RGPD en la nube, ¿cómo afecta a tu negocio?
Como ya adelantamos en el post publicado recientemente sobre las Implicaciones en la RGPD 2018, nuestros servicios de hosting y de ciberseguridad en la nube están adaptados para asegurar el cumplimiento de estas regulaciones. Este es un aspecto muy importante de la nueva reglamentación puesto que, como dice Tomás Serna, abogado especializado en sectores de Internet, media y high-tech: “Soy responsable de la elección del proveedor que haga. Si no elijo un partner serio y con medios, la responsabilidad de lo que ocurra será mía.” Según el RGPD, hay que considerar cómo y dónde las soluciones de gestión procesarán y alojarán los datos personales, especialmente si el software está basado en la nube. Este aspecto es aún más importante para las empresas del sector de Gestoría o Despachos Profesionales que tratan datos de terceros. Una primera aproximación pasa por establecer un “mapa de sistemas”, que represente todos los almacenamientos y flujos de datos involucrados y, a partir de ahí, determinar cómo y dónde se tratan esos datos, identificando a los proveedores responsables de ese tratamiento, si está externalizada. El segundo paso recomendable es circular un cuestionario de verificación, para identificar cualquier incumplimiento, detallando cómo el software interviene en ese tratamiento de los datos personales y cuáles son las técnicas de protección de los datos (anonimización, encriptación, y otros). Finalmente, se sugiere adecuar los contratos con los proveedores de servicios y reservarse el derecho de realizar auditorías o revisiones. En este link al blog corporativo de Acens, nuestra empresa de servicios Cloud, tenéis mucha más información relativa a los aspectos que un proveedor de servicios debe cumplir para garantizar a sus clientes la total alineación con la regulación RGPD. ¡Hasta pronto! VíctorImplicaciones en la RGPD 2018: ¿cómo te afecta?
Ya ha pasado el 25 de mayo de 2018 y con él la entrada en vigencia del nuevo Reglamento General de Protección de Datos en Europa. Mientras se realizan las primeras actuaciones, los diferentes Estados miembros de la UE están adecuando sus normativas internas a la reglamentación europea que, siguiendo sus mismos lineamientos, puede incluir algunas particularidades locales. En el caso de España, el pasado 10 de noviembre el Consejo de Ministros remitió al Congreso de los Diputados el nuevo proyecto de Ley Orgánica de Protección de Datos. El pasado 14 de diciembre venció el plazo de alegaciones, y entramos en la fase final de su tramitación por el órgano legislativo, que se aprobará previsiblemente este año. Este proyecto clarifica o baja a detalle algunos aspectos del Reglamento. Las nuevas obligaciones que impone la nueva Ley a las empresas: Exclusión del denominado “consentimiento tácito”: al no responder a una comunicación previa de la empresa o entidad responsable del tratamiento. Menores: se adelanta a los 13 años la edad en que ya pueden prestar su consentimiento personal para el tratamiento de sus datos. Fallecidos: se permitirá que los herederos puedan solicitar el acceso a los datos del finado, así como su oportuna rectificación o supresión, con sujeción, en su caso, a las instrucciones del fallecido. Se prevé la posibilidad de que se puedan incorporar a un registro para su constancia y cumplimiento. “categorías especiales de datos” (origen étnico o racial, las opiniones políticas, y religiosas, militancia en sindicatos, datos genéticos, relativos a la salud, la vida sexual y las condenas e infracciones penales): el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de los datos especialmente sensibles. Será necesaria alguna justificación adicional. Por ejemplo, el cumplimiento de obligaciones legales, la protección de intereses vitales del interesado, el tratamiento efectuado por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, y otros. Verificable: el consentimiento explícito obtenido debe ser verificable. La entidad que lo ha recogido ha de estar en condiciones de acreditar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente. Exclusión de la imputabilidad del responsable: en el caso de que éste haya tomado todas las medidas razonables para la rectificación o supresión de los datos. Listas Robinson y sistemas de video-vigilancia: prevé que será lícito el tratamiento de datos de carácter personal para evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas, al igual que los sistemas de video-vigilancia, la función estadística pública y las denuncias internas en el sector privado. Delegado de Protección de Datos: podrá ser una persona física o jurídica, cuya designación se debe comunicar a la AEPD (Agencia Española de Protección de Datos), en calidad de máxima autoridad competente en el ámbito nacional. En la norma nacional se tipifican varias infracciones, calificadas como graves, relativas al DPO: el incumplimiento de la obligación de designar un DPO cuando sea exigible su nombramiento, o no cumplimentar la efectiva participación del DPO en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones. Bloqueo cautelar de datos: incluye la potestad de ordenar el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado. Aunque la nueva ley local y reglamentos no estén en vigencia, es importante tener en cuenta estos cambios para clarificar aspectos de la aplicación del RGPD y la planificación de nuevos servicios digitales. En las AAPP se agrega, además, la obligación de cumplir con las medidas relacionadas especificadas en el Esquema Nacional de Seguridad. En este contexto, ofrecemos diferentes servicios como el de Reputación en Internet realizado en conjunto con Legalitas para pequeños negocios y que incluye tanto estos aspectos de imagen, como adecuaciones legales de Protección de Datos y Comercio Electrónico. Como también soluciones de consultoría integral (legal y de Seguridad de la Información), para organizaciones de mayor tamaño. Adicionalmente nuestros servicios de hosting y de ciberseguridad en la nube (Cloud Backup) están adaptados para asegurar el cumplimiento de estas regulaciones, como se puede ver en esta descripción de Acens, nuestra compañía de servicios cloud. ¡Hasta pronto! Víctor
