hacia el cumplimiento del rgpd - maxconn.reddigital.infomaxconn.reddigital.info/pdf/rgpd.pdf ·...

Hacia el cumplimiento del RGPDTelefónica España

Junio 2018

Surge la economía de los datos

¿Son los

datos el

petróleo del

siglo XXI?

En la era digital, la confianza es clave

Los datos que una

empresa posee

ayudan a identificar

oportunidades, a

reducir costes o a

abrir nuevos

mercados

Son valiosos y debemos, todos, asegurar el uso responsable

¿Por qué un nuevo Reglamento?

Devolver a los ciudadanos

el control sobre sus datos personales

Proporcionar seguridad,a las empresas que operan dentro de la Unión Europea,

01

02

Impulsar la innovación y el mercado digital

¿Qué son los datos de carácter personal?

Identifica a qué persona se refiere sin necesidad

de tener que realizar ningún tipo de averiguación

posterior.

Toda información sobre una persona física identificada o identificable

Persona

identificada 01

Persona

identificable02

A priori no indica a qué persona se refiere,

pero aporta información suficiente para poder

llegar a averiguar su identidadADN

INFO

RM

AC

IÓN

IP

Principios aplicables sobre los datos personales

Soberanía del usuario sobre sus datos

Aunque el usuario nos ceda sus datos, siempre debe tener control

No se trata ya de proteger los ficheros que tienen datos personales, sino de

garantizar la legalidad de los diversos tratamientos que se puedan hacer con

dichos datos. Que sean tratados de manera lícita, leal y transparente

Que sean datos pertinentes y adecuados a la finalidad que motiva la

recogida

Que estén estrictamente limitados a los necesarios atendiendo a la

finalidad y limitados al plazo de conservación establecido.

Que no se utilicen para finalidades incompatibles con aquellas que

motivaron su recogida

Que sean exactos, es decir, actualizados y rectificados sin dilación.

Debe garantizarse la integridad y confidencialidad (garantía de

seguridad)

Sanciones

LOPD RGPD

Entre 900€ y

600.000€

Hasta 20 millones de €

o

4% de la facturación

global anual

¿Qué impacto tiene en las empresas?

Impacto TecnológicoImplementar nuevas tecnologías y medidasde seguridad para minimizar los riesgos:

• Anonimización• Pseudonimización• Cifrado de comunicaciones datos

sensibles• Cualquier otras, que resulten adecuadas

para garantizar la seguridad de los datos.

Impacto en la actividad

• Dedicar recursos• Invertir esfuerzos en el mantenimiento del

sistema de gestión de Protección deDatos.

• Invertir en formación, sensibilización yconcienciación.

Impacto LEGAL

• Clausulas de Información : clientes,empleados

• Cláusulas de obtención del Consentimiento• Consentimientos obtenidos de forma tácita• Contratos con terceros• Políticas de Privacidad incorporadas en la

web, formularios en papel.

http://www.servicios.agpd.es/ENQUEST4/view/form/MDAwMDAwMDAwMDAwMDEzNTM4MjQxNTI0NzUzNTM2MjY4?updated=true

http://www.servicios.agpd.es/ENQUEST4/view/form/MDAwMDAwMDAwMDAwMDEzNTM4MjQxNTI0NzUzNTM2MjY4?updated=true

Consentimiento RGPD

Es clave requerir el consentimiento de la persona cuyos datos son tratados.

Las empresas deberán poder mostrar cómo y cuándo han obtenido el consentimiento

Aceptación expresa.

No hay casillas premarcadas

Los datos obtenidos deben tener una finalidad específica, explícita y legítima

Requiere consentimiento para cada fin.

Las personas deberán poder retirar su consentimiento en cualquier momento

“Toda manifestación de voluntad libre, específica, informada e inequívoca

por la que el interesado acepta, ya sea mediante una declaración o una

clara acción afirmativa, el tratamiento de sus datos personales”.

CONSENTIMIENTO

QUÉ información recogemos

CÓMO la recogemos

QUÉ USOvamos a hacer

Derechos de los usuarios

DERECHOS SOBRE LOS DATOS

DERECHOS SOBRE EL TRATAMIENTO

Medidas de seguridad y protección del dato

Las empresas deberán implementar las medidas organizativas y técnicas adecuadas teniendo en cuenta la

naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como los riesgos de

diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Cada empresa deberá

tomar las medidas que considere necesarias para demostrar evidencia del cumplimiento en cuanto

a cómo están mitigando estos riesgos.

