GDPR: Comienza la cuenta atrás… ¿Te ayudamos?
Miquel MorellOmega Peripherals
Alejandro NegroCuatrecasas
Cuatrecasas y Omega Peripherals
15 años de relación
Consultoría en infraestructuras
Suministro de sistemas de almacenamiento, proceso y Seguridad de la información
Servicios especializados, incluido el traslado de CPD al nuevo edificio
ALEJANDRO NEGRO
Madrid DELL EMC FORUM 2017
12 de diciembre de 2017
EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS: RETOS LEGALES Y TÉCNICOS
❖ El responsable debe establecer medidas apropiadas para garantizar y poder demostrar
que el tratamiento de datos que realiza es conforme con el RGPD. Las medidas deben
revisarse y actualizarse.
❖ Protección de datos desde el diseño: a la hora de establecer los medios para el
tratamiento y durante el tratamiento, el responsable debe establecer medidas adecuadas
para adecuarlo al RGPD y proteger los derechos de los interesados.
❖ Protección de datos por defecto: el responsable debe establecer medidas para garantizar
que, por defecto, se traten únicamente los datos necesarios para los fines específicos del
tratamiento. Esto afecta a la cantidad de datos recopilados, al alcance del tratamiento, al
periodo de conservación y a la accesibilidad (por defecto, los datos no pueden hacerse
accesibles a un número indeterminado de personas sin intervención de la persona).
RESPONSABILIDAD PROACTIVA. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
❖ Relativamente nuevo. Viene a combinar la información sobre los ficheros que consta en el Registro de la AEPD y el documento de seguridad.
❖ En él deben figurar por escrito:
✓ Nombre y datos de contacto del responsable, de cualquier corresponsable, del representante y del delegado de protección de datos.
✓ Fines, categorías de interesados y de datos personales.✓ Categorías de destinatarios.✓ Transferencias internacionales de datos, identificando el país de destino.✓ Plazos previstos para la supresión de las diferentes categorías de datos.✓ Descripción general de las medidas de seguridad.
❖ Obligatorio, salvo que la empresa tenga menos de 250 empleados. Necesario en todo caso si el tratamiento: (i) puede suponer un riesgo para derechos y libertades; (ii) no tiene carácter ocasional; o (iii) incluye categorías especiales de datos o datos relativos a condenas y delitos.
REGISTRO DE ACTIVIDADES DE TRATAMIENTO
❖ El responsable debe elegir un encargado que ofrezca garantías suficientes.
❖ Debe regularse por contrato (o acto jurídico equivalente), que deberá incluir:
✓ Objeto, duración, naturaleza y finalidad del tratamiento, categorías de interesados y dedatos personales, obligaciones y derechos del responsable y del encargado.
✓ Obligaciones del encargado:
- Garantizar el compromiso de confidencialidad de las personas con acceso a datos.- Implementar medidas de seguridad y ayudar al responsable a garantizar el cumplimiento de las
obligaciones relativas a seguridad de los datos.- Asistir al responsable para atender los derechos de los interesados.- Poner a disposición del responsable información para probar el cumplimiento de sus obligaciones
y permitir auditorías.- Informar inmediatamente al responsable si entiende que una instrucción vulnera la normativa de
protección de datos.- Notificar violaciones seguridad.- Registro de actividades de tratamiento en nombre del responsable.
ENCARGO DE TRATAMIENTO
❖ Las medidas de seguridad no están predeterminadas, sino que deben ser adecuadas al
riesgo y tener en cuenta factores tales como el estado de la técnica, los costes de
aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento.
❖ Ejemplos: seudonimización; cifrado; medidas para garantizar la confidencialidad,
integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de
tratamiento; medidas para restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.
❖ Necesidad de realizar auditorías (“verificación, evaluación y valoración regulares de la
eficacia de las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento”).
