Esta presentación se centra, por un lado, en los aspectos más sensibles o complejos del registro en el RNDB, mostrando tanto los errores habituales en el proceso de registro como los puntos donde este proceso puede ser ambigüo o conducir a error y, por tanto, generar una incorrecta declaración de las bases de datos en el Registro; por otro lado, se presentan errores habituales y recomendaciones, basadas en nuestra experiencia en el cumplimiento de Protección de Datos, más allá del registro de BBDD. Una empresa puede haber llevado a cabo esta declaración pero no cumplir con la Ley y, por lo tanto, verse sujeta a sanciones.
En esta presentación se analizan resoluciones de la SIC en casos de incumplimiento de la Ley 1581/2012 desde un punto de vista técnico y jurídico. El objetivo de esta presentación es entender en qué fallaron las empresas que pudieron ser sancionadas, tanto por los aspectos de cumplimiento que no se trataron adecuadamente, como los errores y aciertos comentidos en el proceso de investigación de la SIC que pudieron empeorar o mejorar el resultado. Aprender de los errores cometidos ayuda a no comenterlos de nuevo o mejorar en el proceso de cumplimiento en la Protección de Datos.
Esta presentación pretende ser una breve píldora informativa específica para que los comercios del municipio conozcan los principios, derechos y obligaciones que recoge la Ley Orgánica de Protección de Datos Personales (LOPD) en relación a los datos personales con los que trabaja un comercio. Asimismo, se informa también de manera rápida y a grandes rasgos sobre los requisitos legales que deben cumplir en su Web, en su comercio electrónico o al enviar campañas de e-mail marketing según la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).
Garantizar un tratamiento adecuado de los datos personales que maneja la empresa dando cumplimiento a la Ley 1581 de 2012, del Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario No 1074 de 2015 y de las demás normas que los deroguen, modifiquen o complementen.
Aplica para las bases de datos y archivos que contengan información personal de proveedores, clientes, colaboradores o cualquier otra persona cuya información sea objeto de tratamiento por parte de Digital Management Services SAS – DMS.
Aplica para los colaboradores de todas las áreas que en el ejercicio de sus funciones tratan datos personales de proveedores, clientes, colaboradores o cualquier otra persona natural.
En esta presentación se analizan resoluciones de la SIC en casos de incumplimiento de la Ley 1581/2012 desde un punto de vista técnico y jurídico. El objetivo de esta presentación es entender en qué fallaron las empresas que pudieron ser sancionadas, tanto por los aspectos de cumplimiento que no se trataron adecuadamente, como los errores y aciertos comentidos en el proceso de investigación de la SIC que pudieron empeorar o mejorar el resultado. Aprender de los errores cometidos ayuda a no comenterlos de nuevo o mejorar en el proceso de cumplimiento en la Protección de Datos.
Esta presentación pretende ser una breve píldora informativa específica para que los comercios del municipio conozcan los principios, derechos y obligaciones que recoge la Ley Orgánica de Protección de Datos Personales (LOPD) en relación a los datos personales con los que trabaja un comercio. Asimismo, se informa también de manera rápida y a grandes rasgos sobre los requisitos legales que deben cumplir en su Web, en su comercio electrónico o al enviar campañas de e-mail marketing según la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).
Garantizar un tratamiento adecuado de los datos personales que maneja la empresa dando cumplimiento a la Ley 1581 de 2012, del Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario No 1074 de 2015 y de las demás normas que los deroguen, modifiquen o complementen.
Aplica para las bases de datos y archivos que contengan información personal de proveedores, clientes, colaboradores o cualquier otra persona cuya información sea objeto de tratamiento por parte de Digital Management Services SAS – DMS.
Aplica para los colaboradores de todas las áreas que en el ejercicio de sus funciones tratan datos personales de proveedores, clientes, colaboradores o cualquier otra persona natural.
Conoce los secretos de la Ley Orgánica de Protección de Datos LOPDeconred
Conoce los aspectos legales de la Ley Orgánica de Protección de datos afectan a tu negocio, conoce las claves y requisitos para cumplir con la ley y mejorar la eficiencia de tu negocio.
Conceptos básicos sobre la LOPD. Esta presentación quiere proporcionar unos conceptos y conocimientos básicos sobre la legislación española en protección de datos.
