Tratamientos de datos con la obligación de realizar una Evaluación de Impacto. Listado AEPD

La Agencia Española de Protección de Datos (AEPD) atendiendo al artículo 35.1 apartado 4 del Reglamento General de Protección de Datos (RGPD) que señala la obligación de las autoridades de control de elaborar y publicar una lista con los tratamientos de datos que están obligados a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD).

El RGPD señala en su artículo 35.1 que las organizaciones, empresas, particulares que tratan datos con riesgo alto para los derechos y libertados de las personas deben realizar una Evaluación de impacto, antes de realizar el tratamiento de estos datos.

Esta Evaluación de Impacto tiene como objetivo delimitar los riesgos y establecer medidas para asegurar dichos datos y su tratamiento cumpliendo la Ley. En esta Guía de la AEPD se explica cómo realizar esta evaluación.

Los tratamientos que señala la lista de la AEPD obligados a realizar una Evaluación de Impacto relativa a Protección de Datos son los siguientes. Es una lista orientativa.

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida, que cubren varios aspectos de su personalidad o sobre sobre sus hábitos.

2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.

3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

7. Tratamientos que impliquen el uso de datos a gran escala.

8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guarda y custodia.

10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.

11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Desde Cumple Protección de Datos os podemos ayudar y asesorar en todo lo relativo a la normativa nacional y europea a este respecto. Incluido la realización de la Evaluación de Impacto.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

Novedades de la Lista Robinson, de exclusión de comunicaciones publicitarias

La Agencia Española de Protección de Datos (AEPD) y la Asociación Española de la Economía Digital (Adigital) han dado a conocer las novedades de la Lista Robinson para mejorar la protección de datos de los usuarios y facilitar el cumplimiento de las normativas europeas y españolas en este ámbito.

La Lista Robinson se creó en 1993 con el objetivo de facilitar el derecho de oposición de los usuarios a que sus datos personales sean usados para el envío de comunicaciones comerciales. Permite a las personas que se apunten a la lista, evitar las llamadas y los correos con publicidad no deseada. Las empresas la consultan para no enviar sus comunicaciones a las personas de la lista.

Las novedades incluidas recientemente buscan asegurar el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD) y la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que sustituye a la antigua LOPD.

Con el fin de adaptarse a las nuevas normativas, se ha puesto a disposición de usuarios y empresas una nueva plataforma online multidispositivo que garantiza la confidencialidad, integridad, disponibilidad y resiliencia (capacidad de adaptación) permanente del Servicio.

Novedades para usuarios

Entre las novedades para los usuarios destaca la posibilidad de limitar la recepción de comunicaciones publicitarias por sectores. Para poder elegir de qué temas quieren o no quieren recibir publicidad, según sean sus intereses. Los ciudadanos pueden ejercer este derecho a través de la página web de la AEPD. También se pone a disposición de los usuarios, un nuevo servicio de gestión de reclamaciones.

Novedades para empresas

Por lo que respecta a las empresas y demás organizaciones, están obligadas a cumplir lo expuesto en el artículo 23 de la nueva LOPDGDD, que señala: “las empresas que pretenden realizar comunicaciones de mercadotecnia directa deben consultar los sistemas de exclusión publicitaria previamente, excluyendo así de sus comunicaciones los datos de los afectados que hubieran manifestado su oposición o negativa a las mismas. No será necesario realizar la consulta cuando el afectado haya prestado su consentimiento expreso a la empresa en cuestión para recibir la comunicación”.

Para facilitar el acceso a la Lista Robinson, se ha puesto a disposición de las organizaciones una nueva API, más sencilla, eficaz y segura. De este modo el nuevo sistema permite consultar de forma fácil y rápida, la lista de los usuarios a los que pueden y no pueden enviar su publicidad sin tener que realizar costosos desarrollos externos o inversiones económicas. Este servicio no tiene coste para Pymes y autónomos, siempre que no superen la cifra de 30.000 registros consultados al año.

