR EL DATO ROBADO

Si los datos son robados, no deben ser visualizados fuera de la empresa. Deben estar encriptados. Los programas de encriptación son económicos para equipos básicos y las suites son asequibles para empresas medianas.

Las multas son hasta de 20mm de euros o 4% del negocio global, eligiéndose la más alta. La multa se paga a la AEPD a través de la administración pública.

Si has sufrido una brecha de seguridad, tienes 72 horas para notificar a la AEPD y la agencia te puede derivar a comunicar el hecho a los afectados para decirles que han sido sus datos robados.
Si me han borrado las bases de datos y no puedo enviar el aviso (me han robado o encriptado con un ramsonware la base de datos y no tengo acceso a mis propios datos), me tengo que ir a un medio público y grande, por ejemplo google o fb y comunicarlo. Si son personas mayores, por ejemplo, debería ir al mundo del periódico, que es más accesible a este tipo de público.
Y además, hay que pagar una indemnización a los afectados por la brecha de seguridad.

¿Una floristería debería tener cifrado? si un ciberdelincuente accede a la base de datos y no ve nada útil y se va. Esa entrada del ciberdelincuente no obliga a dar el aviso a la AEPD. Las suites de Sophos o Eset son fáciles y también valen para activarlo en un Pendrive y llevarlo encriptado.

FORMAR A LOS EMPLEADOS

Atención con los empleados que se llevan los datos a casa. La responsabilidad es del empresario y es quien paga la multa. Que un empleado te robe os datos es la propia empresa que ha fallado en su deber de vigilar y formar.

Cuando la empresa haya pagado, hará denuncia en contra del empleado. El empleado no tendrá tando dinero para pagar a la empresa. Hay que mitigar ese riesgo.

CASO DE DETECTIVES O PERITOS

Los agobados tienen autoridad legal para investigar o contratar a un investigador. Se puede buscar en las redes y buscar datos de otros porque está contratado para este fin. Cualquier otra persona con esta capacidad, puede repetir su derecho con el subcontratado mediante un contrato.

Es típico en este tipo de investigación usar las ventanas de incógnito: en google chrome, se puede abrir una ventana de navegación de incógnito que no lleva las cookies de acceso en redes sociales y así voy a dejar lo que se deja que Google muestre al exterior.

DELEGADO DE PROTECCIÓN DE DATOS: DPO / DPD

Qué empresas tienen que tenerlo: Aún no hay norma para inscribir al DPD en la AEPD. Pero en el documento interno, si hay que tenerlo.

¿Quién tiene que tenerlo? Administración pública, empresa que usen muchos datos (elaboración perfiles o envíos y prospección comercial), y aquellas empresas que tengan datos especiales (política, sexual, biométricos) o datos de denuncias o penales. Por ejemplo, una panadería no necesita un DPO.

DATOS EN LA NUBE

Yo tengo que securizar los datos en local. Si lo almaceno en la nube, tiene que estar en un sitio que cumpla y que tenga los servidores en paises aprobados en escudo CEE. Si no, tengo que firmar un contrato de tratamiento para no tenir que pedir autorización a la AEPD.

Exigir a esa empresa las mismas medidas de seguridad que implementa en local, quién tiene acceso donde están los datos.

En el artículo 37 de la RGDP explica cómo elegir el DPO, conocimientos específicos en derechos, práctica en protección de datos; y en el artículo 39, habla de las funciones del delegado de protección de datos, que debe estar alerta pendiente, vigilar entre los departamentos que se cumpla la normativa, formación activa y contínua, evaluación, tratamiento, etc. Habrá dos tipos de DPO: con prácita y con título.

Autónomos: ellos mismo formarse y preguntar a la AEPD que tiene quía gratuítas.
Medias empresas (<50) equipo interno o externo. Lo mejor e xternalizar el servicio
Grandes empresas Generar equipo para protección de datos y mantenimiento informático más el Compliance Digital. Y un respaldo externa para respuesta rápidas a preguntas complejas.

Peritaciones Informáticas

Contratar un Perito Informático

Contratar un Perito Informático: Nuestra Metodología de Trabajo y Servicios Personalizados En GlobátiKa Peritos Informáticos, entendemos que la contratación de servicios de peritaje informático es...

Vídeos de menores en YouTube. Atracción para pedófilos

Un inocente vídeo de un niño bañándose en una piscina en youTube puede convertirse en objetivo de pedófilos en esta red social.