Ley Orgánica de Protección de datos - LOPDRamiro Cid
La presentación desarrolla la Ley Orgánica de Protección de Datos ( LOPD ), partiendo desde los hechos que marcaron su historia, se explica en el presente documento el órgano de control, el régimen sancionatorio, y los principales componentes de la ley como son el Deber de información, el consentimiento, comunicación de datos y acceso a los datos por cuenta de terceros.
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados
Aspectos fundamentales a tener en cuenta en lo que respecta a la protección de datos de caracter personal.
En esta presentacion pueden encontrar comentados los puntos básicos de la Ley y sus implicaciones.
Conoce los secretos de la Ley Orgánica de Protección de Datos LOPDeconred
Conoce los aspectos legales de la Ley Orgánica de Protección de datos afectan a tu negocio, conoce las claves y requisitos para cumplir con la ley y mejorar la eficiencia de tu negocio.
Conceptos básicos sobre la LOPD. Esta presentación quiere proporcionar unos conceptos y conocimientos básicos sobre la legislación española en protección de datos.
Ley Orgánica de Protección de datos - LOPDRamiro Cid
La presentación desarrolla la Ley Orgánica de Protección de Datos ( LOPD ), partiendo desde los hechos que marcaron su historia, se explica en el presente documento el órgano de control, el régimen sancionatorio, y los principales componentes de la ley como son el Deber de información, el consentimiento, comunicación de datos y acceso a los datos por cuenta de terceros.
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados
Aspectos fundamentales a tener en cuenta en lo que respecta a la protección de datos de caracter personal.
En esta presentacion pueden encontrar comentados los puntos básicos de la Ley y sus implicaciones.
Zenith Professional Center has 5,000 sq ft up to 15,000+ sq ft of high end office space available in our Class-A Professional Center building located in Boca Raton, Florida off Military Trail just north of Glades Rd.
Taller de LinkedIn impartido en la Universidad CEU-UCH de Valencia por Yolanda Corral 23-10-2015. PDF con los enlaces de interés compartidos durante el taller: artículos, vídeos, Storify.
Artículo resumen sobre el taller: http://www.yolandacorral.com/explotar-linkedin-manera-profesional
Ataques DDoS, una ciberextorsión al alza #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker sobre los ataques ataques distribuidos de denegación de servicio o ataques DDoS que se han convertido en una ciberextorsión al alza ya que entre otras cosas pueden dañar la reputación y causar importantes perdidas económicas. Más información: http://www.yolandacorral.com/ataques-ddos-ciber-extorsion-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad David Hernández 'Dabo', Francisco Moraga, Carlos Ayala, Diego Samuel Espitia y Francisco Juarez.
Presentación realizada en el apartado "Empleo y Talento", donde se expuso el trabajo realizado por un "hacker ético", así como las claves para convertirse en uno y hacer de tu hobby una profesión.
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Limb Complex Multi system Injury (Mangled Extremity) is one of the most challenging problems in Orthopaedic surgery. Mangled Extremity is a limb with an injury to at least three out of four systems (soft tissue, bone, nerves, and vessels). Decision have to be made either amputation + Prosthesis or limb salvage procedure. The decision of Primary Amputation in the acute setting is difficult for the patient, family, & the treating surgical team. The majority of mangled extremities are potentially salvageable for which, in the acute setting, a treatment plan needs to be made.
¿Qué es el RGPD? ¿Cómo me afecta siendo propietario o gestor de viviendas vacacionales? No es necesario ser uno de los gigantes de internet para aplicar algunas de las medidas de protección que desde ahora, exigirá la legislación europea.
El RGPD es un reglamento europeo que afecta a todas las empresas y organizaciones que oferten productos y/o servicios a ciudadanos de la Unión Europea. Incluyendo las vieiendas vacacionales.
Descubre cómo proteger correctamente los datos de tus huéspedes y proveedores antes del 25 de Mayo de 2018.
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)Alvaro J. Thais Rodríguez
Aspectos relevantes a partir de la entrada en vigencia de la regulación de protección de datos personales en el Perú (Actualizado al mes de julio 2013).
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
Protección de datos y comunicación digitalAdigital
Presentación de Miguel Geijo Castany de Rousaud Costas Duran para el taller de protección de datos y comunicación digital de adigital celebrado el pasado 5 de marzo de 2013.
