Hacia el cumplimiento del RGPD - maxconn.reddigital.infomaxconn.reddigital.info/pdf/rgpd.pdf ·...
Transcript of Hacia el cumplimiento del RGPD - maxconn.reddigital.infomaxconn.reddigital.info/pdf/rgpd.pdf ·...
Hacia el cumplimiento del RGPDTelefónica España
Junio 2018
Surge la economía de los datos
¿Son los
datos el
petróleo del
siglo XXI?
En la era digital, la confianza es clave
Los datos que una
empresa posee
ayudan a identificar
oportunidades, a
reducir costes o a
abrir nuevos
mercados
Son valiosos y debemos, todos, asegurar el uso responsable
¿Por qué un nuevo Reglamento?
Devolver a los ciudadanos
el control sobre sus datos personales
Proporcionar seguridad,a las empresas que operan dentro de la Unión Europea,
01
02
Impulsar la innovación y el mercado digital
¿Qué son los datos de carácter personal?
Identifica a qué persona se refiere sin necesidad
de tener que realizar ningún tipo de averiguación
posterior.
Toda información sobre una persona física identificada o identificable
Persona
identificada 01
Persona
identificable02
A priori no indica a qué persona se refiere,
pero aporta información suficiente para poder
llegar a averiguar su identidadADN
INFO
RM
AC
IÓN
IP
Principios aplicables sobre los datos personales
Soberanía del usuario sobre sus datos
Aunque el usuario nos ceda sus datos, siempre debe tener control
No se trata ya de proteger los ficheros que tienen datos personales, sino de
garantizar la legalidad de los diversos tratamientos que se puedan hacer con
dichos datos. Que sean tratados de manera lícita, leal y transparente
Que sean datos pertinentes y adecuados a la finalidad que motiva la
recogida
Que estén estrictamente limitados a los necesarios atendiendo a la
finalidad y limitados al plazo de conservación establecido.
Que no se utilicen para finalidades incompatibles con aquellas que
motivaron su recogida
Que sean exactos, es decir, actualizados y rectificados sin dilación.
Debe garantizarse la integridad y confidencialidad (garantía de
seguridad)
Sanciones
LOPD RGPD
Entre 900€ y
600.000€
Hasta 20 millones de €
o
4% de la facturación
global anual
¿Qué impacto tiene en las empresas?
Impacto TecnológicoImplementar nuevas tecnologías y medidasde seguridad para minimizar los riesgos:
• Anonimización• Pseudonimización• Cifrado de comunicaciones datos
sensibles• Cualquier otras, que resulten adecuadas
para garantizar la seguridad de los datos.
Impacto en la actividad
• Dedicar recursos• Invertir esfuerzos en el mantenimiento del
sistema de gestión de Protección deDatos.
• Invertir en formación, sensibilización yconcienciación.
Impacto LEGAL
• Clausulas de Información : clientes,empleados
• Cláusulas de obtención del Consentimiento• Consentimientos obtenidos de forma tácita• Contratos con terceros• Políticas de Privacidad incorporadas en la
web, formularios en papel.
Consentimiento RGPD
Es clave requerir el consentimiento de la persona cuyos datos son tratados.
Las empresas deberán poder mostrar cómo y cuándo han obtenido el consentimiento
Aceptación expresa.
No hay casillas premarcadas
Los datos obtenidos deben tener una finalidad específica, explícita y legítima
Requiere consentimiento para cada fin.
Las personas deberán poder retirar su consentimiento en cualquier momento
“Toda manifestación de voluntad libre, específica, informada e inequívoca
por la que el interesado acepta, ya sea mediante una declaración o una
clara acción afirmativa, el tratamiento de sus datos personales”.
