Inicio / Protege tu empresa / Blog / Tu Plan Director de Seguridad es esencial para abordar el RGPD

Tu Plan Director de Seguridad es esencial para abordar el RGPD

Publicado el 24/05/2018, por INCIBE
Plan RGPD Seguridad

Con la obligación de cumplir el RGPD a partir del próximo 25 de mayo y el desarrollo del nuevo reglamento de ePrivacy, a los que se añaden las recientes noticias de brechas de datos personales, los debates sobre privacidad están de moda. La digitalización de muchos servicios públicos, del comercio y de la vida social, nos plantean dudas sobre si aún nos queda algún resquicio de intimidad. La red sabe dónde estamos, qué intereses tenemos, cuál es nuestro estado de salud, qué compramos, quienes son nuestros amigos,…

Dejando a un lado a los organismos públicos a los que se les supone un esmero en el cuidado de nuestra privacidad, el resto de organizaciones, pymes y autónomos se ven ahora también ante la tesitura de esforzarse un poco más en este aspecto con la nueva normativa.

Si eres una pymes o un autónomo y tratas datos personales consulta esta guía:

Pero, ¿qué es la privacidad?, y… ¿cómo nos afecta?

Los datos personales son tanto aquellos que nos identifican (nombre, apellidos, DNI) como los que tienen que ver con nuestra situación laboral, financiera o de salud. También se incluyen ahora los datos biométricos y los biológicos. Es decir, cualquier información con la que se nos identifique o se nos pueda identificar. Algunos como los relativos a salud, ideología, religión, origen racial, vida sexual y comisión de infracciones penales y administrativas, están especialmente protegidos en el RGPD.

Existen cuatro grupos de actividades que pueden afectar a la privacidad:

  1. Recogida: actividades mediante las cuales se obtiene, sin permiso o con abuso de autoridad, información de carácter personal.
  2. Procesamiento: actividades que se realizan procesando de alguna forma la información personal durante su almacenamiento o manipulación una vez recogida.
  3. Difusión o amenaza de difusión: actividades que implican una revelación de, o la amenaza de revelar, información personal.
  4. Invasión: actividades que irrumpen en la vida privada de las personas.

Grupos de actvidades que pueden afectar a la privacidad.

¿Qué puedo hacer para proteger la privacidad de mis clientes, empleados y proveedores?

Así visto, parece razonable proteger los datos personales de nuestros clientes, empleados o proveedores. Velar por la privacidad es algo que puede favorecer la confianza en nuestro negocio.

En la empresa los riesgos para la privacidad, los que debemos gestionar, derivan fundamentalmente de:

  • No ser transparentes al informar sobre el tratamiento de los datos y no pedir el consentimiento adecuado.
  • Tomar más datos de los necesarios o tomar datos cuya recogida no es legítima, para los que no estamos autorizados.
  • No permitir o impedir a los propietarios de los datos ejercer sus derechos.
  • Procesar los datos personales de forma descuidada o sin tener en cuenta los efectos para las personas que puedan derivarse de su mal uso.
  • Difundirlos, derivarlos a terceros o utilizarlos para usos no autorizados.
  • No eliminarlos de forma adecuada una vez ya no son necesarios.

Las empresas grandes, pymes, micropymes y autónomos, hemos de cumplir con el RGPD pero esto puede servir para reforzar también la seguridad en general de nuestro negocio, desde un punto de vista organizativo y tecnológico. Esto es posible si aprovechamos el momento para hacer una buena gestión de la seguridad, que incluya todos los aspectos de la privacidad mencionados.

Sinergias entre la gestión de la seguridad y el cumplimiento del RGPD

El Plan Director de Seguridad, en adelante PDS, tiene entre sus objetivos reducir los riesgos para las personas y las organizaciones del mal uso de los datos personales. El PDS, nuestro plan, nos ayudará a tener un sistema de gestión de la seguridad de la información en continua mejora y actualización. El RGPD obliga a las empresas a analizar los riesgos contra la privacidad y a mantener registros de sus tratamientos de datos personales. Estas son algunas áreas en las que existen sinergias entre PDS y RGPD:

  • seguridad de los datos personales
  • notificación de brechas de privacidad
  • gestión de contratos con encargados del tratamiento
  • registro de actividades de los tratamientos
  • privacidad por diseño y por defecto
  • derechos de los propietarios de datos

Tanto si tenemos ayuda externa para las tareas técnicas como si tenemos personal en plantilla, la siguiente tabla muestra algunas de las cuestiones que se han de tratar al poner en marcha el PDS para abordar a la vez el RGPD.

Área  
Seguridad de los datos personales (Artículos 5.1.f, 32 y 39)

¿Qué tipos de datos personales se recogen, tratan y almacenan? ¿Son datos especialmente protegidos? ¿Protegemos estos últimos con seudonimización y cifrado?

