Ciberseguridad

RGPD vs LOPD | ¿Complementarios o contradictorios?

Según nuestro punto de vista se trata de reglamentos complementarios, tratándose de una mejora de la LOPD. El RD 1720/2007 de 21 de diciembre es bueno como guía para implantar las medidas de seguridad, dependiendo del nivel del ahora tratamiento.

RGPD vs LOPD: ¿Complementarios o contradictorios?

Vamos a intentar hacer un poco de luz sobre este tema que tiene expectantes a muchas empresas.

Los aspectos relacionados con el RGPD debe estar implantado el 25 de mayo de 2018, se trata de una normativa europea.

Se aplicará tanto a empresas, autónomos, asociaciones, comunidades y Administraciones Públicas, y a aquellas organizaciones que no estén en territorio europeo pero presten sus servicios a personas residentes en territorio europeo.

No anula a la anterior LOPD sino que la complementa, ampliando algunos aspectos y variando nomenclatura. (Cambio de Fichero por Tratamiento).

Primero hagamos un repaso a las características de la LOPD para luego revisar los 6 aspectos principales en los que surgen cambios.

Hay tres grandes aspectos a destacar, que son:

  1. Registro de ficheros con su tipo (bajo, medio, alto), y el responsable del fichero (ahora tratamiento)
  2. Legitimación del uso de los datos. Consentimiento por parte del afectado o de quien cede los datos para el uso de los mismos. Para ello se añadió en todos los contratos mercantiles, páginas web, correos electrónicos, contratos laborales.. una serie de leyendas que explicaban la finalidad de la recogida de los datos, los destinatarios de los mismos, las obligaciones y derechos, limitación de cesión de datos y la identidad del responsable del fichero. Este es el motivo por el que se remiten contratos a todas las contratas con acceso a los sistemas informáticos, a la empresa, se colocan las leyendas en las páginas web – además de por la LSSI) y en todos los correos electrónicos.
  3. Documento de seguridad. Junto con la LOPD se publicó posteriormente un RD en el que se detallaban las medidas de seguridad a cumplir dependiendo del nivel de los datos (básico, medio – los que tienen información de tipo financiera, alto –los que permiten conocer aspectos de la persona relacionado con salud, sexo, religión o filiación política), entre ellas el cifrado de datos en comunicaciones externas a la empresa.

En el reglamento de seguridad RD1720/2007 se detallan una serie de “libros” de obligado cumplimiento:

  • Usuarios y roles de los mismos. (alta / baja en la empresa y función)
  • Inventario de equipamiento informático en la empresa
  • Inventario de dispositivos de almacenamiento móviles
  • Inventario de cintas/copias de seguridad
  • Control del acceso a ficheros tanto en papel como informatico en caso de nivel alto – log.
  • Libro de incidencias.

4. Debe existir un protocolo de atención al afectado en el que debe haber un encargado del tratamiento de las incidencias de los derechos ARCO (acceso, rectificación, cancelación u oposición al registro de los datos).

4. Nombramiento de cargos con sus responsabilidades.

  • Responsable del fichero. Entidad jurídica o física
  • Encargado del tratamiento. Idem. Quien se responsabiliza del tratamiento de los datos

En todos estos casos hay siempre posibilidad de contar co-responsables y sub-encargados.

 

Sobre el Reglamento General de Protección de Datos

No hay registro de datos en la Agencia de Protección de Datos, pero se mantienen los niveles de datos, ahora llamados especiales, y se mantiene un registro interno de datos a incorporar en el documento de seguridad.

Documentos de interés en la web de la Agencia de Protección de Datos

http://www.agpd.es/portalwebAGPD/temas/reglamento/

  1. REALIZAR UNA AUDITORIA DE PROTECCION DE DATOS ANTES DE REALIZAR LA ADAPTACIÓN.

Será un análisis y gestión de riesgos para conocer los activos de información y las medidas de acceso y protección de cada uno de ellos.

Deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

 Utilizar medidas de seguridad avanzadas, acordes al momento actual

  • Actualización constante de las medidas de seguridad, con revisiones periódicas y más cuando hayan cambios tecnológicos en las empresas.
  1. AMPLIACIÓN DE LA INFORMACIÓN EN EL PROCESO DE LEGITIMIZACIÓN DEL USO DE LOS DATOS. Además de los indicados en el apartado de la LOPD ahora hay que añadir los siguientes:
    1. Base jurídica del tratamiento. Definir la licitud del tratamiento. ¿por qué se tienen?
    2. Tiempo máximo que se mantendrán los datos en el tratamiento.
    3. La identificación, si procede, del Delegado de Protección de datos
    4. Si habrá o no trasferencia internacional de datos
    5. El derecho a presentar una reclamación
    6. la existencia o no de decisiones automatizadas.

 

  1. AMPLIACION DE LOS DERECHOS ARCO.

Ahora se amplía a limitación y portabilidad de los datos, pudiendo pedir una copia estructurada de todos los datos que tienen de una persona física. De la misa forma

Acceso, rectificación, supresión, limitación, portabilidad, y oposición.

Por lo tanto hay que adaptar el protocolo con el procedimiento a seguir, los plazos de tiempo y quién es la persona responsable de dar respuesta a las peticiones de los afectados.

 

  1. CONTRATO ENTRE EL RESPONSABLE DEL TRATAMIENTO Y EL ENCARGADO

La relación entre el responsable y los encargados deben formalizarse en un contrato o acto jurídico por el que se vinculan ambos.  Deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

Se regula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo preverse aspectos como:

  • Objeto, duración, naturaleza y la finalidad del tratamientos
  • Tipo de datos personales y categorías de interesados
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados…

 

  1. EVALUACIÓN DE IMPACTO DEPENDIENDO EL TIPO Y VOLUMEN DE DATOS.
  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

 Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.

La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos; mientras que la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

 

  1. EL DELEGADO DE PROTECCION DE DATOS (DPO)

Aparece una nueva figura en el entorno del RGPD con carácter obligatorio para determinadas empresas y con carácter voluntario para el resto.

Algunas de estas obligadas, además de las autoridades u organismos públicos, son las siguientes:

  • Empresas que lleven a cabo una observación habitual y sistemática de  interesados.
  • Empresas que traten a gran escala categorías especiales de datos.

Las empresas que no encajen en esta clasificación pueden valorar contar con esta figura, que tendrá como funciones la gestión y el control de la protección de datos dentro de la empresa, así como actuar como punto de contacto entre esta y la AEPD, pudiendo ser la persona que reciba las notificaciones de los derechos ARCO y siguientes.

Es una buen práctica nombrar a un responsable interno y contratar un servicio externo de resolución de consultas especializadas y para disfrutar de un servicio de seguimiento jurídico.