La AEPD publica una guía en la que recoge los derechos de protección de datos de los pacientes y usuarios de la sanidad 19-11-2019
Agencia Española de Protección de Datos (AEPD) ha publicado la Guía para pacientes y usuarios de la sanidad, un documento que da respuesta a las dudas más frecuentes que suelen plantearse los ciuda...
Agencia Española de Protección de Datos (AEPD) ha publicado la Guía para pacientes y usuarios de la sanidad, un documento que da respuesta a las dudas más frecuentes que suelen plantearse los ciudadanos cuando se tratan sus datos personales por parte de centros, administraciones y profesionales sanitarios y que tiene por objeto facilitarles el conocimiento de sus derechos.
La guía aborda en su primera parte cuestiones generales de la normativa de protección de datos que se aplican a los tratamientos de datos de salud, indicando asimismo qué derechos tienen los pacientes y usuarios de la sanidad en relación con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018. Así, el documento destaca la obligatoriedad de facilitar información al usuario, recogiendo los distintos puntos que deben facilitarse de forma concisa, transparente, inteligible y con un lenguaje claro y sencillo. A ello se suman los principios que deben cumplirse en el tratamiento de datos personales, cuestiones comunes a los derechos de los usuarios (obligación de atenderlo, plazo, gratuidad, etc.) y cuestiones específicas referidas al acceso a la historia clínica.
En una segunda parte, la Guía para pacientes y usuarios de la sanidad recoge las cuestiones planteadas con mayor frecuencia ante la Agencia para ofrecer una respuesta: si se debe pedir consentimiento para tratar los datos personales, qué información se debe facilitar al paciente, si se puede informar a la empresa acerca de los datos de salud de los empleados cuando acuden a revisiones, qué información deben contener los partes de baja, etc. En particular, el documento recoge varias cuestiones relacionadas con la historia clínica de los pacientes, como quién puede acceder a la misma y para qué finalidad, si se puede solicitar una copia o si es posible ejercer los derechos de rectificación o supresión en relación con el contenido incluido en la historia clínica.
Leer Noticia original en su web
Leer más...
La AEPD publica recomendaciones para aquellos que utilicen técnicas de hash en la seudonimización de datos 07-11-2019
El informe analiza las fuentes de riesgo de reidentificación en la aplicación de técnicas de hash, estableciendo la necesidad de realizar un análisis objetivo para determinar si es adecuado como técni...
El informe analiza las fuentes de riesgo de reidentificación en la aplicación de técnicas de hash, estableciendo la necesidad de realizar un análisis objetivo para determinar si es adecuado como técnica de seudonimización o anonimización de datos personales.
La Agencia Española de Protección de Datos (AEPD), en colaboración con el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés), ha publicado el informe Introducción al hash como técnica de seudonimización de datos personales, un documento orientado a aquellos responsables de tratamientos que utilicen o vayan a utilizar funciones hash para seudonimizar o anonimizar datos personales. El hash es un proceso que transforma cualquier conjunto arbitrario de datos en una nueva serie de caracteres con una longitud fija, con independencia del tamaño de los datos de entrada. Al resultado también se le denomina a su vez hash y también resumen, digest o imagen.
La creciente demanda de datos personales -derivada en parte del auge de tecnologías que se nutren de cantidades masivas de datos, como el big data o el machine learning- ha hecho resurgir el interés por los procesos y técnicas de seudonomización y anonimización. Las funciones hash llevan tiempo utilizándose como medida de protección adicional en el tratamiento de datos personales. Sin embargo, existen dudas de hasta qué punto el hash es una técnica efectiva de seudonimización y si, bajo determinadas circunstancias, como que el mensaje original haya sido eliminado, se puede llegar a considerar que los datos personales están verdaderamente anonimizados.
La decisión de emplear técnicas de hash adquiere gran importancia para determinar, entre otras cosas, el cumplimiento efectivo de los derechos establecidos en el RGPD en determinado tipo de tratamientos, como pueden ser investigación, análisis de datos de tráfico o geolocalización, o blockchain. A la hora de tomar dicha decisión intervienen consideraciones jurídicas, técnicas y de gestión de procesos, por lo que aquellos involucrados en la misma necesitan tener un conocimiento básico de las técnicas de hash y sus posibles riesgos. Por ello, el estudio introduce los fundamentos de las funciones hash, sus propiedades, las posibilidades de reidentificar el mensaje que generó el hash y recoge un conjunto de guías para analizar la adecuación de un tratamiento que utilice dichas funciones.
