Categoría: RGPD

Y te pregunto ¿es obligatorio que me firmes el nuevo consentimiento de datos?

Esta puede ser la gran pregunta que se deberían haber realizado muchas empresas antes de empezar a implementar un protocolo para TOD@S sus clientes indiscriminadamente.

La verdad es que el RGPD recoge que debes de tener el consentimiento explicito para poder tratar los datos, pero yo os pregunto, si un cliente con el que mantengo diariamente relación comercial, aunque nos vemos físicamente 2 veces al año, ya que me hace todos los pedidos vía teléfono, ¿le voy a dejar de servir por no tener firmado su consentimiento?

La respuesta es clara, NO, seguiré trabajando con este cliente sin problema alguno, ya que anteriormente ya tenía su consentimiento y se puede demostrar la relación previa, y por supuesto, que el uso de sus datos se realiza por necesidad.

Con todo esto, podríamos discriminar un poco por sectores o servicios, si bien podría pasar que si mando correos con publicidad a 1000 clientes y no tengo recogida el nuevo consentimiento explicito de 250  ¿sería adecuado dejar de mandarles publicidad? Hombre, en este supuesto yo creo que sería adecuado dejar de enviar publicidad, pero si un cliente de estos 250 es el que llama siempre por teléfono, aplicaríamos la lógica del caso anterior.

Con todo esto, habréis visto que muchas páginas solo han informado del cambio de legislación y otras ha obligado a que firmes el consentimiento, son elecciones que dependiendo del abogado o consultor al que hayas acudido, o a la charla que te hayan impartido, has optado por una o por otra.

Pero, ¿os sigue llegando publicidad sin haber dado el consentimiento a pesar de que os lo han solicitado? Supongo que la gran mayoría responderá que si, la verdad es que a pesar de todo el ruido que se ha formado por el nuevo RGPD las empresas aún no tienen la sensibilidad o responsabilidad para aplicarla de forma estricta.

Eso si, si tenéis un cliente nuevo, no olvidéis que os firme el consentimiento.

Un saludo a tod@s

¿Nos dejamos engañar o identificamos nuestras necesidades RGPD?

Ayer leía un artículo que se había publicado en el diario cinco días

https://cincodias.elpais.com/cincodias/2018/05/10/companias/1525982295_623174.html?id_externo_rsoc=LK_CC

En este artículo se detalla un poco lo que está pasando actualmente con el miedo de las empresas al RGPD y la falta de profesionalidad de algunas consultoras a la hora de vender un supuesto «asesoramiento»

Casi todo lo que estoy viendo, y por las consultas que me están llegando, se están solo en 1 de los 6 principios de RGPD, «EL CONSENTIMIENTO DE DATOS», y la frase que más he oído es «una vez que tengas esto ya tranquilo», bueno pues a esto vamos a decir a esta persona que se equivoca y mucho, si bien se puede considerar que el consentimiento de datos es la base sobre la que pivota el resto, no es la única que tenemos que tener en cuenta, por ello os dejo una imagen donde podéis ver los 6 principios del RGPD y a lo que nos enfrentamos como empresa.

Registro de actividad, Evaluación de impacto, Transparencia, Principio de privacidad, Delegación de protección de datos y Notificación de violaciones de seguridad

Se pueden desglosar en muchos apartado y quizás se me pase alguno importante, pero desde mi punto de vista, estos 6 puntos englobarían el nuevo Reglamento General de Protección de Datos.

Y lo mejor de todo es que la Agencia de Protección de Datos española ha puesto a disposición de todo el mundo una herramienta donde podemos ver el impacto y nuestras necesidades

https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Así que os animo a utilizarla y ver si verdaderamente os están vendiendo algo que cubre todas tus necesidades o se queda corto, en el portal de la Agencia Española de protección de datos también podréis encontrar toda la documentación necesaria donde se explica fácilmente todo lo necesario para el cumplimiento de la normativa.

Dos cosas más, primera el seguro de responsabilidad civil de una empresa, y a no ser que el clausulas estipulen lo contrario, no cubre el incumplimiento de una normativa, ya que las aseguradores podrán aludir a una mala práctica o dejadez de funciones, y la segunda, buscad profesionales de apoyo si vuestra empresa tiene tratamiento especial de datos o más de 250 trabajadores, ya que os ayudarán a evaluar el verdadero impacto en vuestra empres.

Un saludo a tod@s como siempre.

 

 

RGPD y la seguridad informática ¿la mejora?

Estos días por distintas causas he estado ayudando a algunos compañeros a aclarar un poco la implicación del RGPD que llegará el día 25 de mayo.

Pero lo más curioso es que sigo viendo artículos que solo relacionan el RGPD con los sistemas TI única y exclusivamente, y aunque si que están muy relacionados, no solo abordan estos entornos, sino cualquier entorno que contenga datos, digamos un listado en papel o una pizarra escrita con tiza que publique datos y por supuesto un cartel de publicidad.

Como la mayoría de la gente sabe, uno de los cambios más importantes, o por lo menos así lo veo yo, es el cambio de seguridad pasiva, que es lo mismo que decir «hasta que no me suceda nada no tengo que hacer nada», a ser una norma pro-activa, o lo que es lo mismo decir «tengo que estar preparado por si me sucede algo»

He leído post y comentarios en varias redes sociales que comentaban que esta norma no ayudaría a la seguridad informática, y yo estoy en total desacuerdo con ello, puede que inicialmente la gente no sea consciente de los problemas que pueden llegar a tener si son denunciados con la nueva normativa, y como es típico en casi todo el mundo, hasta que no haya un caso sonado, las empresas no se darán cuenta y empezarán a actuar, pero yo creo que si que puede ayudar mucho a mejorar los servicios y seguridad IT esta normativa (ya que la mayor fuga de datos está claro que puede venir de estos entornos) así como la organización de una empresa, y me explico.

