La nueva Ley de Protección de Datos, o Reglamento General de Protección de Datos (GDPR),  entrará en vigor el próximo mes de mayo de 2018 y todos los profesionales que recojan datos de clientes y usuarios deberán adaptarse. Por eso queremos explicaros cómo empresas y despachos de abogados deben adaptarse a la nueva normativa, los pasos a seguir y los datos a tener en cuenta.

Nos enfrentamos a una era donde los datos de los usuarios en Internet tienen un valioso papel para las empresas, por eso es necesario el control y regulación del uso de los mismos. Las empresas tienen cada vez más dependencia de la información y la tecnología para su correcto funcionamiento. La digitalización ha hecho que dependamos de ordenadores, móviles, tablets, bases de datos, webs y otras plataformas online para que nuestras empresas funcionen correctamente y la brecha de seguridad en estos aparatos es mucho mayor. La nueva Ley de Protección de Datos es aún más estricta que la anterior y el no cumplimiento de la misma puede suponer un alto coste a las empresas.

¿Te has planteado lo que ocurriría si pierdes la información de tu negocio o si no pudieras acceder a ella? En el día a día las empresas están expuestas a amenazas de seguridad digital que ni imaginan. Por eso te recomendamos que comiences a gestionar la seguridad de tu negocio y te adaptes a la nueva normativa en protección de datos.

Objetivos del Reglamento General de Protección de Datos (RGPD)

El aumento de los ciberataques en los últimos años ha sido importante. La nueva LOPD persigue este tipo de acciones y pretende que las empresas se protejan de forma activa, con mayor seguridad y mejores protocolos de actuación relacionados con la guarda y custodia de sus datos y los de sus clientes.

Con el nuevo Reglamento de Protección de Datos se pretende que las empresas mantengan un actitud activa frente a la gestión de sus datos. Que establezcan una seria de medidas preventivas y actúen antes de que suceda el problema (no solo cuando reciban un ciberataque o tengan un incidente).  Hay dos aspectos clave que las empresas deben proteger: sus técnicas e infraestructuras informáticas y los datos de la empresa, de sus empleados y sus clientes. Por ello, la normativa exige que las empresas gestionen su información de manera adecuada y segura, implementando mejores medidas de prevención y un protocolo de tratamiento y conservación de datos acorde a la importancia de los mismos. Debemos concienciarnos de la importancia de los datos con los que trabajamos y de nuestra responsabilidad en la gestión de los mismos.

Tipos de datos que se pueden recabar

Los datos personales se dividen en tres niveles:

  • Básico (datos identificativos): nombre y apellidos, NIF, Seguridad Social, dirección, teléfono, firma, imagen, email, nombre de usuario, número de tarjeta…
  • Medio: datos relacionados con infracciones penales o administrativas, datos tributarios, de prestación de servicios financieros o crédito, datos referentes al comportamiento de las personas (gustos, costumbres, aficiones…).
  • Alto: datos de ideología, religión, creencia, raza, salud, vida sexual o violencia de género.

Pasos a seguir para la adaptación al RGPD

Diagnóstico de la situación de la empresa y puesta en marcha de los protocolos y la tecnología necesaria para realizar un buen tratamiento de los datos

Las empresas o autónomos deben hacer una evaluación inicial sobre la gestión que realizan de sus datos y los riesgos de seguridad de su negocio que pueden derivar del tratamiento de dichos datos. Deben analizar cómo utilizan la tecnología, para conocer el estado de ciberseguridad de su empresa y sus riesgos: correo electrónico, página web, tablets, móviles, bases de datos, servidores propios, ordenadores y otros dispositivos con datos de la empresa, etc.

De dicho análisis deberán salir las medidas de seguridad que se deben aplicar.  Es vital que las empresas se informen de la nueva ley, hagan ese diagnóstico de la situación de su empresa e inicien la adaptación.

Para obtener toda esta información, lo mejor es acudir a consultores y despachos de abogados especializados en nuevas tecnologías y protección de datos (si no se cuenta con un experto en plantilla). También se puede visitar la propia web de la Agencia Española de Protección de Datos para realizar un primer análisis de orientación. Aquí se pueden ver recomendaciones e información sobre legislación de datos actualizada.

Registro del tratamiento de los datos en la Agencia Española de Protección de Datos

Con la antigua normativa, las empresas debían registrar el tipo de datos a tratar en la Agencia Española de Protección de Datos. En el registro de esos ficheros se debía decir qué tipo de información se gestiona, las personas interesadas, qué aplicación tendrá estos tratamientos, si prevén que cederán los datos a terceros o no, etc.  Ahora ya no es obligatorio inscribir este fichero en la AEPD. Pero con la nueva normativa, las empresas deberán acreditar el cumplimiento del RGPD y registrar adecuadamente la forma en la que cumplen con la normativa, cada empresa como considere necesario.

