DirectRGPD

protección de datos

  • Evaluación de Impacto en Protección de Datos II: Fases

    Evaluación de Impacto en Protección de Datos II: Fases

    En la primera entrega sobre la Evaluación de Impacto en Protección de Datos (EIPD) nos dedicamos a definir el concepto y las claves básicas para llevarla a cabo. Hoy vamos a adentrarnos un poco más ante la obligatoriedad de establecer una EIPD adecuada para las empresas u organizaciones.

    Las fases de la Evaluación de Impacto en Protección de Datos son varias. En primer lugar, hay que tener en cuenta qué aspectos debemos de tratar y cómo llegar hasta ellos. En el documento que la AEPD ha establecido para orientar a las empresas sobre esta EIPD se pueden leer todas las claves para crear una evaluación de impacto óptima. No obstante, aquí vamos a repasar los aspectos fundamentales.

    Fases para la Evaluación de Impacto en Protección de Datos

    1. Análisis de la necesidad

    En la entrega anterior sobre EIPD especificamos qué empresas u organizaciones deben acogerse a la Evaluación de Impacto en Protección de Datos. En esta fase inicial hay que realizar una pequeña reflexión para tener clara la necesidad de contar con una EIPD. En el caso de que el tratamiento de los datos no sea masivo o la empresa no necesite explotar los datos de terceros, es posible que la evaluación de impacto no deba de ser tan exhaustiva.

    1. Descripción del proyecto

    En una segunda instancia es importante comprobar cuáles son los riesgos que podrán en jaque la privacidad de los datos de terceros. Aquí hay que estudiar bien los objetivos del negocio, quiénes serán actores implicados, qué categorías de datos se tratan, las tecnologías que se usan para ello y las comunicaciones con terceros, entre otros aspectos.

    Una descripción detallada de los riesgos es fundamental para tener claros los aspectos que afectarán a la privacidad.

    1. Definir los riesgos

    Con la información aportada en la fase anterior, es el momento de identificar claramente los riesgos en el tratamiento de los datos a los que se expone la empresa. Según el documento que presenta la AEPD, estos riesgos pueden ser de dos tipos:

    –          Los que afectan a personas: riesgos que puedan vulnerar sus derechos.

    –          Los que afectan a la empresa: aquellos que se derivan de no implementar una correcta política de protección de datos, en función de lo que dicta la legalidad vigente.

    1. Gestión de los riesgos

    Tras identificar los riesgos, el paso siguiente para garantizar la correcta Evaluación de Impacto en Protección de Datos, será la gestión de los mismos. Para ello es imprescindible recurrir a consultas internas y externas con los actores implicados. Tras esto habrá que determinar qué tipos de controles y medidas se van a implementar.

    1. Analizar el cumplimiento de la norma

    En esta fase de la EIPD hay que verificar que todo el contenido que se está desarrollando cumple debidamente con la legalidad. En este punto hay que tener en cuenta el sector para el que se está creando la evaluación de impacto, ya que es posible que los requisitos legales en cuanto al tratamiento de datos sean de mayor o menor nivel.

    1. Creación del informe final

    En este informe hay que detallar debidamente los riesgos que se han encontrado, así como las recomendaciones para que su gestión y eliminación sea drástica. Este informe se debe enviar a la dirección de la empresa u organización. Además, la difusión, total o parcial, es importante.

    1. Implantar recomendaciones

    Después de que la dirección de la empresa haya revisado completamente el informe elaborado, tendrá que tomar las medidas oportunas para su cumplimiento. Además, es fundamental que designe al responsable de la evaluación de impacto, para que garantice el cumplimiento de todo lo detallado en el informe final.

    1. Revisión constante

    Tras todo el proceso de la Evaluación de Impacto, hay que analizar debidamente el resultado final. De esta forma se podrá comprobar la efectividad de todo el trabajo, así como si han aparecido riesgos nuevos. La actualización constante de dicha EIPD es fundamental para garantizar la protección de datos de terceros.

    *Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

  • Evaluación de Impacto en Protección de Datos I: claves y concepto

    Evaluación de Impacto en Protección de Datos I: claves y concepto

    Con la reciente aprobación del Nuevo Reglamento Europeo de Protección de Datos, se han sumado algunas obligaciones que, hasta la fecha, no estaban contempladas en nuestra Ley Orgánica de Protección de datos. Una de estas novedades es la necesaria realización de una Evaluación de Impacto en Protección de Datos. Par explicar qué es esto y cómo debe de ponerse en práctica vamos a realizar una serie de artículos que nos faciliten las claves básicas para ello.

