Publicado en

EXCEPCIONES A LA OBLIGACIÓN DE REALIZAR EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS

El art. 35 del Reglamento General de Protección de Datos (RGPD) establece la obligación de realizar Evaluaciones de Impacto de Protección de Datos (EIPD). Será necesaria llevarla a cabo sobre aquellos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas -en particular si utilizan nuevas tecnologías-, por su naturaleza, alcance, contexto o fines. En cualquier caso, será imprescindible siempre que el tratamiento consista en:

  1. La evaluación sistemática y exhaustiva que se base en un tratamiento automatizado de aspectos personales de personas físicas, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  2. El tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales,
  3. La observación sistemática a gran escala, mediante sistemas audiovisuales, de una zona de acceso público.

Las excepciones con respecto a los tratamientos de datos de salud, o de condenas e infracciones penales, se establecen en el Considerando 91 del RGPD:

“No se considerará un tratamiento a gran escala, el tratamiento de datos de salud (…) por un médico u otro profesional de la salud, a título de autónomo o empresario individual, o los datos de condenas e infracciones penales (…) por un solo abogado, quedando estas actividades de tratamiento exentas de realizar la Evaluación de Impacto.”

Del mismo modo, la AEPD ha publicado un listado de tratamientos que no requieren de EIPD en el que incluyen esta excepción del mencionado Considerando 91, eximiendo de realización de EIPD a médicos, profesionales de salud o abogados autónomos en el ejercicio de su labor profesional, siempre que estos tratamientos no cumplan con dos o más criterios derivados del listado de actividades del tratamiento que requieren de EIPD publicada por la misma AEPD.

Por lo tanto, en lo relativo al resto de tratamientos de datos realizados por médicos, profesionales de la salud o abogados autónomos, y que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, la EIPD continuará siendo obligatoria, del mismo modo que la realización del análisis de riesgos que determinará la necesidad o no de realizar dichas EIPD.

Los tratamientos que requerirán de EIPD en cualquier caso, ya se realicen por médicos, abogados o cualquier otro profesional podrán ser, por ejemplo: los sistemas de identificación y control horario mediante huella dactilar o reconocimiento facial (tratamiento de datos biométricos); el tratamiento de datos genéticos; el tratamiento automatizado de datos para la toma de decisiones sobre los sujetos interesados; la aplicación de sistemas o aplicaciones que requieran de nuevas tecnologías que resulten invasivas (como la teleconsulta); así como el resto de tratamientos incluidos en los listados de la Agencia Española de Protección de Datos u otras Autoridades de Protección de Datos Europeas.

No dudes en contactar con nosotros para cualquier consulta al respecto (correo electrónico a consultor@logicdataconsulting.com )

Publicado en

BRECHAS DE SEGURIDAD: ALGUNAS TIPOLOGÍAS DE CASOS QUE PUEDEN DAR LUGAR A UN INCIDENTE

0-day (vulnerabilidad no conocida): Vulnerabilidad que permite a un atacante el acceso a los datos en la medida en que es una vulnerabilidad desconocida. Esta vulnerabilidad estará disponible hasta que el fabricante o desarrollador la resuelva.

APT (ataque dirigido): Se refiere a diferentes tipos de ataques dirigidos normalmente a recabar información fundamental que permita continuar con ataques más sofisticados. En esta categoría se encuadraría por ejemplo una campaña de envío de email con software malintencionado a empleados de una empresa hasta conseguir que alguno de ellos lo instale en su equipo y proporcione una puerta de entrada al sistema.

Denegación de servicio (DoS/DDoS): Consiste en inundar de tráfico un sistema hasta que no sea capaz de dar servicio a los usuarios legítimos del mismo.

Acceso a cuentas privilegiadas: El atacante consigue acceder al sistema mediante una cuenta de usuario con privilegios avanzados, lo que le confiere libertad de acciones. Previamente deberá haber conseguido el nombre de usuario y contraseña por algún otro método, por ejemplo un ataque dirigido.