Si eres un usuario y quieres apuntarte a la Lista Robinson puedes hacerlo en este enlace:
www.listarobinson.es

Publicado en LOPD, Protección de Datos | Etiquetado , , , , , , | Deja un comentario

Plan de Responsabilidad Social de la AEPD

La Asociación Española de Protección de Datos (AEPD) ha presentado su Plan de Responsabilidad Social 2019-2024, elaborado con la colaboración de Pacto Mundial de Naciones Unidas, y conforme a los criterios de la Agenda 2030 y los Objetivos de Desarrollo Sostenible.

Este Plan se estructura en cuatro grandes compromisos de la AEPD: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. La Agencia tiene previsto realizar un centenar de acciones para cumplir con estos compromisos.

Según los datos expuestos en el Plan. De estas 100 acciones, “un 70% responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento; un 13% son compromisos internos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas”.

Plan-RS

Dentro de los cuatro ejes de actuación del Plan de Responsabilidad Social de la AEPD destacan las siguientes actuaciones:

Sociedad

Este compromiso se estructura en tres grandes bloques: el fomento de la prevención; la igualdad de género y la innovación y el emprendimiento. Para ello, la Agencia tiene previsto colaborar con varios organismos para ayudar en la formación, realización, ejecución de buenas prácticas en materia de protección de datos. Se pondrá especial atención en las medidas para controlar las situaciones de violencia en Internet, la protección de los más pequeños, ciberacoso, privacidad y seguridad en Internet, violencia de género en Internet.

Buen Gobierno, Transparencia y rendición de cuentas

En este compromiso, la Agencia desarrollará acciones que apuesten por una “política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público”. Está previsto la aprobación de un Código Ético y de Conducta para los empleados y responsables de la Agencia y un canal de denuncias anónimo.

Medioambiente

La Agencia va a seguir impulsando medidas que apuesten por el reciclaje, se eliminen barreras de movilidad, un uso responsable de recursos como el papel y un ahorro energético.

Empleados

En lo que respecta al compromiso con sus empleados, la AEPD va a aprobar un plan de igualdad, que evite las situaciones de acoso laboral, sexual. Se fomentará el teletrabajo para ayudar en la conciliación familiar. Además de ayudar a las empleadas víctimas de violencia de género.

Buzón de sugerencias

La Agencia abre a todos los ciudadanos la posibilidad de participar en este Plan, para ello pone a su disposición un buzón de sugerencias, disponible durante los próximos 15 días en este enlace. En él puedes dejar tus opiniones, sugerencias y propuestas para la AEPD.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

La AEPD se une al día de San Valentín con recomendaciones sobre las Apps de citas

Hoy se celebra San Valentín, el día de los enamorados. En estas fechas son muchas las personas que acuden a las Apps de citas para vivir en pareja este día. Desde la Agencia de Protección de Datos se han querido unir a este día con una serie de recomendaciones para el uso de estas aplicaciones sin que nuestros datos personales se vean comprometidos.

Son muchas las Apps de citas o aplicaciones para ligar que existen. Por citar algunas más conocidas encontramos: Meetic, eDarling, Match, Tinder, Badoo, Muapp, Adopta un Tío, Gindr o Wapa (para público gay), Happn (funciona por geolocalización).

Precauciones a tener en cuenta en la Apps de citas

Para ingresar en ellas es necesario tener una cuenta, que requiere la creación de un perfil. La AEPD alerta de la necesidad de comprobar que estamos registrándonos en la App verdadera, ya que existen réplicas fraudulentas que pueden comerciar con nuestros datos personales y robarlos para otros fines.

Una vez que nos hemos asegurado de que estamos en la página o aplicación oficial, el siguiente paso antes de registrarse es leer detenidamente su política de privacidad y las condiciones del servicio, para estar bien informados sobre el uso que hacen de nuestros datos personales, qué información recopilan, cómo la tratan, con qué fines, si la ceden a terceros.

Leídas las condiciones y decidida la App en la que nos registramos, el siguiente paso es crear el perfil. La Agencia nos recuerda la importancia de elegir contraseñas seguras (más de 8 caracteres, incluir mayúsculas, minúsculas, números…).

En la creación del perfil, la App nos solicitará una serie de datos personales, es importante solo dar los estrictamente necesarios (obligatorios), los que sean optativos, mejor no escribirlos. En algunos casos, podemos crear este perfil conectándonos a través de alguna red social. De este modo estamos dando permisos a la App para que acceda a una serie de datos de nuestra red social elegida. No os aconsejamos esta opción, porque estaremos compartiendo más datos de los necesarios y ligando ambas cuentas.