Seudonimización y/o cifrado de datos personales

Capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la

resiliencia de los sistemas de forma continua

Capacidad de restaurar la disponibilidad y el acceso a los datos de forma puntual

tras un incidente técnico o físico.

Introducción de un proceso para realizar pruebas y evaluar la efectividad de estos

sistemas periódicamente

Violaciones de Seguridad

Destrucción, pérdida o alteración accidental o ilícita de datos

personales transmitidos, conservados o tratados de otra forma, o

la comunicación o acceso no autorizados a dichos datos.72h

12

¿Qué soluciones dice RGPD que tiene que implantar une empresa?

RGPD no define qué tipo de medidas es necesario tomar para garantizar cumplimiento. Siempre

va a existir un riesgo en el tratamiento de datos, existirán diferentes tolerancias al riesgo y ha de

aplicarse el “principio de responsabilidad”.

Esto se traduce en que cada empresa deberá tomar las medidas que considere necesarias para

demostrar evidencia del cumplimiento en cuanto a cómo están mitigando estos riesgos.

Dicho lo anterior…¿hay alguna pauta para saber qué soluciones pueden ser de aplicación?

Medidas que ayuden a detectar de que datos se dispone, cómo se administra y controla su uso, la

protección de los mismos así como herramientas para monitorizar y auditar y que permitan cumplir con el

deber de información.

Pero, ¿qué medidas necesito implantar?

Adoptar rápidamente la normativa es una ventaja competitiva

¿Cómo te podemos ayudar?

¿Qué hay que hacer?

14

Detectar

Identificar qué datospersonales se tienen y

dónde residen

• ¿Tienes un listado de clientesguardado en el PC?

• ¿Intercambias los números de telefono de proveedores o clientes con un pendrive?

• ¿Como guardas las contraseñas de las cuentas? Y ¿de los Pcs?

• …

Gestionar

Controlar cómo se usany se accede a los datos

personales

• ¿Como recoges la informaciónde tus clientes?

• ¿La utilizas solo para lo que tehan dado consentimiento?

• ¿Como gestionas las limitaciones de consentimiento?

• …

Proteger

Establecer controles de seguridadpara prevenir, detectar y responder a vulnerabilidades y violaciones de

datos.

• ¿Tienes contraseñas para accede a los datosde caracter personal?

• ¿Controlas los accesos por perfiles?

• ¿Los datos de tus clientes, proveedores, empleados estan al alcance de cualquiera?

• …

Informar

Mantener la documentaciónrequerida, gestionar las

solicitudes de datos y las notificaciones de incumplimiento.

• Si tienes una fuga de seguridad, ¿puedes detectarla para informaren el plazo de 72 horas a losafectados y a las autoridades tal y como estalbece el GDPR?

• ¿Tienes los informes que te exigeel GDPR?

• …

¿Cómo podemos ayudar desde Movistar?

Facilitando servicios de consultoría en

materia de protección de datos de

carácter personal conforme al RGPD

Con Soluciones que pueden ayudar a

las empresas en su cumplimiento

normativo (RGPD y otros).

Garantizando que nuestros Centros de

Datos Gestionados e Infraestructuras

cumplen con la normativa vigente.

1

2

3

15

Asesoría y defensa

16

Asesoría jurídica experta en reputación online de tu negocio

Eliminación opiniones injuriosas, desindexación contenido, derechos de propiedad intelectual, suplantación de identidad ….

Protección datos personales

Cualquier cuestión sobre cumplimiento legal de la empresa en materia de protección de datos (inventario tratamientos, clausulas

privacidad en contratos con clientes, proveedores, gestión de derechos ARCO + olvido y portabilidad, política de privacidad de la web

…). Auditoría web

Defensa ante procedimientos sancionadores

Política de cookies, formularios de recogida de datos personales, comercio electrónico, aviso legal, política de privacidad ….

EJEMPLOS en relación al RGPD

¿Cómo tengo que recoger los consentimientos de mis clientes?

¿Tengo obligación de tener DPO?

¿Cómo tengo que documentar que mis proveedores traten datos de mis clientes/empleados?

¿La política de privacidad de mi web es correcta?

