IngramMicroCloud.eu
Cรณmo adaptar su empresa al RGPD IngramMicroCloud
IngramMicroCloud.eu
1.
¿Qué es el Reglamento general de protección de datos (RGPD)?
2.
¿A qué empresas afecta el RGPD?
3.
¿Qué consecuencias tiene su incumplimiento?
5.
¿Cómo ayudar a sus clientes a cumplir el RGPD?
6.
Resumen
Finalidad del RGPD Conceptos clave del RGPD
Índice 4.
¿Cómo adaptar su empresa al RGPD?
1
2
Identificar los datos personales que posee
1
Detectar
2
Administrar
3
Proteger
4
Informar
Identificar su función al utilizar datos personales
3
Desarrollar un sólido programa de seguridad
4
Evaluar si necesita un Delegado de Protección de Datos (DPD)
5
Desarrollar un plan de respuesta a la filtración de datos
IngramMicroCloud.eu
1. ¿Qué es el Reglamento general de protección de datos (RGPD)? El Reglamento general de protección de datos (RGPD) es una nueva norma de privacidad que se aplica a toda la Unión Europea. Ofrece a los residentes de la UE un mayor control sobre sus datos personales, garantiza la transparencia en el uso de los datos y exige la adopción de controles técnicos y organizativos para proteger los datos. El RGPD comenzará a
¿Qué son los datos personales?
aplicarse el 25 de mayo de 2018 y sustituirá a la actual Directiva de protección de datos (la “Directiva”) de la UE.
El RGPD tiene por objeto la protección y el tratamiento de los datos personales. El término “datos personales” tiene un sentido mucho más amplio de lo que
En realidad, el RGPD entró en vigor en la UE en abril de 2016, pero
podría parecer a primera vista. Según la definición de la UE, dato personal es toda
dados los importantes cambios que algunas organizaciones
información sobre una persona física identificada o identificable.
tendrán que hacer para adaptarse a la normativa, se estableció un período transitorio de dos años.
Podría ser cualquier dato que identifique a dicha persona, como su nombre, dirección de correo electrónico, número de teléfono, dirección postal, historial de pedidos, nombre de usuario y contraseñas, información de tarjeta de crédito y transacciones.
IngramMicroCloud.eu
Finalidad del RGPD
Conceptos clave del RGPD
El RGPD está estructurado alrededor de seis principios:
1.
Transparencia en el tratamiento y uso de los datos personales.
2.
Limitación del tratamiento de los datos a fines determinados y legítimos.
3.
Limitación de la recogida y el almacenamiento de los datos a los fines previstos.
confianza en la economía digital emergente.
4.
Posibilidad de rectificar o solicitar que se supriman los datos personales.
En segundo lugar, la UE quiere ofrecer a las empresas un marco
5. Limitación del plazo de conservación de los datos personales para los fines de
En primer lugar, la UE quiere otorgar a los ciudadanos más control sobre el uso de sus datos personales. La Directiva se adoptó antes de que internet y la tecnología de nube crearan nuevas formas de procesar los datos personales, y el RGPD pretende abordar esta cuestión. Al reforzar la legislación sobre protección de datos y endurecer las medidas de aplicación, la UE espera mejorar la
jurídico más sencillo y claro en el que operar, haciendo que la
tratamiento.
ley sobre protección de datos sea idéntica en todo el mercado
único (según estimaciones de la UE, las empresas ahorrarán hasta
6. Velar por la protección de los datos personales mediante prácticas de seguridad
2300 millones de euros al año).
adecuadas.
IngramMicroCloud.eu
2.
3.
¿A qué empresas afecta el RGPD?
¿Qué consecuencias tiene su incumplimiento?