A la hora de crear el perfil son muchos los datos personales que se solicitan: nombre, gustos, estudios, profesión, aficiones e incluso otros datos más sensibles como la orientación sexual, política o religiosa. Además de una fotografía.

La Agencia apela a la discreción como mejor arma para proteger nuestros datos personales y nuestra privacidad. Nos anima a usar apodos, a compartir poca información o ninguna sobre gustos, preferencias políticas, religiosas, sexuales. En lo que respecta a la fotografía asociada a nuestro perfil es importante que no muestre datos que puedan identificar nuestro domicilio, lugar de trabajo, lugares que frecuentas.

Completado el registro, se recomienda revisar las opciones de privacidad que permite la App. Cuanto más privada y restrictiva con el uso de datos personales sea nuestra configuración, mayor protección tendremos sobre la información personal. Muchas de estos servicios de citas utilizan la geolocalización para mostrarnos personas cercanas a nosotros. La Agencia recomienda deshabilitar siempre la geolocalización cuando no estés utilizando la aplicación.

La cautela es muy importante

Nadie nos puede asegurar que las personas con las que estamos conectando en la App sean de verdad, es decir que no correspondan a un perfil falso, de alguien que se hace pasar por otro para hacernos daño. Es importante ser cautelosos.

Si decidimos trasladar la conversación a otro servicio como las aplicaciones de mensajería instantánea u otra red social, es importante revisar las condiciones de privacidad de estos servicios. Además es conveniente para evitar problemas indeseados, no compartir información personal a la ligera y evitar el llamado sexting o envío de fotos o vídeos de contenido sexual.

Si damos el paso de quedar físicamente con la persona, es necesario tomar otra serie de precauciones. La AEPD nos recomienda ir acompañado a la cita, informar a alguien del lugar, persona, detalles de nuestra cita. Si decides subir a un coche o ir a casa de tu cita, informa a alguien sobre la matrícula, dirección. Es importante ser precavido, nunca sabemos quién es realmente la persona con la que hemos quedado. Como se suele decir: ser precavido vale por dos.

Publicado en AEPD, Privacidad en Internet, Protección de Datos | Etiquetado , , , , , , , , , , , , | Deja un comentario

Premios Protección de Datos 2018, los ganadores de la AEPD

La Agencia Española de Protección de Datos ha anunciado quiénes son los ganadores de sus Premios de Protección de Datos 2018. En total se presentaron a estos galardones 68 candidaturas.

Los Premios Protección de Datos son una iniciativa de la Agencia cuyo objetivo es reconocer los trabajos que más promueven el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos. Se entregan en las categorías de ‘Comunicación’, ‘Investigación Emilio Aced’, ‘Buenas prácticas para adaptarse al Reglamento’ y ‘Buenas prácticas educativas para el uso seguro de Internet’.

Premios Protección de Datos 2018

Los ganadores en cada categoría han sido los siguientes.

Premio Protección de Datos en Comunicación

El galardón ha recaído en el grupo de comunicación Mediaset, por su campaña de difusión sobre los derechos y obligaciones del Reglamento General de Protección de Datos (RGPD). Esta difusión se ha realizado en los canales del grupo: Telecinco, Cuatro, FDF, Energy, Divinity y Be Mad. Se reconoce también la labor en su canal infantil Boing con vídeos en los que se habla del uso responsable de Internet y las nuevas tecnologías, a los más pequeños.

Premio Protección de Datos en Investigación Emilio Aced

El premiado en esta categoría ha sido Ángel Cuevas Rumín con su trabajo “Análisis y cuantificación del uso de datos sensibles por parte de Facebook”. El jurado ha concedido un accésit a Javier Parra Arnau, Jagdish Prasad Achara y Claude Castelluccia, por su trabajo “MyAdChoices. Transparencia y control de la publicidad en línea”. Una herramienta que permite a los usuarios conocer cómo se usan sus perfiles de navegación para sugerirles publicidad a la carta y a la vez investigan si los perfiles que manejan las empresas de publicidad permiten reconocer la identidad real del usuario.