EXCLUSIVO

MOVISTAR

https://brandignite.telefonica.com/movistar/?section=0&inode=4209

https://brandignite.telefonica.com/movistar/?section=0&inode=4209

17

RGPD hace referencia a: “la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en

caso de incidente físico o técnico”;

El servicio de Cloud Backup, que permite realizar en la nube una copia de seguridad de servidores físicos o virtuales así

como de PCs, constituye así un elemento básico para el cumplimiento normativo del RGPD:

• Cloud Backup permite realizar las operaciones de protección de los datos más importantes de cumplimiento normativo en

una única solución

• Esto facilita el cumplimiento de las obligaciones derivadas del GDPR a la vez que permite aportar evidencias relacionadas

con las copias de seguridad realizadas ante los organismos reguladores correspondientes.

Seguridad & Infraestructuras - Cloud Backup

18

Seguridad & Infraestructuras - Cloud Backup – Casos de uso

19

Microsoft Office 365 ayudar a descubrir, administrar y

proteger sus datos en la nube, así como a compilar los

informes y documentación necesarias para cumplir con

los requisitos del RGPD.

Productividad & Colaboración: Office 365

Microsoft Office 365 ayudar a descubrir, administrar y proteger sus datos en la nube, así como a compilar los informes y

documentación necesarias para cumplir con los requisitos del RGPD.


detección administración protección información

• Búsqueda de contenido

• En cualquier momento, un administrador de la organización puede buscar contenido específico en correos electrónicos, archivos alojados en OneDrive o SharePoint sin obtener acceso al resto de la información de sus usuarios

• Directivas de Prevención de Pérdida de datos (DLP)

• Se pueden configurar directivas sobre el uso de datos sensibles (financieros, de salud, etc.) en correos o archivos, impidiendo su envío a destinatarios externos o simplemente informando al usuario

• Auditoría y alertas sobre actividades sospechosas

• Office 365 permite informar de actividades sospechosas como eliminación masiva de documentos compartidos, sincronización local de archivos marcados como confidenciales, etc. También se puede activar un registro continuado de movimientos sobre los servicios usados por cada usuario.

20





Registro de auditoría de Office 365

21





• Etiquetas y directivas de retención de datos

• Cada organización puede configurar sus propias directivas de retención de la información, y dejar en manos de los usuarios (o forzar una detección automática) etiquetar cada correo o archivo para que su archivado o borrado periódico se adecúe a estas directivas

• Bloqueo de acciones sobre información sensible con Information Rights Management

• La característica opcional IRM puede configurarse para impedir el reenvío de determinados correos, la impresión de determinados documentos o incluso la captura de pantalla

• Administración altamente personalizable por línea de comandos con PowerShell

• Los administradores más experimentados pueden gestionar Office 365 íntegramente desde la línea de comandos, permitiendo un sinfín de personalizaciones del flujo de trabajo diario de administración de esta plataforma

22





Consola de PowerShell para administrar Office 365

23





• Robustez y veteranía de la plataforma corporativa de Microsoft

• Office 365 es la adaptación a la nube de las tecnologías Exchange, SharePoint y Skype for Business utilizadas por las empresas más importantes del mundo durante décadas

• Cifrado de datos en tránsito y en reposo

• Office 365 cifra la información de los usuarios tanto en su tránsito desde y hasta la plataforma como una vez almacenada en ella. Los clientes pueden utilizar sus propias claves de cifrado, si lo desean

• Protección antivirus, antispam y antimalware de serie

• Todos los planes de Office 365 incluyen una capa de protección y filtrado que impide la entrada de amenazas conocidas, valiéndose del conocimiento adquirido por los millones de usuarios activos de la plataforma. Opcionalmente se puede contratar una solución más proactiva que analiza en detalle cualquier archivo o enlace para determinar si incluye malware no detectado hasta la fecha

24





Advanced Threat Protection en Office 365

25





• Centro de Seguridad y Cumplimiento

• Hacer seguimiento de todas las amenazas para la empresa requiere mucho tiempo y esfuerzo; el Centro de Seguridad y Cumplimiento centraliza todas las herramientas e informes necesarios

• Panel de control específico para la RGDP

• Dentro de Seguridad y Cumplimiento se incluye una colección de herramientas especialmente diseñadas para hacer seguimiento del cumplimiento RGDP de la organización

• Office 365 Secure Score

• Mediante el método de “gamificación”, Office 365 invita a los administradores a mejorar su puntuación sobre la seguridad en su implementación particular del servicio. A medida que se van activando determinadas características de seguridad, la puntuación de la empresa aumenta

26





Office 365 Secure Score

27


• Más información sobre RGPD en Office 365: http://link.formacionacens.com/o365rgpd

