El 25 de mayo de 2018 se cumplen dos años desde la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelante, Reglamento General de Protección de Datos - RGPD o GDPR. Desde ese momento, será aplicable el RGPD y será obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas.

Ante la constante evolución tecnológica y los procesos de transformación digital que sufren las actividades de tratamiento de datos personales, la reforma de la regulación de protección de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño. El diseño adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar los derechos y libertades de los interesados. La fase de diseño de un tratamiento define el flujo de los datos personales, así como todos los elementos que intervendrán a lo largo del mismo. De igual modo, es el momento idóneo para definir las medidas de control y seguridad para garantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que está expuesto.

¿Cuáles son los pasos para la Adaptacion al Reglamento General de Protección de Datos - RGPD - en en Sector Privado?

1. Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD) si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la/s persona/s responsables de COORDINAR LA ADAPTACIÓN.
2. Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO, teniendo en cuenta su finalidad y la base jurídica.
3. Realizar un ANÁLISIS DE RIESGOS.
4. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos
5. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD
6. A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS

Actuaciones simultáneas a los pasos anteriores:

1. Adecuar los FORMULARIOS derecho de información.
2. Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de derechos
3. Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos
4. Elaborar / Adaptar POLÍTICA DE PRIVACIDAD
5. En todo caso, es imprescindible documentar todas las actuaciones realizadas para poder acreditar la diligencia en el cumplimiento del RGPD.

¿Qué son considerados datos personales y objeto de la GDPR?

Es considerado datos personales, la información sobre personas cuya identidad pueda determinarse, directa o indirectamente, mediante un nombre, un número de identificación, datos de localización, un identificador on-line e información relativa a la identidad fisica, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. La GDPR se aplica al tratamiento de datos personales de personas físicas que se encuentren en la unión europea. Como datos curioso, la regulación sólo es aplicable a personas vivas.

¿Qué son considerados Datos Personales Sensibles?

El reglamento establece categorías especiales a los datos que son considerados sensibles o que precisan una especial protección, ya sea por su naturaleza o por la relación que puedan tener con los derechos y las libertades fundamentales de las personas.

El reglamento dispone expresamente la prohibición de tratar con estos datos personales sensibles y que puedan revelar: origen técnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, kilométricos que permitan la identificación u inequívoca de una persona y datos relativos a la salud y orientación sexual.

¿Esta su organización sujeta al nuevo Reglamento Europeo de Protección de Datos?

En Mayo de 2018, el Reglamento General de Protección de Datos de la Unión Europea (RPGD/GDPR) entra en vigor. Todas las empresas, sin excepción, se ven forzadas a fortalecer la seguridad sobre la información identificable como personal (PII) que estas almacenan y/o procesan, especialmente la que reside, se opera y transita en los equipos de empleados y colaboradores. El obviar dicho reglamento para cualquier organización de cualquier tamaño, puede acarrear severas multas, pudiendo llegar a los 20MM€ o el 4% de la facturación anual, por incumplir sus disposiciones. 

La RGPD impacta a todas las empresas, independientemente de a que industria o región pertenezcan, incluso a aquellas fuera de la UE, que recopilan y almacenan datos de carácter personal de ciudadanos de la UE. Otro daño inevitable ante problemas de fuga de datos es el perjuicio en términos de reputación frente a clientes actuales y futuros o incluso a sus propios empleados. 

La Agencia Española de Protección de Datos comunica desde hace 2 años de los cambios que representará la puesta en marcha del nuevo RGPD, en el punto 7 del siguiente enlace podemos observar hasta que punto deben comprometerse las empresas:

"7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

- Protección de datos desde el diseño

- Protección de datos por defecto

- Medidas de seguridad

- Mantenimiento de un registro de tratamientos

- Realización de evaluaciones de impacto sobre la protección de datos

- Nombramiento de un delegado de protección de datos

- Notificación de violaciones de la seguridad de los datos

- Promoción de códigos de conducta y esquemas de certificación."

¿Cómo proteger los datos personales y sensibles de la Empresa? 

Las empresas se enfrentan a múltiples retos para poder cumplir con dicha regulación, disponemos de Servicios Gestionados IT para descubrir, auditar, monitorizar, proteger y reportar (este último, en caso de requerirse) los datos de carácter personal que proliferan de forma descontrolada en los puestos de trabajo y servidores, en forma estructurada o desectructurada.

También es importante establecer protección en el perímetro de la red, ya que el Reglamento instruye a las empresas a tomar nuevos procedimientos de autorización, procesos de notificación, realización de informes y mecanismos de comunicación, así como a actualizar la seguridad de red a la última tecnología que proporcione “conocimiento de la situación de los riesgos” y “facilite acciones preventivas, correctivas y de mitigación” en casi tiempo real. En este caso fabricantes como WatchGuard y Stormshield están listos para ayudarlo a prepararse para el cumplimiento del GDPR y para implementar las soluciones de seguridad de red que satisfagan los nuevos requisitos de mayor seguridad.

¿Cómo podemos ayudarle desde PCNOVA para el cumplimiento del RGPD?

A continuación presentamos un cuadro que explica de forma gráfica, los distintos aspectos de la nueva GDPR y qué servicios gestionados IT o de gestión informática podemos ofrecerle para cada elemento:

• Adecuación del RGPD: Si no ha podido prepararse para el reto de la GDPR, nuestro exclusivo convenio profesional con Conversia le permite adecuarse, a corto plazo, para poder cumplir con las exigencias del nuevo Reglamento Europeo de Protección de Datos.
• Gestión y Seguridad de los datos. privilegios de usuario, antivirus, antiransomware, data control (descubrimiento, auditoría y monitorización de datos), encriptación de datos, gestión de contraseñas, protección mediante AD (directorio activo),
• Gestión y Seguridad de accesos. Microsoft Office 365 con el servicio de Azure Active Directory para la gestión de contraseñas y accesos, Windows Server y QNAP QTS para la gestión local de privilegios y AD.

• Gestión y Seguridad de infraestructura. Todas las Soluciones NOVA estan en capacidad de proteger su infraestructura gestionando vulnerabilidades y parches tanto del sistema operativo como de las principales aplicaciones utilizadas bajo sistema operativo Windows. Para la protección perimetral necesaria para mitigar los riesgos de accesos no autorizados a los datos, Watchguard, Stormshield y Panda Gatedefender ofrecen seguridad de red.

• Gestión de Recursos Humanos. nuestro servicio de Seguridad como servicio (Security as a Service) nos permite ofrecerle concienciación y formación de empleados y técnicos, además de numerosas pruebas para comprobar la preparación del personal ante el reto de la GDPR (Test de intrusión, testo de phishing, etc.)