Premio en Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos

En esta categoría se premia a empresas, asociaciones y fundaciones por una parte, y a entidades del ámbito público por otra. En la sección de iniciativas privadas reciben el premio dos asociaciones: Asociación Española de la Economía Digital (ADIGITAL) por su adaptación del servicio de Lista Robinson al RGPD; y la Asociación Multisectorial de la Información (ASEDIE), por la elaboración del Código de conducta del sector infomediario para el tratamiento de datos de carácter personal.

En el sector público, el premio ha sido para la Diputación Provincial de Valencia, por su proyecto de asistencia a las entidades locales para el cumplimiento de la normativa de protección de datos, incluido la formación y apoyo a los Delegados de Protección de Datos en el ámbito local, y especialmente en los municipios más pequeños.

Premio en Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de Internet

En el ámbito de centros escolares, el premio es para el IES Parque Goya, por su programa ‘Ciberayudantes’, que consiste en que alumnos a partir de 3º de la ESO dan charlas al resto de cursos inferiores de su colegio y de otros, sobre el buen uso de Internet.

Pantallas Amigas y el youtuber Iván Carrasco Lozano ( Ivangel Music), son reconocidos también en este aportado por su protección de los menores y concienciación para evitar prácticas como el grooming o el ciberbullying.

Publicado en AEPD | Etiquetado , , | Deja un comentario

La App de Metrovalencia deja al descubierto datos de sus usuarios

Un ingeniero informático ha denunciado ante la justicia y ante la Agencia Española de Protección de Datos que la aplicación para móviles de Metrovalencia deja al descubierto datos personales de sus usuarios.

El diario digital Valencia Plaza ha hecho pública la denuncia de este ingeniero informático que aporta con pruebas, mediante una auditoría -disponible en este enlace del periódico digital– los fallos de la App que permiten que los datos queden en abierto.

Según la denuncia, cualquier persona de forma sencilla puede acceder a través del programa Postman a una serie de datos personales de los usuarios de la aplicación móvil. Entre ellos, su email, NIF, nombre completo, sexo, fecha de nacimiento, dirección, teléfono. El medio digital señala en su noticia que ha podido comprobar que esto es así. Incluso asegura que se podría acceder al número de tarjeta de crédito, con la peligrosidad que esto supone, aunque no lo ha intentado para no incurrir en un delito.

Según señala el ingeniero informático en su denuncia, el problema está radicado en el software de la aplicación, que asegura que no se ha realizado por profesionales cualificados, por lo que deja de lado la obligación legal de implementar un sistema de autentificación que permita la seguridad de los datos personales que maneja la aplicación.

La situación es más grave, ya que mediante los fallos de la aplicación, se puede también acceder a una serie de datos sobre la actividad de los usuarios. Podemos conocer las rutas que realiza, las tarjetas de transporte que tiene asociadas cada usuario, las recargas que realiza, la fecha, hora de sus entrada y salida del metro. Datos que nos permiten adentrarnos en el ámbito privado y la intimidad de cada usuario.

También permite que los usuarios estén expuestos a fraudes en sus tarjetas bancarias. Esto es porque no se siguen, ni se han implementado los requisitos mínimos de seguridad que establece el protocolo para pagos con tarjeta.

En la auditoría presentada por el denunciante recomienda a todos los usuarios desinstalar la App de Metrovalencia, borrando previamente todos los datos que aportó a la aplicación. Además solicita que se realice una investigación para saber qué datos y qué usuarios han podido ser objeto del robo de datos y subsanar los problemas que se hayan producido por esta filtración.

Desde Cumple Protección de Datos os queremos recordar la importancia de contratar servicios de profesionales cualificados y que cumplen las leyes en materia de protección de datos. Estaremos atentos a las consecuencias que establezca la justicia, a la vista de esta denuncia.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

La AEPD cumple 25 años

La Agencia Española de Protección de Datos está de aniversario. Cumple un cuarto de siglo, 25 años. Para celebrarlo ha editado el libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital”. Su fundación data de 1993.

En la publicación la Agencia, que se encarga de velar por la protección de datos de los ciudadanos, hace un repaso de sus 25 años de historia. Muestra cómo ha evolucionado la sociedad y los avances tecnológicos que se han vivido.