Código malicioso: piezas de software cuyo objetivo es infiltrase o dañar un ordenador, servidor u otro dispositivo de red con finalidades muy diversas. Una de las posibilidad para que el código dañino alcance a una organización es que un usuario lo instale de forma involuntaria.

Compromiso de la información: Recoge todos los incidentes relacionados con el acceso y fuga, modificación o borrado de información no pública.

Robo y/o filtración de datos: Se incluye en esta categoría la pérdida/robo de dispositivos de almacenamiento con información.

Desfiguración (Defacement): Es un tipo de ataque dirigido que consiste en la modificación de la página web corporativa con la intención de colgar mensajes reivindicativos de algún tipo o cualquier otra intención. La operativa normal de la web queda interrumpida, produciéndose además daños reputacionales.

Explotación de vulnerabilidades de aplicaciones: Cuando un posible atacante logra explotar con éxito una vulnerabilidad existente en un sistema o producto consiguiendo comprometer una aplicación de la organización.

Ingeniería social: Son técnicas basadas en el engaño, normalmente llevadas a cabo a través de las redes sociales, que se emplean para dirigir la conducta de una persona u obtener información sensible. Por ejemplo, el usuario es inducido a pulsar sobre un enlace haciéndole pensar que es lo correcto.

Fuente: AEPD

  • Hackeo de la red y acceso a datos por terceros no autorizados
  • Ransomware  (virus que encriptan los datos y piden un rescate por ellos)
  • Malware u otro tipo de virus que puedan afectar a datos
  • Que los empleados o entre compañeros se compartan contraseñas para acceder a diferentes datos a los que no todos tienen permisos o autorizaciones de acceso.
  • Robo o pérdida de documentación o dispositivos (me han robado o he perdido el portátil, el Smartphone, incluidos los personales si sincronizan el correo de empresa)
  • Acceso no autorizado a las oficinas o instalaciones de la empresa, con la consecuente pérdida o robo de documentación o equipos.
  • Trabajar en remoto desde equipos en casa, pero que esos equipos no tengan las medidas de seguridad que hay en la empresa
  • Olvidar o perder una contraseña de un dispositivo y que no se pueda recuperar la información que almacenaba (no recuerdo la contraseña de un HDD extraíble con la copia de seguridad)
Publicado en

NOTIFICACIÓN BRECHAS DE SEGURIDAD (Protección de Datos)

Una de las novedades del Reglamento General de Protección de Datos (RGPD) es la  NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (violación de la seguridad de datos personales)

  • Deben notificarse a la autoridad de control, la  AEPD  (salvo que sea improbable que constituya un riesgo para los derechos y libertades de personas físicas).
  • Deben notificarse a los interesados, en los casos más graves y si así lo decide la AEPD
  • Hay establecido un plazo para ello: a más tardar, a las 72 horas de que se haya tenido constancia de ello.

¿Qué se considera una brecha de seguridad?  Ver enlace a nuestro sitio web

Las brechas de nuestros PROVEEDORES, que afecten a nuestros datos, también son brechas que debemos notificar.

CONSÚLTENOS en el caso de sufrir una brecha de seguridad. Les tutelaremos y acompañaremos en la valoración, documentación y posible necesidad de notificación.

¿Qué notificar?

  • La naturaleza (y, si es posible, categoría y número de interesados y número de registros afectados) 
  • Datos del DPD y/o de contacto
  • Describir posibles consecuencias
  • Describir las medidas adoptadas o propuestas
  • Si todo de una vez no fuera posible, ir facilitando la información gradualmente
  • Deberá documentarse cualquier violación de seguridad de datos personales notificada
  • Puede llegar a tenerse que comunicarse la violación de la seguridad a los interesados afectados

La propia AEPD tiene un Formulario de notificación de brechas de seguridad, que contempla:

  • Datos de la notificación
  • Identificación del DPD o contacto
  • Identificación del responsable del tratamiento
  • Identificación del encargado del tratamiento
  • Información temporal de la brecha
  • Tipología de la brecha
  • Información datos afectados
  • Información sujetos afectados
  • Posibles consecuencias
  • Comunicación a interesados
  • Implicaciones transfronterizas
  • Documentación referida

