RGPD UE

Reglamento General de Protección de Datos de la Unión Europea

Fecha de entrada en vigor: 25 de mayo de 2018; a partir de entonces, las organizaciones que no lo cumplan se exponen a onerosas multas.

Reglamento General de Protección de Datos de la Unión Europea (RGPD UE)

Un pequeño, pero importante, elemento del RGPD: Cumpla la normativa con las unidades USB cifradas de Kingston

Gestiona las amenazas y reduce los riesgos

Las opciones disponibles cubren todas las necesidades, tanto personales como corporativas y de la administración pública.

  • Almacenamiento de datos en USB con cifrado 100% compatible
  • Sencillo y fácil de usar; no requiere software ni controladores
  • Diseñado para una implementación rápida y eficiente
EUGDPR Compliance Logos
Keep Compliant with Kingston

RGPD UE: 5 áreas fundamentales a tener en cuenta

  1. Cifrado: Normas de seguridad del procesamiento de datos (Artículo 32, Seguridad del tratamiento)
  2. Designación de Delegados de protección de datos (DPD)
  3. Establecimiento de un programa de ciberseguridad
  4. Responsabilidad documentada
  5. Comprensión del consentimiento

¿Qué tengo que hacer ahora?

¿Cómo afecta esto a mi organización?

  • El RGPD será de obligatorio cumplimiento para toda entidad que trabaje con datos relacionados con ciudadanos de la UE
  • Es importante destacar que estas normas son de aplicación tanto para los controladores como para los procesadores. Es decir, las 'nubes' no estarán exentas de la implementación del RGPD.
  • Será de aplicación a todas las organizaciones, tanto dentro como fuera de la UE, que procesen datos de ciudadanos de la UE
  • Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a los titulares implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos personales.

¿Qué tiene que hacer mi empresa para cumplir?

  • Autoevaluarse - Las entidades que empleen a más de 250 personas deberán designar un Delegado de protección de datos. Las organizaciones deberán realizar una auditoría interna del procesamiento de los datos personales de sus empleados y clientes
  • Definir los productos/dispositivos internos y externos que almacenan datos - Deben registrarse los equipos de la entidad utilizados que estarán cubiertos por la política de protección de datos, y asegurarse de que se utilice el cifrado de los datos. Se trata de, entre otros: servidores, discos duros, SSD, unidades USB Flash, ordenadores y dispositivos móviles
  • Análisis de inventario - Evaluación del volumen total de datos personales
  • Purgado - Eliminación de archivos de información personalmente identificable (IPI) innecesarios
  • Controladores de información - Revisión de los riesgos de privacidad y evaluaciones de impacto
  • Contratos - Adapte su empresa a los futuros requisitos implementando ahora políticas que serán obligatorias a partir de mayo de 2018
  • Vulneraciones de la privacidad de los datos - El Reglamento exige notificarlas en un plazo máximo de 72 horas

Solución - Implementar los sistemas de protección, normas técnicas y políticas adecuadas, tales como: cifrado de los datos personales/información personalmente identificable (IPI) para mitigar los riesgos de incumplimiento (Más información – Buenas prácticas de normas de cifrado de unidades USB)

Cifrado de datos

  • Una unidad USB cifrada de Kingston y IronKey es una de las soluciones para la normalización del cumplimiento del cifrado de datos
  • Implementación de las “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya… el cifrado de datos personales" (Artículo 32, Seguridad del tratamiento)
  • La propuesta exige a las organizaciones cifrar los datos, tanto los que están en tránsito como los almacenados.
  • Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a residentes de la UE implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos.
  • Las organizaciones vendrán obligadas a incluir estas normas mejoradas de procesamiento de datos en sus contratos con prestadores de servicios externos.

Incremento del ámbito territorial (aplicación extraterritorial)

Sin duda, el cambio más importante en el panorama normativo de la privacidad de los datos.

  • La ampliación del ámbito del RGPD es de aplicación a todas las entidades que procesan datos personales de personas residentes en la UE, independientemente de dónde estén ubicadas.

Notificación de vulneraciones

Las notificaciones de vulneraciones de datos se efectuarán antes de que transcurran 72 horas desde el momento de tomar conocimiento de las mismas, si fuese posible, aunque no será necesario cursarla a la autoridad de control si existen pocas probabilidades de que conlleve un riesgo para los derechos o libertades de los particulares.