¿Cuánto Cuesta un Perito Informático?

¿Cuánto Cuesta un Perito Informático? Explorando los Factores que Influyen en el Precio La pregunta sobre el costo de contratar un perito informático es una...

¿Qué es una Evidencia Informática?

¿Qué es una Evidencia Informática? La Pieza Clave en el Mundo Jurídico En el mundo jurídico contemporáneo, la evidencia informática ha emergido como una pieza...

Acceso indebido a la red de ordenadores

acceso a red ordenadores perito informatico

Ofrecemos la experta actuación de nuestro equipo de peritos informáticos para auditar su sistema informático ya sea en una empresa o en un hogar,...

¿Cómo denunciar el acoso telefónico?

¿Cómo denunciar acoso telefónico? Globátika Peritos Informáticos

¿Cómo Denunciar el Acoso Telefónico y Proteger tu Privacidad? El acoso telefónico es un problema cada vez más común en la era digital. En este...

Solicita un Perito Informático

Llámenos 900 649 252

Nombre: *

Correo Electrónico:

Teléfono: *

Mensaje: *

He leído y acepto la política de privacidad de GlobátiKa SL

INFORMACIÓN BÁSICA DE PROTECCIÓN DE DATOS: de conformidad con el artículo 13 del RGPD 2016/679 UE y el artículo 11 de la LOPDGDD 3/2018, le informamos: Responsable de Tratamiento: GLOBÁTIKA S.L - NIF: B91883322. Base de Legitimación del tratamiento: el consentimiento (Art. 6.1 a) RGPD). Finalidad del tratamiento: atención solicitud de información a través de formulario web. Plazo de conservación: 1 año desde la toma de contacto. Medidas de seguridad: las tendentes a garantizar la absoluta confidencialidad de los datos personales objeto de tratamiento. Sus derechos en materia de protección de datos personales: Derechos de Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición y a no ser objeto de decisiones Automatizadas (incluidas la elaboración de perfiles) en el Tratamiento de sus Datos Personales que obran en nuestras actividades de tratamiento titularidad del responsable de Tratamiento. También dispone del derecho a retirar su consentimiento en cualquier momento. Para ejercitar los Derechos, deberá remitir correo electrónico a rgpd@peritosinformaticos.es. acreditando debidamente su identidad. Se le informa de la posibilidad de presentar reclamación ante la Agencia Española de Protección de Datos (www.agpd.es) para el supuesto que considere que se han vulnerado sus derechos

Cookie	Tipo	Duración	Descripción
1P_JAR	De Terceros	1 mes	Google utiliza esta cookie para personalizar los anuncios según los intereses personales.
ANID	De Terceros	1 año	Estas cookies tienen una finalidad publicitaria del servicio Google Adwords. Contienen un valor generado aleatoriamente único que permite a la Plataforma para distinguir navegadores y dispositivos. Esta información es utilizada para medir el rendimiento de los anuncios y proporcionar recomendaciones relativas a productos basadas en datos estadísticos.
CONSENT	De Terceros	Permanente	Guarda el consentimiento de aceptación de cookies de Google.
cookielawinfo-checkbox-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies necesarias.
cookielawinfo-checkbox-non-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies no necesarias.
fr	De Terceros	3 meses	Cookie de pixel de Facebook de conversión, publicidad y remarketing
IDE	De Terceros	1 año	Cookie publicitaria que se utiliza para registrar y reportar las acciones del usuario sobre la visualización e interacción en anuncios con el propósito de mejorar la eficacia de estos y presentar los mismos bajo un segmento determinado.
NID	De Terceros	6 meses	Contiene un ID único que Google utiliza para recordar tus preferencias y otra información, como tu idioma preferido (por ejemplo, el español), el número de resultados de búsqueda que quieres que se muestren por página (por ejemplo, 10 o 20) y si quieres que el filtro SafeSearch de Google esté activado o desactivado.
_fbp	De Terceros	3 meses	Utilizada por Facebook para proporcionar una serie de productos publicitarios como pujas en tiempo real de terceros anunciantes.
_ga	De Terceros	2 años	Google Analytics. Se usa para distinguir a los usuarios
_gat	De Terceros	1 minuto	Google Analytics. Se usa para limitar el porcentaje de solicitudes. Si se ha implementado Google Analytics mediante Google Tag Manager, esta cookie se llamará _dc_gtm_.
_gid	De Terceros	24 horas	Google Analytics. Se usa para distinguir a los usuarios.