4. ¿Qué es la GDPR?
• Es un reglamento creado por la Unión Europea
• Pone el foco en la protección de los datos personales de los sujetos
• Se centra en la persona física no en la persona jurídica
6. ¿Cuál es el objetivo de la GDPR?
• Proteger a los habitantes de la UE de las infracciones sobre su
privacidad
• Dar poder a las personas para poder controlar como las
empresas utilizan sus datos
• Lograr mayor compromiso de parte de las empresas sobre los
datos de los usuarios, lo que termina beneficiando a la mayoría
7. ¿Qué pasa con la actual Ley orgánica de
protección de datos?
• Sigue vigente
• La GDPR tiene la última palabra
8. ¿Porque debería importarme si es un reglamento
de la Unión Europea?
Articulo 3: Ámbito territorial
1) El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las
actividades de un establecimiento del responsable o del encargado en la Unión,
independientemente de que el tratamiento tenga lugar en la Unión o no.
2) El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la
Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades
de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos
se les requiere su pago,
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
9. ¿Porque debería importarme si es un reglamento
de la Unión Europea?
• El Reglamento protege a los habitantes
europeos cuando interactúan con empresas
localizadas en la Unión Europea
• Pero… también cuando sus datos son
exportados a otro país.
11. Implementar mecanismos que permitan acreditar que se adoptaron todas las
medidas de seguridad necesarias para tratar los datos personales como exige la
norma.
Las organizaciones deben ser capaces de demostrar que cumplen con las
exigencias, lo cual obligará a desarrollas políticas, procedimientos, controles, etc.
Es una responsabilidad proactiva.
Pilares de la GDPR
Responsabilidad
12. Adoptar medidas que garanticen el cumplimiento
de la norma desde el mismo momento en que se
diseñe una empresa, producto, servicio o
actividad que implique tratamiento de datos,
como regla y desde el origen.
Pilares de la GDPR
Seguridad por diseño y defecto
13. Los avisos legales y políticas de privacidad
deberán ser simples, facilitando su comprensión,
además de más completos.
Pilares de la GDPR
Transparencia
Ejemplo: https://dinstand.no/en/privacy-policy/
15. Roles principales:
• El controlador: Recolecta datos (la empresa)
• El procesador: Procesa los datos que le envía el
controlador (empresas terceras)
• Data subject / Interesado (el usuario)
• DPO (Oficial de protección de datos)
16. Roles:
Controladores (Empresa)
• Usualmente es la empresa
• Seguridad por diseño y defecto
• Elegir procesadores de datos que cumplan con la GDPR
• Contratar servicios que sean GDPR compliance
• Implementar políticas adecuadas de protección de datos
• 72 hs es el plazo para informar sobre cualquier incidencia
17. • Debe ser GDPR compliance
• El procesamiento debe estar regido por un vinculo legal
• Debe tomar las medidas de seguridad necesarias
• Debe informar en caso de sufrir cualquier tipo de incidente que afecte a
los datos de usuarios
• No involucrar a otros procesadores sin autorización previa del
controlador
• Si el primer procesador designa a otros procesadores, se aplican las
mismas obligaciones que se aplican al primer procesador
Roles:
Procesadores de datos (Empresa tercera)
18. • Derechos:
• De acceso a los datos almacenados
• A corregir los datos brindados
• A borrar los datos (derecho al olvido)
• Portar los datos
• Limitar el tratamiento de los datos
• Oponerse al tratamiento
• Oponerse a la elaboración de perfiles
• Presentar reclamos ante la autoridad de control
Roles:
Data subject / Interesado (Usuario)
19. • Solo es obligatorio si:
• Es una empresa pública
• Si tienen tratamientos de gran escala
• O se manejan datos especialmente sensibles
• Si es fundamental para el negocio
Roles:
DPO (Oficial de protección de datos)
20. • Sus funciones
• Supervisar la implementación y aplicación de las políticas internas
• Formar al personal
• Organizar y coordinas las auditorias
• Ser el representante para la autoridad de control (ICO)
• Asegurarse de mantener la documentación que exige el Reglamento
• Establecer, mantener y supervisar el cumplimiento en materia de
protección de datos y privacidad
• Supervisar la gestión de incidencias
Roles:
DPO (Oficial de protección de datos)
25. Resumiendo: ¿Entonces? ¿Qué hacemos?
• Seguridad por defecto
• Configurar correctamente Google Analytics, hotjar, etc
• Formularios de la web
• Email marketing
• Usar certificados TLS (SSL)
• No pedir mas datos de los necesarios
• Ser claro en el uso de los datos
• Definir políticas sobre el/los servidor/es (webserver, base de datos, políticas de backup)
• Tener un planes de contingencia y establecer una política de testeo del plan.
• Siempre informar al usuario lo que pasa de forma inmediata y con una comunicación
simple y clara
• 72hs para informar cualquier brecha de seguridad