Tutorial Guía de bolsillo sobre GDPR + Preguntas y Respuestas + Preguntas Frecuentes

1. Consentimiento explícito
   Se anula “de facto” el consentimiento implícito que en muchos tratamientos de datos se venia haciendo y se implanta un consentimiento expreso y explícito real.
   
   Con el nuevo reglamento, el consentimiento tiene que informar de cuáles van a ser los objetivos del tratamiento y del responsable del mismo.
   
   Deberá informarse si los datos personales objeto del tratamiento, van a ser gestionados en terceros países. Es recomendable que esta gestión internacional se realice en países de la UE.
   
2. Mayor control de proveedores
   Con el nuevo reglamento aumentan los controles sobre los proveedores con acceso a datos sobre todo para los proveedores de fuera de la UE. Estos deberán ser más exhaustivos y contractualmente se regularán todos aquellos aspectos que inciden en la seguridad de la información que se maneje.
   
   La comunicación de las incidencias de seguridad de los proveedores será por ejemplo, un aspecto a regular a la hora de ofrecer servicios por parte de un tercero.
   
3. Documentación y registro
   Será necesario actualizar los procedimientos y registros existentes para su adecuación a la nueva normativa.
   
   El inicio de cualquier operación de gestión de información y datos personales llevará implícita la filosofía de “privacy by default”.
   
   Es decir que el planteamiento de cualquier nueva actividad tiene que pasar por proteger la privacidad de la información que se maneje, desde el momento de su concepción.
   
4. Procedimientos prácticos
   Los procedimientos implantados tienen que reflejar la realidad de la entidad y han de poderse auditar en cualquier momento.
   
   El nuevo reglamento prevé nuevos procedimientos y controles sobre la retención de la información, gestión de los backups y otros aspectos prácticos del funcionamiento de cualquier entidad.
   
5. Análisis de riesgos
   Este análisis recibe el nombre de Evaluación del Impacto en la Protección de Datos (DPIAs, por sus siglas en inglés). Cuando la gestión de datos pueda incurrir en un alto riesgo para los derechos y libertades de las personas, se debe llevar a cabo un análisis de riesgos sobre la protección de los datos de carácter personal antes del inicio del tratamiento.
   
   Las DPIAs serán algo habitual y una herramienta muy útil para que las empresas atajen los riesgos de confidencialidad.
   
6. Nuevos derechos
   El RGPD refuerza los derechos que ya tenían las personas en cuanto a la gestión de sus datos personales y crea otros nuevos.
   
   En concreto se trata del derecho al olvido, que posibilita la eliminación de los datos de los usuarios; el derecho de portabilidad, que permite llevar los datos de un proveedor a otro y el derecho de oposición a que se realicen perfiles con objetivos de marketing con la información de los usuarios.
   
7. Notificación de incidencias
   Las incidencias que tenga repercusión en la seguridad de la información y de los datos personales tendrán que ser comunicadas a las autoridades de control en un plazo máximo de 72 horas.
   
   Los usuarios también deberán ser informados de las incidencias que afecten a sus datos personales.
   
8. DPO
   El nuevo reglamento contempla la creación de la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), obligatoria para las entidades públicas y en aquellas empresas en que la gestión de datos personales sea crítica por formar parte del núcleo de su negocio.
   
   Deberá informarse a la hora de recoger datos de los interesados de la identidad concreta y datos de contacto del responsable que va a llevar a cabo esta recogida y gestión de la información o de su representante.
   
9. Auditorías periódicas
   Las entidades que gestionen datos personales deberán someterse a auditorías periódicasque revisen el estado de los procedimientos de gestión de esos datos personales.

Fuente original: GDPR en España: todo lo que debes saber sobre el nuevo reglamento RGPD

Salud2

Conozca todo lo que necesita saber sobre la nueva ley de protección de datos de la Unión Europea, que entra en vigencia el 25 de mayo de 2018.

¿Qué es la GDPR?
La GDPR (Regulación General de Protección de Datos) es es el nuevo marco legal en la Unión Europea que remplazará a la actual Directiva de Protección de Datos. La diferencia más importante entre ambas es la diferencia entre una “regulación” y una “directiva”.

Mientras que las directivas son recomendaciones a tener en cuenta y no son legalmente vinculantes, las regulaciones sí son leyes y responsabilizan legalmente a las compañías. Esto significa que la GDPR es una ley y como tal, debe ser cumplida por todos los estados europeos miembros, mientras que la anterior Directiva de Protección de Datos no lo era.

