Reglamento General de Protección de Datos (GDPR).
Para las organizaciones internacionales, las nuevas leyes de protección de datos de la Unión Europa traen cambios esenciales en materia de tratamiento de datos y ciber-seguridad.
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea entró en vigor el pasado 25 mayo de 2018. A partir de ese momento, esta ley de protección de datos comenzará a sentar nuevas reglamentaciones generales para todas las entidades que manejen información personal de ciudadanos de la UE, independientemente de su ubicación.
La GDPR impone extensas protecciones, limitaciones y requisitos para su cumplimiento. También establece severas sanciones por incumplimiento
-Cómo los nuevos derechos sobre los datos de los ciudadanos de la UE afectará a tus procesos de negocio
-Las nuevas sanciones por incumplimiento, que pueden representar hasta un 4% de la facturación internacional
-El significado de “Privacidad por Diseño” (“Privacy by Design”) y qué significa para la ciber-seguridad
Consultoría RGPD
La Protección de Datos Personales es un derecho fundamental de los ciudadanos de inexcusable aplicación por cualquier tipo de organización. Tras la aprobación del Reglamento General de Protección de Datos (RGPD) que ha derogado Directiva 95/46/CE las organizaciones deben ser capaces de demostrar el cumplimiento de este reglamento y aplicar las medidas de seguridad de acuerdo a un análisis de riesgos sobre las personas de las que se tratan datos.
El RGPD ha establecido como fecha límite para adecuarse al mismo, el 25 de mayo de 2018.
Para ayudar a las organizaciones con la adecuación de sus actividades a esta normativa, Keeper ofrece sus servicios de acuerdo a una estructura en etapas, que implica la realización de actuaciones de forma progresiva y por lo tanto nos lleva al establecimiento de un proyecto que siga aproximadamente las siguientes fases:
Consultoría RGPD 
La Protección de Datos Personales es un derecho fundamental de los ciudadanos de inexcusable aplicación por cualquier tipo de organización. Tras la aprobación del Reglamento General de Protección de Datos (RGPD) que ha derogado Directiva 95/46/CE las organizaciones deben ser capaces de demostrar el cumplimiento de este reglamento y aplicar las medidas de seguridad de acuerdo a un análisis de riesgos sobre las personas de las que se tratan datos.
El RGPD ha establecido como fecha límite para adecuarse al mismo, el 25 de mayo de 2018.
Para ayudar a las organizaciones con la adecuación de sus actividades a esta normativa, Keeper ofrece sus servicios de acuerdo a una estructura en etapas, que implica la realización de actuaciones de forma progresiva y por lo tanto nos lleva al establecimiento de un proyecto que siga aproximadamente las siguientes fases:
Fase 1: EVALUACIÓN INICIAL
Keeper determinará los requerimientos iniciales del RGPD y resto de normas aplicables relacionadas con la protección de datos, realizando un análisis de la brecha para conocer el estado de implantación de controles que establecen las normas aplicables y lo que está pendiente para el pleno cumplimiento, identificando las deficiencias en relación a los cambios normativos que se hayan producido, nuevos tratamientos o aquellos cancelados, respecto a cualquier implantación de la que se disponga en la organización en relación con la normativa de protección de datos de carácter personal.
Este análisis se considerará el punto de partida y será uno de los indicadores de evolución de la implantación.
Fase 2: PLAN
Registro de actividades de tratamiento
Keeper establecerá y documentará un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD.
Estudio de la base de legitimación de los tratamientos.
Todo tratamiento de datos necesita apoyarse en una base que lo legitime. Keeper, de acuerdo con el análisis previo de actividades de tratamiento analizará base jurídica que legitime el tratamiento de los datos de cada actividad, ya sean obligaciones legales, relaciones contractuales, interés público, interés legítimo del responsable o encargado, protección de intereses vitales y/o consentimiento.
Cumplimiento del deber de informar mediante elaboración de las cláusulas legales
Keeper, revisará el clausulado legal de la organización en materia de protección de datos, proponiendo las mejores prácticas aplicables para dar cumplimiento a la obligación de informar en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que asisten a los afectados. Se analizarán tanto en relación con las recogidas de información físicas, en papel o en formato electrónico, web o mediante cualquier otro método, siguiendo las mejores prácticas posibles para que se pueda demostrar la “responsabilidad activa” de la organización a la vez que sean procedimientos eficientes para nuestros clientes.