El RGPD afecta a todas las empresas que realizan actividades
El RGPD otorga a las autoridades de protección de datos (APD), entidades
comerciales en Europa y que recopilan datos personales sobre
gubernamentales encargadas de supervisar el cumplimiento del RGPD, el poder de
los residentes de la UE. Anteriormente, la Directiva sólo se
imponer cuantiosas multas en caso de incumplimiento.
aplicaba a las organizaciones con presencia física en Europa que comercializaban directamente o recogían datos sobre
El artículo 58 del RGPD faculta a las APD para imponer multas administrativas con
individuos residentes en la UE.
arreglo al artículo 83 teniendo en cuenta varios factores, entre ellos:
A tenor del RGPD, toda organización que recopile datos
La naturaleza, gravedad y duración de la infracción (por ejemplo, el número de
personales de ciudadanos europeos, independientemente de
personas afectadas y el nivel de los daños).
que esté establecida dentro o fuera de la UE, deberá diseñar
La intencionalidad o negligencia en la infracción.
un programa de cumplimiento del RGPD.
Las categorías de los datos personales afectados por la infracción.
Se contemplan dos tipos de multas si una empresa no cumple con el RGPD. El primer nivel de multas será de 10 millones de euros o, tratándose de una empresa, el 2 % del volumen de negocio anual global. Estas multas generalmente se reservarán para los delitos cometidos por primera vez. El segundo nivel de multas será de 20 millones de euros o, tratándose de una empresa, el 4 % del volumen de negocio anual global. Toda empresa podrá ser sancionada con la multa que corresponda teniendo en cuenta las circunstancias de negligencia, reincidencia o cualquier factor agravante en relación con el tratamiento de los datos.
IngramMicroCloud.eu
1
Identificar los datos personales que posee
4.
El primer paso hacia el cumplimiento del RGPD consiste en determinar si se aplica a su empresa y, de ser así, en qué medida. En este análisis preliminar se empieza por identificar qué datos personales posee y cómo son recopilados y tratados. Es importante realizar un inventario de los datos que se manejan en su empresa. Así podrá entender qué datos son personales, identificar los sistemas en los que se recopilan y almacenan dichos datos, comprender con qué finalidad se recopilaron, cómo se procesan y comparten, y
¿Cómo adaptar su empresa al RGPD? Con el RGPD a la vuelta de la esquina, es hora de empezar a planificar la adaptación de su empresa al RGPD. El 25 de mayo de 2018, fecha de su aplicabilidad, está más cerca de lo que parece. Si su empresa posee datos personales relativos a residentes en la UE, y aún no se ha preparado para cumplir el RGPD, debe actuar ahora.
cuánto tiempo se conservan.
2
Identificar su función al utilizar datos personales También debe definir o identificar su función en el uso de los datos personales. ¿Es usted el responsable o el encargado del tratamiento de datos? El responsable del tratamiento determina los medios y la finalidad del tratamiento de los datos personales, mientras que el encargado del tratamiento es una organización que trata los datos personales siguiendo instrucciones específicas del responsable del tratamiento. El responsable del tratamiento puede ser cualquier organización, desde una empresa con fines de lucro hasta una ONG u organismo público. El encargado del tratamiento puede ser una empresa de TI que trate datos personales por cuenta de su cliente, el responsable del tratamiento. Una vez identificada su función, podrá determinar sus obligaciones en materia de protección de datos.
IngramMicroCloud.eu 5
3 Prepararse para el RGPD es una
Desarrollar un sólido programa de seguridad
excelente oportunidad para revisar las medidas de seguridad. La protección de datos requiere sólidos sistemas de seguridad física e informática. Debe conocer los controles, sistemas y
Tratar los datos personales con el consentimiento del interesado
Otra cuestión importante es evaluar a tenor del RGPD si es necesario
Evaluar si su empresa necesita un Delegado de Protección de Datos (DPD)
nombrar un Delegado de Protección de Datos (DPD). Para actuar de conformidad con el RGPD, algunas empresas deberán designar un DPD. Los delegados de protección de datos son responsables de supervisar la estrategia de protección de datos y su aplicación para garantizar el cumplimiento del RGPD. Las empresas deben contar con
tecnologías que utiliza internamente
estos delegados de protección de datos antes de que se aplique el
para proteger a su empresa del acceso
reglamento, por lo que es importante empezar a contratar a los DPD
no autorizado o fraudulento.
a la mayor brevedad.
