El Anteproyecto de lo que será la nueva Ley Orgánica de Protección de Datos está en la mesa del Consejo de Ministros desde finales de junio, tras la remisión del informe por parte del Ministro de Justicia.

Como ya es sabido, la aprobación del Reglamento 2016/679 (RGPD) respondía, por un lado, a la necesidad de dotar de una mayor protección el derecho de los usuarios al tratamiento de sus datos personales, en un contexto de crecimiento de los flujos transfronterizos, dado el auge de la globalización y de la consolidación del mercado interior. Por otro lado, como consecuencia de lo anterior, se buscó superar las barreras que impidieron el propósito armonizador de la Directiva 95/46/CE, a través de la aplicación directa y uniforme que caracteriza este tipo de norma comunitaria.

Por ello, las administraciones se han puesto en marcha en la incorporación y desarrollo del Reglamento en el ordenamiento jurídico español, a través de lo que va ser la sucesora de la actual LOPD 15/1999 y que tiene prevista su entrada en vigor a la par que la norma supranacional.

¿Qué novedades incorpora la nueva normativa?

A la espera de la tramitación legislativa de la nueva Ley Orgánica, siendo susceptible de cambios y en fase de audiencia e información pública hasta el próximo 19 de julio, entre las novedades podemos destacar: se regulan los datos referidos a las personas fallecidas, se presumen fidedignos los datos obtenidos por el propio usuario, se recoge expresamente el deber de confidencialidad, se elimina el consentimiento tácito, para dar entrada a una declaración o una clara acción afirmativa del afectado, se permite la casilla no premarcada en la formalización de los contratos y se rebaja la edad para consentir a los trece años de edad.

Además, se recoge la denominada información por capas, se incorporan los sistemas de información crediticia, las “listas Robinson” y los tratamientos realizados con fines de videovigilancia. Se añaden los derechos a la limitación del tratamiento, a la portabilidad y la obligación de bloqueo, a los ya existentes de acceso, rectificación, cancelación y oposición.

Y, señalar, la incorporación del principio de responsabilidad activa, que consiste en valorar el riesgo a priori, por el propio responsable o encargado del tratamiento, para adoptar las medidas que procedan, acabando así con el sistema de control del cumplimiento.

Otras novedades las encontramos en la figura del delegado de protección de datos que podrá tener carácter voluntario u obligatorio, estar o no integrado en la organización del responsable del tratamiento o ser persona física o jurídica y en la figura del modelo contractual que podrá aprobar la autoridad competente, en lo relativo a las transferencias internacionales de datos.

Código Ético de Confianza Online: implicaciones

Es evidente que se trata de un auténtico avance y revolución en la protección de los datos personales de los afectados y en el que se ha buscado el mayor consenso normativo de todos los Estados miembros de la UE. Y, por parte de Confianza Online, como ya hicimos en anteriores ocasiones, mantendremos nuestro compromiso de adaptar nuestro Código Ético, como código tipo inscrito en la AEPD, al nuevo paradigma normativo que resulte de la acción parlamentaria y continuar, por tanto, contribuyendo a la protección de los datos de carácter personal y mereciendo tal reconcomiendo oficial.

Desde Digital Domain S.L y como viene siendo habitual en este orden, ponemos a disposicion de todos los clientes la adaptacion lopd desde nuestro departamento legal dedicado a estos menesteres.

De los más de 700 responsables de tecnología encuestados, un 78% no entienden el impacto que la nueva regulación puede suponer para sus organizaciones o ni siquiera conocen de su existencia. Para cumplir con dicha normativa, las tecnologías de cifrado son las más favoritas de dichos responsables.

El problema es que seis de cada diez fugas de datos en una empresa se deben a contraseñas robadas, por lo que se hace imprescindible el uso de una alternativa para acreditar la identidad y acceder a los datos. De igual manera, si se utiliza una solución de cifrado también se podría robar dicha clave, por lo que sería una alternativa, pero no la única disponible.

Al fin y al cabo lo importante es que las empresas tengan una custodia efectiva de los datos de sus clientes. El problema en muchas ocasiones para las más pequeñas radica en la complejidad del sistema. La facilidad de uso no suele llevarse muchas veces bien con la seguridad, que añade cierta complejidad de uso.

De las empresas que están al día de la nueva normativa, ya lo están cumpliendo un 20%, el 59% dice que están trabajando en ello y el 21% asegura que todavía no han tomado ninguna medida. Queda un gran trabajo por delante para cumplir con la nueva regulación europea, y lo más probable es que la mayoría de las empresas hagan sus deberes fuera de plazo, cuando ya comiencen a ver sanciones por parte de la AEPD.

