SlideShare una empresa de Scribd logo

ITS Security - 10 consejos para cumplir con el RGPD

ITS SECURITY
ITS SECURITY

El Reglamento General de Protección de Datos (RGPD) será de aplicación el 25 de mayo de 2018 en toda la Unión Europea y tiene como objetivo principal alcanzar un mayor nivel de protección de los datos de carácter personal, alineando la gestión de la protección de datos con las actividades ordinarias y cotidianas de las empresas. Este reglamento, junto con la LOPD actualizada que se espera entre en vigor también el 25 de mayo de 2018, va a regir cómo se deben tratar los datos personales de los ciudadanos europeos e impondrá cuantiosas multas a las organizaciones que no cumplan con esas directrices. El RGPD aplica a todas las organizaciones que procesen información de carácter personal sobre los ciudadanos de la UE teniendo su establecimiento principal en la UE, o que sin ser así, orienten sus bienes o servicios a ciudadanos de la UE o al menos controlen su comportamiento en la UE. Las organizaciones a las que les sea de aplicación y quieran garantizar el cumplimiento, deberán adaptar sus procesos e implementar las medidas jurídicas, técnicas y organizativas en base a las disposiciones de la nueva normativa. A continuación compartimos 10 consejos que pueden ser muy útiles de cara a asegurar el cumplimiento de la normativa por cuenta de la organización.

