×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

ThetechguyMiembro desde: 09/02/18

Thetechguy
2
Posición en el Ranking
2
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    1.007.024
  • Publicadas
    488
  • Puntos
    76
Veces compartidas
34
¡Consigue las insignias!
Trimestrales
Recientes
Visitas a noticias
Hace 4d

Algunas consideraciones sobre las responsabilidades del controlador y del procesador, y otros conceptos presentes en la ley de protección de datos europea, como DPIA y DPO

gdpr

La aplicación del Reglamento General de Protección de Datos de la Unión Europea (GDPR) comenzó en mayo de 2018. Desde entonces, las organizaciones se encuentran trabajando en el cumplimiento de los altos estándares de seguridad que demanda GDPR, considerada la lay de privacidad y protección de datos más estricta hasta ahora.

Acorde a expertos en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética, uno de los temas fundamentales que aborda GDPR es la responsabilidad de controladores y procesadores de datos, de lo que hablaremos a continuación.

Responsabilidades gubernamentales

  1. Rendición de cuentas y gobernanza

Este es uno de los principios básicos de GDPR, consideran expertos en forense digital. Establece que, como organización, un controlador de datos debe estar en condiciones de demostrar que el procesamiento se realiza acorde a las exigencias de GDPR.

  1. Protección de datos por defecto y por diseño

Como organización, los controladores deberán cumplir con distintas medidas:

  • Partir de la protección de datos como núcleo de sus diseños en seguridad. En una empresa de TI, debe haber metodologías de protección de datos a lo largo de todos sus desarrollos, arquitectura empresarial, etc.
  • Implementar medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, sólo sean procesados los datos personales necesarios para cada propósito específico del proceso.
  • Minimizar los datos almacenados y considerar el uso de pseudónimos. Esto se puede lograr haciendo algunas preguntas simples como:
    • ¿Su organización necesita realmente estos datos?
    • ¿Necesita ser personal?
    • ¿Es absolutamente necesario el uso de estos datos?
    • ¿Los datos son visibles sólo para quienes realmente necesitan verlos?

 

  1. Registros de actividades de procesamiento

En una organización de más de 250 empleados, los controladores deben mantener un registro de las actividades de procesamiento:

  • ¿Qué datos se procesan y por qué?
  • ¿Por cuánto tiempo serán procesados?
  • A qué clase de organización son revelados estos datos, incluyendo destinatarios en otros países u organizaciones internacionales.
  • Además del respaldo digital, debe existir un registro físico del procesamiento
  • Esto es obligatorio porque los reguladores pueden solicitar estos datos.

 

  1. Cooperación con las autoridades reguladoras

Los controladores, los procesadores y sus representantes cooperarán, previa solicitud, con la autoridad supervisora para el cumplimiento de la GDPR.

Procesadores de datos

  • Cuando el procesamiento se lleve a cabo en nombre de un controlador, el controlador utilizará sólo procesadores que ofrezcan garantías suficientes para implementar las medidas técnicas y organizativas adecuadas.
  • El procesador no cooperará otro procesador sin la autorización previa específica o general por escrito del controlador de los datos.
  • El procesamiento de datos se regirá por un contrato u otro acto legal que vincule al procesador y al controlador.
  • El contrato, o acto legal, estipulará, en particular, que el procesador:
    • Deberá los datos personales sólo en las instrucciones documentadas del controlador. Los procesadores no deben hacer nada más que lo que indica el controlador.
    • Asegurará que las personas autorizadas para procesar los datos personales trabajen bajo una obligación legal de confidencialidad
    • Ayudará al controlador mediante medidas técnicas y organizativas adecuadas teniendo en cuenta la naturaleza del procesamiento

Evaluación de Impacto de Protección de Datos (DPIA)

Esta es una evaluación de riesgo, consideran expertos en forense digital y ciberseguridad. DPIA es obligatorio bajo los siguientes escenarios:

  • Procesamiento y diseño de perfiles con efectos significativos.
  • Datos de categorías especiales a gran escala
  • Monitoreo sistemático de áreas de acceso público.

¿Qué debe haber en un DPIA?

  • La descripción completa del procesamiento.
  • Si es que este procesamiento es necesario y proporcionado.
  • Posibles riesgos para los derechos fundamentales y la libertad de los interesados.
  • Tratamiento del riesgo: en caso de que ocurra un riesgo, ¿cómo puede el controlador de datos actuar?

Siempre será recomendable, cuando estamos comenzando un nuevo proyecto o una nueva aplicación, realizar un DPIA. Nos puede dar más información sobre cómo administrar, proteger y almacenar los datos del controlador.

Oficial de Protección de Datos (DPO)

Necesitará de un DPO si:

  • Usted es una autoridad pública.
  • Realiza monitoreo sistemático de los sujetos de datos a gran escala.
  • Procesa una gran cantidad de información de categoría especial o registros criminales

¿Qué tareas debe cumplir el DPO?

  • Asesoría
  • Monitoreo del cumplimiento con GDPA
  • Conducir los DPIA

Notificación sobre incidentes de seguridad

Aunque su organización cumpla con todos los estándares de GDPR, todavía puede presentarse una violación de seguridad. Esta sección trata sobre lo que se debe hacer en caso de que un controlador tenga conocimiento de una violación de datos en su sistema.

  1. Medidas de seguridad técnicas y organizativas adecuadas

Los controladores deben cumplir con políticas de seguridad de la información adecuadas en función del riesgo para las personas, no el riesgo para la organización.

Tanto el controlador como el procesador de datos deben tomar medidas para garantizar que cualquier persona física que actúe bajo la autoridad del controlador o del procesador que tiene acceso a los datos personales no los procese, excepto acorde a las instrucciones del controlador.

  1. Notificar al regulador en caso de una violación de datos personales

El controlador de datos debe notificar a las autoridades reguladoras dentro de las 72 horas después de descubrir la violación de datos.

  1. Notificar a los sujetos de datos en caso de una violación de datos personales

Es responsabilidad del controlador de datos identificar si la violación de seguridad es de alto o bajo riesgo. El controlador de datos podrá contactar a un abogado para ver si tienen que notificar al sujeto de los datos o no.

Más recientes de Thetechguy

Combinación de errores en WordPress y WooCommerce permite secuestro de sitios web

Combinación de errores en WordPress y WooCommerce permite secuestro de sitios web

Una falla en la forma en la que WordPress maneja los privilegios puede ser explotada para tomar el control de un dominio 13/11/2018

Desarrolladores de Apache Struts piden a usuarios actualizar biblioteca

Desarrolladores de Apache Struts piden a usuarios actualizar biblioteca

El equipo detrás de Apache Struts ha solicitado encarecidamente a los usuarios instalar las actualizaciones necesarias para mitigar los riesgos generados por un antiguo bug 12/11/2018

Violación de seguridad en StatCounter

Violación de seguridad en StatCounter

Los hackers comprometieron esta herramienta para secuestrar transacciones de Bitcoin en la plataforma Gate.io 12/11/2018

Por decreto del gobierno ruso, los usuarios de servicios de mensajería deben ser identificados

Por decreto del gobierno ruso, los usuarios de servicios de mensajería deben ser identificados

Las aplicaciones de mensajes deberán verificar los datos de registro de los usuarios con su operador móvil 12/11/2018

Mostrando: 16-20 de 483