El RGPD también exige que entienda
Aunque se recomienda contar con un responsable de la
cómo su empresa recopila los datos y
protección de datos personales y del cumplimiento del
la justificación legal para recopilarlos.
RGPD, su empresa tiene la obligación de designar un
Uno de los mecanismos legales de que
DPD en los siguientes casos:
dispone una empresa para el tratamiento de datos es el consentimiento inequívoco 4
del interesado. Por ejemplo, recibir
El tratamiento de los datos personales es realizado por una
datos personales de sus clientes para
administración o un organismo público, a excepción de tribunales y
facilitar la entrega de bienes y servicios
autoridades judiciales independientes.
no implica que tenga su consentimiento para enviarles publicidad sobre futuros
El tratamiento es realizado por responsables que llevan a cabo una
productos o actividades promocionales.
observación habitual y sistemática de los interesados, a gran escala.
Necesita
saber
que
dispone
del
consentimiento para cada actividad
Su actividad principal consiste en el tratamiento de determinadas
que realice y que sea específico para
categorías “especiales” de datos personales, también a gran escala.
cada
Incluyen los datos relativos a delitos y condenas.
actividad.
Tenga
en
cuenta
que el interesado puede retirar su consentimiento en cualquier momento.
IngramMicroCloud.eu
Las responsabilidades del DPD incluyen:
Asesorar a la empresa y a los empleados sobre los requisitos de cumplimiento importantes. Formar al personal involucrado en el tratamiento de los datos. Realizar auditorías para garantizar el cumplimiento y resolver los posibles problemas de forma proactiva. Actuar como punto de contacto entre la empresa y las autoridades de protección de datos. Llevar un registro completo de todas las actividades de tratamiento de datos llevadas a cabo por la empresa, incluida la finalidad de dichas actividades de tratamiento, que deberá hacerse público previa solicitud. Interactuar con las personas interesadas para informarles sobre el uso de sus datos, el derecho a que sus datos personales se supriman y las medidas que ha adoptado la empresa para proteger su información personal.
6
Desarrollar un plan de respuesta a la filtración de datos
¿Qué es una filtración de datos? Una filtración de datos es cuando se difunde información personal segura en un entorno no fiable.
Se produce una filtración de datos cuando la información personal
Hasta ahora, Europa no tenía la obligación de notificar a los
se pierde o es objeto de acceso,
interesados en caso de filtración o uso no autorizado de sus
modificación y divulgación no autorizados o cualquier otro
datos personales. El RGPD establece que las empresas deben
uso indebido o intromisión.
desarrollar una política de respuesta ante filtraciones de datos. Si se produce una violación de la seguridad de los datos, su empresa debe informar a los interesados y a las autoridades gubernamentales en un plazo de 72 horas. Sus acciones en las primeras 24 horas tras la detección de una filtración son a menudo cruciales para el éxito de su respuesta. Una respuesta rápida puede reducir significativamente el impacto en las personas afectadas. Disponer de una política de respuesta ante brechas le ayudará a prepararse y a gestionar cualquier violación de la seguridad de los datos. Es un marco que establece las funciones y responsabilidades para gestionar una respuesta adecuada ante una brecha de seguridad y que describe los pasos a seguir en caso de que se produzca dicha filtración. Incluye lo siguiente: Ejemplos
Los miembros de su equipo de respuesta ante brechas de la
de filtración
seguridad de los datos (el equipo de respuesta);
de datos son la pérdida o robo de un
Las medidas que deben adoptarse si un miembro del personal
dispositivo que contiene información personal de los clientes,
sospecha, descubre o informa de una filtración, incluso cuando
la piratería de la base de datos de una entidad con información
tenga que comunicarse al equipo de respuesta;
personal, o cuando una entidad facilita por error información
Las acciones que el equipo de respuesta debe tomar.
personal a la persona equivocada.
4
¿Cómo ayudar a sus clientes a cumplir el RGPD?