Este documento se incorpora a la sección Innovación y Tecnología de la web de la Agencia, que recoge guías, notas técnicas, herramientas y otro material para facilitar la adecuación a la normativa de pymes y emprendedores.
Leer Noticia original en su web
Leer más...
Un paso adelante en el compliance 30-10-2019
La UE obliga a las empresas a crear cauces para denunciar infracciones de derecho comunitario.
El Consejo de Ministros de la Unión Europea (UE) ha aprobado, el pasado 7 de octubre, la Directiva d...
La UE obliga a las empresas a crear cauces para denunciar infracciones de derecho comunitario.
El Consejo de Ministros de la Unión Europea (UE) ha aprobado, el pasado 7 de octubre, la Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas que informen sobre infracciones del Derecho de la UE, debiendo de transponerla los Estados miembros antes del 15 de mayo de 2021.
Esta directiva obliga, de un lado, a las empresas, privadas y públicas, a establecer cauces internos de denuncias sobre infracciones del Derecho de la UE. De otro, a los Estados miembros para designar una autoridad competente en esta materia, crear cauces externos de denuncias, así como establecer medidas de protección para los que las lleven a cabo (whistleblowers).
Entre las entidades obligadas del sector privado se encuentran las que cumplan una de las siguientes condiciones: cuenten con 50 o más empleados; su volumen de negocios sea, igual o superior, a 10 millones de euros; y, cualquiera que sea su tamaño, cuando operen en el ámbito de los servicios financieros o sean vulnerables al blanqueo de capitales o financiación del terrorismo. Ahora bien, los Estados miembros podrán aplicar la Directiva a otras empresas (pymes) en función de su actividad y nivel de riesgo. También se encuentran obligadas las Administraciones del Estado, regional y provincial; los Municipios de más de 10.000 habitantes y otras entidades de Derecho público.
Nos queda esperar a la transposición de la Directiva y no nos extraña que se extienda a infracciones de nuestro Derecho interno. Con independencia de que ello sea así, las organizaciones que dispongan de un compliance penal y tributario y, por tanto, tengan establecido un canal de denuncias, habrán de ampliarlo a las previsiones de la directiva.
Leer Noticia original en su web
Leer más...
Protección de Datos multa a Eroski con 150.000 euros por la difusión del vídeo de las cremas de Cifuentes 03-10-2019
La sanción se desgrana en 100.000 euros por infringir el artículo 9 de la Ley de Protección de Datos y otros 50.000 euros por incumplir el artículo 4.1 de la citada legislación.
El escrito ...
La sanción se desgrana en 100.000 euros por infringir el artículo 9 de la Ley de Protección de Datos y otros 50.000 euros por incumplir el artículo 4.1 de la citada legislación.
El escrito de Protección de Datos muestra que el día 25 de abril de 2018 la directora de la agencia "acuerda iniciar" un proceso de investigación por la publicación del vídeo "en diferentes medios de comunicación". Un vídeo que proviene de "las grabaciones registradas por el sistema de videovigilancia instalado en un establecimiento comercial de la cadena de supermercados Eroski" y cuya difusión ha devenido en la citada sanción económica.
Leer Noticia original en su web
Leer más...
Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil 03-10-2019
En esta entrada destacamos algunas medidas, como el cifrado de dispositivos, que permiten limitar el impacto en caso pérdida o robo de dispositivos portátiles.
¿Qué riesgos supone el uso de...
En esta entrada destacamos algunas medidas, como el cifrado de dispositivos, que permiten limitar el impacto en caso pérdida o robo de dispositivos portátiles.
¿Qué riesgos supone el uso de estos dispositivos?
En caso de pérdida o robo de un dispositivo de este tipo estaremos ante una brecha de confidencialidad por posibles accesos indebidos a los datos almacenados en el dispositivo y/o brecha de disponibilidad en caso de no tener una copia recuperable de los datos. Precisamente, este tipo de brechas de seguridad representa más del 20% de las notificaciones recibidas en la AEPD relacionadas con estos incidentes, por lo que resulta muy interesante poner de manifiesto qué medidas de seguridad pueden ayudar a mitigar las consecuencias negativas de la pérdida o robo de un dispositivo de este tipo.
Medidas de seguridad
Hay tres medidas de seguridad particularmente efectivas para minimizar los posibles daños causados por una brecha de seguridad debida a la pérdida o robo de un dispositivo portátil.