    La propia Agencia Española de Protección de Datos (AEPD) ha diseñado un manual, disponible online, para llevar a cabo una Evaluación de Impacto (EIPD) consensuada y acertada. La base de esta necesidad radica en los cambios a los que nos enfrentamos, con la alta participación de las nuevas tecnologías en la vida cotidiana. Los datos de carácter personal alcanzan valores económicos nunca antes vistos y esto obliga a las empresas e instituciones a no salirse ni un ápice del marco legal establecido.

    Definición de la Evaluación de Impacto en Protección de Datos

    Para dejar claro qué es esto de la Evaluación de Impacto es interesante comenzar por definir el concepto. Según la propia AEPD, se trata de un análisis exhaustivo de los riesgos que puede aportar un servicio o producto en cuanto a la protección de datos personales de los usuarios. Pero la cosa no queda ahí, ya que además de analizar ese impacto es importante crear tips para una gestión óptima, que permitan identificar los riesgos y tomar las medidas oportunas para eliminarlos de raíz.

    Una de las ventajas de realizar una EIPD radica en el ahorro económico. Obviamente, realizar la Evaluación de Impacto previa evitará tener que realizar un proceso tedioso sobre un negocio ya creado. Además, en el marco del nuevo Reglamento europeo de Protección de Datos esto es obligatorio, por lo que anticiparse puede evitar sanciones y multas por parte de la AEPD.

    La obligación de realizar una EIPD

    El artículo 35 del famoso Reglamento Europeo, de obligada aplicación en toda la UE, habla precisamente de esta obligación de realizar una Evaluación de Impacto en Protección de Datos personales. Pero, ¿quién está obligado a ello? Bien, pues cualquier empresa o negocio que cuente con un tratamiento de los datos que presenten un riesgo elevado en cuanto a derechos y libertades de las personas.

    El responsable de tratamiento, en colaboración con el delegado de protección de datos, será el encargado de realizar esta EIPD y garantizar las gestiones oportunas para salvaguardar los datos personales. Además, uno de los puntos clave es la obligatoriedad de seguir un sistema de observación de forma constante, que garantice que los datos están debidamente protegidos.

    El resultado final de la Evaluación de Impacto debe de ser un completo documento en el que se detallen todas las especificidades exigidas por el nuevo reglamento, que la AEPD apoya completamente. Este documento debe de distribuirse y publicitarse para que los usuarios tengan pleno conocimiento del tratamiento que se dará a sus datos personales.

     

    *Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

  • Datos a través de drones: ¿estamos protegidos?

    Datos a través de drones: ¿estamos protegidos?

    Las nuevas tecnologías evolucionan a pasos agigantados. Esto hace que muchas de las leyes vigentes en materia de protección de datos hayan quedado totalmente obsoletas. De hecho, el nuevo Reglamento Europeo de Protección de Datos, se ha llevado a cabo para poder asumir todas las novedades digitales y tecnológicas. Este reglamento deroga la directiva europea del año 1955, que había quedado totalmente desfasada. No obstante, la nueva norma no cuenta con ningún apartado específico para los datos personales que pueden recabar los drones.

    Los expertos en protección de datos aseguran que no es el momento de crear leyes más específicas, puesto que el nuevo reglamento europeo ya contempla diversas situaciones y los derechos y obligaciones que cada ciudadano tiene frente a los datos de carácter personal.

    Datos captados por drones

    Un dron es una aeronave de reducido tamaño, capaz de obtener todo tipo de datos. Vídeo, audio e imágenes pueden ser archivadas por estos pequeños aparatos, que son capaces de pasar desapercibidos ante el ojo humano. De hecho, lo que más preocupa a las autoridades y a los ciudadanos es esto. En muchas ocasiones, un dron puede estar actuando sin que nadie lo haya detectado y, obviamente, se estaría generando una intromisión en la intimidad y los derechos de aquellos que estén siendo grabados.

    En España ya son casi 2.000 los drones registrados. Pero lo más importante es que estamos ante cifras que crecen de manera vertiginosa. Se espera que, en menos de cuatro años, las ventas de drones se cuadrupliquen. Desde la Agencia Española de Protección de Datos (AEPD) aseguran que poder proteger los datos de los ciudadanos se ha convertido en una prioridad extrema.