Tecnología
1 de 14
Informe elaborado por ITS Security. Copyright 2018. 10 consejos para cumplir con el RGPD
El Reglamento General de Protección de Datos (RGPD) será de aplicación el 25 de mayo de 2018 en toda la Unión Europea y tiene como objetivo principal alcanzar un mayor nivel de protección de los datos de carácter personal, alineando la gestión de la protección de datos con las actividades ordinarias y cotidianas de las empresas. Este reglamento, junto con la LOPD actualizada que se espera entre en vigor también el 25 de mayo de 2018, va a regir cómo se deben tratar los datos personales de los ciudadanos europeos e impondrá cuantiosas multas a las organizaciones que no cumplan con esas directrices. El RGPD aplica a todas las organizaciones que procesen información de carácter personal sobre los ciudadanos de la UE teniendo su establecimiento principal en la UE, o que sin ser así, orienten sus bienes o servicios a ciudadanos de la UE o al menos controlen su comportamiento en la UE. Las organizaciones a las que les sea de aplicación y quieran garantizar el cumplimiento, deberán adaptar sus procesos e implementar las medidas jurídicas, técnicas y organizativas en base a las disposiciones de la nueva normativa. A continuación compartimos 10 consejos que pueden ser muy útiles de cara a asegurar el cumplimiento de la normativa por cuenta de la organización. www.its-security.es
Conoce la Ley 1 www.its-security.es Para poder lograr el cumplimiento del RGPD, es necesario conocer la ley y comprender sus disposiciones. La nueva normativa de protección de datos contiene conceptos, principios y mecanismos novedosos que tienen por objetivo garantizar el derecho de protección de las personas físicas en relación con el tratamiento de datos personales. La transición desde la normativa actual conllevará al menos: Adaptar• los procesos de tratamiento para cumplir con todos los principios del RGPD. Asegurar• que la legitimación quede documentada. Implantar• un proceso de gestión de riesgos que se ajuste al enfoque del RGPD. Implantar• unas medidas de responsabilidad activa necesarias y acordes a los niveles de riesgo. Contar con consultores expertos en esta materia que nos asesoren sobre sobre los pasos a seguir para adaptarnos a la nueva normativa es un buen punto de partida para el cumplimiento. Conoce la Ley
Analiza el cumplimiento de la Ley 2 www.its-security.es Analiza el cumplimiento de la Ley Para poder cumplir adecuadamente, es necesario que nos aseguremos de identificar correctamente los procesos de tratamiento de datos de carácter personal y su contexto. Entre otros aspectos se debe obtener información sobre: • Los propios tratamientos: datos tratados, métodos de recogida, finalidades, plazos de conservación, encargos de tratamiento, cesiones, transferencias internacionales, etc. • Las operaciones realizadas durante todo el ciclo de vida del dato, ya sea por personal interno o externo. • El estado de las relaciones con los afectados y con terceros involucrados en los tratamientos. • Los sistemas de información que soportan los tratamientos. • Las medidas jurídicas, técnicas y organizativas que protegen actualmente los tratamientos. • La gestión del riesgo sobre los tratamientos. El análisis de cumplimiento lo debería realizar una persona cualificada y objetiva, por lo que de nuevo se recomienda contar con consultores expertos en esta materia para esta fase de la adaptación.
Gestiona el riesgo 3 www.its-security.es La nueva normativa tiene un enfoque de riesgo y obliga a Responsables y Encargados de Tratamiento a gestionarlo. En determinadas situaciones y en base al contexto, el tratamiento de datos puede tener consecuencias negativas para los interesados, afectando a sus derechos y libertades. Las organizaciones deben implementar un proceso de gestión de riesgos que permita una valoración objetiva, y un tratamiento adecuado mediante la aplicación de medidas para su mitigación. Es importante que el proceso de gestión de riesgos contemple tanto los riesgos de seguridad de la información (al menos sobre sus dimensiones conocidas: confidencialidad, integridad y disponibilidad), como los riesgos para los derechos y libertades de las personas. Además, deberá contemplar la realización de una evaluación de impacto en la privacidad en función del nivel de riesgo. Aunque el proceso debe adaptarse al contexto de la organización, es recomendable implantar el proceso tomando de referencia metodologías y estándares de referencia para la gestión del riesgo (MAGERIT, ISO31000, ISO27005, etc.), la evaluación de impacto en la privacidad (Guías de las Autoridades de Control, ENISA, ISO29134, etc.) y la aplicación de las medidas de seguridad (ISO27001, ENS, etc.). Gestiona el riesgo
Aplica las medidas de responsabilidad activa 4 www.its-security.es Aplica las medidas de responsabilidad activa Conociendo los resultados del análisis de riesgos y las disposiciones de la normativa se deben determinar las medidas a aplicar. Tras las fases de conocimiento y análisis de debería definir un plan de acción que podría contemplar, entre otros aspectos, lo siguiente: Elaboración• o corrección de un registro de tratamientos. Mejora• de procesos, políticas y procedimientos técnicos y organizativos. Implantación• de medidas técnicas y organizativas, incluyendo la formación y concienciación del personal. Adaptación• de clausulas informativas, avisos legales, contratos, métodos de recogida, etc. Implantación• de la figura de Delegado de Protección de Datos (DPO). Modificación• o cancelación de tratamientos.
Vela por la formación y concienciación del personal 5 www.its-security.es La formación continua es un aspecto fundamental para la mejora en el ámbito profesional, y una herramienta para garantizar el cumplimiento de la normativa por cuenta de toda la organización. La implantación en una organización de la normativa aplicable en materia de protección de datos sólo puede ser efectiva si el personal de la misma recibe una formación adecuada sobre la importancia de la seguridad y el cumplimiento de las correspondientes obligaciones. Por tanto, es recomendable que la organización vele, con la supervisión del Delegado de Protección de Datos (DPO) si aplicase, por lo siguiente: • Actualizar y profundizar en los conocimientos necesarios de la normativa vigente en materia de protección de datos. • Dar a conocer las políticas de seguridad, así como las obligaciones en el uso de los sistemas de información y en el tratamiento de datos de carácter personal. • Fomentar la sensibilización y responsabilidad en materia de seguridad y protección de datos. Vela por la formación y concienciación del personal