MEDIDAS DE SEGURIDAD
❖ En caso de producirse una violación de la seguridad de los datos personales, el responsable deberá:
✓ documentar y notificar las violaciones de seguridad a la autoridad de control.
✓ notificar las violaciones de seguridad a los interesados cuando tenga un alto riesgo para los interesados.
❖ Excepciones:
✓ Los datos están protegidos por medidas que hacen ininteligibles los datos para cualquier persona no autorizada.
✓ Se han tomado medidas ulteriores que hacen improbable que se concretice el alto riesgo.
✓ Si la notificación supone una labor desproporcionada.
NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD
❖ Tratamientos que requieren observación habitual de los interesados o tratamientos decategorías especiales de datos.
❖ Posibilidad de designar un delegado único para un grupo empresarial.
❖ Persona con preparación.
❖ Funciones:
✓ Informar y asesorar sobre las obligaciones impuestas por la normativa.
✓ Supervisar el cumplimiento de la normativa y políticas internas.
✓ Cooperar con la autoridad de control.
✓ Servir de punto de contacto de la autoridad de control.
EL DELEGADO DE PROTECCIÓN DE DATOS
❖ Advertencia (eventual infracción) y amonestación (infracción).
❖ Órdenes.
❖ Sanciones económicas:
✓ Hasta 10 millones de euros o hasta el 2% del volumen de negocios mundial totalanual del ejercicio financiero anterior (el importe más elevado): obligaciones deresponsable/encargado, de organismos de certificación y de autoridades decontrol.
✓ Hasta 20 millones de euros o hasta el 4% del volumen de negocios (el importemás elevado): principios básicos, no atención de derechos, transferenciasinternacionales.
✓ Hasta 20 millones de euros o hasta el 4% del volumen de negocios (el importemás elevado): Incumplimiento de resoluciones de autoridades de protección dedatos.
SANCIONES
MUCHAS GRACIAS
Este documento es meramente expositivo y debe ser interpretado conjuntamente con las explicaciones y, en su
caso, con el informe elaborado por Cuatrecasas sobre esta cuestión
This document is merely a presentation and must be interpreted together with any explanations and opinions
drafted by Cuatrecasas on this subject
Este documento é uma mera exposição, devendo ser interpretado em conjunto com as explicações e quando seja o
caso, com o relatório/parecer elaborada pela Cuatrecasas sobre esta questão
Certificaciones
• El hecho de estar certificados en ISO27001 nos ha ayudado a entender y prepararnos para GDPR
¿Donde puede ayudar la tecnología?
Art.6
• Processing notallowingidentification
Art.17
• Right to erasureand to be forgotten
Art.20
• Data portability
Art.25
• Privacy by design
Art.30
• Records ofprocessingactivities
Art.32
• Security ofProcessing
Art.35
• Data ImpactAssessments
Chapter V
Art.44 a 50
• Data transfers
Apartados relevantes de la norma
CHAPTER II Principles
Article 6 Lawfulness of processing Processing not allowing identification
CHAPTER III Rights of the data subject
Section 3 Rectification and erasure
Article 17 Right to erasure (‘right to be forgotten’) Right to erasure and to be forgotten
Article 20 Right to data portability Data portability
Section 5 Restrictions
CHAPTER IV Controller and processor
Section 1 General obligations
Article 25 Data protection by design and by default Data protection by design & default. Privacy by design.
Article 30 Records of processing activities Records of processing activities
Section 2 Security of personal data
Article 32 Security of processing Security of processing
Section 3 Data protection impact assessment and prior consultation
Article 35 Data protection impact assessment Data protection impact assessment
CHAPTER V Transfers of personal data to third countries or international organisations
Article 44 General principle for transfers Transfers of personal data
Article 45 Transfers on the basis of an adequacy decision Transfers of personal data
Article 46 Transfers subject to appropriate safeguards Transfers of personal data
Article 47 Binding corporate rules Transfers of personal data
Article 48 Transfers or disclosures not authorised by Union law Transfers of personal data
Article 49 Derogations for specific situations Transfers of personal data
Article 50 International cooperation for the protection of personal data Transfers of personal data
¿Como nos ayuda la tecnología?