Se desarrollarán fórmulas para la obtención del consentimiento expreso del interesado en los tratamientos que así lo requieran.
Procedimientos para el ejercicio de derechos.
El RGPD contiene los ya tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y también algunos nuevos derechos como la limitación del tratamiento o la Portabilidad. Además, establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos.
En consecuencia Keeper articulará procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos y asesorará, a petición del cliente, para que éste dé cumplimiento en las formas y plazos previstos en la ley a los derechos que pudieran ejercitar los afectados respecto a los tratamientos realizados por la organización.
Evaluación de la relación con encargados de tratamiento.
Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD. Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros responsables de la subcontrata..
Keeper revisará los tratamientos de datos por cuenta de terceros que existen en la organización, e indicará las actuaciones a realizar para la evaluación de los proveedores, petición de certificaciones y si fuera necesario actualizará y/o redactará los contratos para regular el encargo de tratamiento de los datos por cuenta de terceros
También regularemos el acceso a datos por cuenta de terceros, aunque no exista tratamiento (Empresa de limpieza, empresa de mantenimiento, seguridad….).
Análisis de riesgo en RGPD
El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer. Keeper identificará y documentará una metodología para utilizar en los análisis y evaluación de riesgos, sobre incumplimientos de protección de datos y sobre los derechos y libertades de los interesados en lo que relativo a las normativas objeto de este proyecto, y realizará un análisis que será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos determinando la necesidad o no de adoptar nuevas medidas.
Seleccionar objetivos de control y controles para el tratamiento.
Los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis y evaluación de impacto previos y atendiendo a:
-El coste de la técnica
-Los costes de aplicación
-La naturaleza, el alcance, el contexto y los fines del tratamiento
-Los riesgos para los derechos y libertades
Será necesario revisar el Manual de Seguridad, si la organización dispone de él, para valorar la cobertura que se da a los objetivos de control que se hayan determinado en la “Evaluación de impacto en la privacidad y el análisis de riesgos y redactará en su caso las modificaciones oportunas para que éste cumpla lo establecido en el RGPD”.
Delegado de protección de datos (DPD / DPO)
El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en determinadas circunstancias. El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.
Keeoer determinará junto con la organización la necesidad de disponer de la figura del DPD cumpliendo con los requisitos establecidos, y especialmente su interés en formar parte del comité de seguridad, responsables de velar por la política de seguridad de la entidad. Entre los requisitos se encuentran:
-
Total autonomía en el ejercicio de sus funciones
-
Necesidad de que se relacione con el nivel superior de la dirección
-
Obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.
Revisión legal de la web
Estos servicios se circunscriben a las labores de consultoría LSSI-CE (Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico). Este servicio pone su atención sobre todos aquellos aspectos que las empresas tienen que tener en cuenta para el cumplimiento de la LSSI-CE, como son los de:
Identificación. Información que se debe suministrar desde el sitio web sobre el titular del mismo.
Control de contenidos, propios y externos.
Condiciones de Uso de la Web y Política de Privacidad.
Uso de Cookies y meta-tags, identificación de las diferentes cookies que usa la web y redacción de la política correspondiente.
Información sobre los productos o servicios ofrecidos, su precio, los gastos e impuestos aplicables, etc., así como sobre los procedimientos de contratos on-line (trámites, almacenamiento, condiciones aplicables, etc.)
Publicidad o marketing mediante correo electrónico.
Derechos de autor de los contenidos de la web.
Propiedad intelectual e industrial de la web.
Para ello se facilitarán los siguientes documentos:
-Política de Privacidad
-Aviso Legal
-Condiciones de contratación web
-Política de Cookies
-Informe sobre envío de publicidad por vía electrónica.
FASE 3: CONSULTORÍA DE IMPLEMENTACIÓN (DO)
Esta fase corresponde con la implantación y operación del sistema cuya responsabilidad recaerá en la propia entidad con apoyo de la empresa asesora. Los distintos pasos que se prevén son los siguientes:
Definir un plan de tratamiento del riesgo.