Mantén tus sistemas monitorizados 6 www.its-security.es Mantén tus sistemas monitorizados La monitorización es un buen aliado para garantizar la seguridad y el cumplimiento. EL RGPD requiere que las organizaciones implementen controles de seguridad adecuados y que puedan demostrarlo. Además también traslada la obligación de notificación de violaciones de seguridad dentro de las 72h siguientes a su detección, considerando que el incidente y el riesgo están claramente identificados. La notificación se deberá realizar a la autoridad de protección de datos competente siempre que haya probabilidad de riesgo contra los derechos y libertades de los interesados, y a los afectados si el riesgo contra los derechos es alto (como revelación de información confidencial o sensible, o puedan implicar perjuicios físicos o económicos a éstos). Una forma efectiva de cumplir con las anteriores obligaciones es disponer de una herramienta de monitorización con alertas configuradas para detectar incidentes en tiempo real. De esta forma, se podrá iniciar la respuesta a incidentes, así como las pertinentes notificaciones en los plazos adecuados.
Responde rápidamente a las infracciones 7 www.its-security.es Cuando se detecta una infracción, se debe entrar en acción sin demora. Algunas amenazas pueden expandirse en un abrir y cerrar de ojos, por lo que una rápida identificación y análisis de la misma es absolutamente crítico. Como ya hemos señalado previamente, el RGPD requiere dar ciertos pasos, incluida la notificación a las autoridades de control y afectados según la violación de seguridad ocurrida. Por esa razón, la organización debe ser muy ágil para informar sobre la naturaleza de la violación, qué datos se vieron comprometidos, qué usuarios se ven afectados y qué medidas se están tomando para mitigar el ataque. Responde rápidamente a las infracciones
Prepara un Plan de Respuesta ante Incidentes 8 www.its-security.es Prepara un Plan de Respuesta ante Incidentes La mejor respuesta ante incidentes es siempre una respuesta planificada. Cuando intentamos improvisar un plan para dar respuesta a un incidente, casi siempre nos equivocaremos. Un Plan de Respuesta ante Incidentes (IRP por sus siglas en Inglés – Incident Response Plan) contempla las acciones que deben tomarse después de la ocurrencia de un incidente de seguridad, para así estar preparados para mitigar sus efectos de una forma eficiente. El IRP debe contemplar las necesidades del negocio, y por tanto debería contemplar la gestión de violaciones de seguridad en materia de protección de datos. Para una correcta respuesta ante violaciones de seguridad en materia de protección de datos se recomienda definir un IRP que contemple este tipo de situaciones, con la participación de los roles adecuados (como pudieran ser el DPO o el Responsable de Seguridad), y con unos procesos de investigación y comunicación de incidentes adaptados a las disposiciones del RGPD, entre otros aspectos.
Realiza auditorías periódicas 9 www.its-security.es Para asegurar el cumplimiento de la RPGD de forma continuada en el tiempo, es recomendable realizar periódicamente auditorías de cumplimiento y de seguridad. Si bien es cierto que la nueva normativa no obliga de forma directa a la realización de auditorías periódicas, el proceso de auditoría es una herramienta de control y supervisión que permite evaluar y mejorar la eficacia de los procesos de gestión. Entre ellos la gestión de la seguridad y del cumplimiento de la normativa aplicable. Por tanto, facilita el mantenimiento de unos niveles de seguridad y cumplimiento adecuados. Además, en función del grado de exigencia al que se vea sometido la organización, puede ser un requisito impuesto por certificaciones, códigos de conducta u otros agentes externos. Por consiguiente, se recomienda implantar un proceso de auditoría que contemple la realización de auditorías periódicas sobre la gestión de la seguridad de la información y el cumplimiento de la normativa de protección de datos. Dentro del ámbito de la seguridad es aconsejable ejecutar auditorías técnicas que expongan vulnerabilidades reales a las que están expuestos la información y los sistemas. Los resultados deberían ser contemplados en los procesos de análisis y tratamiento de riesgos. Realiza auditorías periódicas
Estandariza la gestión de la seguridad y del cumplimiento 10 www.its-security.es Estandariza la gestión de la seguridad y del cumplimiento Para garantizar la correcta gestión de la seguridad y el cumplimiento de las obligaciones impuestas por la normativa es aconsejable sentar las bases de un sistema de gestión. El sistema de gestión es una herramienta que permitirá a la empresa optimizar recursos, reducir costes y mejorar en la consecución de sus objetivos. El sistema de gestión que se implante, y que podrá tener como modelo alguno reconocido como el determinado por la norma ISO27001 (SGSI), deberá contemplar la protección de la información y los derechos y libertades de los afectados durante todo el ciclo de vida del dato. Es decir, durante las fases de recogida, tratamiento y custodia, comunicación y acceso a datos, y finalización. En la propia normativa ya se habla a su vez de herramientas que integra el propio sistema de gestión y que deben tener continuidad en el tiempo, como son los procesos de gestión de riesgos y auditoría.
¿Todo listo para abordar con éxito RGPD? Desde el equipo de Consultoría de ITS podemos ayudarte www.its-security.es marketing@its-security.es
SEDE CENTRAL ITS | GIPUZKOA (CENTRAL) Polígono Kurutz Gain Números 12-13 20850 Mendaro (Gipuzkoa) Tfn.: 902 102 655 SEDE CENTRAL ITS | MADRID Parque científico de Madrid Calle Faraday 7 28049 Cantoblanco (Madrid) Tfn.: 902 102 655 SEDE CENTRAL ITS | BIZKAIA Parque Tecnológico de Zamudio Laida Bidea, Edificio 205 48170 Zamudio (Bizkaia) Tfn.: 902 102 655 SEDE CENTRAL ITS | NAVARRA Polígono la estrella Berroa 19 31192 Tajonar (Navarra) Tfn.: 902 102 655 SEDE CENTRAL ITS | A CORUÑA Polígono Industrial Pocomaco (Abanca Innova)Parcela C 10 15190 A Coruña (Galicia) Tfn.: 902 102 655 www.its-security.es marketing@its-security.es