Taller Cómo prepararse para una inspección de Habeas Dataamdia
12 de noviembre 2013
Periódicamente, la Dirección Nacional de Protección de Datos Personales (DNPDP), autoridad de aplicación de la Ley de Habeas Data 25.326, realiza inspecciones en empresas inscriptas y no inscriptas en el Registro Nacional de Datos Personales.
Desde amdia, hemos desarrollado con la participación de la DNPDP, un taller para entrenar a su personal.
Oradores:
Dra. Inés Zerdán, miembro de la Comisión de Relaciones Institucionales de amdia y Directora de Asuntos Legales de American Express Argentina.
Dr. Pablo Segura de la Dirección Nacional de Protección de Datos Personales (DNPDP).
Águeda Turchetto, Abogada especialista en temas de Protección de Datos Personales. Estudio Ortiz y Asociados.
Paola Carrano, Gerente de Compliance. American Express Argentina.
Las fuentes abiertas y las habilidades del analista OSINT, juegan un papel clave en la detección, defensa y respuesta ante las nuevas amenazas como la desinformación, las fake news o ataques a infraestructuras críticas, en los que intervienen actores tan diversos como el crimen organizado, el hacktivismo, el ciberterrorismo o los propios Estados, con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
En la exposición, se mostrarán ejemplos prácticos del uso de diversas técnicas OSINT e inteligencia artificial para adquirir y procesar grandes volúmenes de datos (tanto texto como contenido multimedia), con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
La ISO cuenta con estándares que especifican los requerimientos necesarios para las organizaciones al implementar sistemas de gestión, entre los cuales se tiene el estándar ISO/IEC 27001:2013 (Implementación de un Sistema de Gestión de Seguridad de la Información) el cual brinda un apoyo para poder lograr un cumplimiento de seguridad de la información en las compañías. Para esto, se debe seguir un proceso específico para poder lograr establecer de forma adecuada el sistema de gestión. Así mismo, el estándar ISO 22301:2012 plantea la gestión de continuidad del negocio el cual ayuda a buscar una operación continua del negocio a las compañías y es un ítem que hace parte de un SGSI. Se observarán el proceso de implementación de estos dos estándares para poder lograr un nivel de cumplimiento en cuanto a las mejores prácticas de seguridad de la información.
Durante el proceso de implementación de un SGSI o de un SGCN en contact centers o en BPOs, se presentan retos específicos de las realidades cambiantes de este tipo de negocios. El dinamismo que presentan hace que la implementación de estos sistemas requiera de una especial atención en los diferentes proyectos a los cuales se enfrentan las organizaciones, exploraremos de forma breve algunos de estos retos.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
En la presentación expuesta se puede apreciar los resultados de las auditorias efectuadas a los dispositivos Smart TV (LG 43uf6407, SAMSUNG UE32F5500AW, Panasonic TX-40CX680E) y la Barra de sonido OKI SB Media Player 1g. Durante el workshop se pudieron apreciar fugas de información en las cabeceras de respuesta, servicios expuestos y componentes desactualizados. En el caso de la Barra de sonido OKI y en todos los mediacenter InOut TV las carencias en seguridad son acentuadas, ya que disponen de servicios como XAMPP, con credenciales por defecto, esto sumado la falta de actualizaciones supone un potencial riesgo que ello conlleva. Durante la auditoría también se efectuó una captura del tráfico, llegando en algunos casos a enviar la lista total de canales sintonizados y el orden en que están ordenados en el Smart TV.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Dados los diversos cambios en las tecnologías y el creciente número de amenazas al sector de medios de pago, el PCI SSC emite, en ciclos definidos, actualizaciones a todo su ecosistema de normas. Asimismo, es muy importante conocer cuales son los requerimientos de validación y reporte del cumplimiento y tener en cuenta que los comercios o proveedores de servicios por sus procesos de pago, arquitectura, etc. deben considerar que controles de la norma PCI DSS les apliquen. Debido a esto, es necesario entender cuales son los diferentes cuestionarios de Autoevaluación (SAQ), que no es más que un subconjunto de controles de la norma aplicados a un escenario especifico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento, abarcando sus principales inconvenientes al llenarlo y los retos más importantes.