Este plan identificará las acciones, responsabilidades y prioridades para administrar los riesgos identificados.
Implementar el plan de tratamiento del riesgo.
Se implantarán los objetivos de control como necesarios de acuerdo a la priorización, así como la asignación de las responsabilidades.
Implementar los controles seleccionados para alcanzar los objetivos de control.
Dar cumplimiento a los objetivos de control.
Implantar y ejecutar programas de aprendizaje y conocimiento.
Este programa permite que exista el nivel de conocimiento y sensibilidad necesario en la organización para la operación del SGSI y conocimiento de sus obligaciones y responsabilidades.
Gestionar operaciones y recursos del SGSI.
Implantación de procedimientos de detección y tratamiento de incidentes de seguridad.
Realización de evaluación de impacto en la privacidad y análisis de riesgos (EIPD)
Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados o si así lo establece la normativa vigente.
Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que las actividades de tratamiento pueden entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
Keeper establecerá una metodología para evaluar el impacto en la privacidad de las actividades de tratamiento de datos personales de la organización y, tras haber consultado con todas las partes implicadas, tomar las medidas necesarias para evitar o minimizar los impactos negativos.
Las EIPDs para ser efectivas deben establecerse también con un ciclo continuo.
Las fases principales de esta EIPD serán:
Estas evaluaciones de impacto podrán integrarse con otros procesos de análisis de riesgos si así se cree conveniente durante la implantación del SGSI.
Protección de Datos desde el Diseño y por Defecto
Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.
Keeper asesorará para que los responsables adopten las medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos, así como que se aplican de forma efectiva los principios del RGPD y del ENS en cualquier nuevo proyecto que se pretenda llevar a cabo.
FASE 4: REVISIÓN / VERIFICAR (CHECK)
Controles para la adecuación legal
Keeper realizará con carácter periódico revisiones del SGSI para la correcta actualización de los controles, procedimientos y manuales y seguimiento de las posibles deficiencias que se puedan cometer tanto por los usuarios como los responsables del tratamiento.
Establecer procedimientos de monitorización.
Poner en marcha procedimientos que traten de identificar debilidades de seguridad de forma temprana e incidentes y comprobar el adecuado cumplimiento de las actividades asignadas
Revisión del SGSI.
Se revisará incidentes, quejas y sugerencias de los distintos actores afectados por el SGSI.
Revisar evaluaciones de riesgos y nivel de riesgo residual/aceptable.
Se deben tomar en cuenta los cambios producidos en: organización, tecnología, objetivos y procesos de negocios, amenazas y cambios externos que puedan afectar el SGSI.
Registrar acciones y acontecimientos.
Poner en marcha registros como mecanismos de control del SGSI para permite observar a futuro los puntos donde se producen problemas.
FASE 5: ACTUAR (ACT) Y MANTENIMIENTO
Asesorar en la implementación de cualquier mejora identificada
Asesorar en:
-La comunicación de las acciones y las mejoras a las partes interesadas
-Comprobar la eficacia de las acciones.
-Cómo llevar a cabo las acciones correctivas y preventivas apropiadas, como mecanismo de mejora del SGSI.
-Certificar la adecuación al RGPD
Una vez se haya concluido la adecuación de su entidad a la normativa de protección de datos y se considere correctamente implantado el ciclo de revisión del sistema de gestión de protección de datos se emitirá el certificado de excelencia en protección de datos de Keeper.
Este certificado podrá ser utilizado para demostrar ante sus clientes su compromiso con el cumplimiento normativo, facilitando la contratación de sus servicios ya que ellos tendrán que hacer una selección de proveedores asegurando el cumplimiento normativo de los mismos.
Asesoría Jurídica y Técnica:
Durante la vigencia del contrato firmado, la organización, en cualquier momento, podrá consultar sobre cualquier cuestión en materia de protección de datos o LSSI.
Si la consulta lo requiere, se elaborará un informe para dar respuesta a la misma, y se generará la documentación necesaria. No existiendo un límite máximo de consultas.
