cumplimiento RGPD peritos-informaticos

Auditoría informática RGPD | RGPD | Auditoría informática empresasProtección de datos | Auditoría informática | Auditoría de buenas praxis | Test de intrusión | Vulnerabilidades informáticas | RGPD 2020 | RGPD Cumplimiento Empresas

perito-titulado-legal-400casos

LO MÁS DESTACADO EN RGDP

La RGPD, antes la LOPD, no era cumplida por la mayoría de las empresas y ahora se intensifica. Cuál es el objetivo de la norma con relación al tráfico de información actual por Internet:

  1. Poner freno al tráfico de datos
  2. Informar de qué se va a hacer con tus datos. Evitar hacer de todo
  3. Ya no hay ficheros, hay que ser consciente de los datos que se tienen y aplicar las medidas necesarias por parte del empresario. El reglamento da potestad a la empresa para auto evaluarse.

PREGUNTAS TÍPICAS SOBRE CUMPLIMIENTO RGPD 

¿SABES QUE LA PROTECCIÓN DE DATOS PERSONALES ES UN FACTOR PARA LA MEJORA DE LA COMPETITIVIDAD DE LAS EMPRESAS?

La privacidad se ha convertido en una prioridad para todas las empresas. Por ello, es importante que las organizaciones de todo tipo, ya sean grandes corporaciones o pymes, examinen su situación en cuanto a la protección de datos personales, pues están en juego factores como la confianza de los clientes o la competitividad.

Cabe recordar que los datos de los clientes son la empresa, es decir con el filtrado, perdida,…de estos datos no hay empresa.

¿TENGO QUE CUMPLIR?

Las asociaciones, empresas, sociedades, comunidades y autónomos, a los que se le aplica el RGPD son los:

  • Establecidos en la Unión Europea independientemente de si se hace o no el tratamiento dentro de la UE.
  • Que ofrecen servicios o bienes a personas que habitan dentro de las UE.
  • Que monitorizan el comportamiento de estos habitantes de la Unión Europea.

¿QUÉ PASA SI NO CUMPLO?

Todo habitante de la UE tiene derecho a presentar una queja o reclamación de forma individual o colectiva si estima que sus datos personales vulneran el RGPD. Poseen el derecho a una indemnización por los daños y prejuicios sufridos por la violación del RGPD.

¿CÓMO CUMPLO?

Antes de nada debes garantizar el poder cumplir los derechos y libertades de las personas sobre los que vamos a guardar sus datos personales.

  • Identificar si tratas con datos de alto riesgo, especialmente protegidos o a gran escala.
  • Garantizar los derechos de las personas respecto a sus datos de carácter personal:Informándoles de una forma clara, sencilla y transparente.
  • Obtener de ellos el consentimiento inequívoco o expreso según el nivel de tratamiento de datos.*Ya no es válido el consentimiento tácito basado en inacción u omisión*
  • Permitir que puedan ejercitar sus derechos de forma sencilla en los plazos previstos.
    Si no sabes cuales son sus derechos con el nuevo reglamento, aquí tienes más información.
  • Notificarles en caso de una intrusión de seguridad que pudiese afectar a sus datos.
  • Realizar una evaluación de riesgos para establecer una organización y unas medidas preventivas para garantizar el nivel de seguridad de acuerdo con el nivel de riesgo. Si finalmente se trata con datos de alto riesgo, deberás hacer una Evaluación de impacto en la privacidad.
  • Revisar los contratos con los encargados de tratamiento de información en el caso de contratar servicios externos que se encarguen de los datos personales.
  • Establece un proceso de verificación, valoración y evaluación de la eficacia de estas medidas que apliques.

Como ya hemos hablado en el artículo de más arriba si tus datos son de bajo riesgo, podrás utilizar la herramienta Facilita de la AEPD.

Evaluación de riesgos de privacidad

Para comenzar con este análisis debemos de :

  • Catalogar todos los agentes responsables además de las operaciones que se hacen con esos datos durante su ciclo de vida:

“Captura –> Clasificación –> Uso –> Transferencia –> Destrucción”

  • Ser exhaustivos con los datos que se recogen: ¿ Dónde se almacenan?, ¿siguen los principios del tratamiento del RGPD?..
  • Contar con un diagrama de flujo de datos del tratamiento, desde que se recogen o se utilizan o desechan con las transformaciones intermedias.
  • Analizar los agentes involucrados en el tratamiento de datos y las malas acciones sobre los datos, como aquellas que puedan tener una consecuencia adversa sobre la privacidad.

