Todo sobre el RGPD: Qué es, Cómo cumplirlo, Qué son los Datos Personales  y Qué hacer en caso de Ciberataque.

Actualmente se habla mucho de la protección de datos y día a día vemos cómo se solicita nuestro permiso para poder usar nuestros datos, incluso vemos noticias o recibimos correos con información sobre ataques informáticos a empresas.

Pero… ¿todo esto a qué se debe? La respuesta es el RGPD. Vamos a analizarlo más en profundidad.

 

¿Qué es el RGPD?

El RGPD o GDPR (por sus siglas en inglés), es el acrónimo (siglas que se pronuncian como una palabra) de Reglamento General de Protección de Datos.

Es decir, es la nueva regulación para el tratamiento de los datos de carácter personal que se establece a nivel europeo y que deben cumplir los estados miembros de la Unión Europea.

Esta nueva normativa, regula el consentimiento y derechos de los usuarios para el uso de sus datos sensibles por parte de las grandes empresas y pymes, así como las medidas en ciberseguridad que deben establecer éstas para su conservación y seguridad.

De no cumplir esta norma, las empresas serán sancionadas con multas de hasta el 4% de su facturación anual.

 

“El RGPD es la ley que sustituye en España a la LOPD” 

 

 

¿Cuándo entró en vigor el RGPD?

Hasta ahora en España muchos de los nuevos derechos de los usuarios ya eran contemplados pues regía la LOPD (Ley Orgánica de Protección de Datos), pero a raíz de la entrada en vigor del RGPD, España como estado miembro de la Unión Europea, adapta su legislación al nuevo marco del RGPD, incluyendo la LOPD dentro de éste, para tener una legislación común en todo el territorio Europeo.

El 27 de abril de 2016 entró en vigor el Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, pero se estableció un periodo de transición de 2 años, por lo que el RGPD se aplica en España desde su publicación en el BOE (Boletín Oficial del Estado), el 25 de Mayo de 2018.

 

 

¿Quién debe cumplir el RGPD?

El RGPD es un Reglamento Europeo y por lo tanto están obligados a cumplirlo todas las organizaciones y empresas (grandes o pymes) que utilicen datos personales en su actividad y operen en territorio comunitario, tales como asociaciones, autónomos, organismos públicos, entidades mercantiles, etc.

 

¿Qué son los datos personales?

El RGPD indica que únicamente se podrá solicitar al usuario los datos que sean estrictamente necesarios e indicar para qué van a ser usados esos datos.

Los datos personales son todos aquellos datos que permiten identificar a una persona, como por ejemplo pueden ser una dirección de e-mail no genérica (por ejemplo: a.sanchez@zzzz.com en lugar de info@zzzz.com o administracion@zzzz.com).

Por lo tanto, el RGPD aplica a los datos personales que puedan ser tratados y se encuentren registrados en soporte físico.

Para que una organización pueda recabar los datos personales de alguien, según la antigua LOPD, la persona debía dar su consentimiento de forma inequívoca, expresa y precisa. Ahora con el RGPD, la forma de solicitar los datos debe ser además, concisa, transparente, de fácil acceso, inteligible, sencilla y con un mensaje claro.

 

¿Qué derechos aporta el RGPD al usuario?

Uno de los puntos más importantes de esta nueva norma, es que, además de contener los tradicionales derechos ARCO, se incluyen nuevos derechos como:

• Derecho de acceso: El usuario tiene el derecho a obtener una copia de los datos personales objeto del tratamiento.
• Derecho al olvido: El usuario puede manifestar su derecho a cancelar u oponerse al tratamiento de sus datos y como consecuenca del del derecho ARCO, al borrado de sus datos personales.
• Limitación de tratamiento: Los datos del usuario no se aplicarán a las operaciones de tratamiento que en cada caso corresponderían.
• Portabilidad: La copia de los datos que se proporcione al usuario, debe ser en un formato de uso común, estructurado y de lectura mecánica.

 

 

¿Con el RGPD es necesario un Delegado de Protección de Datos?

El RGPD establece la figura del DPD (Delegado de Protección de Datos), que será la persona con la certificación oficial otorgada por la AEPD (Agencia Española de Protección de Datos) quién se encargue de todo el proceso de protección de datos.