Una regulación también puede ser entendida como un grupo de normas que deben ser cumplidas, mientras que una directiva es un conjunto de reglas, que deja lugar a la interpretación.

¿Qué está pasando? La Regulación General de Protección de Datos (GDPR) se hace efectiva en la Unión Europea.
Seguramente ya haya escuchado hablar sobre la GDPR, pero puede que no esté familiarizado con sus detalles. Lo más importante que necesita saber es que las penalidades de la GDPR pueden ser de hasta 10 millones de euros. Esto significa que las empresas necesitan comenzar pronto a evaluar cómo se verán afectadas por la regulación, y estar preparadas.

Su organización aún tiene tiempo para cumplir con la GDPR, pero cuanta más información posea al respecto, más sencillo será el proceso. Comience por familiarizarse con sus conceptos básicos.

¿Cuál es el objetivo de la GDPR?
La GDPR busca proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen, cuando esos datos ya no son requeridos. La ley provee control individual acerca de cómo las compañías pueden usar la información que está directa y personalmente relacionada con los individuos, y otorga ocho derechos específicos.

Además, establece normas muy estrictas que rigen lo que sucede si se viola el acceso a datos personales y las consecuencias (penalidades) que las organizaciones pueden sufrir en tal caso.

Mientras que la Directiva de Protección de Datos de la Unión Europea no definía lo que es una filtración de datos, la GDPR incluye una definición muy amplia:

Una filtración de datos es “una filtración en la seguridad que lleva a la destrucción, pérdida, alteración, divulgación no autorizada, o acceso -accidental o ilegal-, a datos personales transmitidos, almacenados, o procesados de alguna forma”. “Datos personales” es “cualquier información relacionada a una persona identificable o no identificable” – no se trata solo de datos que puedan ser usados para fraude o robo de identidad.

Esas definiciones son importantes porque significa que muchos eventos o actividades diferentes pueden calificar como violaciones según la GDPR.

¿A quién aplica la GDPR?
La GDPR aplica a:

• Organizaciones con presencia física en al menos algún país miembro de la Unión Europea.
• Organizaciones que procesan o almacenan datos sobre individuos que residen en la Unión Europea.
• Organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.

Por lo tanto, si usted reside en la Unión Europea o trabaja con una organización que posee empleados o clientes en la Unión Europea, es muy probable que se vea alcanzado por la GDPR.

¿Cuáles son los 8 derechos que establece la GDPR?

• Derecho a estar informado: Proporciona transparencia sobre cómo son utilizados sus datos personales.
• Derecho al acceso: Provee acceso a sus datos, a cómo son utilizados, y a cualquier información suplementaria que pueda ser utilizada juntos con sus datos.
• Derecho a la rectificación: Otorga el derecho a que sus datos personales sean rectificados en caso de ser incorrectos o incompletos.
• Derecho a ser borrado (o derecho a ser olvidado): Es el derecho a que sus datos personales sean removidos de cualquier lugar si no existe una razón convincente para que estén almacenados.
• Derecho a restringir el procesamiento: Permite que sus datos sean almacenados, pero no procesados. Por ejemplo, puede recurrir a este derecho si siente que datos erróneos acerca de usted son almacenados a la espera de ser rectificados.
• Derecho a la portabilidad de datos: Puede solicitar copias de la información almacenada sobre usted, para utilizar en cualquier otro lugar. Tal es el caso de si aplicara para productos financieros entre distintas entidades.
• Derecho a objetar: Otorga el derecho a objetar acerca del procesamiento de sus datos. Un ejemplo podría ser la objeción de que sus datos sean utilizados por organizaciones de marketing directo.
• Derecho sobre la toma de decisiones y creación de perfiles automáticos: Permite objetar sobre la toma de decisiones automáticas que se hagan sobre sus datos personales. “Automáticas” se refiere a sin intervención humana. Por ejemplo, la definición de determinados hábitos de compra online, en función a comportamientos previos.

Si una organización o procesador viola una condición, las penalidades son muy altas: pueden llegar a ser de hasta 10 millones de euros o del 2% de su volumen de ventas globales.

Fuente original: ¿Qué es la GDPR? | Blog de Seguridad Informática
Más info: [url='https://www.helpsystems.com/es/gdpr-8-derechos-de-los-sujetos-de-datos']8 Derechos de los Sujetos de Datos con GDPR | Blog de Seguridad Informática[/URL]

Salud2