Informar Responda a las solicitudes de datos, informe sobre las filtraciones 3
Proteger Establezca controles de seguridad para prevenir,
Tal vez ya esté recibiendo preguntas
detectar y responder a
de sus clientes sobre el RGPD. 2 Para ayudarles a cumplir los
Administrar
requisitos del RGPD, siga estos cuatro pasos clave:
Gestione el modo en que se utilizan y se 1
Detectar Identifique qué datos personales tiene su cliente y dónde residen.
accede a los datos personales.
las vulnerabilidades y filtraciones de datos.
de datos y conserve la documentación necesaria.
IngramMicroCloud.eu
Soluciones en la nube 1
Detectar El primer paso consiste en realizar un inventario de los datos en manos de su cliente.
Enterprise Mobility + Security incluye tecnologías de seguridad centradas en la identidad que le ayudan a detectar, controlar y proteger los
Así podrá entender qué datos son personales y dónde se almacenan estos datos. Datos personales es «toda información sobre una
datos personales que conserva la empresa de sus clientes, además de revelar puntos ciegos potenciales y detectar cuándo se producen filtraciones de datos.
persona física identificada o identificable». Puede ser cualquier dato que le identifique, como su nombre, dirección de correo electrónico, número de teléfono, dirección postal, historial de pedidos, nombre
Office 365 (Data Loss Prevention) puede identificar más de 80 tipos de datos confidenciales comunes, incluida la información financiera, médica y personal identificable.
de usuario y contraseñas, información de tarjeta de crédito y transacciones.
Microsoft Dynamics 365 Dynamics 365 ofrece varias funciones de visualización y control que se pueden emplear en los paneles de Informes y Análisis para identificar datos personales.
IngramMicroCloud.eu
Soluciones en la nube
2
Administrar
Azure Active Directory es una solución de gestión de identidades y acceso en la nube. Administra las
Una vez completado el inventario, el siguiente paso consiste en desarrollar e implementar un plan de gobernanza de los datos.
identidades y controla el acceso a los recursos, datos y aplicaciones de Azure, locales y de otras nubes.
Este plan ayudará a sus clientes a definir las políticas, funciones y responsabilidades relacionadas con el acceso, gestión y uso de los datos personales.
Enterprise Mobility + Security (Azure Information Protection) puede ayudarle a clasificar y etiquetar los datos en el momento de crearlos o modificarlos. A continuación, se puede aplicar protección (cifrado con autenticación y derechos de uso) o marcas visuales a los datos confidenciales.
IngramMicroCloud.eu
3
Proteger
El RGPD obliga a las empresas a adoptar medidas técnicas y organizativas adecuadas para proteger los datos personales frente a la pérdida o el acceso y divulgación no autorizados. La seguridad de los datos es un área compleja. Hay muchos tipos de riesgos que conviene identificar y tener en cuenta: desde la intrusión física y los empleados malintencionados hasta la pérdida accidental y los piratas informáticos. Las soluciones en la nube pueden proteger a sus clientes contra estos riesgos.
Soluciones en la nube
Proveedor líder de software de copia de seguridad, recuperación ante desastres y acceso a datos. Las soluciones de Acronis incluyen software de copia de seguridad de servidores físicos, virtuales y en nube, gestión del almacenamiento, uso compartido de archivos seguro e implementación de sistemas.
Comparte y guarda archivos de forma segura. Las poderosas herramientas de administración te permite mantener un control sobre los datos de la empresa y la actividad de los usuarios. virtuales y en nube, gestión del almacenamiento, uso compartido de archivos seguro e implementación de sistemas.
Seguridad en la nube para las comunicaciones digitales. Su arquitectura -Security as a Servicepermite un rápido despliegue, un fácil aprovisionamiento de licencias y potentes consolas de gestión para usuarios finales, administradores de TI y distribuidores.
Symantec Endpoint Protection Cloud protege los dispositivos corporativos y personales en diversas plataformas contra los ataques dirigidos y los programas maliciosos.
