×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

ThetechguyMiembro desde: 09/02/18

Thetechguy
4
Posición en el Ranking
2
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    1.001.184
  • Publicadas
    484
  • Puntos
    79
Veces compartidas
34
¡Consigue las insignias!
Trimestrales
  • 15º
Recientes
  • 15º
Visitas a noticias
Hace 1d

Algunas consideraciones sobre las responsabilidades del controlador y del procesador, y otros conceptos presentes en la ley de protección de datos europea, como DPIA y DPO

gdpr

La aplicación del Reglamento General de Protección de Datos de la Unión Europea (GDPR) comenzó en mayo de 2018. Desde entonces, las organizaciones se encuentran trabajando en el cumplimiento de los altos estándares de seguridad que demanda GDPR, considerada la lay de privacidad y protección de datos más estricta hasta ahora.

Acorde a expertos en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética, uno de los temas fundamentales que aborda GDPR es la responsabilidad de controladores y procesadores de datos, de lo que hablaremos a continuación.

Responsabilidades gubernamentales

  1. Rendición de cuentas y gobernanza

Este es uno de los principios básicos de GDPR, consideran expertos en forense digital. Establece que, como organización, un controlador de datos debe estar en condiciones de demostrar que el procesamiento se realiza acorde a las exigencias de GDPR.

  1. Protección de datos por defecto y por diseño

Como organización, los controladores deberán cumplir con distintas medidas:

  • Partir de la protección de datos como núcleo de sus diseños en seguridad. En una empresa de TI, debe haber metodologías de protección de datos a lo largo de todos sus desarrollos, arquitectura empresarial, etc.
  • Implementar medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, sólo sean procesados los datos personales necesarios para cada propósito específico del proceso.
  • Minimizar los datos almacenados y considerar el uso de pseudónimos. Esto se puede lograr haciendo algunas preguntas simples como:
    • ¿Su organización necesita realmente estos datos?
    • ¿Necesita ser personal?
    • ¿Es absolutamente necesario el uso de estos datos?
    • ¿Los datos son visibles sólo para quienes realmente necesitan verlos?

 

  1. Registros de actividades de procesamiento

En una organización de más de 250 empleados, los controladores deben mantener un registro de las actividades de procesamiento:

  • ¿Qué datos se procesan y por qué?
  • ¿Por cuánto tiempo serán procesados?
  • A qué clase de organización son revelados estos datos, incluyendo destinatarios en otros países u organizaciones internacionales.
  • Además del respaldo digital, debe existir un registro físico del procesamiento
  • Esto es obligatorio porque los reguladores pueden solicitar estos datos.

 

  1. Cooperación con las autoridades reguladoras

Los controladores, los procesadores y sus representantes cooperarán, previa solicitud, con la autoridad supervisora para el cumplimiento de la GDPR.

Procesadores de datos

  • Cuando el procesamiento se lleve a cabo en nombre de un controlador, el controlador utilizará sólo procesadores que ofrezcan garantías suficientes para implementar las medidas técnicas y organizativas adecuadas.
  • El procesador no cooperará otro procesador sin la autorización previa específica o general por escrito del controlador de los datos.
  • El procesamiento de datos se regirá por un contrato u otro acto legal que vincule al procesador y al controlador.
  • El contrato, o acto legal, estipulará, en particular, que el procesador:
    • Deberá los datos personales sólo en las instrucciones documentadas del controlador. Los procesadores no deben hacer nada más que lo que indica el controlador.
    • Asegurará que las personas autorizadas para procesar los datos personales trabajen bajo una obligación legal de confidencialidad
    • Ayudará al controlador mediante medidas técnicas y organizativas adecuadas teniendo en cuenta la naturaleza del procesamiento

Evaluación de Impacto de Protección de Datos (DPIA)

Esta es una evaluación de riesgo, consideran expertos en forense digital y ciberseguridad. DPIA es obligatorio bajo los siguientes escenarios:

  • Procesamiento y diseño de perfiles con efectos significativos.
  • Datos de categorías especiales a gran escala
  • Monitoreo sistemático de áreas de acceso público.

¿Qué debe haber en un DPIA?

  • La descripción completa del procesamiento.
  • Si es que este procesamiento es necesario y proporcionado.
  • Posibles riesgos para los derechos fundamentales y la libertad de los interesados.
  • Tratamiento del riesgo: en caso de que ocurra un riesgo, ¿cómo puede el controlador de datos actuar?

Siempre será recomendable, cuando estamos comenzando un nuevo proyecto o una nueva aplicación, realizar un DPIA. Nos puede dar más información sobre cómo administrar, proteger y almacenar los datos del controlador.

Oficial de Protección de Datos (DPO)

Necesitará de un DPO si:

  • Usted es una autoridad pública.
  • Realiza monitoreo sistemático de los sujetos de datos a gran escala.
  • Procesa una gran cantidad de información de categoría especial o registros criminales

¿Qué tareas debe cumplir el DPO?

  • Asesoría
  • Monitoreo del cumplimiento con GDPA
  • Conducir los DPIA

Notificación sobre incidentes de seguridad

Aunque su organización cumpla con todos los estándares de GDPR, todavía puede presentarse una violación de seguridad. Esta sección trata sobre lo que se debe hacer en caso de que un controlador tenga conocimiento de una violación de datos en su sistema.

  1. Medidas de seguridad técnicas y organizativas adecuadas

Los controladores deben cumplir con políticas de seguridad de la información adecuadas en función del riesgo para las personas, no el riesgo para la organización.

Tanto el controlador como el procesador de datos deben tomar medidas para garantizar que cualquier persona física que actúe bajo la autoridad del controlador o del procesador que tiene acceso a los datos personales no los procese, excepto acorde a las instrucciones del controlador.

  1. Notificar al regulador en caso de una violación de datos personales

El controlador de datos debe notificar a las autoridades reguladoras dentro de las 72 horas después de descubrir la violación de datos.

  1. Notificar a los sujetos de datos en caso de una violación de datos personales

Es responsabilidad del controlador de datos identificar si la violación de seguridad es de alto o bajo riesgo. El controlador de datos podrá contactar a un abogado para ver si tienen que notificar al sujeto de los datos o no.

Más comentadas de Thetechguy

La NSA comenzó a eliminar todos los registros de llamadas adquiridos desde 2015

La NSA comenzó a eliminar todos los registros de llamadas adquiridos desde 2015

La agencia de seguridad está eliminando millones de registros de llamadas telefónicas y mensajes de texto que datan de 2015 por fallas técnicas 05/07/2018

El Pentágono está en busca de nuevos talentos en TI

El Pentágono está en busca de nuevos talentos en TI

El Departamento de Defensa está probando nuevos métodos para reclutar a jóvenes en áreas tecnológicas 24/10/2018

Perspectivas sobre el futuro del ransomware

Perspectivas sobre el futuro del ransomware

El siguiente es un ejercicio de reflexión respecto a la posible evolución de una de las amenazas informáticas más comunes de la actualidad 20/07/2018

Mostrando: 1-5 de 483