Pero el DPD no es necesario para todas las empresas, únicamente será obligatorio en:

• Tratamiento de datos sensibles a gran escala.
• Autoridades y Organismos Públicos.
• Tratamiento de datos que requieren observación habitual y sistemática de interesados a gran escala.

 

¿Es obligatorio un responsable de los datos en el RGPD?

Con el RGPD se establece como obligatorio que exista un Responsable.  

Este Responsable será el Encargado del tratamiento de los Datos y tendrá una serie de obligaciones como son:

• Establecer las medidas de seguridad aplicables a los tratamientos que se realizan.
• Designar un Delegado de Protección de Datos (DPD) en los casos indicados en el RGPD.
• Mantener un registro de actividades del tratamiento de datos.

Según se indica en el RGPD, será el Responsable el que adopte las medidas que estime apropiadas para garantizar y demostrar que el tratamiento de los datos se realiza conforme al Principio de Responsabilidad Proactiva del RGPD. 

 

¿Qué es el Principio de Responsabilidad Proactiva del RGPD?

En el RGPD se incluye el Principio de Responsabilidad Proactiva que consiste en las medidas técnicas y organizativas que aplica el Responsable del tratamiento de datos, para garantizar y demostrar que el tratamiento es conforme con el Reglamento.

 

Desde TwinTelcom hemos creado nuestro producto TwinDefender, que ofrece Servicios Gestionados de Ciberseguridad y Alquiler de Firewalls en pago por uso mensual.

Tras realizar una auditoria gratuita, le ofreceremos la modalidad que más se ajuste a sus necesidades (Servicio Gestionado Basic, Servicio Gestionado Advanced o Servicio Gestionado Premium) para que cumpla con el RGPD mediante protección antivirus, cortafuegos y BackUp (copia de seguridad encriptada en la nube en servidores situados en territorio Europeo).

Cumplirá con el RGPD y evitará sanciones.

Puede consultar aquí toda la información sobre TwinDefender

 

 

¿Cómo cumplir el RGPD? Pasos para cumplirlo

Para adaptarse al RGPD, que es una normativa plenamente aplicable desde el 25 de Mayo de 2018, se puede proceder a su implantación siguiendo una serie de pasos:

1. Designar un Delegado de Protección de Datos (DPD) en el caso de que sea obligatorio y si no es necesario, designar un Responsable del Tratamiento de los Datos.
2. Elaborar el Registro de Actividades de Tratamiento.
3. Realizar un Análisis de Riesgos.
4. Dependiendo de los resultados del análisis anterior, revisar las Medidas de Seguridad para garantizar la confidencialidad, disponibilidad e integridad de los datos y salvaguardar derechos y libertades de los usuarios.
5. Establecer los procedimientos para la Notificación de las Quiebras de Seguridad.
6. Realizar una Evaluación de Impacto en la Protección de Datos a partir de los resultados del Análisis de Riesgos.

Puedes encontrar más información en página web de la Agencia Española de Protección de Datos.

 

¿Cómo actuar en caso de Ciberataque?

Cuando se produce un ataque informático, denominado en el RGPD como “Quiebra de Seguridad“, es decir, una violación de la seguridad de los datos, puede ocasionarse la destrucción, alteración o pérdida de datos personales.

En este caso el RGPD establece una serie de obligaciones, entre las que destacan:

• Notificar la quiebra a la AEPD dentro de las 72 horas siguientes a que se tenga constancia de ella.
• Documentar todas las violaciones de seguridad.
• Notificar a los usuarios afectados el ataque informático.

 

¿Qué sucede si no cumplo el RGPD?

En el caso de no cumplir el RGPD, la ley prevé sanciones del 4% de los ingresos anuales de la empresa o de hasta 20 millones de euros.

Ya se han producido muchos casos de importantes sanciones, por lo que cumplir con el RGPD es fundamental.

 

Si necesitas más información o soporte para cumplir con el nuevo RGPD Europeo y evitar multas, envíanos tu consulta a info@twintelcom.com o rellena nuestro formulario de contacto y estaremos encantados de ayudarte.