Así como también una lista de “Criterios valorativos para la notificación de brechas de seguridad” que ayuda a la toma de decisiones relacionadas con la necesidad, o no, de notificación a la AEPD, teniendo en cuenta unos parámetros matemáticos que contemplan:

  • Volumen
  • Tipología
  • Impacto

Publicado en

CONTROL DE JORNADA LABORAL A PARTIR DEL 12 DE MAYO: IMPLICACIONES A NIVEL DE PROTECCIÓN DE DATOS

Volvemos a recordar que la obligación del control de la jornada laboral lleva también aparejadas obligaciones en materia de protección de datos (RGPD y LOPDGDD).

Real Decreto Ley 8/2019 de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

Artículo 10. Registro de jornada

Se modifica el artículo 34 de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre , añadiendo un nuevo apartado 9, con la siguiente redacción:

9- La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.

Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.

La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.

El registro de jornada establecido en este apartado 9 del artículo 34, será de aplicación a los dos meses de su publicación en el BOE: el 12 de mayo de 2019

Implicaciones a nivel de protección de datos:

  1. Tener en cuenta el derecho a la protección de datos personales de los empleados como uno de los criterios a la hora de escoger la herramienta de sistema de control, que es uno de los principios básicos del RGPD (privacidad desde el diseño).
  2. Prever la creación de la actividad del tratamiento concreta en el Registro de Actividades del Tratamiento o incorporarla a las actividades del tratamiento ya previstas en el mismo, estableciendo las finalidades de ese tratamiento y el periodo de conservación de los datos.
  3. Informar a los empleados de la aplicación de tales medidas para obtener la legitimación al tratamiento de los datos.
  4. Suscribir contrato de encargo del tratamiento con el proveedor externo (si la herramienta de control electrónica la desarrolla y mantiene éste).

Además, si este control de jornada laboral se lleva a cabo por medios electrónicos y contempla la recogida de  (o/y):

  1. la huella dactilar; o “distancia entre cinco puntos” de ésta
  2. reconocimiento facial;
  3. reconocimiento de voz;
  4. datos de geolocalización;
  5. uso de aplicación móvil o cualquier otro sistema de control de jornada realizado por redes de telecomunicaciones u online.

además del análisis de riesgos hay que efectuar una Evaluación de Impacto previa, que deberá incluir el análisis, valoración y evaluación de la necesidad y la proporcionalidad del tratamiento de algunos o varios de estos datos con respecto a la finalidad de llevar el control horario y/o de acceso. Y también el análisis, valoración y evaluación de los riesgos para los derechos y libertades de los interesados por la naturaleza, alcance, contexto o fines del tratamiento, y establecer las medidas de seguridad necesarias.

Esta Evaluación de impacto previa no es una medida de seguridad al uso, sino más bien un mecanismo para evaluar los riesgos y el impacto que un tratamiento de datos tiene sobre los derechos y libertades de los interesados y que, en función de este análisis, el responsable del tratamiento debe implementar unas medidas de Seguridad determinadas u otras, con el fin de mitigar, eliminar o aceptar cada riesgo concreto.

Publicado en

¿ Y después del 25 de mayo de 2018… qué?

Pasó, como pasa todo.

El 25 de mayo de 2018 pasó, causando a su paso un gran revuelo social, mediático y empresarial. Fue como un tsunami. Logró que hablar de privacidad, de proteger tus derechos, de conocerlos, de denunciar, del nuevo reglamento… fuera algo usual y cotidiano en prensa, radio, televisión, redes sociales y en charlas de amigos no necesariamente relacionados con el derecho.

Hoy, a poco más de un mes de cumplirse el primer aniversario de que fuera de plena aplicación “…el Reglamento Europeo de protección de datos” (como de un modo familiar se le conocía) lo que cabe preguntarse es:

¿ Y después del 25 de mayo de 2018… qué ?

Porque la adecuación de las empresas al nuevo marco reglamentario europeo no era, ni es, una opción.

