jueves, 23 de noviembre de 2017

6 meses para la llegada de la LOPD Europea (RGPD) ¿Esta lista su empresa?

25 de Mayo de 2016 fue la fecha en que entró en vigor la RGPD (Reglamento General de Protección de Datos) o, comúnmente conocida, LOPD Europea. Entendiendo el impacto que podría suponer sobre las empresas que han de cumplirla se otorgó 2 años para poder aplicarla y, qué rápido pasa el tiempo, estamos ya en la recta final. Solo 6 meses nos separan de su puesta en vigor a todos los efectos.
Resultado de imagen de RGPD

Hagamos un pequeño repaso de cómo puede afectar esta norma a nivel informático.

¿A quién afecta esta norma?

A toda empresa que trabaje con datos de carácter personal, independientemente del lugar donde se efectúe dicha actividad. Mientras procese datos de carácter personal de población Europea está obligado a cumplirla.

¿Qué entendemos por datos de carácter personal?

Los datos de carácter personal se pueden agrupar:
  • Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual.
  • Datos identificativos:  Nif/dni, dirección, imagen, voz, Nº Seguridad Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, tarjeta sanitaria.
  • Datos personales:  Estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
  • Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
  • Datos Académicos y profesionales
  • Detalles de empleo:  Profesión, puestos de trabajo, datos no económicos de nómina, historial del trabajador.
  • Datos de información comercial:  Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
  • Datos económicos, financieros y de seguros:  Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
  • Datos relativos a transacciones de bienes y servicios:  Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones.
Como podéis ver el ámbito es muy amplio y bajo este paraguas caerían el grueso de las empresas. Es difícil encontrar una empresa que no contenga ninguno de estos datos en forma digital.

¿Que cambia en materia de derechos de los usuarios?

La LOPD ya reconocía varios derechos a los usuarios:
  • Derecho de acceso, 
  • Derecho de rectificación,
  • Derecho de oposición,
  • Derecho de cancelación.
A estos la RPDG agrega cuatro nuevos derechos que hay que adaptarse para cumplir:
  • Derecho a la transparencia de la información,
  • Derecho de supresión (derecho al olvido),
  • Derecho de limitación,
  • Derecho de portabilidad.

La forma de lograr el consentimiento también cambia ahora ha de de ser inequívoco y si es menor de 16 años han de ser sus padres o tutores legales quienes lo otorgan lo cual cambia la forma de notificar la cesión de estos derechos de forma telemática (¿O no?).

¿Que es el DPO?

Es una de las principales novedades que trae la normativa, la figura del DPO ó Delegado de Protección de Datos. Esta figura tendrá como funciones:
  • Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
  • Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
  • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
  • Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
  • Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
Por lo que ahora existirán dos figuras en las empresas en materia de seguridad y protección de datos:
  • DPO o Delegado de Protección de Datos. Derivado de la RGPD
  • Responsable de Seguridad. Derivado de la RLOPD.

Referencia

Otras diferencias reseñables

  1. Ahora habrá que notificar si tu empresa ha sufrido una brecha de seguridad. Es decir, todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.  El responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Esto puede suponer un impacto reputacional alto ya que obliga a las empresas a contar “sus vergüenzas”, por lo que la inversión en ciberseguridad seguro se incrementará los próximos años cuando las empresas que no han trabajado en este plan con tiempo vean las consecuencias.
  2. La empresa tendrá más libertad para la implantación de las nuevas medidas de seguridad decidiendo que modelos, medidas técnicas y de organización aplicarán para tener un alto nivel de seguridad. Pero si indica que hay que trabajar en la privacidad desde el diseño. Es decir, la seguridad ha de estar implementada en todo momento.
  3. Las penas por incumplimento se incrementan hasta 20.000.000 de euros o un 4% de los beneficios anuales. Una cifra que ya hará que más de uno se tome en serio este regalmento.
  4. Existirá una ventanilla unica para reclamación. Por lo que los usuarios podrán hacer sus reclamaciones o denuncias en caso de incumplimiento.
La RGPD no es ninguna broma, el poder cumplirla llevará a unas empresas mucho más esfuerzo a que a otras pero seguro que en cuanto entre en vigor se notará pronto su llegada. Bastará para ver los primeros casos en los medios de empresas que han tenido denuncias o brechas y sus consecuentes multas si existe incumplimento, para que aquellas empresas más rezagadas luego tengan prisa por poder ponerse al día con esta normativa.
Tal y como se ha denunciado en muchas ocasiones faltan profesionales en seguridad para toda la demanda existente y que vendrá, por lo que recomiendo que cuanto antes, ponga su empresa con el proceso de adaptación a esta normativa.
Referencias:

en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)