Nuevas exigencias en materia de Protección de Datos

Hace mA?s de sesenta aA�os y paralelamente A�al nacimiento de la informA?tica, se inicia el interA�s por lo que entonces empezamos llamando seguridad informA?tica, que aA�os despuA�s pasarA�a a llamarse seguridad de la informaciA?n, y que hoy conocemos como ciberseguridad. Este preocupaciA?n por la seguridad, forma parte hoy de la preocupaciA?n por la SEGURIDAD DEL ESTADO, ante la importancia de las amenazas de posibles daA�os a sistemas crA�ticos nacionales, como la EnergA�a, la Sanidad, la Banca. Afortunadamente no estamos solos frente a tales peligros, ya que como europeos, la protecciA?n se activa y regula a nivel europeo.

En nuestro caso, la Agencia EspaA�ola de ProtecciA?n de Datos (AEPD), como autoridad nacional, estA? llamada a desempeA�ar un papel central. En este aA�o 2018 va a llegar a nuestro paA�s una nueva Ley OrgA?nica de inspiraciA?n europea.A� Se trata de un cambio sustancial en esta materia, que afecta al A?mbito privado y al pA?blico, donde tambiA�n se ven afectadas las Administraciones pA?blicas.

Nuevo Reglamento General de ProtecciA?n de Datos (RGPD, en ingles GDPR)

El 25 de mayo de 2018 comenzarA? a aplicarse el Reglamento General de ProtecciA?n de Datos (RGDP) que sustituirA? a la actual normativa vigente.

Novedades del RGPD

Aunque su empresa ya se ajuste a los requerimientos de la actual ley de protecciA?n de datos espaA�ola, la entrada en vigor de la nueva ley hace necesario actualizar algunos de sus aspectos. Entre ellos, los mA?s destacados:

• Consentimiento expreso:SerA? necesario un consentimiento expreso, inequA�voco, y verificable, y no tA?cito de la informaciA?n que se obtenga de los clientes, para el tratamiento de sus datos personales.
• Derecho al olvido, o eliminaciA?n total de datos, y derecho a rectificaciA?n de datos inexactos.
• Derecho a la Portabilidad, o traslado de los datos a otro proveedor de servicios, y de obtenciA?n de los datos que ha proporcionado a una entidad.
• Obligatoriedad de Fines determinadosA�de la recogida de datos, que no pueden ser utilizados despuA�s para otros diferentes.
• Sistema de cifrado obligatorio, con doble factor de autentificaciA?n. TambiA�n para los datos considerados bA?sicos.
• ObligaciA?n de un DPO, o Delegado de ProtecciA?n de Datos (Data ProtecciA?n Office). Sera una figura necesaria y clave para dirimir los asuntos de privacidad y seguridad. TendrA? que identificar riesgos y desarrollar soluciones. Puede ser interno o externo, pero deberA? tener independencia y dotarle de las herramientas que precise. Debe tener conocimientos jurA�dicos, si bien el reglamento no exige que sea jurista. Se recomienda ampliamente que este certificado para el desempeA�o de tal funciA?n.
• ObligaciA?n de comunicar fallas, que supone una revisiA?n constante de intrusos y notificarlos en el plazo de 72 horas a la AEPD.
• Lenguaje comprensibleA�y claro para las clA?usulas de privacidad. Sera necesario que las empresas detallen explA�citamente y en un lenguaje claro los datos e informaciA?n personal requerida al usuario.

A?A quiA�n alcanza la RGPD?

Empresas, instituciones y usuarios se verA?n afectados de una u otra manera por la aplicaciA?n del nuevo reglamento. A los primeros les exigirA? mayores niveles de transparencia y garantA�a y a los segundos, otorgarA? nuevos derechos que podrA?n ejercer.

La principal novedad en este sentido serA?A�la consideraciA?n deA�InternetA�como territorio comunitario en sA� mismo.

El rA�gimen sancionador

El nuevo rA�gimen sancionador endurece sustancialmente las sanciones que se aplicarA?n a aquellos que no cumplan con el reglamento. AdemA?s de las cuantA�as econA?micas, se abre la puerta a queA�los ciudadanos puedan exigir indemnizaciones por daA�os y perjuiciosA�si son afectados por un tratamiento ilA�cito de sus datos personales. SegA?n ha manifestado la directora de la AEPD, Mar EspaA�a, la intenciA?n de la agencia no es la de sancionar aplicando la ley de forma automA?tica, ya que en ocasiones se informarA? bajo la modalidad de apercibimiento. La directora aboga tambiA�n por impulsar un mecanismo como es el de la mediaciA?n, que estA? siendo infrautilizado. A�En esta lA�nea la directora recomienda que las empresas se apoyen en la figura del DPO y que A�ste cuente con una certificaciA?n oficial. La obligatoriedad o no, de contar con un DPO depende del tamaA�o de la empresa. Los DPO podrA?n resolver en un mes las reclamaciones y evitar asA� el procedimiento sancionador. A�Las multas no se aplicarA?n a las Administraciones PA?blicas, que solo recibirA?n un apercibimiento.