ORGANIZACIÓN

Una vez realizada la evaluación de riesgos conoceremos mejor el proceso y cómo proteger la privacidad durante el mismo.

Si se da el caso de tener un tratamiento de datos de alto riesgo, deberás tener en cuenta que:

En cualquier caso, para todo tipo de tratamientos de datos, deberás:

  • Adecuar todo tipo de procedimientos y canales para informar, permitir el ejercicio de los derechos y llevar a cabo una notificación en caso de surgir una brecha de seguridad que afecte a la privacidad de los datos.
  • Revisar el contrato de los responsables del tratamiento de datos, en el caso de tenerlos.
  • Crear una serie de políticas para garantizar la de seguridad de los datos a tratar.
  • Se recomienda (al menos una vez al mes) emplear un tiempo de formación y conciencia para todos los empleados que mantengan un contacto con estos datos.
  • Puedes utilizar estos recursos de formación y el kit de concienciación.

Todas estas medidas citadas anteriormente deben garantizar la seguridad en los datos personales, ya sea en nuestras propias intraestructuras (local), en una empresa externa o en la nube.

TECNOLOGÍA

La evaluación de los riesgos servirá para dar preferencia a las medidas tecnológicas a implantar. Se debe tener en cuenta y revisar los canales tecnológicos como el online (políticas de privacidad web, cookies, apps para moviles) que se encuentren adecuados.

TRATAMIENTO CON SENSORES

Te voy a vender micros y otros sensores para que todo funcione. Todo puede recibir datos de carácter personal como el calor corporal, humedad, etc. Esos datos están cubiertos, pero deben estar protegidos. Si no cumplo las medidas de seguridad, alguien puede manipular los datos y se estaría infringuiendo la RGPD.

QUÉ PASA CON LOS DATOS DE LOS CV

¿Cuánto tiempo hay que mantener los CVs desde que los ha recibido para seleccionar al adecuado? Si queremos mantenerlos durante un año, hay que borrarlos del sistema. Son personas que nos han pedido trabajo y no se lo hemos dado, Debemos borrarlo. Si lo queremos para finalidad histórica hay que borra el nombre, dni… es decir, los datos personales.

BORRADO DE DATOS EN COPIAS DE SEGURIDAD

Si yo tengo una base de datos y le hago copias de seguridad junto con otra información de la que almaceno datos. ¿Qué pasa si llega un usuario y quiere que borremos los datos de él y los que tengamos de él en las copias?. Tenemos que aplicar el bloqueo que es que nadie va a tener acceso a ese dato. No se suprime por la imposibilidad técnica porque es casi imposible montar todas las copias, acceder a ese dato y volver a hacer la copia. Es decir, tengo que aplicar un documento para decir que ha pedido el borrado, que no se va a usar y que nunca se use.

COOKIES

El fin es saber qué van a hacer con nuestros datos. Si nos hacen una pregunta por el formulario, el cliente puede seleccionar si quiere sólo que le respondan o bien que le sigan mandando documentación.

La ley de cookies debe informar al usuario sobre qué se va a hacer con su navegación y ahora aceptarlo expresamente.

Si LOPD utilizaba las cookies para creación de contraseñas, uso de perfiles, etc. Ahora, además, debe aceptarlas todas. Ahora el usuario debería seleccionar de forma única por cada una, aunque no está implantado Más adelante, los navegadores podrán bloquear cookies en función de su uso.

ENCRIPTACIÓN Y EVITAR EL DATO ROBADO

Si los datos son robados, no deben ser visualizados fuera de la empresa. Deben estar encriptados. Los programas de encriptación son económicos para equipos básicos y las suites son asequibles para empresas medianas.

Las multas son hasta de 20mm de euros o 4% del negocio global, eligiéndose la más alta. La multa se paga a la AEPD a través de la administración pública.

  • Si has sufrido una brecha de seguridad, tienes 72 horas para notificar a la AEPD y la agencia te puede derivar a comunicar el hecho a los afectados para decirles que han sido sus datos robados.
  • Si me han borrado las bases de datos y no puedo enviar el aviso (me han robado o encriptado con un ramsonware la base de datos y no tengo acceso a mis propios datos), me tengo que ir a un medio público y grande, por ejemplo google o Facebook y comunicarlo. Si son personas mayores, por ejemplo, debería ir al mundo del periódico, que es más accesible a este tipo de público.
  • Y además, hay que pagar una indemnización a los afectados por la brecha de seguridad.