Recomendados

Elba reyes
Elba reyesElba reyes
Elba reyesastridferrebus
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Elba reyes
Elba reyesElba reyes
Elba reyesMaria Veronica Urdaneta Martinez
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Agney palencia
Agney palenciaAgney palencia
Agney palenciaagneypalencia
 

Recomendados

Elba reyes
Elba reyesElba reyes
Elba reyesastridferrebus
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Elba reyes
Elba reyesElba reyes
Elba reyesMaria Veronica Urdaneta Martinez
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Agney palencia
Agney palenciaAgney palencia
Agney palenciaagneypalencia
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3EDGARLOZANO28
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónMiguel Diaz
 
trabajo de imformatica
trabajo de imformaticatrabajo de imformatica
trabajo de imformaticaDavith Miguel Arenas
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director siROBERTH CHAVEZ
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionIvonne Soledad Gonzales
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
Iso 27000
Iso 27000Iso 27000
Iso 27000Alber Delfin Pena Ortigoza
 
Iso 27000
Iso 27000Iso 27000
Iso 27000Man Iniesta
 
Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Martha Hurtado
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridadJhon Jairo Hernandez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Guia de ti7
Guia de ti7Guia de ti7
Guia de ti7Mahonri Dimas
 
Modulo II, Parte 3 del curso de protección de datos
Modulo II, Parte 3 del curso de protección de datosModulo II, Parte 3 del curso de protección de datos
Modulo II, Parte 3 del curso de protección de datosANTONIO GARCÍA HERRÁIZ
 
Elba reyes
Elba reyesElba reyes
Elba reyesMaria Veronica Urdaneta Martinez
 
Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos PersonalesProtiviti Peru
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Responsabilidad demostrada en el tratamiento de datos personales
Responsabilidad demostrada en el tratamiento de datos personalesResponsabilidad demostrada en el tratamiento de datos personales
Responsabilidad demostrada en el tratamiento de datos personalesMarrugo Rivera & Asociados
 

Más contenido relacionado

La actualidad más candente

Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3EDGARLOZANO28
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónMiguel Diaz
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director siROBERTH CHAVEZ
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Martha Hurtado
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Modulo II, Parte 3 del curso de protección de datos
Modulo II, Parte 3 del curso de protección de datosModulo II, Parte 3 del curso de protección de datos
Modulo II, Parte 3 del curso de protección de datosANTONIO GARCÍA HERRÁIZ
 

La actualidad más candente (18)

Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
 
trabajo de imformatica
trabajo de imformaticatrabajo de imformatica
trabajo de imformatica
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director si
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Guia de ti7
Guia de ti7Guia de ti7
Guia de ti7
 