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
Estamos acostumbrados a utilizar diferentes redes sociales de manera habitual. Aprovechamos sus características, tanto a nivel particular como profesional. Sin embargo, no siempre somos conscientes de los detalles que una tercera persona u organización puede obtener sobre nosotros o nuestro entorno. ¿Hasta qué punto se puede hacer un uso abusivo de las redes sociales para conseguir información que no hemos hecho pública? Esta charla intentará encontrar respuestas a esta y otras cuestiones sobre los riesgos derivados en el uso de las redes sociales.
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
Vicente Aguilera vuelve en la NcN 2015 impartiendo el taller: Técnicas OSINT para investigadores de seguridad. El taller pretende dar a conocer, de forma práctica, como utilizar fuentes de acceso público en Internet para recopilar información detallada sobre un objetivo. Además de las redes sociales de uso masivo, se mostrarán recursos online y herramientas útiles en la búsqueda de información como parte del proceso de investigación en distintos ámbitos. Dirigido a investigadores, pentesters, ingenieros sociales, personal de cuerpos y fuerzas de seguridad, analistas de mercado y estudios sociológicos, así como cualquier persona interesada en evaluar su reputación online.
En la primera edición Hack& Beers Barcelona, Vicente Aguilera impartió la presentación "Vulnerabilidades animadas de ayer y hoy", en la que realizó una rápida enumeración de los riesgos clásicos que sufren las aplicaciones web en los últimos años, y se centró en la vulnerabilidad CSRF (Cross-Site Request Forgery) mostrando casos de explotación producidos en aplicaciones de uso masivo (como Gmail, Facebook y Twitter) y detectados por miembros del equipo de auditoría de Internet Security Auditors. Por último, expuso el mecanismo de protección adoptado por Facebook en la actualidad para hacer frente esta amenaza, comentando deficiencias identificadas en dicho mecanismo.
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
No cON Name: el congreso de seguridad más antiguo de España. Se presenta una nueva versión de la herramienta OSINT Tinfoleak, que permite extraer información detallada sobre la actividad de un usuario en Twitter, mostrando nuevas funcionalidades que permiten ampliar el análisis de la información disponible. Dicha información resulta de gran utilidad en distintos ámbitos: ingeniería social, pentesting y vigilancia digital. La ponencia tiene como objeto hacer visible, de forma práctica, el nivel de exposición de nuestras vidas en las redes sociales, y el abuso que puede realizarse de dicha exposición pública que, en la mayoría de casos, su alcance es totalmente desconocido por el usuario.
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
Cybercamp: evento organizado por INCIBE (Instituto Nacional de CIberseguridad). Se presenta una nueva versión de la herramienta OSINT Tinfoleak, que permite extraer información detallada sobre la actividad de un usuario en Twitter, mostrando nuevas funcionalidades que permiten ampliar el análisis de la información disponible. Dicha información resulta de gran utilidad en distintos ámbitos: ingeniería social, pentesting y vigilancia digital. La ponencia tiene como objeto hacer visible, de forma práctica, el nivel de exposición de nuestras vidas en las redes sociales, y el abuso que puede realizarse de dicha exposición pública que, en la mayoría de casos, su alcance es totalmente desconocido por el usuario.
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identificación y declaración de BBDD en el RNBD. Recomendaciones
1. Errores comunes en la
identificación y declaración
de BBDD en el RNBD.
Recomendaciones
Camilo Rojas Chitiva
(c.rojaschitiva@gmail.com)
Daniel Fernández Bleda
(@deferble / dfernandez@isecauditors.com)
2. Presentación
• En esta presentación vamos a centrarnos en los aspectos
más sensibles o complejos del registro en el RNDB.
• No vamos a revisar paso por paso el proceso de registro
de BBDD en el RNDB.
• Lo relevante de estos aspectos es:
• Designación de responsable y encargados de las BD.
• Finalidad de la BD.
• Forma de Tratamiento.
• Mostraremos errores habituales basados en nuestra
experiencia en el cumplimiento de Protección de Datos,
más allá del registro de BBDD.
3. • La definición de Base de Datos según el Artículo 3 es:
“Conjunto organizado de datos personales que sea
objeto de Tratamiento.”
Definición según la L. 1581/2012
Base de Datos
4. • Responsable y Encargado.
• Concepto finalidad.
• Forma de tratamiento.
Aspectos clave en el proceso de la
declaración de BBDD en el RNDB
Base de Datos
7. Base de Datos
El concepto principal de agrupación de “Bases de Datos /
archivos” desde el punto de vista la Ley 1581 es el de la
finalidad.
