El nuevo reglamento general de protección de datos entró en vigor en mayo de 2016, es de aplicación obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018, y otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo actual. El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.
Más allá de las sanciones que puede acarrear la falta de cumplimiento del RGPD, todavía hay muchas pymes que están haciendo poco o nada ante esta nueva exigencia comunitaria.
Realizaremos una introducción básica en el estado actual de la normativa de protección de datos. Hablaremos de las principales novedades que establece RGPD (GDPR en inglés) en relación con la ley orgánica LOPD (15/1999). Explicaremos diferentes puntos de la normativa y obligaciones de las empresas para cumplirla. En esta charla también veremos qué medidas técnicas y organizativas tenemos que aplicar a nuestra empresa, al igual que a nuestro sitio web (WordPress).
* Información sobre ponente Regina Dubinska:
Regina Dubinska es coordinadora, consultora y formadora en materia de Protección de Datos en NosAdaptamos, S.L. con más de 10 años de experiencia en esta área.
Especialista en adaptación de las empresas de diferentes niveles de riesgo y todas las actividades a la normativa vigente de protección de datos (https://www.protecciondatos.org).
Certificado de Delegado de Protección de Datos Nº CP-X3-0001/2018 por IVAC-Instituto de Certificación, S.L.
Nos Adaptamos, S.L. posee reconocimiento de sus programas formativos para impartir formación de DPO/DPD (https://campusvirtual.protecciondator.org).
Redes sociales:
Linkedin: https://www.linkedin.com/in/regina-d-a3094189/
* Información sobre ponente Jordi Sala:
Jordi Sala es CEO de NosAdaptamos (https://www.nosadaptamos.com) especializado en ofrecer principalmente diseño y soporte para Joomla! y WordPress. Dispone de una amplia experiencia en CMS y hosting, debido a la colaboración durante años con Webempresa.
Co-organizador WordCamp Barcelona 2018 y Meetup de WordPress Molins de Rei. Siempre aportando un granito de arena como organizador y/o ponente en charlas relacionadas con el desarrollo web desde la aparición del módem de 32K.
2. Regina Dubinska Jordi Sala
Cofundador de Nos Adaptamos, SL
Especialista en diseño y soporte para Joomla! y WordPress.
Amplia experiencia en CMS y hosting.
Co-organizador WordCamp Barcelona 2018 y
Meetup de WordPress Molins de Rei.
Cofundadora de Nos Adaptamos, SL
Delegado de Protección de Datos DPD/ DPO.
Consultora y asesora de la normativa de Protección de Datos.
Formadora DPO/DPD, según el esquema de certificación
AEPD-ENAC.
NOS ADAPTAMOS, SL es una empresa especializada
en diseño web y protección de datos.
3. Estado de la
normativa actual
• Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal
(vigente en aquellos artículos que no
contradigan el RGPD)
• Reglamento (UE) 2016/679 (RGPD) del
Parlamento Europeo y del Consejo de 27 de
abril de 2016 relativo a la protección de las
personas físicas en lo que respecta al
tratamiento de datos personales y a la libre
circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (entrada en
vigor el 25 de mayo de 2016, aplicación 2
años después)
• Real Decreto-ley 5/2018, de 27 de julio, de
medidas urgentes para la adaptación del
Derecho español a la normativa de la Unión
Europea en materia de protección de datos.
¿La nueva Ley Orgánica de Protección de Datos
… para cuándo?
4. Seguridad de los
datos personales del
RGPD.
Responsabilidad
proactiva.
Construir seguridad:
• Orientación a riesgo. (Art. 32)
• Ingeniería de la privacidad. (Arts. 25, 35 y 36)
Asumir consecuencias por falta de protección:
• Presión reputacional. (Art. 33)
• Transparencia con el interesado. (Art. 34)
Pasamos de un modelo “prescriptivo” a un
modelo “orientado a riesgo”.
RGPD
5. ¿Qué son los “datos
personales”?
Datos personales: toda información relativa a
usted, como persona física viva identificada o
identificable.
Los datos personales hacen referencia a todo
aquello que contiene: el nombre, el apellido, el
número de teléfono, etc.