• Vídeo tutoriales sobre Office 365:http://link.formacionacens.com/o365

28

Tu Contabilidad y Facturación con Sage

296/13/2018 29

Medidas de seguridad para protección de datos personales

La empresa la responsable de asegurar que se han implementado las medidas

técnicas y organizativas adecuadas y que las herramientas que utiliza han sido

diseñadas teniendo en cuenta el GDPR

En un software adaptado al GDPR, como el

de Sage

Seguridad a nivel de banco con

contraseñas seguras

Derecho de supresión u olvido una vez finalizado el plazo de conservación legal

Plazo durante el cual se conservarán los

datos y una vez finalizado dicho plazo, la

seudonimizació o anonimización como

solución alternativa al borrado físico.

Derecho de acceso y portabilidad

Identificación de los datos que tengo en mi

poder y poder remitirlos al interesado en un

formato estructurado, de uso común y

lectura mecánica

Derecho de información y transparencia, control de la información, responsable

del tratamiento de los datos…

Permisos, Razones de los motivos, notas

por entidad, informes, exportación de la

información…

GDPR / Oferta en Software

30

Módulo Avanzado GDPR para Sage 50c

Funcionalidades GDPR

• Guías de documentación para apoyar la

gestión manual

• Reglas de seguridad básicas sobre

accesos a contraseñas

• Contraseñas mas seguras

• Nuevo Informe sobre los campos afectados por GDPR

• GDPR Basic

Entidades GDPR Gestión de Documentos Informes

• Más información para las entidades afectadas

(categoría, riesgo, datos caducados, ...)

• Formulario específico asociado a cada entidad

con campos GDPR afectados, Gestión de

datos (portabilidad)

• Alertas y Eliminar procesos de datos

• Plantillas automatizadas

• Guardado de documentos:

acuerdos, negaciones

• Auditorias

• Campos afectados por GDPR

• Análisis de riesgo

• Derechos de Portabilidad

• Datos caducados

• Consentimientos perdidos

Formación específica sobre el módulo

Y a ti, ¿cómo te podemos ayudar a vender más?

La legislación española es una de la más restrictiva de la U.E.

Protege la información de carácter personal responsabilidad de empresas españolas,

independientemente de su localización y sistemas en la que se trate.!

Entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD)2016

1999 Ley Orgánica 15/1999 (LOPD)

Incorpora un estricto procedimiento sancionador que se aplicará en

base a la gravedad de la infracción cometida.

Real Decreto 1720/2007 (RLOPD)

Incluye en su ámbito de aplicación los ficheros y tratamientos de datos

no automatizados (en papel), así como resuelve determinadas

cuestiones o lagunas interpretativas que quedaban sin resolver de la

LOPD.

2007

2018

2017Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal

Aplicación directa del nuevo Reglamento General de Protección de Datos

(RGPD)

La regulación sobre protección de datos en España

http://www.google.com/imgres?imgurl=http://www.blogadsl.com/images/2008/04/agpd.gif&imgrefurl=http://www.blogadsl.com/tag/agpd&usg=__JE0CFAlo62zuB5WoEGUDyTU0qCs=&h=100&w=199&sz=4&hl=es&start=1&zoom=1&um=1&itbs=1&tbnid=yp_6r8sCmC9iHM:&tbnh=52&tbnw=104&prev=/images?q=agpd&um=1&hl=es&sa=N&tbs=isch:1&ei=R3dnTdX_GcqDswa-yITpDA

http://www.google.com/imgres?imgurl=http://www.blogadsl.com/images/2008/04/agpd.gif&imgrefurl=http://www.blogadsl.com/tag/agpd&usg=__JE0CFAlo62zuB5WoEGUDyTU0qCs=&h=100&w=199&sz=4&hl=es&start=1&zoom=1&um=1&itbs=1&tbnid=yp_6r8sCmC9iHM:&tbnh=52&tbnw=104&prev=/images?q=agpd&um=1&hl=es&sa=N&tbs=isch:1&ei=R3dnTdX_GcqDswa-yITpDA

Y si manejo datos de riesgo…

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/LISTADO_DE_CUMPLIMIENTO_DEL_RGPD.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/LISTADO_DE_CUMPLIMIENTO_DEL_RGPD.pdf

hacia el cumplimiento del rgpd - maxconn.reddigital.infomaxconn.reddigital.info/pdf/rgpd.pdf ·...

Documents