Modulo II, Parte 3 del curso de protección de datos
Modulo II, Parte 3 del curso de protección de datosModulo II, Parte 3 del curso de protección de datos
Modulo II, Parte 3 del curso de protección de datos
 

Similar a ITS Security - 10 consejos para cumplir con el RGPD

Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos PersonalesProtiviti Peru
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Responsabilidad demostrada en el tratamiento de datos personales
Responsabilidad demostrada en el tratamiento de datos personalesResponsabilidad demostrada en el tratamiento de datos personales
Responsabilidad demostrada en el tratamiento de datos personalesMarrugo Rivera & Asociados
 
Servicios de Protección de Datos Personales
Servicios de Protección de Datos PersonalesServicios de Protección de Datos Personales
Servicios de Protección de Datos PersonalesProtiviti Peru
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Irekia - EJGV
 
La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoFabián Descalzo
 
Foro de discusión.docx
Foro de discusión.docxForo de discusión.docx
Foro de discusión.docxnelson-0518
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfAlexisNivia
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Diapositivas de ludeña1
Diapositivas de ludeña1Diapositivas de ludeña1
Diapositivas de ludeña1henry
 

Similar a ITS Security - 10 consejos para cumplir con el RGPD (20)

Elba reyes
Elba reyesElba reyes
Elba reyes
 
Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos Personales
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Responsabilidad demostrada en el tratamiento de datos personales
Responsabilidad demostrada en el tratamiento de datos personalesResponsabilidad demostrada en el tratamiento de datos personales
Responsabilidad demostrada en el tratamiento de datos personales
 
Servicios de Protección de Datos Personales
Servicios de Protección de Datos PersonalesServicios de Protección de Datos Personales
Servicios de Protección de Datos Personales
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
 
Guía de evaluaciones de impacto
Guía de evaluaciones de impactoGuía de evaluaciones de impacto
Guía de evaluaciones de impacto
 
La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimiento
 
LFPDPPP
LFPDPPPLFPDPPP
LFPDPPP
 
El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?
 
Foro de discusión.docx
Foro de discusión.docxForo de discusión.docx
Foro de discusión.docx
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
Protección de datos en un Ayuntamiento
Protección de datos en un AyuntamientoProtección de datos en un Ayuntamiento
Protección de datos en un Ayuntamiento
 
Seguridad
Seguridad Seguridad
Seguridad
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Diapositivas de ludeña1
Diapositivas de ludeña1Diapositivas de ludeña1
Diapositivas de ludeña1
 

Más de ITS SECURITY

ITS Security - Triton, nuevo malware industrial
ITS Security - Triton, nuevo malware industrialITS Security - Triton, nuevo malware industrial
ITS Security - Triton, nuevo malware industrialITS SECURITY
 
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019ITS SECURITY
 
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018ITS SECURITY
 
ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019ITS SECURITY
 
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...ITS SECURITY
 
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OTITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OTITS SECURITY
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...ITS SECURITY
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017ITS SECURITY
 

Más de ITS SECURITY (8)

ITS Security - Triton, nuevo malware industrial
ITS Security - Triton, nuevo malware industrialITS Security - Triton, nuevo malware industrial
ITS Security - Triton, nuevo malware industrial
 
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
ITS Security - Predicciones y tendencias clave de Ciberseguridad 2019
 
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
ITS Security - Predicciones y tendencias clave de ciberseguridad 2018
 
ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019ITS Security - Predicciones de Ciberseguridad 2019
ITS Security - Predicciones de Ciberseguridad 2019
 
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
ITS Security - Claves de los principales ciberataques a Sistemas de Control I...
 