Nuevos derechos del consumidor

Ventajas para los consumidores

Consumer Benefits

  • El RGPD ofrece mayor protección y posibilita mantener el anonimato
  • Empodera al consumidor haciendo valer sus derechos si no desea compartir datos
  • Nuevos derechos para el consumidor —‘derecho al olvido’, ‘derecho a la portabilidad de los datos’—, que exigen a las empresas dejar de utilizar sus datos
  • Las entidades que incumplan estos derechos del consumidor estarán sujetas a más querellas por parte de los consumidores y organismos legales

Consentimiento

Se han hecho más estrictas las condiciones del consentimiento, y las entidades ya no podrán utilizar términos y condiciones ilegibles y engorrosos, plagados de jerigonza leguleya. Ahora, la solicitud de consentimiento de procesar los datos adjuntos al consentimiento deberá presentarse de manera inteligible y accesible.

  • El consentimiento deberá ser claro y estar diferenciado de otros asuntos. Se presentará de manera inteligible y fácilmente accesible, con un lenguaje claro y comprensible. Retirar el consentimiento deberá ser tan fácil como otorgarlo.

Derecho al olvido

También conocido como supresión de datos, el derecho al olvido faculta al titular de los datos a exigir al controlador de datos el borrado de sus datos personales, a cesar toda ulterior difusión de los mismos y a que eventuales terceros dejen de procesarlos. Las condiciones para la supresión, estipuladas en el Artículo 17, incluyen los datos que ya no sean relevantes para el propósito original del procesamiento, y los titulares de datos que retiren su consentimiento.

Asimismo, debe destacarse que este derecho exige a los controladores comparar los derechos del individuo con "el interés público en la disponibilidad de los datos" al considerar tales peticiones.

¿Qué es la información personalmente identificable (IPI)?

¿Qué es la información personalmente identificable (IPI)? Por Información personalmente identificable (IPI) se entienden los datos mantenidos acerca de ciudadanos de la UE que, en caso de ser divulgada, podría conllevar daños para aquellos cuyos datos han quedado comprometidos. La IPI puede incluir historiales médicos, datos biométricos, números de pasaporte e información financiera personalmente identificable (IFPI), como datos de la seguridad social y tarjetas de crédito. Los datos no considerados IPI, como nombres y apellidos, puede convertirse en tales si se vinculan con otra información.

  • Los activos de datos de una organización deben identificarse como parte de la evaluación de riesgos, lo que incluirá también cómo se almacenan y cómo se accede a los mismos, a qué grado de peligro están expuestos, y si contienen o no IPI. Los activos de datos deben almacenarse en bases de datos de aplicaciones, sistemas de archivos de servidores y dispositivos de usuarios finales.
What is Personal Identifiable Information (PII)?

Segmentos destacados

  • Un único instrumento paneuropeo de normas: se prevé que el reglamento unificado de la UE para la protección de datos posibilitará un ahorro del orden de los 2.300 millones de € anuales
  • Las autoridades públicas y las empresas que procesen datos a gran escala designarán a un responsable de protección de datos, quien se hará cargo de todas las actividades en esta materia.
  • Ventanilla única: las entidades tendrán que tratar con una sola autoridad supervisora (en el país de la UE en la que tengan su base principal)
  • Normas europeas para empresas de fuera de la UE: las entidades de fuera de la UE deberán aplicar las mismas reglas cuando ofrezcan bienes o servicios, o realicen un seguimiento de las actividades de personas, dentro de la UE
  • Normativa propiciadora de la innovación: una garantía de que las medidas de protección de datos están integradas en productos y servicios desde la primera fase de desarrollo (protección de datos por diseño y de manera predeterminada)
  • Técnicas protectoras de la privacidad, como seudonimización (los campos identificativos dentro de un registro de datos son sustituidos por uno o más identificadores artificiales) y cifrado (los datos se codifican de tal manera que solamente las partes autorizadas pueden leerlos)
  • Evaluaciones de impacto: las empresas deberán realizar evaluaciones de impacto cuando el tratamiento de datos pueda conllevar un alto riesgo para los derechos y libertades de las personas
  • Mantenimiento de registros: las pymes no están obligadas a mantener registros de actividades de tratamiento, a menos que dicho tratamiento sea de rutina o sea susceptible de conllevar un riesgo para los derechos y libertades de la persona cuyos datos se procesan

Más

Fechas clave del Reglamento General de Protección de Datos (RGPD) de la UE

  • 31 de enero de 2018, PCI-DSS v3.2 – Requisitos de la autenticación multifactor (8.3.1) - Afecta a las organizaciones globales
  • 30 de junio de 2018, PCI-DSS v3.2 – Requisitos para la actualización del cifrado de SSL (2.2.3, 2.3, 4.1) - Afecta a las organizaciones globales
  • DSP2 de abril de 2018 – Directiva de Servicios de pago 2 - Afecta a las empresas europeas
  • RGPD de mayo de 2018 – Reglamento General de Protección de Datos - Afecta a las organizaciones globales