Datos sensibles:
• Origen racial o étnico
• Datos de opiniones políticas
• Creencias religiosas o filosóficas
• Datos de afiliación sindical
• Datos genéticos
• Datos biométricos con el objetivo de identificar
de manera exclusiva a un individuo
• Datos relativos a la salud o la vida sexual y/o
la orientación sexual
Sólo se recopilan y se tratan con el
consentimiento explícito.
6. Principios
RGPD
Los datos personales serán:
• Tratados de manera lícita, leal y transparente
en relación con el interesado.
• Recogidos con fines determinados, explícitos
y legítimos.
• Adecuados, pertinentes y limitados.
• Exactos.
• Mantenidos de forma que se permita
identificación de los interesados no más
tiempo del necesario.
• Tratados de manera que se garantice una
seguridad adecuada de los datos personales.
7. Consentimiento
• Debe ser otorgado con pleno conocimiento
por parte del interesado de los detalles e
implicaciones del procesamiento.
• Debe ser otorgado de manera libre por parte
del interesado.
• El consentimiento puede ser explícito o
implícito, pero no debe dejar lugar a dudas
sobre el hecho de que el interesado acepta
el procesamiento de sus datos.
• El consentimiento ha de ser prestado
mediante una manifestación del interesado o
mediante una acción afirmativa clara.
• El procesamiento de datos sensibles
siempre debe ir precedido de un
consentimiento inequívoco.
• El interesado debe tener la oportunidad en
cualquier momento de retractarse y retirar su
consentimiento.
• El consentimiento debe recabarse en el
momento de la recogida de datos.
• El procesamiento de los datos no puede
llevarse a cabo antes de informar y recabar
el consentimiento.
8. Derechos
RGPD
Acceso
Comunicar si existe tratamiento de datos.
Rectificación
Rectificar los datos inexactos o incompletos.
Supresión, derecho al olvido
Suprimir los datos excepto por motivos
legítimos.
Limitación del tratamiento
Limitar el tratamiento de los datos.
Portabilidad de los datos
Transmitir los datos a otro Responsable o al
Interesado en tratamientos automatizados.
Oposición
Cancelar el tratamiento de los datos.
10. Interés legítimo.
Licitud de tratamiento
El tratamiento solo será lícito si se cumple al menos
una de las siguientes condiciones:
a) El interesado dio su consentimiento para el
tratamiento de sus datos personales para uno o
varios fines específicos;
b) El tratamiento es necesario para la ejecución
de un contrato en el que el interesado es parte
c) El tratamiento es necesario para el
cumplimiento de una obligación legal aplicable
al responsable del tratamiento
d) El tratamiento es necesario para proteger
intereses vitales del interesado
e) El tratamiento es necesario para el
cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes
públicos conferidos al responsable del
tratamiento;
f) El tratamiento es necesario para la satisfacción
de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y
libertades fundamentales del interesado que
requieran la protección de datos personales, en
particular cuando el interesado sea un niño.
11. RGPD
Obligaciones de los
responsables del
tratamiento y
encargados del
tratamiento
El Reglamento prevé que los responsables aplicarán las
medidas técnicas y organizativas apropiadas para
garantizar y estar en condiciones de demostrar que el
tratamiento de datos personales se lleva a cabo de
conformidad con el Reglamento.
El Responsable de Tratamiento está obligado a:
• Elaborar un Documento de Seguridad.
• Firmar contratos con Encargados de Tratamiento
previa selección exhaustiva revisando garantías que
ofrecen.
• Firmar los acuerdos de confidencialidad con el
personal con y sin acceso a datos.
• Establecer las cláusulas informativas en toda la
documentación externa de la empresa.
• Obtener consentimiento válido.
• Realizar el análisis de riesgos y EIPD (Evaluación
de Impacto) si procede del análisis.
• Designar el Delegado de Protección de Datos.
• Realizar formación al personal de la empresa.
• Control de las transferencias internacionales.
• Notificar incidencias de seguridad.
• Adecuar su sitio web.
• Etc.