Manteniendo el Gobierno de los datos
Garantizando la Seguridad de los datos
Facilitando la transferencia de datos y su portabilidad
Asegurando la disponibilidad de los datos
Entendiendo sus datos
• Manteniendo el Gobierno de los datos – para asegurar que puede manejar sus datos dinámicamente y automáticamente se puede aplicar un sistema de data governance
Manteniendo el Gobierno de los datos
• Productos como SourceOneDiscovery Manager nos permiten descubrir y asegurar el mantenimiento del estado a efectos legales de contenidos archivados en respuesta a solicitudes por parte del regulador
Ejemplos
Data governance
• Hacer cumplir la normativa sobre seguridad de los datos.– Todo dato recogido de un
ciudadano de la UE debe securizarse contra accesos no autorizados.
– Encriptación y control de accesos son recomendados
– También hay que conservar un registro de la actividad de los datos
Garantizando la Seguridad de los datos
• Para impedir leer los datos en caso de acceso no autorizado:
– Data Domain Encryption:• using RSA BSAFE FIPS 140-2-
validated cryptographiclibraries.
– UNITY: Data at rest encryption
Ejemplos
• Para recuperar rápidamente de ataques, por ejemplo Ransomware.
– NetWorker 9.1 SnapshotManagement Integration
– XtremIO Snapshot
– Timefinder SnapVX
Encriptación y control de accesos
• Los datos deben estandarizarse, han de ser accesibles y se deben poder portar, no solo para el DataSubject sino a través de los Data Controllers
Facilitando la transferencia de datos y su portabilidad
• Para gestionar copias al Cloud:
– Cloudboost
• Para transferir datos entre cabinas:
– EMC Open ReplicatorMigration
Ejemplos
Los datos deben estandarizarse, han de ser accesibles y se deben poder portar
• Los datos han de estar disponibles y ser fidedignos (y recuperables) no solo para el procesamiento sino para responder a preguntas y solicitudes del DataSubject
Asegurando la disponibilidad de los datos
• DR sin perdida de acceso a Oracle
– Vplex
– Recoverpoint
• DR de entornos virtuales
– EMC SRDF Adapter for VMware vCenter Site Recovery Manager
Ejemplos
• Backup y replica en 2 sites
– Networker
– Datadomain replication con DDboost.
Los datos han de estar disponibles y ser fidedignos
• Si no sabes donde residen tus datos (estructurados, no estructurados, Backup, replica y/o Cloud) entonces no serás capaz de encontrarlos, clasificarlos, securizarlos ni de tomar acciones sobre los mismos.
• ¿Eres capaz de mostrar y registrar el linaje de tus datos conforme son procesados y transformados?
Entendiendo sus datos
backupReplica
Base de datos
Documento o hoja de
calculo
Ficheros de log
• Descubrir datos
– sourceOne discoverymanager
• Para descubrir copias y gestionarlas desde un único punto
– eCDM : Enterprise copy data Management
Ejemplos
• Localizar copias:
– Networker
– Datadomain
Documentos para cumplimiento GDPR
Política General de protección de datos personales:• Política que establece los principios generales de protección de datos personales
Política de protección de datos de empleados:• Política que establece como se tratan los datos personales de los empleados.
Nota publica sobre protección de datos – Registro de notas• Establece las condiciones bajo las que la compañía procesa los datos personales de sus
clientes/visitantes de la web. Registro de todas las notas publicadas. Política de retención de datos
• Establece el periodo durante el cual se conservaran datos personales por la compañía. Data Protection Officer Job Description
• Documento que establece las responsabilidades del DPO.