Pero a diferencia de un tsunami , que llega normalmente por sorpresa (casi sin avisar y sin darnos margen de reacción) arrasa y se va, el Reglamento (UE) 2016/679 llegó en 2016 precedido de muchos pequeños oleajes y, además, nos concedió una prórroga de dos años, para que sus efectos no pillaran por sorpresa a empresas y profesionales..

Todos sabemos ya lo que pasó: poca gente movió ficha, y a finales de abril-primeros de mayo todo fueron prisas para tratar de adecuarse al nuevo marco reglamentario, aderezadas con las dudas en su interpretación y aplicación, que la Agencia Española de Protección de Datos, l’Autoritat Catalana de Protecció de Dades y la Agencia Vasca de Protección de Datos se han ido esforzando en mitigar, con la publicación de distintas Guías, Prácticas, Listados de cumplimiento.

El Reglamento 2016/679 ha llegado para quedarse sin dejar, inicialmente al menos, ningún panorama desolador como no podía ser de otro modo en una normativa que lo que pretende es garantizar derechos. Pero, como los tsunami, sus efectos pueden llegar a ser devastadores para las empresas y/o profesionales que no hayan tomado las medidas oportunas para adecuarse a él.

Y con el Reglamento siendo ya de plena aplicación, en diciembre 2018 se publicó en España “la nueva LOPD”, que ahora recibe la extensión de “GDD” (garantía de los derechos digitales) y que lo que ha hecho ha sido adecuar nuestra LOPD al nuevo Reglamento Europeo. Es la LOPDGDD (Ley orgánica de protección de datos y garantía de los derechos digitales).

Delegado de protección de datos, consentimiento, derecho a la portabilidad y a la limitación del tratamiento, responsable de tratamiento, evaluación de impacto, análisis de riesgos. brechas de seguridad, responsabilidad proactiva, protecció de datos desde el diseño y por defecto… son algunos de los términos con los que debemos ya familiarizarnos e incorporarlos a nuestro día a día: en las empresas, no hay “uno que se encarga de lo de la protección de datos”. Es misión de toda empresa el hacer llegar a todos sus empleados la cultura de la privacidad.

Pronto llegará el nuevo 25 de mayo… ¿en qué situación se encuentra tu empresa?.

Publicado en

II – SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

La mayor innovación -para los responsables de tratamientos- son dos elementos de carácter general, que se proyectan sobre todas las obligaciones de las empresas:

  • El principio de responsabilidad proactiva
  • El enfoque del riesgo

El primero se describe como “la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento

Así, debe analizar

  • qué datos tratan,
  • con qué finalidades lo hacen y
  • qué tipo de operaciones de tratamiento llevan a cabo,

y determinar explícitamente la forma en que aplicaran las medidas previstas en el RGPD y asegurándose de que éstas sean las adecuadas (…y que puedan demostrarlo). Se exige una actitud consciente, diligente y proactiva de las empresas en todos los tratamientos de datos personales que lleven a cabo.

En cuanto al enfoque del riesgo, las medidas dirigidas a garantizar el cumplimiento del RGPD deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas. Así, algunas de las medidas que establece el RGPD se aplicarán sólo cuando haya un alto riesgo para los derechos y libertades; otras, en función del nivel y tipo de riesgo que los tratamientos presenten.

(Fuente: AEPD)
Publicado en

I – SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Entró en vigor en mayo de 2016, y ya será de plena aplicación en menos de dos meses: el 25 de mayo de 2018.

El Reglamento General de Protección de Datos (RGPD) es una norma directamente aplicable; los responsables de tratamientos deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales. La ley que sustituirá a nuestra actual LOPD sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Las empresas que en la actualidad ya cumplen con la LOPD tienen una buena base de partida para adecuarse correctamente al RGPD, aunque éste modifica algunos aspectos del régimen actual y contiene nueva obligaciones.