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OTITS Security – Ciberseguridad IT VS Ciberseguridad OT
ITS Security – Ciberseguridad IT VS Ciberseguridad OT
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
 

Último

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (20)

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

ITS Security - 10 consejos para cumplir con el RGPD

  • 1. Informe elaborado por ITS Security. Copyright 2018. 10 consejos para cumplir con el RGPD
  • 2. El Reglamento General de Protección de Datos (RGPD) será de aplicación el 25 de mayo de 2018 en toda la Unión Europea y tiene como objetivo principal alcanzar un mayor nivel de protección de los datos de carácter personal, alineando la gestión de la protección de datos con las actividades ordinarias y cotidianas de las empresas. Este reglamento, junto con la LOPD actualizada que se espera entre en vigor también el 25 de mayo de 2018, va a regir cómo se deben tratar los datos personales de los ciudadanos europeos e impondrá cuantiosas multas a las organizaciones que no cumplan con esas directrices. El RGPD aplica a todas las organizaciones que procesen información de carácter personal sobre los ciudadanos de la UE teniendo su establecimiento principal en la UE, o que sin ser así, orienten sus bienes o servicios a ciudadanos de la UE o al menos controlen su comportamiento en la UE. Las organizaciones a las que les sea de aplicación y quieran garantizar el cumplimiento, deberán adaptar sus procesos e implementar las medidas jurídicas, técnicas y organizativas en base a las disposiciones de la nueva normativa. A continuación compartimos 10 consejos que pueden ser muy útiles de cara a asegurar el cumplimiento de la normativa por cuenta de la organización. www.its-security.es
  • 3. Conoce la Ley 1 www.its-security.es Para poder lograr el cumplimiento del RGPD, es necesario conocer la ley y comprender sus disposiciones. La nueva normativa de protección de datos contiene conceptos, principios y mecanismos novedosos que tienen por objetivo garantizar el derecho de protección de las personas físicas en relación con el tratamiento de datos personales. La transición desde la normativa actual conllevará al menos: Adaptar• los procesos de tratamiento para cumplir con todos los principios del RGPD. Asegurar• que la legitimación quede documentada. Implantar• un proceso de gestión de riesgos que se ajuste al enfoque del RGPD. Implantar• unas medidas de responsabilidad activa necesarias y acordes a los niveles de riesgo. Contar con consultores expertos en esta materia que nos asesoren sobre sobre los pasos a seguir para adaptarnos a la nueva normativa es un buen punto de partida para el cumplimiento. Conoce la Ley
  • 4. Analiza el cumplimiento de la Ley 2 www.its-security.es Analiza el cumplimiento de la Ley Para poder cumplir adecuadamente, es necesario que nos aseguremos de identificar correctamente los procesos de tratamiento de datos de carácter personal y su contexto. Entre otros aspectos se debe obtener información sobre: • Los propios tratamientos: datos tratados, métodos de recogida, finalidades, plazos de conservación, encargos de tratamiento, cesiones, transferencias internacionales, etc. • Las operaciones realizadas durante todo el ciclo de vida del dato, ya sea por personal interno o externo. • El estado de las relaciones con los afectados y con terceros involucrados en los tratamientos. • Los sistemas de información que soportan los tratamientos. • Las medidas jurídicas, técnicas y organizativas que protegen actualmente los tratamientos. • La gestión del riesgo sobre los tratamientos. El análisis de cumplimiento lo debería realizar una persona cualificada y objetiva, por lo que de nuevo se recomienda contar con consultores expertos en esta materia para esta fase de la adaptación.