-El cifrado de los datos en el dispositivo es una medida efectiva para evitar el acceso no autorizado a los datos en caso de pérdida o robo. Es importante recordar que los datos personales, aunque estén cifrados, siguen siendo datos de carácter personal.
-Mantener una copia de los datos en otro soporte o copia de seguridad es una medida efectiva para combatir la pérdida de disponibilidad de los datos.
-Contar con una contraseña de bloqueo de pantalla y/o autenticación de usuario en el dispositivo igualmente robusta y conservada de forma segura. Esta última medida de seguridad no es aplicable a dispositivos de almacenamiento extraíbles.
Leer Noticia original en su web
Leer más...
El Compliance no es un fin, sino un medio para promover una cultura ética en las organizaciones 03-10-2019
¿Cuáles son las tendencias que marcarán el futuro del Compliance durante los próximos años? ¿Qué papel juegan en la actualidad los departamentos de Auditoría Interna y Compliance a la hora de cuidar...
¿Cuáles son las tendencias que marcarán el futuro del Compliance durante los próximos años? ¿Qué papel juegan en la actualidad los departamentos de Auditoría Interna y Compliance a la hora de cuidar de la reputación de una marca y alertar a su Consejo de Administración sobre los riesgos a los que se enfrenta en su actividad empresarial?
A estas y otras cuestiones se dio respuesta el pasado 17 de septiembre en la sede de la Comisión Nacional de los Mercados y la Competencia (CNMC) durante una jornada en la que se abordaron las peculiares relaciones de pareja' entre el Compliance y, en esta ocasión en particular, su relación, no siempre armoniosa, con el departamento de Auditoría Interna.
El futuro del Compliance
En primer lugar, señaló que la vinculación entre ética y Compliance es del todo incuestionable y que "crecerá cada vez más en las organizaciones la aversión a mantener relaciones de negocio con terceros que no compartan nuestros valores". Se producirá, puntualizó, "un claro activismo en contra de empresas que contravengan nuestros principios éticos, y el Compliance jugará, en este sentido, un papel clave".
Asimismo, afirmó que es un hecho que cada vez hay más países que aprueban normas nacionales encaminadas a cumplir con los estándares internacionales en materia de Compliance y, como consecuencia, "en un futuro solo generarán confianza en los mercados las empresas cuyo modelo de Compliance esté más alineado con la legislación internacional".
Auditoría Interna y Compliance: ¿amigos o enemigos?
Ambas funciones deben de trabajar de manera conjunta y coordinada para cuidar de uno de los legados intangibles más importantes de las empresas: sus valores.
Leer Noticia original en su web
Leer más...
Jornada sobre el "IMPACTO DE LA NUEVA LEY DE MARCAS EN LA ESTRATEGIA DE MARKETING" - Madrid. 27-09-2019
El próximo 3 de octubre, la Asociación de Marketing de España, en colaboración con PONS IP, Oficina Española de Patentes y Marcas (OEPM), el Foro de Marcas Renombradas Españolas (FMRE) e Interbrand, o...
El próximo 3 de octubre, la Asociación de Marketing de España, en colaboración con PONS IP, Oficina Española de Patentes y Marcas (OEPM), el Foro de Marcas Renombradas Españolas (FMRE) e Interbrand, organiza una jornada para explicar las principales novedades de la reforma de la Nueva Ley de Marcas y cómo afecta directa e indirectamente a las áreas de Marketing, Comunicación y Publicidad.
En este encuentro se hará reflexión y balance sobre la aplicación de las novedades recogidas en la Ley durante los 10 meses de vigencia de ésta, sobre los nuevos tipos de marcas, la prueba de uso o el renombre; conceptos todos ellos con un gran impacto en las estrategias de marca de las empresas.
Lugar: Calle Serrano 138, Madrid. Fundación PONS.
Día/Hora: día 3 de octubre de 9.30h a 11.30h.
Inscripción gratuita en este enlace: https://www.ponsip.com/es/evento/jornada-impacto-de-la-nueva-ley-de-marcas-en-la-estrategia-de-marketing
Leer Noticia original en su web
Leer más...
Canal Prioritario para comunicar la difusión de contenido sensible en Internet y Solicitar su Retirada 25-09-2019
Si tiene conocimiento de la existencia de determinadas imágenes de contenido sexual o que muestran actos de agresión, cuya difusión sin el consentimiento de las personas afectadas está poniendo en ALT...