¿Una floristería debería tener cifrado? si un ciberdelincuente accede a la base de datos y no ve nada útil y se va. Esa entrada del ciberdelincuente no obliga a dar el aviso a la AEPD. Las suites de Sophos o Eset son fáciles y también valen para activarlo en un Pendrive y llevarlo encriptado.

FORMAR A LOS EMPLEADOS

Atención con los empleados que se llevan los datos a casa. La responsabilidad es del empresario y es quien paga la multa. Que un empleado te robe los datos es la propia empresa que ha fallado en su deber de vigilar y formar.

Cuando la empresa haya pagado, hará denuncia en contra del empleado. El empleado no tendrá tanto dinero para pagar a la empresa. Hay que mitigar ese riesgo.

CASO DE DETECTIVES O PERITOS

Los abogados tienen autoridad legal para investigar o contratar a un investigador. Se puede buscar en las redes y buscar datos de otros porque está contratado para este fin. Cualquier otra persona con esta capacidad, puede repetir su derecho con el subcontratado mediante un contrato.

Es típico en este tipo de investigación usar las ventanas de incógnito: en google chrome, se puede abrir una ventana de navegación de incógnito que no lleva las cookies de acceso en redes sociales y así voy a dejar lo que se deja que Google muestre al exterior.

DELEGADO DE PROTECCIÓN DE DATOS: DPO / DPD

Qué empresas tienen que tenerlo: Aún no hay norma para inscribir al DPD en la AEPD. Pero en el documento interno, si hay que tenerlo.

¿Quién tiene que tenerlo? Administración pública, empresa que usen muchos datos (elaboración perfiles o envíos y prospección comercial), y aquellas empresas que tengan datos especiales (política, sexual, biométricos) o datos de denuncias o penales. Por ejemplo, una panadería no necesita un DPO.

DATOS EN LA NUBE

Yo tengo que securizar los datos en local. Si lo almaceno en la nube, tiene que estar en un sitio que cumpla y que tenga los servidores en países aprobados en escudo CEE. Si no, tengo que firmar un contrato de tratamiento para no tener que pedir autorización a la AEPD.

Exigir a esa empresa las mismas medidas de seguridad que implementa en local, quién tiene acceso donde están los datos.

En el artículo 37 de la RGDP explica cómo elegir el DPO, conocimientos específicos en derechos, práctica en protección de datos; y en el artículo 39, habla de las funciones del delegado de protección de datos, que debe estar alerta pendiente, vigilar entre los departamentos que se cumpla la normativa, formación activa y contínua, evaluación, tratamiento, etc. Habrá dos tipos de DPO: con práctica y con título.

  • Autónomos: ellos mismo formarse y preguntar a la AEPD que tiene quía gratuítas.
  • Medias empresas (<50) equipo interno o externo. Lo mejor e xternalizar el servicio
  • Grandes empresas Generar equipo para protección de datos y mantenimiento informático más el Compliance Digital. Y un respaldo externa para respuesta rápidas a preguntas complejas.

Perito Informático en Ciberseguridad

acceso a blog perito informático

Robo de claves de un blog

Es posible que seamos victimas de un caso de robo de claves de nuestro blog. Os contamos un caso que hemos atendido recientemente. Como ya...
perito-informatico-vulnerabilidad-gmail-2018

Vulnerabilidad correo electrónico

Actualmente el correo electrónico es una de las herramientas más utilizadas en el mundo, tanto para particulares como para empresas. Dentro de todos los...
votacion por movil peritos informaticos

¿Votación electoral a través del móvil?