(Fuente: AEPD)
Publicado en

SI HOY FUERA 26 DE MAYO EN LUGAR DE 26 DE FEBRERO…

 

Si hoy fuera 26 de mayo, en lugar de 26 de febrero, llevaríamos ya un día en el que sería de plena aplicación el REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.

Después de que hubieran pasado ya dos años desde su entrada en vigor ¿…en qué situación se encontraría su empresa, a nivel de cumplimiento normativo del REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS, si hoy fuera 26 de mayo de 2018?.

Pero hoy no es 26 de mayo.

Si su respuesta ha sido “… todavía no he hecho nada”, su empresa todavía está a tiempo de “ponerse al día” …aunque cada vez quedan menos días.

Contacte con nosotros.

Publicado en

28 DE ENERO, DÍA EUROPEO DE LA PROTECCIÓN DE DATOS

A cuatro meses para que sea de plena aplicación el  Reglamento Europeo de Protección de Datos  (RGPD, UE 2016/679, en vigor ya desde mayo de 2016), un año más se conmemora este próximo domingo el  DÍA EUROPEO DE LA PROTECCIÓN DE DATOS.

Y un año más, desde LOGIC DATA CONSULTING seguimos animándoles a que cada día sea el día la protección de datos en su empresa; es la mejor garantía de poder llevar a cabo de una manera “natural”, integrada, cotidiana y habitual, los requerimientos normativos en materia de protección de datos, formando parte del día a día de la empresa, con todos sus componentes comprometidos e implicados en su aplicación en el día a día.  

Publicado en

La AEPD declara adecuadas las garantías para las transferencias de datos a GOOGLE siempre que…

Las diferentes Autoridades de protección de datos de la UE ya habían confirmado recientemente que los compromisos contractuales de los servicios de Google Cloud cumplían plenamente con los requisitos derivados de la Directiva de Protección de Datos de la UE 95/46/CE. A pesar de ello, la Agencia Española de Protección de Datos (AEPD)  ha declarado que las transferencias internacionales de datos a EEUU, a través de sus servicios G-Suite y Google Cloud Platform, cumplen con las debidas garantías de seguridad y confidencialidad, siempre que se cumplan determinadas condiciones y, en particular, las siguientes:

  1. La finalidad de la transferencia deberá ser la prestación de los servicios de Cloud Platform y G-Suite por GOOGLE INC., actuando como encargado del tratamiento.
  2. La autorización sólo se concederá si el contrato firmado entre el Responsable del tratamiento (exportador de los datos) y GOOGLE INC., Inc. incorpora la totalidad de los documentos aportados para la adopción de la resolución (los “Términos y Condiciones de Servicio para la contratación de Cloud Platform o el “Contrato de G Suite a suscribir con el cliente”, las “Cláusulas contractuales tipo de la UE”, los “Términos y Condiciones de Seguridad y Tratamiento de Datos”, el “Contrato de la Adenda de Tratamiento de Datos”).
  3. El Responsable del tratamiento (exportador de datos) deberá notificar al Registro General de Protección de Datos los ficheros cuyos datos vayan a ser objeto de transferencia internacional, con carácter previo, indicando que se producirá la transferencia internacional de los datos al amparo de dicha resolución.
  4. El alcance de la transferencia internacional de datos que se lleve a cabo deberá resultar ajustado a la estructura del fichero, categorías de datos y finalidades del tratamiento establecidas en la inscripción del mismo.
  5. El Responsable del tratamiento deberá poner a disposición de la AEPD, cuando le fueran requeridos, los contratos de prestación de servicios que haya suscrito con GOOGLE INC.

No obstante lo anterior, la AEPD recuerda que la autorización de transferencia internacional podrá denegarse o suspenderse temporalmente cuando concurra alguna de las circunstancias recogidas en el artículo 70.3 del RLOPD, y sin perjuicio de las suspensiones que puedan acordarse de conformidad con lo estipulado en el contrato presentado, es decir cuándo:

a)      La situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.

b)      La entidad destinataria haya incumplido previamente las garantías establecidas en las cláusulas contractuales aportadas.

c)       Existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el importador.

d)      Existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.

e)      La transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.