  • 5. Gestiona el riesgo 3 www.its-security.es La nueva normativa tiene un enfoque de riesgo y obliga a Responsables y Encargados de Tratamiento a gestionarlo. En determinadas situaciones y en base al contexto, el tratamiento de datos puede tener consecuencias negativas para los interesados, afectando a sus derechos y libertades. Las organizaciones deben implementar un proceso de gestión de riesgos que permita una valoración objetiva, y un tratamiento adecuado mediante la aplicación de medidas para su mitigación. Es importante que el proceso de gestión de riesgos contemple tanto los riesgos de seguridad de la información (al menos sobre sus dimensiones conocidas: confidencialidad, integridad y disponibilidad), como los riesgos para los derechos y libertades de las personas. Además, deberá contemplar la realización de una evaluación de impacto en la privacidad en función del nivel de riesgo. Aunque el proceso debe adaptarse al contexto de la organización, es recomendable implantar el proceso tomando de referencia metodologías y estándares de referencia para la gestión del riesgo (MAGERIT, ISO31000, ISO27005, etc.), la evaluación de impacto en la privacidad (Guías de las Autoridades de Control, ENISA, ISO29134, etc.) y la aplicación de las medidas de seguridad (ISO27001, ENS, etc.). Gestiona el riesgo
  • 6. Aplica las medidas de responsabilidad activa 4 www.its-security.es Aplica las medidas de responsabilidad activa Conociendo los resultados del análisis de riesgos y las disposiciones de la normativa se deben determinar las medidas a aplicar. Tras las fases de conocimiento y análisis de debería definir un plan de acción que podría contemplar, entre otros aspectos, lo siguiente: Elaboración• o corrección de un registro de tratamientos. Mejora• de procesos, políticas y procedimientos técnicos y organizativos. Implantación• de medidas técnicas y organizativas, incluyendo la formación y concienciación del personal. Adaptación• de clausulas informativas, avisos legales, contratos, métodos de recogida, etc. Implantación• de la figura de Delegado de Protección de Datos (DPO). Modificación• o cancelación de tratamientos.
  • 7. Vela por la formación y concienciación del personal 5 www.its-security.es La formación continua es un aspecto fundamental para la mejora en el ámbito profesional, y una herramienta para garantizar el cumplimiento de la normativa por cuenta de toda la organización. La implantación en una organización de la normativa aplicable en materia de protección de datos sólo puede ser efectiva si el personal de la misma recibe una formación adecuada sobre la importancia de la seguridad y el cumplimiento de las correspondientes obligaciones. Por tanto, es recomendable que la organización vele, con la supervisión del Delegado de Protección de Datos (DPO) si aplicase, por lo siguiente: • Actualizar y profundizar en los conocimientos necesarios de la normativa vigente en materia de protección de datos. • Dar a conocer las políticas de seguridad, así como las obligaciones en el uso de los sistemas de información y en el tratamiento de datos de carácter personal. • Fomentar la sensibilización y responsabilidad en materia de seguridad y protección de datos. Vela por la formación y concienciación del personal
  • 8. Mantén tus sistemas monitorizados 6 www.its-security.es Mantén tus sistemas monitorizados La monitorización es un buen aliado para garantizar la seguridad y el cumplimiento. EL RGPD requiere que las organizaciones implementen controles de seguridad adecuados y que puedan demostrarlo. Además también traslada la obligación de notificación de violaciones de seguridad dentro de las 72h siguientes a su detección, considerando que el incidente y el riesgo están claramente identificados. La notificación se deberá realizar a la autoridad de protección de datos competente siempre que haya probabilidad de riesgo contra los derechos y libertades de los interesados, y a los afectados si el riesgo contra los derechos es alto (como revelación de información confidencial o sensible, o puedan implicar perjuicios físicos o económicos a éstos). Una forma efectiva de cumplir con las anteriores obligaciones es disponer de una herramienta de monitorización con alertas configuradas para detectar incidentes en tiempo real. De esta forma, se podrá iniciar la respuesta a incidentes, así como las pertinentes notificaciones en los plazos adecuados.
  • 9. Responde rápidamente a las infracciones 7 www.its-security.es Cuando se detecta una infracción, se debe entrar en acción sin demora. Algunas amenazas pueden expandirse en un abrir y cerrar de ojos, por lo que una rápida identificación y análisis de la misma es absolutamente crítico. Como ya hemos señalado previamente, el RGPD requiere dar ciertos pasos, incluida la notificación a las autoridades de control y afectados según la violación de seguridad ocurrida. Por esa razón, la organización debe ser muy ágil para informar sobre la naturaleza de la violación, qué datos se vieron comprometidos, qué usuarios se ven afectados y qué medidas se están tomando para mitigar el ataque. Responde rápidamente a las infracciones