    En este sentido, desde las autoridades competentes en esta materia, se explica claramente que cualquier persona que pilote un dron a control remoto debe de informar de lo que está haciendo. Exactamente igual que en todo espacio, público o privado, en el que hay colocadas cámaras de seguridad es imprescindible informar al ciudadano de que sus imágenes están siendo tomadas y grabadas, los usuarios de drones deberían de hacer lo mismo.

    El problema, en este sentido, recae en la forma en la que los responsables deben de informar a la ciudadanía. Por ello, la AEPD ha establecido la necesidad de hacerlo a través de vías como los carteles, las redes sociales o la entrega de folletos aclaratorios. Si el ciudadano ha sido debidamente informado, podrá ejercer sus derechos de acceso, cancelación u oposición, en el caso de que desee que sus datos sean eliminados de cualquier archivo que generen los drones.

    Los organismos encargados de la protección de datos de carácter personal aseguran que es muy importante que los propios ciudadanos que sepan que se está realizando un uso fraudulento de estas aeronaves, lo pongan en conocimiento de las autoridades competentes. Según la Agencia Española de Protección de Datos, en poco más de un año se denunciaron 150 usuarios de drones, que no estaban cumpliendo con la normativa vigente en cuestiones de seguridad y protección de datos.

  • Sanciones por infringir la LOPD en el sector sanitario

    Sanciones por infringir la LOPD en el sector sanitario

    Tanto el sector sanitario público como el privado están obligados a garantizar el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Los datos que se manejan en estos sectores de actividad deben de estar supeditados a una protección de nivel alto, ya que se trata de información relevante que afecta de forma personal a los pacientes.

    Según un informe emitido hace unos meses por la Agencia Española de Protección de Datos, las infracciones en el ámbito sanitario se han incrementado de forma extrema. Este informe analiza los resultados de todos los sectores durante el año 2015, en comparación con el ejercicio anterior. Y lo que se desvela es que, en la sanidad, se han incrementado las infracciones en más de un 230 por ciento. Si en el año 2014 hubo cuatro sanciones por infracciones, en el año 2015 esta cifra ha subido hasta diez casos.

    Pese a todo esto, no se trata del sector que más incumplimientos de la LOPD alberga, ya que las telecomunicaciones ganan la batalla de forma histórica. También cabe destacar que estos otros sectores en los que los casos de infracciones son muy elevados, van reduciendo el número de faltas de forma notable. Según el informe de la AGPD, son los partidos políticos los que mejor cumplen con las normas establecidas en la Ley Orgánica de Protección de Datos, ya que no se ha abierto ningún procedimiento sancionador durante el pasado año.

    Consecuencias de infringir la LOPD en sanidad

    Además de que el sector sanitario alberga un amplio incremento de procedimientos infractores, también han aumentado las advertencias que emite la Agencia Española de Protección de Datos para apercibir ante cualquier tipo de infracción o violación de la LOPD. Asimismo, también se han visto incrementadas las consultas ante la Agencia para conocer mejor algunos entresijos de la Ley.

    Las consecuencias más graves que conlleva el no respeto de la LOPD por parte del sector sanitario, o cualquier otro, es la posibilidad de tener que hacer frente a sanciones bastante elevadas. Al tratarse de datos de protección alta, las sanciones pueden ser mucho más importantes. Para evitarlas es primordial adecuar el centro de trabajo a la Ley.

    Gran parte de las denuncias interpuestas ante la AGPD se basan en el acceso injustificado a las historias clínicas de algunos pacientes. Incumplir las medidas de seguridad puede conllevar un proceso declarativo de infracción grave.

    En el sector privado, las sanciones también han aumentado de forma significativa, posicionando a la sanidad en la tasa sectorial más elevada de infracciones ante la LOPD. Durante el 2015 las infracciones en este ámbito han aumentado en más de un 260 por ciento, respecto al año anterior.

    No obstante, la inscripción de ficheros de protección de datos en el sector sanitario privado también ha aumentado de forma notable durante el periodo estudiado. Esto, sin duda, es un importante paso de concienciación. Adecuar cualquier negocio a la LOPD es el primer paso para conseguir respetar la legalidad vigente en esta materia. Para ello, hay que seguir los pasos establecidos por la AGPD.

