El Reglamento General de Protección de Datos (RGPD) será de aplicación el 25 de mayo de 2018 en toda la Unión Europea y tiene como objetivo principal alcanzar un mayor nivel de protección de los datos de carácter personal, alineando la gestión de la protección de datos con las actividades ordinarias y cotidianas de las empresas.
Este reglamento, junto con la LOPD actualizada que se espera entre en vigor también el 25 de mayo de 2018, va a regir cómo se deben tratar los datos personales de los ciudadanos europeos e impondrá cuantiosas multas a las organizaciones que no cumplan con esas directrices. El RGPD aplica a todas las organizaciones que procesen información de carácter personal sobre los ciudadanos de la UE teniendo su establecimiento principal en la UE, o que sin ser así, orienten sus bienes o servicios a ciudadanos de la UE o al menos controlen su comportamiento en la UE.
Las organizaciones a las que les sea de aplicación y quieran garantizar el cumplimiento, deberán adaptar sus procesos e implementar las medidas jurídicas, técnicas y organizativas en base a las disposiciones de la nueva normativa.
A continuación compartimos 10 consejos que pueden ser muy útiles de cara a asegurar el cumplimiento de la normativa por cuenta de la organización.
ITS Security - 10 consejos para cumplir con el RGPD
1. Informe elaborado por ITS Security. Copyright 2018.
10 consejos para
cumplir con el RGPD
2. El Reglamento General de Protección de Datos (RGPD) será de aplicación
el 25 de mayo de 2018 en toda la Unión Europea y tiene como objetivo
principal alcanzar un mayor nivel de protección de los datos de carácter
personal, alineando la gestión de la protección de datos con las actividades
ordinarias y cotidianas de las empresas.
Este reglamento, junto con la LOPD actualizada que se espera entre en
vigor también el 25 de mayo de 2018, va a regir cómo se deben tratar los
datos personales de los ciudadanos europeos e impondrá cuantiosas
multas a las organizaciones que no cumplan con esas directrices. El RGPD
aplica a todas las organizaciones que procesen información de carácter
personal sobre los ciudadanos de la UE teniendo su establecimiento
principal en la UE, o que sin ser así, orienten sus bienes o servicios a
ciudadanos de la UE o al menos controlen su comportamiento en la UE.
Las organizaciones a las que les sea de aplicación y quieran garantizar el
cumplimiento, deberán adaptar sus procesos e implementar las medidas
jurídicas, técnicas y organizativas en base a las disposiciones de la nueva
normativa.
A continuación compartimos 10 consejos que pueden ser muy útiles de cara
a asegurar el cumplimiento de la normativa por cuenta de la organización.
www.its-security.es
3. Conoce la Ley
1
www.its-security.es
Para poder lograr el cumplimiento del RGPD, es necesario
conocer la ley y comprender sus disposiciones.
La nueva normativa de protección de datos contiene conceptos, principios
y mecanismos novedosos que tienen por objetivo garantizar el derecho de
protección de las personas físicas en relación con el tratamiento de datos
personales. La transición desde la normativa actual conllevará al menos:
Adaptar• los procesos de tratamiento para cumplir con todos los
principios del RGPD.
Asegurar• que la legitimación quede documentada.
Implantar• un proceso de gestión de riesgos que se ajuste al enfoque
del RGPD.
Implantar• unas medidas de responsabilidad activa necesarias y acordes
a los niveles de riesgo.
Contar con consultores expertos en esta materia que nos asesoren sobre
sobre los pasos a seguir para adaptarnos a la nueva normativa es un buen
punto de partida para el cumplimiento.
Conoce la Ley
4. Analiza el cumplimiento
de la Ley
2
www.its-security.es
Analiza el cumplimiento de la Ley
Para poder cumplir adecuadamente, es necesario que nos
aseguremos de identificar correctamente los procesos de
tratamiento de datos de carácter personal y su contexto.
Entre otros aspectos se debe obtener información sobre:
• Los propios tratamientos: datos tratados, métodos de recogida,
finalidades, plazos de conservación, encargos de tratamiento, cesiones,
transferencias internacionales, etc.
• Las operaciones realizadas durante todo el ciclo de vida del dato, ya sea
por personal interno o externo.
• El estado de las relaciones con los afectados y con terceros involucrados
en los tratamientos.
• Los sistemas de información que soportan los tratamientos.
• Las medidas jurídicas, técnicas y organizativas que protegen
actualmente los tratamientos.
• La gestión del riesgo sobre los tratamientos.
El análisis de cumplimiento lo debería realizar una persona cualificada y
objetiva, por lo que de nuevo se recomienda contar con consultores
expertos en esta materia para esta fase de la adaptación.
