por aralegis | Dic 13, 2018 | Blog
Debemos destacar la necesidad de cumplir con la normativa de protección de datos y de encontrarse en todo momento en situación de poder demostrar dicho cumplimiento.
Por ejemplo:
- en el Considerando 86 dedicado a las brechas de seguridad se habla de la obligación de los responsables del tratamiento de que cuando una de estas se produzca deberá notificarla a la autoridad de control competente, «a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas»
- en el Considerando 42 se indica que «cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento»
- Esto aparece nuevamente en los artículos 5, 7, 11, 24, … y en los considerandos 74, 82, 90, … del Reglamento
Pero queremos incidir en que esa capacidad de demostración no solamente se refiere a los aspectos meramente documentales, ya que del cumplimiento de la normativa de protección de datos resulta que el mero hecho de disponer de documentación, más o menos correctamente redactada, no nos permitirá demostrar que esta se está cumpliendo, más allá de lo meramente formal.
Esas formalidades deberán venir acompañadas de dos elementos esenciales más que deberán poderse acreditar:
- acreditar la existencia de un trabajo de seguimiento y actualización de la documentación que se disponga
- extender el conocimiento de la necesidad de cumplimiento de la normativa de protección de datos a todos los niveles de la empresa, desde la gerencia y hasta los puestos aparentemente más alejados de las normas de privacidad
por aralegis | Dic 5, 2018 | Blog
Una vez explicado qué es el análisis de riesgos, debemos hablar de la realización del mismo y, para ello, debe establecerse un proceso específico que tiene tres pasos fundamentales:
A) Identificar amenazas.
Estas amenazas pueden provocar riesgos a la privacidad o a la confidencialidad. De estos riesgos:
- los primeros están más vinculados a vulneraciones de normas que garanticen derechos de los ciudadanos
- los segundos se encuentran más propiamente dentro de lo que se conoce la seguridad de la información
B) Evaluar los riesgos
Lo primero que tenemos que tener en cuenta es considerar todos los posibles escenarios en los cuales va a darse un riesgo.
Después valoraremos el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice. Para hacerlo correctamente esa valoración conllevará asignar tanto a la probabilidad como a dicha amenaza de una magnitud, que puede ser: alto, medio, bajo, o todavía mejor valorarla del 1 al 5.
C) Tratar los riesgos hasta alcanzar el nivel de seguridad necesario
El objetivo de tratar los riesgos es disminuir el nivel de exposición de la empresa a estos aplicando salvaguardas, hasta situar el riesgo residual (el que queda después de aplicar las salvaguardas) en un nivel admisible.
Y con estos pasos tenemos los aspectos fundamentales para aplicar las medidas que habrán de garantizar un nivel de seguridad adecuado al riesgo.
por aralegis | Nov 22, 2018 | Blog
Una de las principales obligaciones de las empresas en materia de protección de datos es tener documentado un análisis de los riesgos para los derechos de sus clientes, usuarios o de sus trabajadores. Todas las empresas deberían realizar uno, aunque sea básico.
Consiste en un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo.
Los datos tienen un ciclo de vida que sirve para comprender su función dentro de la información que se utiliza en una empresa y se puede dividir en 5 principales etapas:
- Captura de datos
- Clasificación/Almacenamiento
- Uso/Tratamiento
- Transmisión a un tercero
- Destrucción
Deberemos analizar los riesgos de los datos en cada una de estas etapas, debiéndose:
- Documentar las actividades de tratamiento y realizar el obligatorio registro de actividades de tratamiento (artículo 30 del Reglamento Europeo de Protección de Datos)
- Describir que acciones realizamos en cada una de esas actividades de tratamiento
Especialmente relevante es el Considerando 76 que nos indica que:
- La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos y
- El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto
Este análisis de riesgos se asimila a otros ya conocidos como la serie ISO 27000, pero introduce una nueva visión donde el foco de atención se centra en los derechos y libertades de los interesados.