En cuanto a las multas, estas tambiA�n aumentan, llegando en los casos mA?s graves a los 20.000.000 de euros o el 4% del volumen de negocio global en el ejercicio financiero anterior.

Otra de las novedades a partir de 2018 es que ya no estarA?n tipificadas en niveles, sino separadas por rangos, segA?n el artA�culo del Reglamento al que afecte. TambiA�n permite a los Estados asociar infracciones y sanciones administrativas conA�otras penales.

Veamos algunas de las sanciones que se pueden aplicar segA?n cuantA�as:

Hasta 10.000.000 a�� o 2% del volumen de negocio anual.

• Falta de implementaciA?n de medidas adecuadas.
• Falta de consentimiento paterno en servicios a menores.
• No realizar evaluaciA?n de impacto si entraA�a elevado riesgo.
• No designar DOP.
• Incumplimiento de obligaciones del encargado o el corresponsable.
• No notificar las fallas de seguridad, como accesos no autorizados, pA�rdida de un laptop o borrado accidental de datos.

Hasta 20.000.000 a�� o 4% del volumen de negocio anual.

• Falta de cumplimiento bA?sico como licitud, fines legA�timos y explA�citos, etc.
• Impedir el ejercicio de los derechos del usuario: acceso, rectificaciA?n, cancelaciA?n, portabilidad, olvido, etc.
• Impedir el acceso a la Autoridad de Control.
• Incumplimiento de A?rdenes.
• No informaciA?n al usuario en el momento de recogida de los datos.
• Falta de consentimiento explA�cito del usuario.
• Transferencia de datos a un tercero que no ofrezca las mismas garantA�as.

AdaptaciA?n al RGPD

Para empezar, las organizaciones deben iniciar un programa GDPR y separar los recursos del negocio para que tengan la capacidad de hacer el trabajo. Las empresas que no tienen empleados con las habilidades necesarias pueden, y deben, contar con ayuda externa contratando asesores y proveedores especializados. Este grupo debe informar directamente al director, Chef Rick Officer, CFO o CEO.

Muchas organizaciones no tienen conocimiento del total de datos que poseen. Por lo tanto, es vital:

• Identificar los tipos de datos que estA?n dentro del alcance del RGPD.
• Emprender un ejercicio de descubrimiento para encontrar dA?nde se guardan los datos.
• Identificar quiA�n estA? usando quA� en Internet: los departamentos de marketing, por ejemplo, pueden estar usando plataformas como Dropbox, Evernote y Snack.
• Identificar a los empleados que usan sus propios dispositivos o servicio en la nube, para que estos puedan habilitarse y administrarse de manera segura.
• Establecer con claridad lo que significa a�?datosa�? en el contexto de la empresa, junto con una lista de caracterA�sticas.
• Identificar procesos comerciales que crean / editan / guardan datos de empleados, clientes y proveedores.
• Involucrar a los dueA�os de negocios (ya que son los dueA�os de los datos).

Llevar a cabo una evaluaciA?n de riesgos exhaustiva que abarca la fragmentaciA?n de datos, la gestiA?n del almacenamiento en la nube y los servicios de intercambio de documentos, el trA?nsito de datos, la informA?tica oculta, el acceso de los empleados y la efectividad de las contraseA�as.

Estrategia de cumplimiento

Las organizaciones deben tomar medidas para garantizar que existan prA?cticas y procesos adecuados para proteger los datos, a un nivel que sea apropiado para el riesgo. Su estrategia debe incluir:

• Cifrado y pseudomizaciA?n (reemplazando cualquier campo de datos de identificaciA?n con cA?digos de referencia A?nicos).
• Capacidad para restaurar la disponibilidad de datos en caso de una violaciA?n o problema tecnolA?gico de manera oportuna.
• Garantizar la confidencialidad, integridad y disponibilidad continuas de los sistemas y servicios de procesamiento de datos.
• Establecer un proceso para pruebas de seguridad regulares y evaluaciones de efectividad.

El Delegado de ProtecciA?n de Datos (DPO)

Es una nueva figura con protecciA?n especial, y que serA? obligatoria en grandes empresas, que requieran tratamiento de datos a gran escala. SerA? el enlace de la empresa con las diferentes autoridades, como la AEPD. Puede ser nombrado de entre los miembros de la plantilla, o a travA�s de contrataciA?n externa. Para su certificaciA?n se ha puesto en marcha un esquema de certificaciA?n del Delegado de ProtecciA?n de Datos, donde se recogen las tareas y competencias del DPO, y el esquema por el que pueden certificarse.