  • La situación de la LOPD en 2016

    La situación de la LOPD en 2016

    [fusion_builder_container hundred_percent=»yes» overflow=»visible»][fusion_builder_row][fusion_builder_column type=»1_1″ background_position=»left top» background_color=»» border_size=»» border_color=»» border_style=»solid» spacing=»yes» background_image=»» background_repeat=»no-repeat» padding=»» margin_top=»0px» margin_bottom=»0px» class=»» id=»» animation_type=»» animation_speed=»0.3″ animation_direction=»left» hide_on_mobile=»no» center_content=»no» min_height=»none»][fusion_text]Sin lugar a dudas, el año 2016 va a ser el de los cambios en materia de protección de datos de carácter personal. El pasado 15 de diciembre de 2015 se aprobó el nuevo Reglamento Europeo de Protección de Datos, lo que implica que la adecuación al mismo sea estrictamente necesaria para cualquier empresa que opera en el marco europeo.

    Obviamente este es el principal pilar de los cambios que se van a suceder durante todo el año en curso. Aunque, si somos fieles a la realidad actual, podremos observar como la protección de datos personales adquiere una mayor importancia en diferentes ámbitos de actuación.

    La LOPD en 2016: principales cambios

    Uno de los aspectos más llamativos de cara a los cambios de la LOPD en 2016, tiene que ver con el papel del asesor en dicha materia. Para ello, tanto abogados como informáticos o ingenieros pueden convertirse en expertos que ofrezcan sus servicios de asesoramiento para evitar sanciones por parte de la Agencia Española de Protección de Datos.

    Gracias al citado Reglamento Europeo, que ya ha entrado en vigor, los responsables de empresas que manejan datos personales van a necesitar estar perfectamente asesorados para adecuarse debidamente a la nueva directiva. En este sentido, la LOPD en 2016 alcanzará nuevos retos y metas.

    Cabe destacar que, si hasta hace bien poco solamente los abogados podían convertirse de manera oficial en asesores para la LOPD, este nuevo reglamento liberaliza la profesión, incluyendo otros perfiles profesionales en un ámbito novedoso. Esto hará que los asesores de las empresas en cuestiones de protección de datos se profesionalicen cada vez más, ofreciendo experiencias y soluciones cada vez más exhaustivas.

    Por otra parte, el mercado digital marcará las tendencias de la LOPD en 2016. Europa ha establecido una estrategia en común para que el flujo de datos personales por Internet sea el más adecuado y la gestión de los mismos se ejecute de forma correcta.

    La anulación del acuerdo Safe Harbor y su sustituto

    Además, ha habido un hecho histórico que ha logrado modificar el panorama internacional respecto a la protección de datos de carácter personal. Se trata de la cancelación del acuerdo Safe Harbor que se aplicaba en Estados Unidos para la transferencia internacional de datos personales. El TJUE, en una sentencia del 6 de octubre de 2015, anuló definitivamente este régimen.

    Este hecho hizo que muchas empresas quedaran totalmente bloqueadas al no encontrar una solución para el tratamiento de los datos internacionales. No obstante, desde el pasado 12 de julio de 2016 se puso en funcionamiento el nuevo acuerdo de transferencia de datos internacionales con Estados Unidos. Se trata del “Privacy Shield”, del que hablaremos detenidamente en otro artículo. No obstante, este nuevo marco ha posibilitado que se pueda volver a funcionar con normalidad.

    Reglamento europeo de Protección de Datos

    Como comentábamos, el principal cambio de la LOPD en 2016 es la necesaria adecuación de las empresas a este nuevo acuerdo que, también trataremos de forma individualizada en próximos artículos. Como datos importantes cabe destacar que el consentimiento del titular de los datos se convertirá en algo de extrema importancia. Además, se incluyen los “identificadores online” o “cookies” entre la denominación de datos personales.

    En este sentido, la evolución tecnológica continuará marcando la LOPD en 2016. Además de la necesidad de proteger la intimidad de los usuarios de Internet, también debe garantizarse que estos puedan tener total libertad para disponer de sus datos de forma sencilla.

    Uno de los restos más importantes se basa en evitar la proliferación de los paraísos digitales que comercializan con datos de carácter personal de los usuarios que navegan habitualmente por Internet.[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]