Monitorización constante y análisis de las medidas de seguridad

Una vez se establezca el protocolo de actuación y de gestión de datos, se deberá analizar y controlar de manera constante que se está cumpliendo con lo establecido por ley y que de verdad se mantiene la protección de los datos. La nueva normativa no especifica qué medidas se deben implantar, cada empresa deberá decidir la forma de proteger sus datos (cumpliendo con unos mínimos que marca la ley). Las medidas de protección de la información han de ser proporcionales a cómo afecta su pérdida al negocio.

La figura del delegado de protección de datos

Tanto las empresas públicas como aquellas privadas que gestionen datos delicados (étnicos, ideológicos, genéticos, sanitarios…) deben tener de manera obligatoria un delegado de protección de datos. Esta figura debe asesorar a la empresa en la forma de gestión y cumplimiento de la normativa y hacer de vínculo entre la empresa y las autoridades. Puede ser alguién interno o un servicio subcontratado.

Brecha de Seguridad, ¿qué hacer cuando sufrimos un ciberataque?

Además de implantar las medidas de prevención, la nueva normativa también marca que acciones deben hacer las empresas si reciben un ciberataque. Si se detecta algún tipo de brecha de seguridad en el sistema se deberá comunicar a las autoridades que corresponda en menos de 72 horas. También habrá que comunicárselo a usuarios, clientes y empresas que estén afectados.

Formación en materia de protección de datos a los empleados

Las empresas deben concienciar a sus empleados de la importancia de la protección de datos y prepararlos para cuando se implante la normativa. Deberán formarles en el correcto tratamiento de los mismos, en los protocolos a seguir y en las pautas de actuación.

En la propia web de la AEPD y en Instituto Nacional de Ciberseguridad existen tests de cumplimiento de la LOPD y las medidas de seguridadherramientas de autodiagnóstico que te permitirán tener un primer diagnóstico de cómo tratar los datos en tu empresa y las mejoras y cambios que debes hacer.

Resumen de puntos a tener en cuenta para el cumplimiento de la nueva LOPD y el Reglamento General de Protección de Datos

  • Identifica qué ficheros contienen datos de carácter personal, tanto de empleados como de clientes o proveedores.
  • Analiza qué nivel de seguridad se les aplica actualmente.
  • ¿Quién es el administrador de esos ficheros? Da formación al responsable de los ficheros y resto de empleados.
  • Haz un análisis y documento de seguridad donde se indique la metodología de trabajo en cuanto a seguridad y gestión de datos, el protocolo de seguridad a seguir, la forma en que se registran y se guardan esos ficheros, quién tiene acceso a ellos, la forma de actuar en caso de incidente…
  • Informa a usuarios y clientes de la existencia y uso de los ficheros de datos.
  • Pide consentimiento inequívoco y explícito al cliente para usar sus datos, tanto en formularios (a través de los correspondientes checks de «acepto») como en cualquier otra forma de contacto que pueda tener contigo. Deberás incluir una casilla de aceptación por cada acción que vayas a realizar con esos datos. Debes tener registrado quien ha aceptado recibir comunicación e información comercial y quien no.
  • Actualiza tus políticas de privacidad y términos legales acorde a la nueva normativa y comunícaselo a tus usuarios. Muestra en tus portales esa información por capas (incluyendo una primera capa con un resumen de los términos legales en el pie de cada formulario).
  • Para el tratamiento de ciertos datos es obligatoria la figura de un delegado de protección de datos.
  • Pon en marcha las medidas establecidas y el protocolo sacado de la evaluación de tu empresa para mantener la privacidad y seguridad de los datos.
  • Revisar los procedimientos y gestión de los datos cada cierto tiempo.
  • Puedes conseguir certificados y sellos de cumplimiento de la RGPD.