Keeper prestará asistencia legal ante inspecciones de la Agencia Española de Protección de Datos, incoadas de oficio o por reclamaciones o denuncias de terceras personas físicas o jurídicas, por un supuesto de vulneración de la normativa de protección de datos. La asistencia legal se limitará a aquellas actuaciones que resulten necesarias hasta el agotamiento de la vía administrativa. Cualquier actuación que sobrepase esta vía, ya sea contencioso-administrativa, civil o penal requerirá la previa aprobación, por parte del cliente del correspondiente presupuesto presentado por el letrado a tal efecto.
Consultoría RGPD.
Entre los servicios que se ofrecen en nuestra consultoría se incluyen:
Diagnosis inicial del cumplimiento legal.
Nuestros expertos determinarán el grado de cumplimiento de la normativa de protección de datos de cada uno de los departamentos de nuestro cliente que traten datos de carácter personal, identificando las posibles sanciones a las que se pueda hallar expuesto en cada caso.
Alta de ficheros.
Analizamos y clasificamos presencialmente los ficheros que utilizan nuestros clientes en función de su contenido y finalidad, redactamos la documentación de protección de datos necesaria para realizar su inscripción y tramitamos el alta en la Agencia Española de Protección de Datos.
Es importante hacer constar que sólo es necesario dar de alta el fichero, pero no los datos que contiene, los cuales siempre permanecen en poder y conocimiento exclusivo del cliente.
Redacción y aplicación de las medidas de seguridad.
Establecemos las medidas de seguridad de protección de datos, tanto de índole técnica como organizativa, necesarias para garantizar la seguridad que deben reunir los ficheros informatizados, los centros de tratamiento, locales, equipos, sistemas y las personas que intervengan en el tratamiento de los datos de carácter personal.
Controles presenciales periódicos.
Realizamos controles presenciales periódicos de los sistemas de tratamiento de datos de carácter personal para verificar el cumplimiento del Reglamento y de los procedimientos e instrucciones vigentes en esta materia.
Establecimiento de las políticas de privacidad de la empresa.
La cada vez mayor concienciación de usuarios y clientes en relación con la privacidad de sus datos personales hace necesario que las empresas que recogen este tipo de datos en sus actividades (comerciales, promocionales, de selección de personal, etc.), y de forma muy especial las que trabajan en Internet, establezcan de forma clara y visible una adecuada Política de Privacidad que tranquilice a cualquier particular respecto a la inexistencia de riesgos derivados del hecho de facilitar sus datos personales.
Keeper se encarga de redactar la Política de Privacidad y las cláusulas legales más adecuada conforme a la Ley de protección de datos, para insertarlas tanto en el sitio web como en la documentación que sirva de soporte para la recogida de los datos personales (formularios, contratos, solicitudes, etc.).
Responsable de Seguridad.
Asesoramos al responsable de seguridad designado por nuestro cliente para el buen desempeño de sus indispensables tareas en relación con el tratamiento de datos de carácter personal en la empresa. Dentro de estas funciones se incluye la responsabilidad de atender y dar cumplimiento en las formas y plazos previstos en la ley a los derechos de acceso, rectificación, oposición y cancelación que pudieran ejercitar los particulares cuyos datos personales se encuentren en los ficheros de la empresa..
Asesoramiento Jurídico Continuo.
En caso de inspecciones de la A.E.P.D., o ante denuncias o reclamaciones de particulares a causa de una supuesta vulneración de la RGPD, ofreceremos colaboración y asesoramiento a los servicios jurídicos a nuestros clientes.
Auditoría RGPD
Realizamos auditorías de verificación del cumplimiento legal en protección de datos
Según dispone el art. 96 del RD 1720/2007 “a partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento… ”. “
Para dar cumplimiento a lo dispuesto en el citado artículo, lleva a cabo dichas auditorias con personal cualificado y con amplia experiencia en gestión de sistemas de información.
El informe de auditoría resultante, que se entregará al cliente, cumplirá con las exigencias legales establecidas y dictaminará sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificará sus deficiencias y propondrá las medidas correctoras o complementarias necesarias. Igualmente, incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