Si tiene conocimiento de la existencia de determinadas imágenes de contenido sexual o que muestran actos de agresión, cuya difusión sin el consentimiento de las personas afectadas está poniendo en ALTO RIESGO sus derechos y libertades, y no ha logrado su retirada a través de los canales especialmente previstos por el prestador de servicios, puede presentar una reclamación por esta vía.
Deberá describir detalladamente las circunstancias en que se ha producido la difusión no consentida de las imágenes, indicando en particular si la persona afectada es víctima de violencia de género, abuso o agresión sexual o acoso y si pertenece a cualquier otro colectivo especialmente vulnerable: menores de edad (especificando si es menor de catorce años), personas con discapacidad o enfermedad grave o en riesgo de exclusión social.
Si las imágenes están siendo difundidas actualmente a través de internet, copie y pegue la dirección o direcciones web de acceso o identifique claramente el perfil social a través del que se están difundiendo
Especifique si ha llevado a cabo acciones para denunciar los hechos ante las instancias policiales, detallando, en tal caso, las instancias administrativas o judiciales concretas y la referencia de los procedimientos que se estén tramitando.
Especifique si ha llevado a cabo acciones para limitar la difusión de los datos personales, identificando claramente, en tal caso, a los prestadores de servicios (la red social, el portal de vídeo o de blogs,
) a los que se ha dirigido.
Adjunte los documentos que considere relevantes para la tramitación de su reclamación, particularmente una copia de la pantalla o del dispositivo donde pueda apreciarse claramente el servicio (la red social, el portal de vídeo o de blogs, la aplicación de mensajería
) a través del cual se están difundiendo las imágenes.
Tras el análisis de la reclamación, la Agencia determinará la posible adopción de MEDIDAS URGENTES que limiten la continuidad del tratamiento de los datos personales.
Leer Noticia original en su web
Leer más...
Caso BBVA: ¿puede ser el 'compliance' su salvavidas? 16-09-2019
No es un juego. Hacerlo bien puede marcar la diferencia entre la continuidad de una compañía o su desaparición.
La cuestión aquí, en caso de confirmase los delitos que se imputan al BBVA, es dilu...
No es un juego. Hacerlo bien puede marcar la diferencia entre la continuidad de una compañía o su desaparición.
La cuestión aquí, en caso de confirmase los delitos que se imputan al BBVA, es dilucidar si estas actuaciones fueron perpetradas por individuos concretos sin conocimiento de la dirección de la entidad.
En este sentido, y con toda probabilidad, el BBVA se agarrará como a un clavo ardiendo a su programa de compliance para evitar ser condenado. Para situarnos: un programa de compliance es el conjunto de procedimientos y buenas prácticas adoptados por las empresas para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.
El Código Penal, desde 2015, contempla que se puede atenuar o incluso exonerar a una empresa de su culpabilidad en casos de delitos penales si se demuestra que se ha implantado en la organización un programa de compliance real.
¿Por qué hablamos de un programa de compliance real?
Muchas empresas ya cuentan con controles específicos implantados para garantizar el cumplimiento, pero ahora se trata de dotar a todos estos controles de una estructura que esté alineada con todos los procesos de la compañía. Eso se logra a través de un sistema de gestión que impregne toda la organización y que, por supuesto, tenga el apoyo de la dirección de la empresa. Sin esto, un programa de compliance no funcionará.
¿Tiene o no tiene el BBVA y otras empresas que ya están siendo investigadas un programa de compliance real? ¿O era puro maquillaje para cumplir con el expediente? El BBVA fue el primer banco español en obtener el reconocimiento de AENOR en gestión de compliance penal según UNE19601, pero esta certificación es posterior a los hechos que se le imputan. Está claro que el riesgo cero no existe. Se puede tener un buen programa de riesgos y que aun así una o varias personas de una organización comentan un delito. Pero si podemos demostrar que ese modelo es real, efectivo e implantado y supervisado, es muy posible que sea exonerada su responsabilidad como persona jurídica en un caso penal.
La diferencia entre ser exonerada o condenada, para una empresa, es abismal. Además del daño reputacional que implica (al BBVA ya le está pasando factura, no tanto en sus clientes de a pie, pero sí entre sus inversores actuales y potenciales), la multa podría llegar a los 9,15 millones de euros. Pero la multa no es lo peor, por lo menos para el BBVA, que podría afrontarla probablemente. Cualquier compañía imputada se arriesga a la disolución, a la suspensión de su actividad por un máximo de 5 años o a la inhabilitación para obtener ayudas públicas o contratar con el sector público, entre otras consecuencias.