5. Gestiona el riesgo
3
www.its-security.es
La nueva normativa tiene un enfoque de riesgo y obliga a
Responsables y Encargados de Tratamiento a gestionarlo.
En determinadas situaciones y en base al contexto, el tratamiento de datos
puede tener consecuencias negativas para los interesados, afectando a sus
derechos y libertades.
Las organizaciones deben implementar un proceso de gestión de riesgos
que permita una valoración objetiva, y un tratamiento adecuado mediante
la aplicación de medidas para su mitigación.
Es importante que el proceso de gestión de riesgos contemple tanto los
riesgos de seguridad de la información (al menos sobre sus dimensiones
conocidas: confidencialidad, integridad y disponibilidad), como los riesgos
para los derechos y libertades de las personas. Además, deberá contemplar
la realización de una evaluación de impacto en la privacidad en función del
nivel de riesgo.
Aunque el proceso debe adaptarse al contexto de la organización, es
recomendable implantar el proceso tomando de referencia metodologías
y estándares de referencia para la gestión del riesgo (MAGERIT, ISO31000,
ISO27005, etc.), la evaluación de impacto en la privacidad (Guías de las
Autoridades de Control, ENISA, ISO29134, etc.) y la aplicación de las
medidas de seguridad (ISO27001, ENS, etc.).
Gestiona el riesgo
6. Aplica las medidas de
responsabilidad activa
4
www.its-security.es
Aplica las medidas de
responsabilidad activa
Conociendo los resultados del análisis de riesgos y las
disposiciones de la normativa se deben determinar las medidas
a aplicar.
Tras las fases de conocimiento y análisis de debería definir un plan de
acción que podría contemplar, entre otros aspectos, lo siguiente:
Elaboración• o corrección de un registro de tratamientos.
Mejora• de procesos, políticas y procedimientos técnicos y
organizativos.
Implantación• de medidas técnicas y organizativas, incluyendo la
formación y concienciación del personal.
Adaptación• de clausulas informativas, avisos legales, contratos,
métodos de recogida, etc.
Implantación• de la figura de Delegado de Protección de Datos (DPO).
Modificación• o cancelación de tratamientos.
7. Vela por la formación y
concienciación del
personal
5
www.its-security.es
La formación continua es un aspecto fundamental para la mejora
en el ámbito profesional, y una herramienta para garantizar el
cumplimiento de la normativa por cuenta de toda la
organización.
La implantación en una organización de la normativa aplicable en materia
de protección de datos sólo puede ser efectiva si el personal de la misma
recibe una formación adecuada sobre la importancia de la seguridad y el
cumplimiento de las correspondientes obligaciones.
Por tanto, es recomendable que la organización vele, con la supervisión del
Delegado de Protección de Datos (DPO) si aplicase, por lo siguiente:
• Actualizar y profundizar en los conocimientos necesarios de la
normativa vigente en materia de protección de datos.
• Dar a conocer las políticas de seguridad, así como las obligaciones en el
uso de los sistemas de información y en el tratamiento de datos de
carácter personal.
• Fomentar la sensibilización y responsabilidad en materia de seguridad y
protección de datos.
Vela por la formación
y concienciación del personal
8. Mantén tus sistemas
monitorizados
6
www.its-security.es
Mantén tus sistemas
monitorizados
La monitorización es un buen aliado para garantizar la seguridad
y el cumplimiento.
EL RGPD requiere que las organizaciones implementen controles de
seguridad adecuados y que puedan demostrarlo.
Además también traslada la obligación de notificación de violaciones de
seguridad dentro de las 72h siguientes a su detección, considerando que el
incidente y el riesgo están claramente identificados.
La notificación se deberá realizar a la autoridad de protección de datos
competente siempre que haya probabilidad de riesgo contra los derechos y
libertades de los interesados, y a los afectados si el riesgo contra los
derechos es alto (como revelación de información confidencial o sensible, o
puedan implicar perjuicios físicos o económicos a éstos).
Una forma efectiva de cumplir con las anteriores obligaciones es disponer
de una herramienta de monitorización con alertas configuradas para
detectar incidentes en tiempo real. De esta forma, se podrá iniciar la
respuesta a incidentes, así como las pertinentes notificaciones en los plazos
adecuados.
9. Responde rápidamente
a las infracciones
7
www.its-security.es
Cuando se detecta una infracción, se debe entrar en
acción sin demora.
Algunas amenazas pueden expandirse en un abrir y cerrar de ojos, por lo
que una rápida identificación y análisis de la misma es absolutamente
crítico. Como ya hemos señalado previamente, el RGPD requiere dar
ciertos pasos, incluida la notificación a las autoridades de control y
afectados según la violación de seguridad ocurrida.
Por esa razón, la organización debe ser muy ágil para informar sobre la
naturaleza de la violación, qué datos se vieron comprometidos, qué
usuarios se ven afectados y qué medidas se están tomando para mitigar el
ataque.