En un acto celebrado en el Senado, la Agencia ha querido celebrar sus 25 años. El acto estuvo presidido por la ministra de Justicia, Dolores Delgado, el presidente del Senado, Pío García-Escudero y la directora de la Agencia, Mar España. A los que vemos en la imagen siguiente.

inauguracion-25-aos-AEPD

La jornada contó con la participación de otros directores de la Agencia y con representantes de organismos de protección de datos a nivel internacional.

Desde su creación en 1993 la Agencia se ha enfrentado a muchos retos y sigue enfrentándose. Algunos de ellos son fruto del gran avance en el mundo de las nuevas tecnologías con la llegada de las redes sociales, aplicaciones. Además de los cambios en la normativa como el recién aprobado Reglamento Europeo de Protección de Datos y la futura Ley española que se encuentra en fase de discusión y que sustituirá a la actual Ley de Protección de Datos de Carácter Personal (LOPD).

En el libro que repasa su historia se habla de todos estos avances y retos. Destacando la relación entre tecnología y privacidad y la cesión de datos personales y su tratamiento. Las Sentencias más importantes de la Justicia, como la relativa al Derecho al olvido de mayo de 2014, por parte del Tribunal de Justicia de la Unión Europea.

Durante todos estos años de historia, la Agencia ha ido creciendo. Nació con 33 empleados y hoy en día su plantilla es de 180 personas que trabajan día a día para velar por los datos personales de los ciudadanos.

En la publicación también se repasan los datos del trabajo de la Agencia, con la evolución de las reclamaciones recibidas. De las 81 reclamaciones de 1994 a las más de 10.500 del pasado año 2017. Destacando las preocupaciones de los ciudadanos sobre datos sobre solvencia, crédito y morosidad y publicidad directa.

También hay cabida al apartado de sanciones. Repasando algunas de las más relevantes como los 900.000 euros a Google por infringir la LOPD al cambiar su política de privacidad, aunándola para todos sus servicios; o la de 1,2 millones a Facebook y WhatsApp por ceder y tratar datos sin su consentimiento cuando la red social compró la aplicación de mensajería instantánea.

Todos los interesados en leer el libro de los 25 años de la Agencia pueden hacerlo en este enlace.

Desde Cumple Protección de Datos deseamos a la AEPD un muy Feliz Cumpleaños.

Publicado en AEPD | Etiquetado , , , | Deja un comentario

Uber sancionada con 148 millones de dólares por ocultar un hackeo

Ocultar una brecha de seguridad tiene sus consecuencias. Esto es lo que le ha ocurrido a la compañía Uber en Estados Unidos que deberá pagar 148 millones por no haber informado del robo de información que sufrió por parte de unos hacker y que afectó a 57 millones de cuentas.

El robo de datos se produjo en 2016 y no fue notificado. Uber decidió omitir esta información y aceptar el chantaje de los hacker, a los que pagó para ocultar este robo. Ahora la empresa ha llegado a un acuerdo con la justicia americana y pagará 148 millones de dólares. Además de comprometerse a hacer cambios en su política de protección de datos para evitar acciones similares.

Las normas internacionales, tanto la americana como la recién aprobada en Europa establece la obligación de informar en el momento que se detecta de las brechas de seguridad. En caso de ocultación se establecen sanciones que pueden llegar al 4% de la facturación, en el caso de la Unión Europea.

También deben tomarse las medidas adecuadas para solucionar la brecha e implementar mecanismos para que no vuelva a producirse. Es obligatorio avisar a los clientes de que sus datos se han visto comprometidos.

Uber además de hacer frente al pago acordado, deberá cambiar su política de protección de datos e informar trimestralmente a las autoridades pertinentes de Estados Unidos de sus actuaciones en el campo de la protección de datos.

En el caso de Europa el nuevo Reglamento establece nuevos parámetros y obligaciones respecto a las brechas de seguridad. Para facilitar su cumplimiento, desde la Agencia Española de Protección de Datos se ha publicado una Guía para la gestión y la notificación de las brechas de seguridad.