Así que, cuando muchas empresas nos preguntan si es obligatorio implantar un programa de compliance, la respuesta es: la ley no te obliga, pero, como se ve, es altamente recomendable para conseguir una defensa efectiva en caso de ser la empresa imputada por un delito penal.
En este caso, el BBVA, tendrá que demostrar que contaba con ese programa efectivo en el momento de los hechos imputados, que no se trata de un compliance de maquillaje o paper program. Y que los presuntos delitos han sido cometidos por personas que han eludido los controles, que no se ha producido omisión o dejación en las funciones de supervisión y vigilancia de quien tenía encomendadas esas funciones.
Por eso, los modelos estándar de programas de compliance no sirven, porque lo que sirve para una empresa puede no ser útil para otra. Cada una tiene riesgos concretos en función de sus actividades y procesos y debe diseñar su sistema y controles ad hoc. El trabajo de diseñar un sistema de compliance es minucioso, pero esta es la clave para poder implementar algo que en la teoría parece fácil, pero cuando una organización se enfrenta a ello por primera vez no resulta así.
Leer Noticia original en su web
Leer más...
Multas millonarias en protección de datos para British Airways y Marriott 30-07-2019
Poco más de 1 año después de la entrada en vigor de la nueva regulación sobre protección de datos en Europa, hemos visto como la agencia de protección de datos inglesa, la Oficina del Comisionado de I...
Poco más de 1 año después de la entrada en vigor de la nueva regulación sobre protección de datos en Europa, hemos visto como la agencia de protección de datos inglesa, la Oficina del Comisionado de Información de Reino Unido (ICO) ha anunciado su intención de imponer las primeras multas millonarias en Europa: 203 millones de euros a British Airways y 110 millones de euros para Marriott.
En ambos casos, las propuestas de sanciones se impondrían como consecuencia de una brecha de seguridad y en ambos casos la ICO ha valorado, multitud de factores, siendo probablemente el más relevante, la existencia de fallos en las medidas de seguridad.
Si la empresa no tiene implementadas las medidas de seguridad necesarias para proteger los datos personales, las sanciones van a ser muy elevadas. Es cierto que la sofisticación de los ciberataques es cada vez mayor y que no existe ninguna medida de seguridad 100 % infalible, no obstante, lo que los reguladores van a tener en consideración en este tipo de casos es si las empresas se lo han puesto fácil a los atacantes porque no tenían implementadas las medidas adecuadas.
Y ambas multas son prueba de ello. En el caso de British Airways la ICO ha manifestado que la aerolínea no cumplía con los estándares básicos de seguridad que hay que aplicar cuando se trata información de pagos con tarjetas (PCI) y no tenía encriptados los códigos de seguridad (CVV) de las tarjetas de crédito.
Qué tipo de información se ve afectada por la brecha y las consecuencias que pueden derivarse para los usuarios es otro factor a tener en consideración en este tipo de investigaciones. Las consecuencias no son las mismas si los datos afectados son, por ejemplo, direcciones de email, que si además, como es el caso de British Airways, los atacantes tienen acceso a datos financieros como números de tarjetas de crédito que pueden fácilmente ser usados con fines fraudulentos.
El número de afectados también es otro criterio a tener en cuenta, en el caso de British Airways estamos hablando de 500.000 clientes , pero en el caso de Marriott se cree que la brecha afectó a la información de alrededor de 500.000.000 de clientes. La duración de la brecha, esto es, el tiempo durante el cual los hackers han podido acceder a la información hasta que se descubre la brecha es otro criterio a valorar; en el caso de Bristirh Airways fueron dos semanas mientras que en el de Marriott fueron 4 años.
Leer Noticia original en su web
Leer más...
Multa millonaria a British por incumplir la ley de protección de datos 09-07-2019
British Airways enfrenta una multa de más de 183,4 millones de libras esterlinas (204,7 M ) impuesta por la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido, des...
British Airways enfrenta una multa de más de 183,4 millones de libras esterlinas (204,7 M ) impuesta por la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido, después de que piratas informáticos robaran los datos personales de medio millón de clientes de la aerolínea, en concreto, de su página web y su aplicación móvil, un hecho que se hizo público en septiembre del año pasado.