Debe verse cual es la finalidad que se le da a cada una de
ellas y en su caso agrupar bajo un mismo archivo el
contenido de dicha información en función de las posibles
finalidades que se utilicen en su Tratamiento.
Finalidad como concepto clave
9. La agrupación de la declaración y registro de las BBDD por
finalidad nos simplificará la gestión de la Información de Datos
Personales desde el punto de vista del cumplimiento legislativo y
no afectará a los procesos técnicos.
Hay que recordar el hincapié que hace la Ley en el Principio de
finalidad: El Tratamiento debe obedecer a una finalidad legítima
de acuerdo con la Constitución y la Ley, la cual debe ser
informada al Titular.
Base de Datos
Objetivo de la agrupación por Finalidad
11. Otros errores Post-RNDB
• Haber declarado las Bases de Datos Personales en el
RNDB no implica el cumplimiento integro de la Ley 1581.
• Nuestra experiencia en proyectos de protección de datos
nos permite enumerar errores habituales en el
cumplimiento de Protección de Datos, aun cuando
hubiéramos declarado nuestra BBDD en RNDB.
• Veámoslos…
El cumplimiento de la Ley va más allá de la
declaración de BBDD en el RNDB
12. Derechos de los Titulares
No informar de los derechos que tiene el Titular de
forma correcta y completa.
• Cada vez que obtienen datos personales, ya sea por un
formulario, encuestas, factura, formularios de contacto,
o de reserva en las web, folletos publicitarios, o en
nuestro e-mail, hay que incluir la cláusula informativa.
En ocasiones además hay que obtener la autorización
explícita, es decir, firmada del titular de los datos que
recogemos.
Defectos en la información para ejercer derechos
13. Derechos de los Titulares
• Cuando el Titular sienta “indefensión” en el proceso de
petición de la información estaremos incentivando el
uso de sus derechos ante dicha “violación”.
• Hay que prestar especial atención en (Art. 8 L. 1581):
• Facilitar cómo conocer, actualizar y rectificar sus datos
personales.
• Facilitar cómo conocer el uso que le ha dado a sus datos.
• personales.
• Facilitar cómo solicitar prueba de la autorización.
Defectos clave o información “estratégica”
14. Derechos de los Titulares
• Cuando el Titular sienta “indefensión” en el proceso de
petición de la información estaremos incentivando el
uso de sus derechos ante dicha “violación”.
• Hay que prestar especial atención en (Art. 8 L. 1581):
• Facilitar cómo conocer, actualizar y rectificar sus datos
personales.
• Facilitar cómo conocer el uso que le ha dado a sus datos.
• personales.
• Facilitar cómo solicitar prueba de la autorización.
Defectos clave o información “estratégica”
15. Derechos de los Titulares
• Una política de privacidad incompleta o defectuosa
tiene un efecto más “dañino” cuando:
• Le notificamos al Titular que puede ejercer sus derechos pero
no cómo. Si los datos se facilitan electrónicamente no le
exijamos una carta manuscrita para ejercer sus derechos.
• Le notificamos que la empresa recoge unos datos pero no
facilitamos los datos de la empresa (Art. 12): razón social,
dirección física y electrónica y teléfono de la empresa de
forma precisa.
• Los Titulares tienen derecho a conocer los propósitos
que persigue una empresa con la toma de sus datos y
autorizar su uso y la Ley impide usos indiscriminados.
Efecto “boomerang” de una mala política de privacidad
16. Cesión de Datos
• Las empresas necesitan de terceros para llevar a cabo
procesos que implican la cesión de datos es importante
que:
• Regulen contractualmente esa cesión o esa tercerización con los
terceros, sea para obtener el dato o para emplearlo.
• Notificar a los Titulares sobre esas cesiones (y pedir su
consentimiento). Sobretodo será importante cuando esos
terceros puedan ser quienes recopilen los datos para nosotros y
tienen contacto con los Titulares (p.e. subcontratas que
realizan visitas domiciliarias pre-contratación, procesos de
reclamos, actividades de mercadeo, contadurías con acceso a
datos de los trabajadores, etc.).
Cesión de Datos y Terceros Encargados de Tratamiento
17. La expresión “base de datos” como sinónimo de “archivo”,
puede conducir a error, primero, porque transmite la
impresión de que solamente tienen la consideración de
“archivos” aquellos informatizados o automatizados.