12. DPO
Data Protection Officer
DPD
Delegado de Protección
de Datos
Uno de los cambios más sustanciales que
introduce el nuevo RGPD es la obligatoriedad de
la figura del Delegado de Protección de Datos.
El Responsable y el Encargado del Tratamiento
estarán obligados a designar un Delegado de
Protección de Datos (DPO) siempre que:
• El tratamiento lo lleve a cabo una autoridad u
organismo público, excepto los tribunales que
actúen en el ejercicio de su función judicial.
• Las actividades principales del Responsable o
del Encargado consistan en operaciones de
tratamiento que, a razón de su naturaleza,
alcance y/o fines, requieran una observación
habitual y sistemática de Interesados a gran
escala (videovigilancia).
• Las actividades principales del Responsable o
del Encargado consistan en el tratamiento a
gran escala de categorías especiales de datos
personales y de datos relativos a condenas e
infracciones penales.
13. Funciones de DPO/ DPD
RGPD
• Informar y asesorar sobre obligaciones
impuestas por normativa de protección de
datos.
• Supervisar el cumplimiento de la normativa
de protección de datos, incluidas:
asignación de responsabilidades;
concienciación y formación del
personal;
realización de las auditorías;
asesoramiento sobre EIPD.
• Cooperar con la AEPD y actuar como
punto de contacto para cuestiones
relativas al tratamiento.
14. Brechas de seguridad
Una brecha es un fracaso en
prevención y protección.
Según las causas, podrá poner en
cuestión el cumplimiento de nuestra
responsabilidad activa.
“La mejor victoria es vencer sin combatir”.
Sun Tzu. El arte de la guerra.
“El mejor procedimiento de gestión de brechas de seguridad
es el que nunca ha tenido que ejecutarse”.
15. Procedimiento de
gestión de brechas de
seguridad
RGPD
Cuestiones clave a considerar en el
diseño:
• Roles y responsabilidades a
involucrar.
• Metodología de valoración y triaje de
incidentes.
• Protocolos de comunicación interna
y toma de decisiones.
• Coordinación con partes interesadas
para realizar las comunicaciones/
notificaciones oportunas.
• Seguimiento y reevaluación
continua.
• Aprendizaje y mejora.
16. Régimen sancionador
Multa hasta 10.000.000 € o hasta el 2% de
volumen de negocio anual a nivel global cuando
se infringen:
• Obligaciones de responsable o encargado
• Obligación de organismos de certificación
• Obligaciones de organismos de supervisión
de códigos de conducta
Multa hasta 20.000.000 € o hasta el 4% de
volumen de negocio anual a nivel global cuando
se infringen:
• Principios básicos
• Derechos
• Transferencias internacionales
• Incumplimiento de resoluciones de APD
17. ¿Y ahora que hacemos con
WordPress
para adaptarlo?
18. Hosting / Alojamiento Tiene que cumplir con el RGPD o
sino cambiar de proveedor.
Servidor en Europa.
19. Añadir certificado SSL.
Activar redirección por defecto en
HTTPS.
WordPress actualizado.
Copias de Seguridad.
Contraseñas de acceso seguras en
general.
(TantoMontaMontaTantoIsabelComoFernando@2018JordiMeetupBarcelona)!!
Seguridad
20. Política de Privacidad
Desde WordPress 4.9.6 tenemos la
opción de Ajustes -> Privacidad
Dispone de una guía con recomendaciones que nos
muestra información sobre los plugins instalados.
Textos Legales
¿Qué nos ofrece WordPress
por defecto? I Texto donde se informa al usuario del sitio web
sobre cómo van a tratarse sus datos personales.
21. Exportar datos personales y Eliminar
datos personales
Desde WordPress 4.9.6 tenemos la
opción de Herramientas -> Exportar
datos personales y eliminar datos
personales.Exportación y borrado
de datos personales
¿Qué nos ofrece WordPress
por defecto? II
22. Consentimiento
expreso de tus
usuarios para
almacenar sus datos
en los comentarios
¿Qué nos ofrece WordPress
por defecto? III
Esta opción permite que el usuario decida si quiere que WordPress
recuerde sus datos cuando vuelva a escribir un comentario o, por el
contrario, prefiere volver a introducir sus datos.