ICO dijo que su exhaustiva investigación descubrió que el incidente involucraba detalles del cliente, incluidos el inicio de sesión, la tarjeta de pago, el nombre, la dirección y la información de la reserva de viaje que se recopilaba luego de ser desviada a un sitio web fraudulento.
ICO dijo que la violación de datos, que comenzó en junio de 2018, se produjo porque British Airways tenía "acuerdos de seguridad deficientes" para proteger la información de los clientes a la que se accedía.
La multa de 183,4 millones de libras (204,7 M ), la primera que el ICO ha planteado bajo el nuevo Reglamento General de Protección de Datos (GDPR), representa aproximadamente el 1,5% de la facturación mundial de £ 11.600 millones de libras esterlinas de British Airways el año pasado.
Caída en Bolsa
Las acciones de International Airlines Group (IAG) -holding de British Airways,Iberia, Vueling, Aer Lingus y Level- bajaban este lunes el 1,45 % tras conocerse que la aerolínea británica había sido multada con 183 millones de libras esterlinas (204,7 M ) por el caso de la sustracción el año pasado de datos de clientes.
Los títulos de IAG caían 6,60 puntos (1,45 %) hasta situarse en 449 peniques (498 céntimos) en la Bolsa de Valores de Londres.
Leer Noticia original en su web
Leer más...
Si tu marca no es reconocida, otra compañía puede registrar una similar 08-07-2019
El juez defiende que la falta de conocimiento y uso por parte del consumidor son razones para que una marca carezca de notoriedad comercial y otra compañía pueda inscribir una marca con nombre y activ...
El juez defiende que la falta de conocimiento y uso por parte del consumidor son razones para que una marca carezca de notoriedad comercial y otra compañía pueda inscribir una marca con nombre y actividad similares.
Dos marcas en liza, con nombre y actividad muy similares. Éste es el detonante que llevó a dos compañías ante los tribunales, con un resultado sorprendente: el juez da la razón a la que registró su marca con posterioridad frente a la de su competidora.
La compañía que contaba ya con su marca en funcionamiento en el mercado, dedicada a distintos servicios de financiación y distribución de películas y programas de televisión, vio como otra empresa acudía a la Oficina de Patentes y Marcas para inscribir una enseña con denominación casi idéntica y dedicada a actividades muy parecidas. La afectada interpuso un recurso contencioso-administrativo contra la segunda, por considerar que ambas firmas eran incompatibles y su nombre comercial debía ser "prioritario".
La sala de lo contencioso del Tribunal Supremo (TS) acaba de determinar que la demandante carece de razón y, por tanto, desestima el recurso que interpuso contra la otra compañía. El motivo hay que buscarlo en la Ley de Marcas en el artículo donde se hace referencia a la notoriedad de una marca.
Leer Noticia original en su web
Leer más...
Brechas de seguridad de datos personales: qué son y cómo actuar 02-07-2019
I. ¿QUÉ ES UNA BRECHA DE SEGURIDAD DE DATOS PERSONALES?
Para saber actuar ante una brecha de seguridad, lo primero es saber qué es y ser capaz de detectarlas e identificarlas.
Un...
I. ¿QUÉ ES UNA BRECHA DE SEGURIDAD DE DATOS PERSONALES?
Para saber actuar ante una brecha de seguridad, lo primero es saber qué es y ser capaz de detectarlas e identificarlas.
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
II. ¿QUÉ HACER?
ANTES: el responsable de tratamiento debe estar preparado para esta posibilidad, debe establecer quién y qué acciones se ejecutarán en caso de producirse. Para ello, lo primero es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber. Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.
SI SUCEDE: el responsable de tratamiento debe poner en marcha el plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.
Además, cuando se sufre una brecha de seguridad se debe recabar una serie de información que será muy útil para decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la autoridad de control y afectados.
III. NOTIFICACIÓN A LA AEPD Y COMUNICACIÓN A LOS AFECTADOS
Ante el suceso de una brecha de seguridad, el responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad. Una brecha de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc. y además puede producir estos efectos con diferentes grados de severidad, por lo que debemos pensar en los beneficios que aporta el que los afectados sean conscientes que se esa brecha ha tenido lugar.
Para realizar esta valoración correctamente es de suma importancia tener el registro de actividades de tratamiento y el análisis de riesgo previamente elaborado y actualizado.
Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a través del enlace habilitado en la Sede electrónica.
En cualquier caso, en la línea de proactividad y transparencia que marca el RGPD siempre es recomendable notificar ante la AEPD una brecha de seguridad en los datos personales que sufra un responsable del tratamiento.
Para rellenar el formulario es muy útil tener de antemano clara la información relevante para la brecha que se ha destacado anteriormente.
Si además entraña un alto riesgo deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
En el caso que la brecha la sufra un encargado del tratamiento, este debe informar al responsable del tratamiento, que tendrá que valorar si notifica ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detalladas en el contrato mediante el cual se establece el encargo del tratamiento.
Independientemente de si se ha notificado a la AEPD o no, o si se ha informado a los afectados, debemos llevar un registro de las brechas de seguridad que suframos, en el que se justifique las decisiones que se han tomado. Este documento puede ser exigible en cualquier momento por parte de la AEPD.
Leer Noticia original en su web
Leer más...
Protección de Datos multa a LaLiga con 250.000 euros por «espiar» a los usuarios a través de su aplicación 21-06-2019
La polémica saltó hace justo un año. Y se montó un gran revuelo, aunque su impacto se fue diluyendo en el tiempo. Ahora, ha tenido consecuencias importantes. La Agencia Española de Protección de Datos...
La polémica saltó hace justo un año. Y se montó un gran revuelo, aunque su impacto se fue diluyendo en el tiempo. Ahora, ha tenido consecuencias importantes. La Agencia Española de Protección de Datos (AEPD) ha sancionado a La Liga de Fútbol Profesional con 250.000 euros por vulnerar el principio de transparencia a través de su aplicación oficial. Un servicio del que se descubrió que accedía sin consentimiento expreso al micrófono y la geolocalización de sus usuarios para detectar emisiones fraudulentas y combatir la piratería en los bares y locales donde se emitían partidos de fútbol.
En una sanción sin precedentes, el organismo regulador español establece que la «app» debe ser retirada de las tiendas virtuales o modificar los apartados que vulneran la normativa vigente. Todavía no se ha hecho pública la resolución, pero según el artículo 7.3 del Reglamento General de Protección de Datos, se establece «el derecho del interesado a retirar su consentimiento en cualquier momento» y «la retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada».
Además de ofrecer resultados e información de interés de la competición de fútbol, el servicio «escucha» de manera remota a través del sistema de audio de los terminales. Es una medida diseñada, teóricamente, para dirimir si la retransmisión se está realizando a través de un domicilio privado o un establecimiento público, un bar o local de ocio. Algo importante a tener presente dado que estos últimos contemplan otras tarifas especiales.
Leer Noticia original en su web
Leer más...
Encuesta especial del Eurobarómetro sobre el Reglamento General de Protección de Datos 19-06-2019
La Comisión Europea ha publicado los resultados de una encuesta especial del Eurobarómetro sobre la aplicación del Reglamento General europeo de Protección de Datos (RGPD), tras un año de su entrada e...
La Comisión Europea ha publicado los resultados de una encuesta especial del Eurobarómetro sobre la aplicación del Reglamento General europeo de Protección de Datos (RGPD), tras un año de su entrada en vigor el 25 de mayo de 2018. Los resultados indican que los europeos conocen relativamente bien las nuevas normas de protección de datos, sus derechos y la existencia de autoridades nacionales de protección de datos, a las que pueden dirigirse para buscar ayuda en caso de vulneración de sus derechos.
Sobre la base de las respuestas de 27.000 europeos, los resultados del Eurobarómetro muestran que el 73 % de los encuestados ha oído hablar de al menos uno de los seis derechos garantizados por el Reglamento general de protección de datos. Los conocimientos más amplios de los ciudadanos se refieren al derecho a acceder a sus propios datos (65 %), a corregir los datos si son erróneos (61 %), a oponerse a la recepción de mercadotecnia directa (59 %) y a que sus propios datos sean suprimidos (57 %).
Además, el 67 % conoce la existencia del Reglamento general de protección de datos y el 57 % sabe cuáles son sus autoridades nacionales de protección de datos. Estos resultados indican también que la protección de datos es motivo de preocupación, ya que el 62 % teme no tener un control absoluto sobre los datos personales facilitados en línea.