De esta guía os hablamos en nuestro post anterior. Recordamos que “las brechas de seguridad o violaciones de seguridad de los datos personales, son todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

La Guía de gestión y notificación de las brechas de seguridad está disponible en el siguiente enlace de la web de la AEPD.

Desde Cumple Protección de Datos os podemos ayudar en este tipo de situaciones. Evitaréis así veros expuestos a sanciones tan duras como la de Uber. Pídenos un presupuesto sin compromiso.

 

Publicado en Noticias, Protección de Datos | Etiquetado , , , , , , , | Deja un comentario

Guía para la gestión y notificación de las brechas de seguridad de la AEPD

La Agencia de Protección de Datos (AEPD) en su objetivo de ayudar a los responsables de tratamiento de datos a cumplir con el nuevo Reglamento Europeo de Protección de Datos (RGPD) ha publicado una Guía para saber cómo actuar ante las posibles brechas de seguridad que puedan producirse.

Hasta el pasado 25 de mayo de 2018, fecha de aplicación del nuevo Reglamento, solo estaban obligados a notificar estas brechas de seguridad los operadores de servicios de comunicaciones electrónicas y los prestadores de servicios de confianza. A partir de la entrada en vigor de la nueva norma europea, esta obligación pasa a ser una imposición para todos los responsables del tratamiento de datos personales. Con la única excepción de que el responsable pueda demostrar que la brecha de la seguridad no supone un riesgo para los derechos y las libertades de las personas físicas.

Según el nuevo RGPD, las brechas de seguridad o violaciones de seguridad de los datos personales, son “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

En la guía publicada por la AEPD, que está disponible en este enlace, se establece un esquema a seguir para cumplir con la normativa sobre brechas de seguridad. Este esquema lo podéis ver en la imagen siguiente.

brecha-seguridad

Los responsables de tratamiento deben prepararse de antemano para solventar los problemas que supone una brecha de seguridad. Deben establecer un mecanismo de respuesta con las acciones a llevar a cabo en caso de que se produzca. En consecuencia, es necesario un proceso previo de preparación en el que se decidirán las medidas técnicas y organizativas para poder afrontar un incidente. Esto incluye la identificación de los agentes implicados en la gestión de la brecha, el análisis de riesgos y/o evaluación de impacto en caso de que sean necesarias y la definición de los “planes de respuesta a incidentes” o “plan de contingencia”. Todo este plan de acción, debe estar documentado.

La gestión de brechas debe ser tenida en cuenta desde el diseño de las actividades de tratamiento y formar parte de las medidas de seguridad para garantizar los derechos y libertades de las personas.

Una vez detectada e identificada esta brecha de seguridad, la Ley establece que los responsables de tratamiento deben notificar la incidencia a la autoridad competente. En caso de España, es la propia AEPD. El plazo para notificar es de máximo 72 horas, tras la detección.

Durante esta fase de detección e identificación se deben concretar las situaciones que se consideran incidentes de seguridad y las herramientas, mecanismos de detección o sistemas de alerta. Como se expone en la Guía, una vez identificado el incidente es necesario contar con medios para documentar el seguimiento del mismo, quedando anotados todos los aspectos del incidente en un registro de incidencias. En este punto debe aplicarse el plan de acción que anteriormente se haya aprobado.

Tras la detección y notificación, el siguiente paso es el análisis y la clasificación. En la Guía podéis obtener información sobre los distintos tipos de brecha de seguridad, para saber cómo clasificarla. De la clasificación del incidente de seguridad dependen las acciones a emprender durante los procesos de respuesta y notificación.

El siguiente apartado es el proceso de respuesta. En él, en primer lugar, hay que intentar contener el incidente, tras lo cual se erradica la situación generada por el mismo y se termina con las acciones de recuperación oportunas. Todo este proceso de respuesta debe quedar debidamente documentado y ha de elaborarse un informe de respuesta que tras su análisis permita extraer conclusiones y elaborar ejercicios de lecciones aprendidas.

Por último, en caso de que el incidente de seguridad obtenga la clasificación de brecha de seguridad, en la que se han comprometido datos personales, se deberá iniciar también el proceso de notificación.

Es fundamental documentar todo el proceso para que la AEPD constate que se ha actuado según la Ley, lo que evitará posibles sanciones.