Si partimos de la base, que el RGPD esta en gran medida basado en la normativa

ISO 27001 que es la que aplica a la Seguridad de la Información, creo que es una buena base para empezar a trabajar y mejorar la seguridad y los procedimientos.

Con el RGPD las empresas tienen que tener catalogada su información, dónde esta, que uso se hace de ella y que haremos en caso de un incidente, algo que, en la mayoría de los casos, a día de hoy no son conscientes, quizás el dónde si, pero el resto …….

Si ya tenemos el dónde y el uso, podremos ser conscientes de las necesidades de aplicar seguridad a los datos, ya que al menos tendremos un estudio de su nivel de confidencialidad, así podremos determinar si tenemos que aplicar más medidas de seguridad a estos datos.

También deberemos tener por escrito un pequeño documento donde describamos que protocolo vamos a seguir en caso de un incidente, y esto de nuevo nos puede llevar a determinar como hago las copias de seguridad, dónde las hago, cómo las puedo recuperar y dónde las guardo, y claro esta, las famosas 72 horas que tenemos para comunicar el incidente una vez seamos conscientes del fallo.

Por último, y excluyendo a las empresas de tamaño grande que ya se especifica que deberán realizar una evaluación de riesgos siguiendo alguna metodología adecuada, digamos por ejemplo MAGERIT, las pequeñas-medianas empresas (si no me equivoco son las menores de 250 trabajadores) al menos se deberán preguntar estas cuestiones

¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo
tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

Si alguna contestación es positiva, yo les recomendaría contactar con una persona especializada para evaluar sus riesgos, y aunque no sea obligado, sería bueno que designen a una persona como responsable o encargado para la gestión del riesgo.

Para terminar decir que las medidas que se estaban aplicando con la LOPD pueden ser validas, pero se deberá realizar una evaluación del impacto sobre la protección de datos con el nuevo esquema RGPD para comprobar que sigan siendo validad y cumplan con la nueva normativa ¿lo realizarán las empresas?

Sinceramente, creo que esta normativa mejora lo que había.

Un saludo a todos.

Facebook for president!!!!!

Hoy hemos estado en un curso sobre RGPD, donde se indicaban algunas novedades que han cambiado y las mejoras que se aplicarán a partir del día 25 de mayo de 2018.

Pero inevitablemente hemos acabado hablando sobre Facebook, todos han empezado a comentar las posible multas o sanciones que puede sufrir esta empresa, incluso alguno ha comentado que esto podría ser la muerte de Facebook, vamos, desde mi punto de vista no creo que esto vaya a ser el final de la corporación Facebook, solo un problema en el camino.

Pero yo ha planteado algo que otros se han quedado pensando y os lo expongo aquí, una persona como Mark Zuckerberg con la cantidad de información que maneja de todos los usuarios ¿podría ser el nuevo presidente de cualquier país realizando estudios de necesidades o inquietudes de la gente?

Si algo nos ha enseñado este caso, es que hoy más que nunca los datos son la nueva fiebre del oro, que con ellos vamos a ser capaces de influir sobre la gente y que la capacidad que tienen las redes sociales para generar noticias, no voy a decir que falsas, pero si manipuladas, para que nos decantemos hacia un lado u otro es real y creíble, y esto último es lo más relevante.

Por ello, el público en general, deberíamos ser mucho más conscientes de la capacidad de procesamiento y extracción de datos que actualmente manejan las grandes corporaciones y la efectividad que se está consiguiendo.

Un saludo.

¿Cloud como solución al RGPD?

A lo largo de la semana pasada he recibido varias consultas sobre RGPD (Reglamento General de Protección de Datos), la nueva LOPD europea por si hay algún despistado, cosa curiosa porque parecía que a nadie le importaba mucho el tema, supongo que será por que llega la fecha clave, pero la más curiosa es la que me ha realizado un abogado.

Resulta que tienen un programa de gestión bastante famoso y hasta el momento lo tenían en local, pero desde hace más o menos 3 meses la empresa proveedora le está, digamos de forma suave, «presionando» para la migración a cloud.

Hablando del tema le planteaba que puede ser una buena opción de cara a descargar responsabilidades con respecto a RGPD, ya que una de las modificaciones más importantes, o por lo

menos eso creo yo, es que ahora ya tienes que ser pro-activo a la hora de implantar seguridad a tus datos.

La migración a un entorno cloud, y siempre desde mi punto de vista, te puede descargar la responsabilidad del acceso de datos, siempre y cuando no regales tu usuario y contraseña esta claro, de las medidas de seguridad que hay que implantar y por último de las copias de seguridad en caso de incidente.

Si todo esto lo acompañamos de un buen contrato en el que se descargue esta responsabilidad en el proveedor del programa, creo que tendríamos una buena escusa para migrar el entorno a cloud.

 

El mayor miedo que me expresaba el abogado, era la posibilidad cambiar de programa y poder recuperar los datos, de nuevo le comente que si queda bien reflejado en el contrato quien es el propietario de los datos, la forma de recuperación de datos y como se pueden exportar, creo que el miedo que puedes llegar a tener se disipa.

Y la pregunta que nos podemos hacer es clara, ¿es el cloud una opción para descargar responsabilidades sobre el RGPD o solo es algo para cobrar más?

Aquí os dejo mi reflexión y encantado de recibir las vuestras.

Como siempre un saludo.