Fuente: Pymes y Autónomos

pokemon go

Si ingresas a ‘Pokémon Go’ con tu cuenta de Google, quizás le hayas entregado toda tu vida digital a los desarrolladores del juego.Con Pokémon Go, no eres el único con el impulso de cazar.

El desarrollador del inmensamente popular juego Pokémon Go, Niantic Labs, tiene acceso total a tu cuenta de Google si la utilizaste para ingresar al juego en tu dispositivo iOS.

Esto le concede a Niantic acceso a toda tu información, así como a la capacidad de publicar, borrar y enviar cosas desde tu cuenta. En otras palabras, el ingresar al juego con tu cuenta de Google es una forma muy efectiva de dar acceso total a tu email, contactos, fotos, documentos… ¡todo!

Pero eso no es todo. No hay forma de que sepas que has concedido todo este acceso si acabas de descargar el juego e ingresado a él con tu cuenta de Google. Para ver si has dado acceso a tus datos, tienes que ir a los ajustes de tu cuenta de Google y ver cuáles apps tienen acceso completo a tus datos.

Niantic y Google no respondieron a una solicitud de comentario sobre el tema.

El experto de seguridad cibernética Adam Reeve detalló su experiencia al descubrir que había dado acceso completo de su cuenta de Google a Pokémon Go en un blog en viernes. Jason Cipriani, un redactor para CNET, experimentó lo mismo cuando fue a revisar los ajustes de su cuenta de Google. Reeve subrayó que la versión Android del app no obtiene acceso completo a tu cuenta de Google.

Reeve dice que darle acceso a tu cuenta de Google a una empresa extraña no sólo es raro, sino también peligroso. Si Niantic sufre un ataque cibernético, por ejemplo, los hackers pueden acceder tu cuenta de Google. Debido a que usamos frecuentemente nuestras cuentas de Gmail para resetear los códigos de acceso a todas nuestras cuentas, esto prácticamente le concede a los hackers acceso a todas las cuentas online que tengamos.

“Revoca los permisos a través de Google y desinstala el app”, aconseja Reeve.

Si no lo haces, prácticamente estás diciendo: “Pikachu, te escojo a ti por encima de mi privacidad“.

Este consejo le puede venir bien a mucha gente, ya que el app ha sido descargado 7.5 millones de veces, de acuerdo con la firma SensorTower. No está claro cuántos jugadores de Pokémon Go lo juegan en un dispositivo iOS o están ingresando con una cuenta de Google.

Los que abogan por la privacidad están haciendo un llamado a los desarrolladores de apps y a las fabricantes de teléfonos de hacer un mejor trabajo de explicar cuántos de tus datos se recoge y cuándo se realiza esto.

Fuente: cnet

lopd

Tras adaptar la web siguiendo las pautas vistas en el artículo anterior a este, es momento de adecuar nuestro negocio online a la legislación española mediante el diseño e implantación de un sistema de control y protección de los datos de los clientes, proveedores, empleados e, incluso, candidatos a formar parte de la empresa que nos ceden su currículum.

Para evitar que estos ficheros se manipulen de forma inadecuada, se cedan o vendan a terceros sin consentimiento previo, surgió esta normativa.

Los datos personales representan un valioso activo para la empresa, indispensable en muchos casos para desempeñar su actividad, y debes garantizar su confidencialidad. A su vez, la adecuación a la LOPD puede detectar problemas o carencias del negocio que afecten al proceso organizativo.

Al ordenar todos los datos de los clientes y clasificarlos, aumentarás la productividad de las operaciones empresariales y generarás mayor confianza entre tus clientes. Estas razones se refuerzan definitivamente si recordamos que la protección de datos es un Derecho Fundamental recogido en la Constitución.

Esta Ley se aplica a todas las empresas, independientemente de su tamaño, sean digitales o no, y la única diferencia estriba en los niveles de seguridad que afectan a cada fichero dependiendo de la sensibilidad de sus contenido.

• Nivel Básico: Nombre, apellidos, datos de contacto y otros que no se consideren de nivel medio y alto.
• Nivel Medio: Datos relativos a infracciones administrativas o penales; de los que sean responsables entidades financieras, tributarias o la Seguridad Social; aquellos pertenecientes a los operadores que prestan servicios de comunicaciones electrónicas; información acerca de las características o personalidad del titular, que permitan evaluar esta o sus comportamientos.
• Nivel Alto: Compilaciones de datos referidos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual, actos de violencia de género u otros recabados con fines policiales y sin consentimiento previo del titular.

