Adaptación al Reglamento de
Protección de Datos
Arquitectos
Carolina San Miguel Mas [email protected] Mov 686035791 www.cuatronoventa.com
Reglamento General de Protección de Datos (RGPD), normativa
aplicable el 25 de mayo de 2018.
El Reglamento Europeo de Protección de Datos se enmarca dentro de la legislación para la protección y control de nuestros datos personales, un derecho fundamental que poseen todas las personas. Así, se evita que nuestros datos personales sean usados para vulnerar nuestra intimidad y otros derechos fundamentales y libertades.
Cuestiones básicas del nuevo Reglamento
• Los ciudadanos vamos a estar mucho más protegidos. Hay nuevos derechos que nos amparan, entre ellos el famoso “derecho al olvido” que tan de moda está en las redes sociales.
• Aumenta la transparencia de las empresas, gracias al deber de información.
• Aumenta la vigilancia sobre las empresas, ya que se exigirá un cumplimiento proactivo de la legislación.
• Crecen las obligaciones técnicas y jurídicas. Por un lado, se exigirá la realización de un análisis de riesgos, y por otro lado se exigirá a las empresas que recaben el consentimiento expreso de los interesados a la hora de tratar sus datos de carácter personal.
• Se da libertad a la empresa para que, en base al resultado del análisis de riesgos anterior, proponga qué medidas de seguridad adicionales a las que ya tenga va a implantar. En este sentido cabe destacar que desaparecen los niveles Básico, Medio y Alto, y es la propia empresa la que basará todo en su análisis de riesgos.
Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO teniendo en cuenta su finalidad y la base jurídica. (Antes Documento de Seguridad)
Registro de Actividades. con el nuevo Reglamento, el registro de las actividades de tratamiento de los datos será obligatorio para personas y empresas. (Antiguo Documento de Seguridad). Este registro debe estar por escrito y de manera electrónica y la empresa debe ponerlo a disposición de las autoridades cuando estas lo soliciten.
Realizar un ANÁLISIS DE RIESGOS
• Agencia Española de Protección de Datos. FACILITA
• https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herrami entas_ayuda/index-ides-idphp.php
• En el caso de los economistas no es posible mediante FACILITA. El uso de este
Análisis de Riesgos
¿Se van a tratar datos personales?
Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo:
• un nombre
• un número de identificación
• datos de localización
• un identificador en línea
• uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
En el caso de que como mínimo una de las cuestiones sea afirmativa… se ha de seguir con el Análisis de Riesgos.
Nuevos avisos.
El nuevo Reglamento obliga a incluir nuevas advertencias que hasta ahora no lo eran.
Por ejemplo: la base legal para el tratamiento de los datos o los períodos de retención de estos.
Además, quedará especificada la necesidad de informar de manera fácil y clara a todos los usuarios.
Importante informar de los plazos para la conservación de los datos personales. Se deberá informar del plazo de tiempo previsto para la conservación de los datos personales objeto
del tratamiento. Si esto no fuera posible, deberá indicarse qué criterios se seguirán para
Solo lo necesario.
Con el Reglamento en funcionamiento, quedará completamente prohibido recoger más datos de los estrictamente necesarios. Además, se exigirá también un consentimiento libre, informado e inequívoco de la persona que cede sus datos. Invalidando así el acuerdo tácito que existía hasta ahora ante el silencio o la inacción.
Verificación periódica.
No se exigen Auditorías pero sí una verificación periódica del modelo. Es decir, sin tener la necesidad de hacer una auditoría formal cada dos años como nos exige actualmente la Ley,
sí que deja claro que el sistema de protección de datos hay que revisarlo.
Además, con el aumento tan significativo de las multas, pocas organizaciones se arriesgarán a no tenerlo lo más actualizado posible, ya sea a través de auditorías formales o de revisiones documentadas.
Deber de información
Se deberá informar sobre quién o quienes van a recibir los datos personales objeto del tratamiento de datos. Tendrá que incluirse la información necesaria para identificar a los
destinatarios aún en el caso de tratarse de hosting, plataformas de email-marketing y
otros servicios similares.
Dependiendo del resultado del Análisis de Riesgos habrá que realizar o no una Evaluación.
La Evaluación de Impacto en la Protección de Datos Personales (en adelante, la EIPD) es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Artículo 35 del RGPD Establece que ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento.
Esta obligación está alineada con el principio de privacidad que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad
Existen diversos tipos de medidas de control, por ejemplo:
• Organizativas: Medidas asociadas a procedimientos, a la organización y gobierno de la entidad. En esta tipología de medidas se pueden incluir los procedimientos para ejercer los derechos de los interesados, protocolos para gestionar vulnerabilidades e incidentes, etc.