Desde Cumple Protección de Datos te podemos ayudar en la gestión de brechas de seguridad y en todo lo relativo a cumplir con el RGPD. Pide presupuesto sin compromiso.

 

Publicado en Protección de Datos | Etiquetado , , , , , , , , | 1 comentario

Seis de cada diez Pymes españolas conoce el nuevo RGPD

El 63% de las pequeñas y medianas empresas españolas conocen el nuevo Reglamento Europeo de Protección de Datos, tal y como pone de manifiesto una encuesta realizada por la Agencia Española de Protección de Datos (AEPD) y la Confederación Española de la Pequeña y Mediana Empresa (CEPYME). Una cifra que destapa aún un importante desconocimiento.

El pasado 25 de mayo entró en vigor el nuevo RGPD, una nueva norma que armoniza la protección de datos a nivel europeo. Organizaciones, profesionales, negocios, empresas, administraciones… deben acatar sus dictámenes para evitar sanciones que pueden alcanzar hasta el 4% de su facturación.

La encuesta, cuyos resultados se pueden consultar en este enlace, pone de manifiesto la necesidad de aumentar la información y formación para que las Pymes españolas cumplan y conozcan sus obligaciones. Unas Pymes que suponen el 99,8% del tejido empresarial español. Aún es grave el nivel de desconocimiento, por nombrar algunos aspectos: la obligación de elaborar el registro de actividades le consta solo a un 60%, y las nuevas obligaciones del responsable del tratamiento son conocidas solo por el 59% de las Pymes.

encuesta.foto

Con el objetivo de aumentar la difusión sobre la nueva normativa, desde antes de su entrada en vigor, desde la Agencia y la Confederación se han llevado a cabo una serie de actividades por todas las regiones para dar a conocer las nuevas obligaciones. Y se han puesto a disposición de las empresas herramientas como la de Facilita_RGPD, que ha cosechado más de 450.000 accesos y que está disponible desde la web de la AEPD. Este test online permite obtener los documentos mínimos indispensables para facilitar, como su propio nombre indica, la adaptación al Reglamento. Ambas organizaciones han anunciado que seguirán su labor de información y difusión y pondrán en marcha más medidas en el campo de la formación.

Esta adaptación supone un gran esfuerzo para las pequeñas y medianas empresas, teniendo en cuenta, como refleja la encuesta la falta de recursos de estas entidades. Pero es un esfuerzo que consideran necesario. Así un 85% están dispuestas a contratar un servicio de asesoramiento; un 79% muestran su disposición a informarse mejor sobre el Reglamento y un 60% optan por gestionar la protección de datos con medios propios y el apoyo de las herramientas y guías de la AEPD.

La encuesta también refleja que cerca del 90% de las Pymes considera que se ha avanzado en protección de datos respecto a la anterior normativa, que creen que era peor. El 80% percibe como positivo el cambio.

Ahondado en los resultados de la encuesta se observa que la mayoría de los datos que recogen y tratan las Pymes son de bajo riesgo y son relativos a sus clientes, proveedores y empleados. En menor cantidad se encuentran los datos e imágenes obtenidas mediante vídeo vigilancia y los de formularios de Internet.

Desde la AEPD y la CEPYME resaltan la importancia de que las Pymes españolas cumplan con las normas de protección de datos. Supondrá una ventaja competitiva y aumentará su valoración respecto a sus clientes.

En la conclusión del estudio se establece: “extender el conocimiento, dimensionar bien las herramientas de implantación y las propias acciones de implantación, de acuerdo con los recursos a gestionar y el tamaño de las empresas, así como extender y profundizar la comprensión de los datos como fuente de valor, son condiciones que, sin duda, favorecerán el éxito del RGPD, sobre la base de una percepción y una idea general netamente positivas de esta regulación por parte de las Pymes”.

Desde Cumple Protección de Datos te podemos ayudar a cumplir con todos los parámetros establecidos por el Reglamento Europeo de Protección de Datos. Consulta a nuestros expertos y te asesoraran en lo que necesites. Pide presupuesto sin compromiso.

 

Publicado en Protección de Datos | Etiquetado , , , , , , | Deja un comentario