Documentos para cumplimiento GDPR
Inventario de Actividades de proceso de datos:• Documento usado para probar el cumplimiento del art.30 de la EU GDPR.
Guía para el Inventario de Actividades de proceso de datos• Documento que explica como listar todas las actividades de proceso de datos.
Formulario de Consentimiento del data subject• Documento usado para obtener el consentimiento del cliente (data subject) para el procesado de
sus datos personales con un fin concreto.
Formulario de revocación de consentimiento• Documento usado para revocar el consentimiento concedido.
Formulario de Consentimiento Parental• Documento usado para obtener el consentimiento de los padres/tutores de un menor para el
procesado de sus datos personales con un fin concreto
Formulario de revocación de consentimiento Parental• Documento usado para revocar el consentimiento Parental concedido.
Documentos para cumplimiento GDPR
Proceso para Solicitud de acceso del Data subject (cliente)• Documento que define el proceso por el que la compañía contesta las solicitudes del cliente
Metodología DPIA (Data Protection Impact Assessment )• Documento que describe como asesorar la necesidad y proporcionalidad de ciertas actividades de
proceso y provee medidas para mitigar los riesgos potenciales y libertades del cliente (DS)
Registro DPIA• Documento usado para documentar el proceso DPIA. Incluye el cuestionario DPIA.
Procedimiento de transferencia de datos transfronteriza• Documento que establece las condiciones bajos las cuales se procede a la transferencia de datos al
extranjero
Clausulas contractuales Standard• Modelo d eles cláusulas contractuales emitidas por la comisión europea para proveer salvaguardas
adecuadas respecto a la protección de la privacidad, derechos fundamentales y libertades
Documentos para cumplimiento GDPR
Processor GDPR Compliance Questionnaire• Cuestionario para asesorar a los proveedores sobre el cumplimento de GDPR
Acuerdo de proceso de datos con proveedores• Contrato que establece los limites y condiciones bajo los cuales un proveedor (procesor) puede procesar datos
personales en nombre de la compañía (controller)
Política de Seguridad TI• Política que describe las normes de Seguridad para los empleados
Política de control de accesos• Política que establece como los responsables aprueban los derechos de acceso a ciertos técnicos de Tecnologías de la
información
Procedimientos de Seguridad del departamento de TI• Describen las normes de Seguridad a utilizar en la infraestructura TI
Política BYOD (Bring Your Own Device) • Describe las regles para utilizar dispositivos personales (móviles, tabletas, etc.)para labores de negocio
Política de Teletrabajo y dispositivos móviles• Describe las regles para el uso de portátiles, móviles y otros dispositivos fuera de las oficinas de la empresa.
Documentos para cumplimiento GDPR
Política de mesa limpia/ pantalla limpia• Define como proteger la información ubicada en el puesto de trabajo y en las pantallas
Política de clasificación de la información• Define como clasificar la información según su confidencialidad
Política de Anonimación• Define como utilizar estas técnicas para proteger el procesado de datos personales
Política de cifrado• Define como usar controles criptográficos y claves para proteger la confidencialidad e
integridad de los datos Plan DR (plan de recuperación ante desastres)
• Define como recuperar la infraestructura y los datos después de un incidente disruptivo
Documentos para cumplimiento GDPR
Procedimiento de auditoria interna• Define como probar y evaluar las salvaguardas técnicas y organizativas
Checklist de la auditoria interna de la ISO27001• Proporciona una serie de preguntas basadas en los controles listados en el anexo A de
la ISO27001 Respuesta y notificación ante una intrusión (data breach) y su registro
• Procedimiento que establece las obligaciones dela compañía en el caso de una Perdida de datos
• Se establecerá un registro de intrusiones y/o perdidas de datos Notificación a las autoridades de una intrusión
• Documento que recoge a quien se notificara y como se producirá la notificación Notificación a los clientes (data subjects) de una intrusión
• Documento que recoge como se producirá la notificación al afectado
Top Related