• Legales: Medidas asociadas al cumplimiento normativo. Por ejemplo, cláusulas para recogida de consentimientos expresos, etc.
• Técnicas: Medidas que permiten velar por la seguridad física y lógica de los activos de información. Por ejemplo, controles de acceso, cifrado, etc.
Ejemplos de medidas de seguridad a revisar: • Análisis de vulnerabilidades.
• Gestión de control de acceso de usuarios.
• Contraseñas únicas y de expiración regular en todos los dispositivos.
• Cortafuegos actualizados y configurados correctamente.
• Antivirus, antimalware y software anti-spyware en tiempo real. Con capacidades Antiransomware.
• Actualización regular para prevenir brechas de seguridad. De Antivirus, S.O y Software utilizado.
• Cifrado de datos personales en tránsito (VPN, USB, portátiles, Moviles)
• Copias de Seguridad y Recuperación. Limpieza Segura.
Cambios Reglamento Europeo respecto a la LOPD
Nuevos derechos además de los ARCO
El derecho al olvido, recogido ya por el Tribunal de Justicia de la Unión Europea en 2014, defiende el derecho de las personas a que información obsoleta o no
relevante por el transcurso del tiempo sea bloqueada, suprimida o desindexada.
Ahora, solicitar que se supriman los datos personales dadas determinadas circunstancias será más fácil.
Con el derecho de portabilidad, las personas tendrán derecho a solicitar el envío de sus datos al responsable de tratar con ellos para transmitirlos a otro responsable.
Roles y responsabilidades
Documento de roles y responsabilidades con el objetivo de definir los cometidos de cada uno de los responsables de tratamiento, así como de terceros que puedan intervenir en el tratamiento de los datos de carácter personal.
Aparece la figura del Delegado de Protección de datos, obligatoria para empresas con datos de carácter sensible como clínicas, bufetes de abogados, escuelas infantiles o empresas de seguros.
¿Qué hace el DPD?
• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados
que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros
• Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras
disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable
Consentimiento expreso.
• Para recibir mails, tratar datos y cedes datos a terceros. Se ha de informar y confirmar.
• Antes valía el consentimiento tácito, ahora ya no.
Los ficheros
Con el nuevo Reglamento no es obligatorio inscribir los ficheros en la AGPD.
Sí es obligatorio tener un Registro de Actividades y Gestión de datos. También es obligatorio describir el Responsable del Tratamiento y el Encargado de Tratamiento.
Responsabilidad proactiva
Con la LOPD se determinaban medidas en función de la tipología de los datos, en cambio ahora la adopción de las medidas es más proactiva.
Antes actuábamos cuando ocurría algo, ahora debemos de ser previsores y actuar previamente, antes de ocurra.
SANCIONES
Datos sensibles:
La multa por incumplimiento de la GDPR alcanza un máximo del 4% de los ingresos globales o 20 millones de euros, lo que sea mayor.
Datos no sensibles:
La multa por incumplimiento de la GDPR alcanza un máximo del 2% de los ingresos globales o 10 millones de euros, lo que sea mayor.
MENTIRAS SOBRE LA NUEVA NORMATIVA
El Reglamento Europeo elimina la LOPD, algo que es absolutamente incierto, ya
que, un Reglamento Europeo no puede sustituir una Ley en nuestro ordenamiento jurídico, la Ley Orgánica de Protección de datos de 1999 que está en vigor y seguirá estándolo el 25 de mayo, será sustituida cuando se apruebe, publique y haga efectiva la nueva ley de protección de datos que está pendiente de aprobación entendemos que en los próximos meses y de la que solo conocemos un Anteproyecto de ley.
Si no registras los ficheros en la Agencia Europea puedes ser sancionado con millones de euros
Primero no existe una Agencia Europea y segundo el Reglamento Europeo elimina la obligatoriedad de inscribir los ficheros en la Agencia Española de protección de datos, por lo tanto, esa afirmación no solo no es cierta sino que es incongruente.
Tienes que tener un Delegado de protección de datos tal y como exige el nuevo Reglamento Europeo de Protección de datos, en este caso esta nueva figura sí que es obligatoria en empresas con datos sensibles, pero no va la gran mayoría que no tienen datos de carácter sensible.
Ahora cuando denuncies ante la Agencia Española de protección de datos a un empresa, entidad, … además de conseguir que le sancionen también tendrás una recompensa económica
Tienes que hacer un curso de protección de datos que además es bonificable y con eso y un certificado ya estarás cumpliendo con el nuevo Reglamento
MUCHAS GRACIAS
Carolina San Miguel Mas @carolinasmm Mov 686035791
carolinasmm.wordpress.com www.cuatronoventa.com