Pautas para prevenir un ciberataque

  • Actualiza tus sistemas para reducir el riesgo de ataque. Mantén actualizadas las aplicaciones y dispositivos, los equipos sin actualizar son más vulnerables.
  • Protege tus ordenadores según la importancia de tus datos. Puedes hacerlo instalando un antivirus o cortafuegos, también puedes cifrar discos y equipos.
  • Forma a tus empleados en ciberseguridad.
  • Protege el control y acceso físico a tu empresa. Debes usar medios de seguridad en las salas donde estén los equipos y la información a proteger. Puedes usar tarjetas de acceso o llaves, identificar a todo el que accede, cámaras de seguridad, control de accesos, etc.
  • Define tu política de gestión de contraseñas y cómo deshacerte de la información que ya no es válida. Destruye tus documentos y datos de forma segura o alguien podría utilizarlos en tu contra.
  • Cuida tu presencia en Redes Sociales y resto de portales digitales (si los tienes), vigila lo que dices y los datos que das.
  • Controla la frecuencia con que se realizan copias de seguridad de tus equipos, el correo electrónico, los contenidos de tu página web, tus sistemas, dispositivos… Debes sacar copias de seguridad periódicas de todo ello.
  • Aprende cómo proteger la información que manejas a través del correo electrónico dependiendo de tu servidor de correo.
  • Protege tu web desde su diseño. Ten en cuenta los requisitos de seguridad.
  • Es importante saber quién tiene acceso a los contenidos de tu web, redes sociales, base de datos, correo electrónico. Debe ser de confianza. Si los accesos a la web caen en manos de personas no autorizadas podrían causarnos graves daños. Por eso, debes restringir los privilegios y cuentas de administrador. Dar los permisos justos.
  • Controla dónde se encuentran los servidores y routers de tu empresa. Si están en una zona de paso, en un espacio compartido, con acceso restringido, en las instalaciones de tu proveedor…
  • ¿Tiene un plan B si sufres algún ataque o incidencia que te impida utilizar tus sistemas de información?

Adaptación de los despachos de abogados a la nueva Ley de Protección de Datos

Queremos prestar especial atención a cómo los despachos de abogados (con los que trabajamos desde Selecor) deben adaptarse a la nueva Ley de Protección de Datos. Deberán ser los primeros en adaptarse y cumplirla. Si conocen la nueva normativa podrán ayudar a otras empresas en la defensa o acusación de posibles infracciones relacionadas con ella. Por eso, deben asumir este nuevo modelo de privacidad. Aunque la mayoría de medidas son comunes para todas las empresas y ya os las hemos indicado antes, os resumimos los puntos clave:

  • Elaborar un registro de actividades del tratamiento de datos personales teniendo en cuenta su finalidad y base jurídica (algo que aparece en la hoja de encargo). Como despacho de abogados debes indicar quiénes sois, qué tratamientos tenéis, cómo estáis estructurados según vuestros clientes y las medidas de seguridad que vais a adoptar. Este registro debe ir adaptándose a la actividad del despacho.
  • Adaptar los términos legales a la nueva normativa. Actualizar aquellas cláusulas donde se le dice a los clientes cómo se guardan y tratan sus datos y qué derechos pueden ejercer. Esto viene regulado en los artículos 13 y 14 del nuevo RGPD. Esta información que se debe dar tiene que estar incorporada a las hojas de encargo profesionales.
  • Realizar un análisis de los riesgos del despacho y marcar las medidas que reduzcan esos riesgos.
  • Otra información que deben dar a sus clientes es cuanto tiempo van a conservar sus datos. Puede ser de 6 a 10 años y hasta 15 años por prevención de blanqueo de capitales. Deberán tener la información (registro de actividades, análisis de riesgo, modificación de las cláusulas informativas…) a disposición de la AEDP en caso de que esta entidad la pidiera.
  • Aunque para los bufetes no es obligatorio, si es recomendable la figura del Delegado de Protección de Datos y formarse en seguridad.
  • Deben revisar sus medidas de seguridad y establecer un protocolo de gestión de los datos derivado del análisis de riesgo. Cifrar la información es un buena forma de evitar pérdidas de información por un ciberataque.
  • Igual que el resto de empresas, deben establecer mecanismos y procedimientos de notificación de brechas de seguridad. El RGPD habla de QUIEBRAS DE SEGURIDAD. Tendrán que hacer un informe de lo que ha pasado y gestionar la crisis generada.
  • Es recomendable no compartir datos de los clientes en plataformas públicas como DropBox. Mejor usar plataformas privadas o intranets para almacenar la información.

Si tú o tu empresa necesitáis ayuda para conseguir la correcta adaptación a la nueva LOPD o habéis sido víctima de ciberacoso o delito informático contacta con nosotros. En Selecor conectamos a nuestros usuarios con los mejores profesionales en servicios de abogacía y asesoría. Colaboramos con despachos de abogados especializados en LOPD y nuevas tecnologías y te ayudamos a encontrar al profesional más recomendado en tu zona (dentro de la Comunidad Valenciana). Te pasamos 2 presupuestos sin compromiso, detallados con todos los gastos de abogado y procurador. Nuestro servicio de búsqueda es gratis para ti,  sólo pagarás los costes de los profesionales que elijas.

 

¿Te ayudamos a encontrar al abogado o asesor que necesitas?

 

¿Te ha gustado? Puedes compartirloFacebooktwitterlinkedintumblrmail
Síguenos en nuestras Redes SocialesFacebooklinkedin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.