La votación a través del móvil desde el punto de vista de la tecnología se puede. Desde el de las infraestructuras...
borrar-opiniones-google-peritos informáticos

Borrar opiniones falsas en Google my Business

Reputación on line|Opiniones falsas en Google my Business| Ciberacoso | Comentarios falsos en Redes Sociales | Peritar Redes Sociales|Perito informático especialista en Reputación on...
trabajador-datos-perito-informatico-globatika

Un ex trabajador entra en el servidor para destruir información

Destrucción de información de un servidor Una empresa de ingeniería química solicita a nuestros peritos informáticos asesoría profesional porque ha perdido las bases de datos...
honeypot-perito-informatico-globatika

Informática Forense y Honeypot

La informática forense deba adaptarse e ir evolucionando a la vez que los delitos cometidos en este tipo de plataformas. La informática forense requiere...
ciberseguridad peritos informaticos

Deepfakes y la amenaza de ciberseguridad

Deepfakes son videos en los que por medio de inteligencia artificial suplantan la imagen de una persona generalmente para generar contenido falso.
correo-electronico-hackeado-perito-informatico-globatika

¿Datos personales de tu correo electrónico robados?

Uno de los datos personales que más suelen circular por todo Internet suele ser tu correo electrónico, con la  finalidad de lucrarse con algunos ingresos...
adsl-perito-informatico-globatika

Peritar ADSL

Muchas veces nos llegan peritaciones sobre vulnerabilidades de los routers ADSL a nuestros laboratorios. La IP que tiene nuestra conexión a Internet en un momento...
formjacking peritos informaticos ciberseguridad

Formjacking, robo de datos de tarjetas en comercios electrónicos

Formjacking es una nueva amenaza para la ciberseguridad que afecta directamente al ecommerce y que compromete los datos personales y bancarios de los clientes de las tiendas online.
auditoria de redes-perito-informático

Auditoría de redes y acceso físico a la empresa

Auditoría de redes | Seguridad informática | Ciberseguridad en la empresa| Perito informático experto en ciberseguridad | Análisis de redes e infraestructuras| Evaluación de...
maltego peritos informaticos

Maltego, encuentra información de personas

Maltego tiene el potencial de encontrar información sobre personas y empresas en Internet, permite cruzar datos para obtener perfiles en redes sociales, servidores de correo, etc.
perito informatico keylogger

Keylogger ¿Qué es y para qué sirve?

Un keylogger o también llamado capturador de teclas, es un programa o un hardware que se encarga de registrar todo lo que escribimos al utilizar el teclado, es decir, puede registrar todo lo que tecleamos en cualquier plataforma.
vulnerabilidades-android-perito-informatico-globatika

Peritar vulnerabilidades Android

Existen muchas vulnerabilidades en teléfonos Android donde un perito informático Android le puede ayudar. Son de nivel crítico y con ellas el atacante puede: Suplantar Llamadas ...
localizar numeros ocultos perito informatico

Localizar número oculto sequieneres.es

Saber quién llama con número oculto ¿Llamadas ocultas groseras o a horas extremas? Nosotros Localizamos números ocultos Varios casos procedentes de Madrid, Barcelona, etc. en los...

Estafa a través de Bizum

Estafa a traves de Bizum| Fraude Electrónico | Autentificar conversación de WhatsApp| Recuperación de mensajes de correo con phishing | Responsabilidad en fraude Bizum |...
cumplimiento RGPD peritos-informaticos

Cumplimiento de la RGPD en la empresa

Auditoría informática RGPD | RGPD | Auditoría informática empresas | Protección de datos | Auditoría informática | Auditoría de buenas praxis | Test de intrusión | Vulnerabilidades...
app espias android peritos informaticos

APPS preinstaladas. ¿Cómo nos espían?

Una reciente investigación llevada a cabo por científicos españoles ha revelado que los móviles Android monitorizan al usuario sin que él lo sepa, y acceden a sus datos personales de forma masiva a través de un gran número de aplicaciones preinstaladas
facetime peritos informaticos

Te escuchan sin descolgar

Los usuarios de FaceTime han descubierto este "bug" que nos permitía escuchar y ver a quien llamamos sin que esa persona descuelga la llamada,...
fake news peritos informaticos

Fake News: ¿Qué es verdad y qué es mentira en Internet?

Las fake News son un producto periodístico difundido a través de portales de noticias, prensa escrita, radio, televisión y redes sociales cuyo objetivo es la desinformación deliberada o el engaño
hack-email-perito-informatico-globatika

¿Pueden hackear mi empresa por email?

El email es un medio de comunicación vital tanto para particulares como empresas. Es una forma sencilla y rápida de adjuntar ficheros, realizar negociaciones...
globatika-peritos-informaticos-hack-vehiculos

Vehículos ciberatacados.

Este caso nos llega de un particular de Barcelona, donde nos informa de, que está experimentando problemas con su vehículo y necesita una pericial...