¿Están documentados los controles y protocolos que aplican a datos personales? ¿Existen controles técnicos y organizativos específicos para cada categoría de datos y tratamiento?

¿Cómo se determinan las pérdidas de confidencialidad, integridad y disponibilidad? ¿Se realiza una evaluación de los riesgos para la privacidad?

¿Se cifran los datos personales en el almacenamiento y cuando se transmiten? ¿Tenemos capacidad de anonimizar y seudonimizar los datos personales?

Notificación de brechas de privacidad (Artículos 33 y 34)

Para cada tratamiento de datos: ¿somos responsables o encargados?

Los registros de los tratamientos, los inventarios de datos personales y sus métricas, ¿nos permiten identificar brechas de datos?

Si tenemos DPO, ¿está incluido en los planes y procedimientos de gestión de incidentes?

En caso de incidente, ¿tenemos controles específicos para mitigar los riesgos de las personas afectadas por brechas de datos personales?

¿Se ha incluido en los planes de respuesta a incidentes la notificación en 72 horas a las autoridades de control?

Gestión de encargados / responsables del tratamiento (Artículo 28)

¿Tenemos los datos y contactos de todos los encargados de tratamiento? Y si somos encargados de los tratamientos de otros ¿tenemos los datos y contactos de los responsables de estos tratamientos?

Nuestra evaluación de riesgos, ¿contiene cuestiones sobre las medidas técnicas y organizativas para la protección de privacidad dirigidas a los encargados del tratamiento?

¿Hemos redactado las cláusulas contractuales que incluiremos en los contratos con terceros que vayan a actuar de encargados del tratamiento de datos personales?

¿Hemos revisado los contratos existentes con responsables de tratamiento anteriores para que incluyan estas cláusulas?

Para cada tratamiento del que seamos responsables ¿requerimos a los encargados que nos pidan autorización antes de subcontratar a su vez el tratamiento?

Para cada tratamiento del que seamos encargados ¿incluyen nuestras políticas de seguridad los requisitos del artículo 32 del RGPD?

Registro de actividades de tratamiento (Artículo 30)

Para cada tratamiento sabemos:

¿qué tipo de datos personales recogemos?

¿cómo y desde dónde se recogen los datos?

¿cómo y dónde se realiza cada parte del tratamiento?

¿cómo y a dónde se transfieren?

¿cómo y dónde se almacenan, protegen y borran?

¿qué políticas de retención y destrucción tenemos en marcha? ¿se siguen y revisan?

Privacidad por diseño y por defecto (Artículo 25)

Qué datos personales son necesarios para cada tratamiento que gestionamos como responsables o encargados?

Nuestras políticas actuales, ¿limitan la cantidad de datos personales que se pueden recoger, bien sea por diseño de los formularios o por otras medidas de seguridad?

Si contratamos un equipo de desarrollo o adquirimos nuevas aplicaciones, ¿incorporan los principios de privacidad en los requisitos de diseño de nuevas aplicaciones?

Derechos de los propietarios de datos (Artículos 12, 13, 14, 15,16 y 17; Razones 63 y 64)

¿Hemos actualizado nuestros protocolos para informar a los propietarios de los datos y para recabar su consentimiento?

¿Tenemos procedimientos para clasificar e inventariar los datos de carácter personal y poder responder a las solicitudes de los usuarios sobre su información personal?

Nuestros procedimientos actuales, ¿permiten a los propietarios de los datos acceder de forma segura a los datos personales que tenemos de ellos?, ¿tenemos otros datos personales a los que los propietarios no pueden acceder directamente?, ¿cómo se generan los informes sobre estos últimos y cómo se comunican de forma segura a los propietarios de los datos que lo soliciten?

¿Incluyen en nuestras políticas chequeos u otros procedimientos para revisar y corregir datos personales incorrectos o desactualizados?

¿Tenemos en marcha mecanismos para notificar a los propietarios cuando se modifican o se borran sus datos personales Art. 19 RGPD?

¿Utilizamos perfilado o toma de decisiones automatizadas basados en datos personales y los tratamos conforme al Art. 22 RGPD?

¿Tenemos en marcha procedimientos para no retener los datos personales más allá del tiempo necesario para el tratamiento o si el propietario decide ejercer su derecho de supresión? ¿Cómo se ejecutan y revisan estos procedimientos?

¿Disponen los encargados de la seguridad de la información y contactos actualizados sobre los terceros a quienes se transfieren los datos?

¿Ya has pensado cómo vas a cumplir el RGPD? ¿A qué esperas? Sigue este cheklist, pon en marcha tu RGPD con la ayuda de esta guía y revisa tu PDS ¡ya!