Responde rápidamente a las
infracciones
10. Prepara un Plan de
Respuesta ante
Incidentes
8
www.its-security.es
Prepara un Plan de Respuesta
ante Incidentes
La mejor respuesta ante incidentes es siempre una
respuesta planificada.
Cuando intentamos improvisar un plan para dar respuesta a un incidente,
casi siempre nos equivocaremos.
Un Plan de Respuesta ante Incidentes (IRP por sus siglas en Inglés –
Incident Response Plan) contempla las acciones que deben tomarse
después de la ocurrencia de un incidente de seguridad, para así estar
preparados para mitigar sus efectos de una forma eficiente. El IRP debe
contemplar las necesidades del negocio, y por tanto debería contemplar la
gestión de violaciones de seguridad en materia de protección de datos.
Para una correcta respuesta ante violaciones de seguridad en materia de
protección de datos se recomienda definir un IRP que contemple este tipo
de situaciones, con la participación de los roles adecuados (como pudieran
ser el DPO o el Responsable de Seguridad), y con unos procesos de
investigación y comunicación de incidentes adaptados a las disposiciones
del RGPD, entre otros aspectos.
11. Realiza auditorías
periódicas
9
www.its-security.es
Para asegurar el cumplimiento de la RPGD de forma continuada
en el tiempo, es recomendable realizar periódicamente
auditorías de cumplimiento y de seguridad.
Si bien es cierto que la nueva normativa no obliga de forma directa a la
realización de auditorías periódicas, el proceso de auditoría es una
herramienta de control y supervisión que permite evaluar y mejorar la
eficacia de los procesos de gestión. Entre ellos la gestión de la seguridad y
del cumplimiento de la normativa aplicable. Por tanto, facilita el
mantenimiento de unos niveles de seguridad y cumplimiento adecuados.
Además, en función del grado de exigencia al que se vea sometido la
organización, puede ser un requisito impuesto por certificaciones, códigos
de conducta u otros agentes externos.
Por consiguiente, se recomienda implantar un proceso de auditoría que
contemple la realización de auditorías periódicas sobre la gestión de la
seguridad de la información y el cumplimiento de la normativa de
protección de datos.
Dentro del ámbito de la seguridad es aconsejable ejecutar auditorías
técnicas que expongan vulnerabilidades reales a las que están expuestos la
información y los sistemas. Los resultados deberían ser contemplados en
los procesos de análisis y tratamiento de riesgos.
Realiza auditorías periódicas
12. Estandariza la gestión de
la seguridad y del
cumplimiento
10
www.its-security.es
Estandariza la gestión de la
seguridad y del cumplimiento
Para garantizar la correcta gestión de la seguridad y el
cumplimiento de las obligaciones impuestas por la normativa es
aconsejable sentar las bases de un sistema de gestión.
El sistema de gestión es una herramienta que permitirá a la empresa
optimizar recursos, reducir costes y mejorar en la consecución de sus
objetivos.
El sistema de gestión que se implante, y que podrá tener como modelo
alguno reconocido como el determinado por la norma ISO27001 (SGSI),
deberá contemplar la protección de la información y los derechos y
libertades de los afectados durante todo el ciclo de vida del dato. Es decir,
durante las fases de recogida, tratamiento y custodia, comunicación y
acceso a datos, y finalización.
En la propia normativa ya se habla a su vez de herramientas que integra el
propio sistema de gestión y que deben tener continuidad en el tiempo,
como son los procesos de gestión de riesgos y auditoría.
13. ¿Todo listo para abordar con éxito RGPD?
Desde el equipo de Consultoría de ITS podemos ayudarte
www.its-security.es
marketing@its-security.es
14. SEDE CENTRAL
ITS | GIPUZKOA (CENTRAL)
Polígono Kurutz Gain
Números 12-13
20850 Mendaro
(Gipuzkoa)
Tfn.: 902 102 655
SEDE CENTRAL
ITS | MADRID
Parque científico de Madrid
Calle Faraday 7
28049 Cantoblanco
(Madrid)
Tfn.: 902 102 655
SEDE CENTRAL
ITS | BIZKAIA
Parque Tecnológico de Zamudio
Laida Bidea, Edificio 205
48170 Zamudio
(Bizkaia)
Tfn.: 902 102 655
SEDE CENTRAL
ITS | NAVARRA
Polígono la estrella
Berroa 19
31192 Tajonar
(Navarra)
Tfn.: 902 102 655
SEDE CENTRAL
ITS | A CORUÑA
Polígono Industrial Pocomaco
(Abanca Innova)Parcela C 10
15190 A Coruña
(Galicia)
Tfn.: 902 102 655
www.its-security.es
marketing@its-security.es