  • 10. Prepara un Plan de Respuesta ante Incidentes 8 www.its-security.es Prepara un Plan de Respuesta ante Incidentes La mejor respuesta ante incidentes es siempre una respuesta planificada. Cuando intentamos improvisar un plan para dar respuesta a un incidente, casi siempre nos equivocaremos. Un Plan de Respuesta ante Incidentes (IRP por sus siglas en Inglés – Incident Response Plan) contempla las acciones que deben tomarse después de la ocurrencia de un incidente de seguridad, para así estar preparados para mitigar sus efectos de una forma eficiente. El IRP debe contemplar las necesidades del negocio, y por tanto debería contemplar la gestión de violaciones de seguridad en materia de protección de datos. Para una correcta respuesta ante violaciones de seguridad en materia de protección de datos se recomienda definir un IRP que contemple este tipo de situaciones, con la participación de los roles adecuados (como pudieran ser el DPO o el Responsable de Seguridad), y con unos procesos de investigación y comunicación de incidentes adaptados a las disposiciones del RGPD, entre otros aspectos.
  • 11. Realiza auditorías periódicas 9 www.its-security.es Para asegurar el cumplimiento de la RPGD de forma continuada en el tiempo, es recomendable realizar periódicamente auditorías de cumplimiento y de seguridad. Si bien es cierto que la nueva normativa no obliga de forma directa a la realización de auditorías periódicas, el proceso de auditoría es una herramienta de control y supervisión que permite evaluar y mejorar la eficacia de los procesos de gestión. Entre ellos la gestión de la seguridad y del cumplimiento de la normativa aplicable. Por tanto, facilita el mantenimiento de unos niveles de seguridad y cumplimiento adecuados. Además, en función del grado de exigencia al que se vea sometido la organización, puede ser un requisito impuesto por certificaciones, códigos de conducta u otros agentes externos. Por consiguiente, se recomienda implantar un proceso de auditoría que contemple la realización de auditorías periódicas sobre la gestión de la seguridad de la información y el cumplimiento de la normativa de protección de datos. Dentro del ámbito de la seguridad es aconsejable ejecutar auditorías técnicas que expongan vulnerabilidades reales a las que están expuestos la información y los sistemas. Los resultados deberían ser contemplados en los procesos de análisis y tratamiento de riesgos. Realiza auditorías periódicas
  • 12. Estandariza la gestión de la seguridad y del cumplimiento 10 www.its-security.es Estandariza la gestión de la seguridad y del cumplimiento Para garantizar la correcta gestión de la seguridad y el cumplimiento de las obligaciones impuestas por la normativa es aconsejable sentar las bases de un sistema de gestión. El sistema de gestión es una herramienta que permitirá a la empresa optimizar recursos, reducir costes y mejorar en la consecución de sus objetivos. El sistema de gestión que se implante, y que podrá tener como modelo alguno reconocido como el determinado por la norma ISO27001 (SGSI), deberá contemplar la protección de la información y los derechos y libertades de los afectados durante todo el ciclo de vida del dato. Es decir, durante las fases de recogida, tratamiento y custodia, comunicación y acceso a datos, y finalización. En la propia normativa ya se habla a su vez de herramientas que integra el propio sistema de gestión y que deben tener continuidad en el tiempo, como son los procesos de gestión de riesgos y auditoría.
  • 13. ¿Todo listo para abordar con éxito RGPD? Desde el equipo de Consultoría de ITS podemos ayudarte www.its-security.es marketing@its-security.es
  • 14. SEDE CENTRAL ITS | GIPUZKOA (CENTRAL) Polígono Kurutz Gain Números 12-13 20850 Mendaro (Gipuzkoa) Tfn.: 902 102 655 SEDE CENTRAL ITS | MADRID Parque científico de Madrid Calle Faraday 7 28049 Cantoblanco (Madrid) Tfn.: 902 102 655 SEDE CENTRAL ITS | BIZKAIA Parque Tecnológico de Zamudio Laida Bidea, Edificio 205 48170 Zamudio (Bizkaia) Tfn.: 902 102 655 SEDE CENTRAL ITS | NAVARRA Polígono la estrella Berroa 19 31192 Tajonar (Navarra) Tfn.: 902 102 655 SEDE CENTRAL ITS | A CORUÑA Polígono Industrial Pocomaco (Abanca Innova)Parcela C 10 15190 A Coruña (Galicia) Tfn.: 902 102 655 www.its-security.es marketing@its-security.es