CONSENTIMIENTO
QUÉ información recogemos
CÓMO la recogemos
QUÉ USOvamos a hacer
Derechos de los usuarios
DERECHOS SOBRE LOS DATOS
DERECHOS SOBRE EL TRATAMIENTO
Medidas de seguridad y protección del dato
Las empresas deberán implementar las medidas organizativas y técnicas adecuadas teniendo en cuenta la
naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como los riesgos de
diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Cada empresa deberá
tomar las medidas que considere necesarias para demostrar evidencia del cumplimiento en cuanto
a cómo están mitigando estos riesgos.
Seudonimización y/o cifrado de datos personales
Capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la
resiliencia de los sistemas de forma continua
Capacidad de restaurar la disponibilidad y el acceso a los datos de forma puntual
tras un incidente técnico o físico.
Introducción de un proceso para realizar pruebas y evaluar la efectividad de estos
sistemas periódicamente
Violaciones de Seguridad
Destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o
la comunicación o acceso no autorizados a dichos datos.72h
12
¿Qué soluciones dice RGPD que tiene que implantar une empresa?
RGPD no define qué tipo de medidas es necesario tomar para garantizar cumplimiento. Siempre
va a existir un riesgo en el tratamiento de datos, existirán diferentes tolerancias al riesgo y ha de
aplicarse el “principio de responsabilidad”.
Esto se traduce en que cada empresa deberá tomar las medidas que considere necesarias para
demostrar evidencia del cumplimiento en cuanto a cómo están mitigando estos riesgos.
Dicho lo anterior…¿hay alguna pauta para saber qué soluciones pueden ser de aplicación?
Medidas que ayuden a detectar de que datos se dispone, cómo se administra y controla su uso, la
protección de los mismos así como herramientas para monitorizar y auditar y que permitan cumplir con el
deber de información.
Pero, ¿qué medidas necesito implantar?
Adoptar rápidamente la normativa es una ventaja competitiva
¿Cómo te podemos ayudar?
¿Qué hay que hacer?
14
Detectar
Identificar qué datospersonales se tienen y
dónde residen
• ¿Tienes un listado de clientesguardado en el PC?
• ¿Intercambias los números de telefono de proveedores o clientes con un pendrive?
• ¿Como guardas las contraseñas de las cuentas? Y ¿de los Pcs?
• …
Gestionar
Controlar cómo se usany se accede a los datos
personales
• ¿Como recoges la informaciónde tus clientes?
• ¿La utilizas solo para lo que tehan dado consentimiento?
• ¿Como gestionas las limitaciones de consentimiento?
• …
Proteger
Establecer controles de seguridadpara prevenir, detectar y responder a vulnerabilidades y violaciones de
datos.
• ¿Tienes contraseñas para accede a los datosde caracter personal?
• ¿Controlas los accesos por perfiles?
• ¿Los datos de tus clientes, proveedores, empleados estan al alcance de cualquiera?
• …
Informar
Mantener la documentaciónrequerida, gestionar las
solicitudes de datos y las notificaciones de incumplimiento.
• Si tienes una fuga de seguridad, ¿puedes detectarla para informaren el plazo de 72 horas a losafectados y a las autoridades tal y como estalbece el GDPR?
• ¿Tienes los informes que te exigeel GDPR?
• …
¿Cómo podemos ayudar desde Movistar?
Facilitando servicios de consultoría en
materia de protección de datos de
carácter personal conforme al RGPD
Con Soluciones que pueden ayudar a
las empresas en su cumplimiento
normativo (RGPD y otros).
Garantizando que nuestros Centros de
Datos Gestionados e Infraestructuras
cumplen con la normativa vigente.
1
2
3
15
Asesoría y defensa
16
Asesoría jurídica experta en reputación online de tu negocio
Eliminación opiniones injuriosas, desindexación contenido, derechos de propiedad intelectual, suplantación de identidad ….
Protección datos personales
Cualquier cuestión sobre cumplimiento legal de la empresa en materia de protección de datos (inventario tratamientos, clausulas
privacidad en contratos con clientes, proveedores, gestión de derechos ARCO + olvido y portabilidad, política de privacidad de la web
…). Auditoría web
Defensa ante procedimientos sancionadores
Política de cookies, formularios de recogida de datos personales, comercio electrónico, aviso legal, política de privacidad ….