La forma más rápida, sencilla y segura para enviar archivos. Ofrece las máximas garantías de envío seguro, auditoría y trazabilidad.
IngramMicroCloud.eu
4
Informar
El RGPD establece nuevos estándares en cuanto a transparencia, rendición de cuentas y mantenimiento de registros. Sus clientes deben ser más transparentes en su forma de administrar los datos personales, pero también en cómo mantienen la documentación que define sus procesos y el uso de los datos personales. Sus clientes tendrán que mantener un registro de la finalidad del tratamiento, las categorías de los datos personales tratados y la identidad de los terceros con los que comparten los datos. El uso de herramientas de auditoría adecuadas puede ayudar a garantizar que el tratamiento de los datos sea controlado y registrado.
Soluciones en la nube
Microsoft Azure incluye herramientas
Enterprise Mobility + Security (Azure
de monitorización, informes y alertas
Information Protection) ofrece varias
de
Azure
funciones de registro y generación
Monitor permite a su cliente final
de informes para analizar cómo se
ver y gestionar fácilmente todas las
distribuyen los datos confidenciales.
seguridad.
Microsoft
tareas de monitorización de datos desde un panel de control central.
IngramMicroCloud.eu
Resumen El Reglamento general de protección de datos (RGPD)
El RGPD afecta a todas las empresas que realizan
Ayude a sus clientes en su proceso de adaptación al
es una nueva norma de privacidad que se aplica a
actividades comerciales en Europa y que recopilan
RGPD centrándose en cuatro pasos clave:
toda la Unión Europea. Ofrece a los residentes de
datos personales sobre los residentes de la UE. Las
la UE un mayor control sobre sus datos personales,
multas por incumplimiento pueden ser cuantiosas
garantiza la transparencia en el uso de los datos
(hasta 20 millones de euros o el 4 % del volumen de
personales y exige la adopción de medidas de
negocio anual global).
seguridad y controles para proteger los datos. El
1
cliente y dónde residen. 2
RGPD será vigente el 25 de mayo de 2018.
Detectar: Identifique qué datos personales tiene su
Empiece ya mismo a planificar su cumplimiento con el
Administrar: Gestione el modo en que se utilizan y se accede a los datos personales.
RGPD. Mayo de 2018 se acerca rápidamente. Puede 1
2
Proteger: Establezca controles de seguridad para
El RGPD está estructurado alrededor de seis
que piense que dispone de tiempo suficiente, pero las
principios:
grandes empresas llevan años preparándose para el
prevenir, detectar y responder a las vulnerabilidades y
Transparencia en el tratamiento y uso de los datos
RGPD. Recuerde las siguientes medidas:
filtraciones de datos.
3
personales. 3
Limitación del tratamiento de los datos a fines
1
Identificar los datos personales que posee
determinados y legítimos. 4
Limitación de la recogida y el almacenamiento de los
4
Informar: Responda a las solicitudes de datos, informe sobre las filtraciones de datos y conserve la
2
Identificar su función al utilizar datos personales
documentación necesaria.
3
Desarrollar un sólido programa de seguridad
Cada empresa conoce bien a sus clientes y sabe
datos a los fines previstos. 5
Posibilidad de rectificar o solicitar que se supriman los datos personales.
6
Limitación del plazo de conservación de los datos
cuáles son sus necesidades. Es importante que 4
personales para los fines de tratamiento. Velar por la protección de los datos personales mediante prácticas de seguridad adecuadas.
5
Evaluar si necesita un Delegado de Protección de
establezca prácticas transparentes y ayude a
Datos (DPD)
sus clientes con sus obligaciones y requisitos.
Desarrollar un plan de respuesta a la filtración de
Esta estrategia le ayudará a diferenciarse de la
datos
competencia.
Aproveche la amplia experiencia de Ingram Micro y permítanos ser su partner de confianza para guiarle en el cumplimiento de la normativa de RGPD.
Para más información, acuda a un profesional experto.
www.IngramMicroCloud.eu