La mayoría de las tiendas online barajarán ficheros de nivel de seguridad básico, lo que simplifica mucho el proceso de implantación, diseccionado en tres fases:

Fase 1. Adaptación de ficheros. Antes de dar de alta un fichero has de identificar el tipo de datos personales que contiene y su organización en soportes automatizados (digitales), no automatizados (en papel) o mixtos. Hecho esto, realiza la notificación de los ficheros ante el registro de la AEPD (www.agpd.es) completando un formulario.

El proceso de notificación  se efectúa de forma interactiva a través de la pestaña Notificaciones Telemáticas a la AEPD (Nota), donde elegirás el Formulario de Titularidad Privada. Como será la primera vez, indica que es un Fichero de Alta y especifica el tipo (nóminas, clientes, pacientes, etc.). Una vez dado de alta, podrás modificarlo o suprimirlo cuando pierda su vigencia.

Al especificar el tipo de solicitud, se te desplegará un formulario más detallado donde se especificarás el responsable del fichero, los derechos A. R. C. O. (ver más abajo), el encargado del tratamiento, la finalidad del fichero, etc. Completa el fichero con los datos específicos de la empresa y, si te surge alguna duda, consulta la guía rápida de notificación de ficheros de titularidad privada.

Finalizado y grabado el formulario, podrás presentarlo ante la AEPD de forma telemática, con o sin firma electrónica, y por correo ordinario.

Fase 2. Legitimación de datos. La clave aquí reside en contar con el consentimiento previo del titular de los datos englobados en el fichero y en cumplir con los principios y obligaciones que rigen la recogida y tratamiento de los datos, que son:

• Informar al interesado sobre la recogida de datos.
• Solicitarle el consentimiento para que la empresa los utilice y/o en casos de cesión de datos a terceros.
• Atender a sus derechos de Acceso, Rectificación, Cancelación u Oposición (derechos A.R.C.O.)
• Contemplar las disposiciones previstas en la Ley para los casos donde se tramiten o transfieran fuera del Espacio Económico Europeo. Precisarás de la autorización previa del director de la Agencia Española de Protección de Datos o notificación a la AEPD y a los interesados, dependiendo del caso.

Fase 3. Políticas de Seguridad de Datos. En esta fase establecerás las medidas de carácter técnico y organizativo que garanticen las seguridad de los datos de carácter personal y aquellas que deberá adoptar la empresa, tales como preparar un Documento de Seguridad que regirá su política interna.

Para cualquier otra aclaracion que necesite al respecto, no dude en contactar con nosotros a traves del formulario. Podemos cubrir todas las necesidades que puedan surgirle y entregarle el trabajo completo sin que tenga que preocuparse de nada.

Fuente:

Autor: María José Sánchez Valenzuela

lopd

Queremos compartir con vosotros  un artículo sobre un tema íntimamente ligado al desarrollo del negocio de protección de datos . Sin duda, el título del artículo: “La auditoría de protección de datos, la gran desconocida” es más que clarificador sobre cómo afrontan las organizaciones –a día de hoy- sus  obligaciones en esta materia.

Como resumen al documento, que puedes descargar en La auditoría de protección de datos, la gran desconocida (I), resaltamos estos puntos:

· Una correcta adaptación se da cuando una organización cumple con los principios básicos de la normativa e implementa las medidas de seguridad pertinentes.

· Todas las empresas que trabajan con ficheros con un nivel de seguridad medio o alto están obligadas a realizar cada dos años una auditoría. Debemos tener en cuenta que -en muchas ocasiones- las organizaciones se ven obligadas a acreditar la auditoría de sus sistemas de seguridad por motivos de calidad.

· Esta seguridad de la información supone un requisito básico que, en último término, puede llegar a asegurar la continuidad de un negocio, un 90% de las empresas que se ve afectada por una pérdida importante de datos acaba desapareciendo en un plazo de dos años.

· La propia normativa de protección de datos ya establece la necesidad de asegurar la disponibilidad y seguridad de la información, el 44% de las empresas de nuestro país considera que la pérdida de datos es algo inevitable.

· El incumplimiento por parte de una empresa de esta obligación supondría ante la AEPD (Agencia Española de Protección de Datos) una infracción grave de la LOPD punible con una sanción que oscilaría entre los 60.000 y los 300.000 euros.