EJEMPLOS en relación al RGPD
¿Cómo tengo que recoger los consentimientos de mis clientes?
¿Tengo obligación de tener DPO?
¿Cómo tengo que documentar que mis proveedores traten datos de mis clientes/empleados?
¿La política de privacidad de mi web es correcta?
EXCLUSIVO
MOVISTAR
17
RGPD hace referencia a: “la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en
caso de incidente físico o técnico”;
El servicio de Cloud Backup, que permite realizar en la nube una copia de seguridad de servidores físicos o virtuales así
como de PCs, constituye así un elemento básico para el cumplimiento normativo del RGPD:
• Cloud Backup permite realizar las operaciones de protección de los datos más importantes de cumplimiento normativo en
una única solución
• Esto facilita el cumplimiento de las obligaciones derivadas del GDPR a la vez que permite aportar evidencias relacionadas
con las copias de seguridad realizadas ante los organismos reguladores correspondientes.
Seguridad & Infraestructuras - Cloud Backup
18
Seguridad & Infraestructuras - Cloud Backup – Casos de uso
19
Microsoft Office 365 ayudar a descubrir, administrar y
proteger sus datos en la nube, así como a compilar los
informes y documentación necesarias para cumplir con
los requisitos del RGPD.
Productividad & Colaboración: Office 365
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
• Búsqueda de contenido
• En cualquier momento, un administrador de la organización puede buscar contenido específico en correos electrónicos, archivos alojados en OneDrive o SharePoint sin obtener acceso al resto de la información de sus usuarios
• Directivas de Prevención de Pérdida de datos (DLP)
• Se pueden configurar directivas sobre el uso de datos sensibles (financieros, de salud, etc.) en correos o archivos, impidiendo su envío a destinatarios externos o simplemente informando al usuario
• Auditoría y alertas sobre actividades sospechosas
• Office 365 permite informar de actividades sospechosas como eliminación masiva de documentos compartidos, sincronización local de archivos marcados como confidenciales, etc. También se puede activar un registro continuado de movimientos sobre los servicios usados por cada usuario.
20
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
Registro de auditoría de Office 365
21
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
• Etiquetas y directivas de retención de datos
• Cada organización puede configurar sus propias directivas de retención de la información, y dejar en manos de los usuarios (o forzar una detección automática) etiquetar cada correo o archivo para que su archivado o borrado periódico se adecúe a estas directivas
• Bloqueo de acciones sobre información sensible con Information Rights Management
• La característica opcional IRM puede configurarse para impedir el reenvío de determinados correos, la impresión de determinados documentos o incluso la captura de pantalla
• Administración altamente personalizable por línea de comandos con PowerShell
• Los administradores más experimentados pueden gestionar Office 365 íntegramente desde la línea de comandos, permitiendo un sinfín de personalizaciones del flujo de trabajo diario de administración de esta plataforma
22
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
Consola de PowerShell para administrar Office 365
23
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
• Robustez y veteranía de la plataforma corporativa de Microsoft
• Office 365 es la adaptación a la nube de las tecnologías Exchange, SharePoint y Skype for Business utilizadas por las empresas más importantes del mundo durante décadas
• Cifrado de datos en tránsito y en reposo
• Office 365 cifra la información de los usuarios tanto en su tránsito desde y hasta la plataforma como una vez almacenada en ella. Los clientes pueden utilizar sus propias claves de cifrado, si lo desean
• Protección antivirus, antispam y antimalware de serie
• Todos los planes de Office 365 incluyen una capa de protección y filtrado que impide la entrada de amenazas conocidas, valiéndose del conocimiento adquirido por los millones de usuarios activos de la plataforma. Opcionalmente se puede contratar una solución más proactiva que analiza en detalle cualquier archivo o enlace para determinar si incluye malware no detectado hasta la fecha
24
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
Advanced Threat Protection en Office 365
25
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
• Centro de Seguridad y Cumplimiento
• Hacer seguimiento de todas las amenazas para la empresa requiere mucho tiempo y esfuerzo; el Centro de Seguridad y Cumplimiento centraliza todas las herramientas e informes necesarios
• Panel de control específico para la RGDP
• Dentro de Seguridad y Cumplimiento se incluye una colección de herramientas especialmente diseñadas para hacer seguimiento del cumplimiento RGDP de la organización
• Office 365 Secure Score
• Mediante el método de “gamificación”, Office 365 invita a los administradores a mejorar su puntuación sobre la seguridad en su implementación particular del servicio. A medida que se van activando determinadas características de seguridad, la puntuación de la empresa aumenta
26
Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y
documentación necesarias para cumplir con los requisitos del RGPD.