Hay que pensar en un “archivo” en su raíz del concepto
“archive” del inglés (un “contenedor” de datos o ficheros)
no un “file” (un “fichero” que contiene datos u otra
información informática que pueden no ser datos).
Base de Datos
Base de Datos vs Archivo
18. Un archivo también se referirá a los no automatizados (en
papel) y los mixtos (parcialmente en papel/informatizado).
Es decir, una Base de Datos puede ser un fichero, pero no
todo fichero es una Base de Datos.
Base de Datos
Base de Datos vs Archivo
19. Una Base de Datos desde el punto de vista de la Ley 1581
tampoco tiene porqué tener correspondencia con una Base
de Datos desde el punto de vista informático.
Podemos tener datos personales en distintas Bases Datos y
no por ello hay que declarar cada una de ellas.
Base de Datos
BBDD L.1581 vs BBDD informática
20. Es importante mantener el uso de la información para el
que fue obtenido inicialmente.
Si información al Titular de un uso (Art. 17 L.1581) y la
empleamos para otros fines deberemos pedir
consentimiento y notificar al Titular.
Será más práctico “planificar” el uso de las Bases de Datos
para evitar problemas posteriores.
Recopilación para otros usos
Recopilar información para un uso y realizar otro
21. Puede ser habitual, si estamos obteniendo Hojas de Vida
en procesos de contratación o selección de personal, pedir
un número de celular para comunicación con el cliente y
emplearlo para enviar publicidad por WhatsApp: es muy
importante almacenar los consentimientos para atender
peticiones posteriores de los Titulares.
El consentimiento ha de ser inequívoco o estaremos
cometiendo varias infracciones de la Ley: defectuosa
notificación del uso y un incumplimiento del Principio de
finalidad.
Recopilación para otros usos
Recopilar información para un uso y realizar otro
22. Derecho de cancelación
• Es muy habitual que las empresas que realizan
comunicaciones de mercado por correo electrónico
incluyen cláusulas de confidencialidad y estas no dan al
receptor la opción de cancelar su suscripción a los
envíos.
• SIEMPRE debe darse al Titular receptor de la
comunicación la vía de cancelación.
• No cumplir esta premisa vuelve a situar al Titular en una
sensación de frustración e indefensión: será más
sensible a ejercer sus derecho de forma hostil.
Actividades de Mercadeo y derecho de cancelación
23. Publicación indirecta de BBDD
• Una mala comunicación comercial puede convertirse
en la publicación de una BBDD personales.
• Llevar a cabo un mailing en el que las direcciones y
nombres de todos los destinatarios sean visibles se
convierte en la publicación de una BBDD.
• Se habrá violado el Principio de acceso y circulación
restringida (Art. 4 L. 1581) y podría ser razón de una
sanción prácticamente directa en caso de reclamación.
Publicación de BBDD en comunicaciones comerciales
24. La información en las BBDD tiene un ciclo de vida que se
inicia al recopilarla y finaliza al destruirla.
Llevar a cabo la eliminación de la información física en
canecas incumple cualquier proceso lógico y responsable
de información.
Entregar a terceros equipos o soportes informáticos
obsoletas o antiguos sin realizar revisiones de éstos y
eliminaciones seguras puede desembocar en una fuga de
información de datos personales.
Destrucción de BBDD
El ciclo de vida de las BBDD acaba cuando se destruyen
25. Capacitación
• Es necesario capacitar a todo el Personal que pueda
impactar en los procesos de Tratamiento.
• No capacitar correctamente a los empleados en los
procesos y responsabilidades en el Tratamiento de la
Información Personal, en los procesos de gestión interna
ante peticiones de los Titulares, en la notificación
interna de violaciones de las Políticas de Seguridad y
Tratamiento de Información, etc. puede ser mucho más
costoso.
La capacitación es costosa, su ausencia mucho más
26. Pensar en que el cumplimiento de la Ley 1581/2012 se
limita a incluir cláusulas legales en contratos y declarar
alguna BBDD en el RNBD desembocará, SIEMPRE, en
incumplimientos.
Los incumplimientos implicar cumplimientos parciales.
Los incumplimientos parciales llevaran a procesos internos
defectuosos.
Los procedimientos defectuosos implicarán reclamaciones
y sanciones de la SIC.
Conclusiones
La identificación, uso y gestión de BBDD es un proceso