Desde WordPress 4.9.6, en los
comentarios aparece la opción:
Guardar mi nombre, correo electrónico
y sitio web en este navegador para la
próxima vez que haga un comentario.
24. Brechas de Seguridad
Intentar evitarlas. Instalación de
suites de seguridad.
iThemes Security
https://es.wordpress.org/plugins/better-wp-security/
Gestión de solicitudes y brechas de
datos.
GDPR
https://es.wordpress.org/plugins/gdpr/
Monitorear la actividad de los
usuarios.
WP Security Audit Log
https://es.wordpress.org/plugins/wp-security-audit-log/
Seguridad
25. Aviso LegalTextos Legales
Información sobre Cookies
El consentimiento puede ser inequívoco y
otorgarse de forma implícita cuando se
deduzca de una acción del interesado (por
ejemplo, cuando el interesado continúa
navegando por una web y acepta así el que
se utilicen cookies para monitorizar su
navegación).
Una cookie (galleta o galleta informática) es una pequeña
información enviada por un sitio web y almacenada en el
navegador del usuario, de manera que el sitio web puede
consultar la actividad previa del navegador.
Texto donde se informa a los usuarios sobre
quién es el propietario de la página web.
Adapta RGPD
https://es.wordpress.org/plugins/adapta-rgpd/
https://www.protecciondatos.org/adapta-rgpd-plugin-wordpress-para-cumplir-rgpd-i/
https://www.protecciondatos.org/adapta-rgpd-plugin-wordpress-para-cumplir-rgpd-ii/
26. Términos y condicionesTextos Legales
WooCommerce -> Ajustes -> Avanzado
LSSI
Ley de Servicios de la Sociedad de la
Información y del Comercio Electrónico
La LSSI no se aplicará a un sitio web personal cuando su titular no
realice ningún tipo de actividad económica a través de la misma.
27. Capas de información
en formularios de
contacto, comentarios
y boletines.
1ª Capa
2ª Capa
Información básica sobre Protección de Datos
Responsable Ediciones Warren&Brandeis, S.A. +info…
Finalidad Gestionar el envío de información y prospección
comercial. +info…
Legitimación Consentimiento del interesado. +info…
Destinatarios Otras empresas del grupo Warren&Brandeis, Inc.
Encargados de Tratamiento fuera de la UE, acogido
a “Privacy Shield”. +info…
Derechos Acceder, rectificar y suprimir los datos, así como
otros derechos, como se explica en la información
adicional. +info…
Información
adicional
Puede consultar la información adicional y detallada
sobre Protección de Datos en nuestra página web:
http://www.warrenbrandeis.com/protecciondatos/info
La información en la segunda capa ha de completar con
todos los detalles la información resumida, así como
añadir la información adicional, requerida por el RGPD y
que no estaba presente en la primera capa.
La información en esta segunda capa debiera debe ser
completa, es decir, no omitir información por el hecho de
que ya se hubiese incluido en la información básica.
28. Newsletters
En los formularios de suscripción se debe
informar (primera capa) y (segunda capa).
Opt in (optar por la inclusión o apuntarse en algo)
Tiene que haber un consentimiento expreso de
la suscripción. El usuario tiene que haber
marcado una casilla (esta casilla no puede estar
premarcada).
Opt in doble
Debes obtener confirmación por correo de la
suscripción (doble opt-in).
Opt out
Darse de baja (alguien cancele su suscripción).
29. Anonimizar las Ips en
Google Analytics
Activar la compatibilidad
con Do Not Track de
Google Analytics
Una explicación técnica sobre cómo Analytics
anonimiza las direcciones IP:
https://support.google.com/analytics/answer/2763052?hl=es
Complemento de inhabilitación para
navegadores de Google Analytics
https://tools.google.com/dlpage/gaoptout
Para que los visitantes del sitio web tengan la posibilidad de
evitar que Google Analytics utilice sus datos
Plugin Google Analytics Dashboard for WP
https://es.wordpress.org/plugins/google-analytics-dashboard-for-wp/