Productividad & Colaboración: Office 365
detección administración protección información
Office 365 Secure Score
27
Productividad & Colaboración: Office 365
• Más información sobre RGPD en Office 365: http://link.formacionacens.com/o365rgpd
• Vídeo tutoriales sobre Office 365:http://link.formacionacens.com/o365
28
Tu Contabilidad y Facturación con Sage
296/13/2018 29
Medidas de seguridad para protección de datos personales
La empresa la responsable de asegurar que se han implementado las medidas
técnicas y organizativas adecuadas y que las herramientas que utiliza han sido
diseñadas teniendo en cuenta el GDPR
En un software adaptado al GDPR, como el
de Sage
Seguridad a nivel de banco con
contraseñas seguras
Derecho de supresión u olvido una vez finalizado el plazo de conservación legal
Plazo durante el cual se conservarán los
datos y una vez finalizado dicho plazo, la
seudonimizació o anonimización como
solución alternativa al borrado físico.
Derecho de acceso y portabilidad
Identificación de los datos que tengo en mi
poder y poder remitirlos al interesado en un
formato estructurado, de uso común y
lectura mecánica
Derecho de información y transparencia, control de la información, responsable
del tratamiento de los datos…
Permisos, Razones de los motivos, notas
por entidad, informes, exportación de la
información…
GDPR / Oferta en Software
30
Módulo Avanzado GDPR para Sage 50c
Funcionalidades GDPR
• Guías de documentación para apoyar la
gestión manual
• Reglas de seguridad básicas sobre
accesos a contraseñas
• Contraseñas mas seguras
• Nuevo Informe sobre los campos afectados por GDPR
• GDPR Basic
Entidades GDPR Gestión de Documentos Informes
• Más información para las entidades afectadas
(categoría, riesgo, datos caducados, ...)
• Formulario específico asociado a cada entidad
con campos GDPR afectados, Gestión de
datos (portabilidad)
• Alertas y Eliminar procesos de datos
• Plantillas automatizadas
• Guardado de documentos:
acuerdos, negaciones
• Auditorias
• Campos afectados por GDPR
• Análisis de riesgo
• Derechos de Portabilidad
• Datos caducados
• Consentimientos perdidos
Formación específica sobre el módulo
Y a ti, ¿cómo te podemos ayudar a vender más?
32Movistar © 2016
La legislación española es una de la más restrictiva de la U.E.
Protege la información de carácter personal responsabilidad de empresas españolas,
independientemente de su localización y sistemas en la que se trate.!
Entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD)2016
1999 Ley Orgánica 15/1999 (LOPD)
Incorpora un estricto procedimiento sancionador que se aplicará en
base a la gravedad de la infracción cometida.
Real Decreto 1720/2007 (RLOPD)
Incluye en su ámbito de aplicación los ficheros y tratamientos de datos
no automatizados (en papel), así como resuelve determinadas
cuestiones o lagunas interpretativas que quedaban sin resolver de la
LOPD.
2007
2018
2017Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal
Aplicación directa del nuevo Reglamento General de Protección de Datos
(RGPD)
La regulación sobre protección de datos en España