Se trata de establecer hasta qué punto una actividad de tratamiento puede causar un daño a los interesados.
por aralegis | Nov 2, 2018 | Administración electrónica, IT Law, Legal Tecnologías de la información, Propiedad intelectual, Protección de datos
Hace poco más de dos meses el Parlamento Europeo con 438 votos a favor, 226 en contra, aprobó la modificación de la Directiva de Derechos de Autor , la cual es una legislación destinada a actualizar dichos derechos a los nuevos usos y diversidad de contenidos que circulan por Internet. A pesar de todo, dicha Directiva aún se encuentra pendiente de ser aprobada en enero de 2019 en una segunda votación, siendo necesaria la adaptación legislativa de los 28 países miembro de la Unión. Esto no ha frenado ni mucho menos el pánico y temor por parte de los millones de usuarios que publican y comparten toda una variedad de contenidos escritos y audiovisuales. La idea de aprobar una nueva normativa que ofrezca unas mayores garantías y control dentro de la Unión Europea, no ha estado exenta de polémica en ninguno de los niveles, tanto en los altos representantes de las instituciones como en los propios usuarios de las grandes plataformas de Internet. Las dificultades en encontrar puntos en común entre los diferentes representantes de los países de la Unión era patente en 2016 cuando fracasó la aprobación del primer intento de reforma.
Cambio de las reglas de Internet Es cierto que nuestra vida ha cambiado mucho en muy poco tiempo, dado que conforme pasan los años lo que era una mera sombra nuestra en la dimensión digital ahora contiene casi todo lo que nos define. Es por ello que se hace evidente que cualquier cambio de las reglas que hacen funcionar nuestro mundo digital causa un impacto tremendo en nuestra vida diaria. Actualmente las reglas que conforman y delimitan nuestra forma de actuar en Internet pasan fácilmente desapercibidas por la mayoría, dado que una vez que un contenido es publicado en internet, esta se hace pública y en consecuencia perdemos prácticamente todo control sobre él, tanto en el ámbito de la privacidad como en el de la propiedad. Este tipo de reglas o delgadas líneas que limitan algunas publicaciones en Internet comúnmente se manifiestan en Instagram o Facebook, donde algoritmos impiden o bloquean contenidos principalmente fotográficos que puedan considerarse inapropiados. Con la aprobación de la nueva normativa europea, implicaría la autorización de dichos algoritmos pero con un margen de actuación mucho más amplio, bloqueando no solo los contenidos que se consideren inapropiados sino todo aquello que pueda infringir las leyes de ‘copyright.
Incertidumbre e inquietud en los usuarios Ante la pregunta sobre cuál es el principal motivo por el que los usuarios de la Unión Europea están tan preocupados, la respuesta es sencilla. Los usuarios perciben las páginas web, las redes sociales, y otras plataformas como zonas más cómodas de libertad de expresión y difusión de contenido para una interacción más fácil e instantánea con otros usuarios mediante likes, comentarios, etc. Ante esta nueva normativa los usuarios tienen miedo que esa flexibilidad de contenidos y de interacción puede verse seriamente mermada. (más…)
por aralegis | Oct 30, 2018 | Blog
Las pymes se encuentran en una posición especialmente comprometida cuando hablamos de seguridad de la información, debido a que se cree que los peligros que conlleva la utilización de la tecnología afectan más a las grandes corporaciones.
Los ciberdelincuentes convierten a las pequeñas empresas en un objetivo apetecible debido a su falta de:
- a) protección
- b) medios que tienen para protegerse
- c) concienciación general
Existen herramientas gratuitas de seguridad que facilitan lograr unos niveles mínimos de seguridad y que pone a disposición de las pymes el Instituto Nacional de Ciberseguridad, -INCIBE- (www.incibe.es) entre las que se encuentran antivirus gratuitos, sistemas de copia de seguridad, etc.
Es imprescindible que el personal de la empresa cuente con una concienciación e información en la materia y es recomendable que las personas de la empresa que accedan en mayor medida a la información de la misma (datos de clientes, de proveedores, datos comerciales, incluso datos de los propios trabajadores) reciban una formación mínima.
La tecnología no es el único factor de la seguridad de la información en el ámbito de la empresa, ya que también existe una enorme dependencia de la que almacenamos en soporte papel y que también conlleva grandes riesgos.
Por tanto:
- debemos valorar todos los activos de nuestra empresa relacionados con la gestión de la información que son cualquier elemento, material o inmaterial, que guarde relación con el tratamiento de la información
- una vez que una amenaza, aprovechando una vulnerabilidad de estos, se materializa, el perjuicio que se produce irá en relación a la naturaleza de la información que se pierde o resulta sustraída