Los resultados de la encuesta se han publicado en un acto en el que autoridades y empresas nacionales y de la UE se han reunido para celebrar el primer año de aplicación del Reglamento general de protección de datos de la UE, en presencia de la Comisaria europea de Justicia, Igualdad de Género y Consumidores, Vera Jourova.
La Comisión pone en marcha una campaña de información para animar a los ciudadanos a leer las declaraciones de confidencialidad y optimizar sus opciones de privacidad para que solo faciliten los datos que deseen.
La Comisión informará también sobre la aplicación del Reglamento general de protección de datos en 2020.
Leer Noticia original en su web
Leer más...
La AEPD celebrará su 11ª Sesión Anual Abierta el próximo 25 de junio 10-06-2019
La Agencia Española de Protección de Datos (AEPD) celebrará, el próximo 25 de junio, su 11ª Sesión Anual Abierta. Esta edición renueva completamente su formato, dando cabida a ponentes tanto de la AEP...
La Agencia Española de Protección de Datos (AEPD) celebrará, el próximo 25 de junio, su 11ª Sesión Anual Abierta. Esta edición renueva completamente su formato, dando cabida a ponentes tanto de la AEPD como de entidades públicas y privadas y desarrollándose en tres foros paralelos en los que se abordarán diversos aspectos relacionados con la aplicación del Reglamento General de Protección de Datos.
Durante la Sesión se efectuará un análisis de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), y se abordarán aspectos relacionados con la responsabilidad activa, los Delegados de Protección de Datos (DPD), los responsables y encargados de tratamiento o la gestión del riesgo tecnológico, entre otros.
Durante el evento se entregarán los Premios Protección de Datos 2018, que este año alcanzan su 22ª edición. Estos galardones reconocen los trabajos que promueven en mayor medida las buenas prácticas, la difusión y la investigación de este derecho fundamental.
La Sesión está dirigida a representantes de instituciones, empresarios, profesionales de la protección de datos y ciudadanos interesados en la materia. La inscripción puede realizarse a través de la Sede electrónica.
Las presentaciones y foros realizados en el Auditorio podrán seguirse en directo en streaming a través de la web de la Agencia.
Leer Noticia original en su web
Leer más...
La AEPD publica una guía con recomendaciones sobre protección de datos en la utilización de drones 31-05-2019
La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía Drones y Protección de Datos, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan dat...
La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía Drones y Protección de Datos, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.
El artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. La Guía publicada por la AEPD proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.
El documento está dividido en cinco secciones. Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos. Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.
Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada. Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente. En los tres casos, la AEPD ofrece recomendaciones para aficionados y para operadores profesionales de drones, tanto en aquellos casos en los que decidan sobre la finalidad del tratamiento de datos como en los que llevan a cabo un encargo de tratamiento.
Leer Noticia original en su web
Leer más...
La solicitud de copia de la inscripción de ficheros dejará de estar disponible en la Sede Electrónica 24-05-2019
La solicitud de copia del contenido de la inscripción de ficheros dejará de estar disponible en la Sede Electrónica de la Agencia el próximo día 15 de junio de 2019.
El Reglamento General d...
La solicitud de copia del contenido de la inscripción de ficheros dejará de estar disponible en la Sede Electrónica de la Agencia el próximo día 15 de junio de 2019.
El Reglamento General de Protección de Datos, en vigor desde el 25 de mayo de 2016 y de aplicación efectiva desde el 25 de mayo de 2018, suprimió la obligación de notificar los ficheros de datos de carácter personal a la autoridad de control para su publicación en el Registro General de Protección de Datos estableciendo, en su lugar, como alternativa a dicha obligación la de que cada responsable y, en su caso el encargado, mantenga su propio registro de actividades de tratamiento.
Transcurrido más de un año desde la aplicación efectiva del Reglamento europeo, período en el que los responsables del tratamiento han tenido disponible el citado trámite de solicitud de copia de inscripción como fuente de información para elaborar el registro de actividades de tratamiento de sus organizaciones, la Agencia Española procederá a deshabilitar el formulario disponible hasta ahora en su Sede Electrónica.
Leer Noticia original en su web
Leer más...
Aumentan un 33% las reclamaciones ante la Agencia Española de Protección de Datos. ¿Cuales son las sanciones más frecuentes? 24-05-2019
Las reclamaciones presentadas ante la Agencia Española de Protección de Datos (AEPD) durante 2018 se incrementaron un 32,8% hasta alcanzar las 14.146. En cuanto a la tematica de las mismas, correspond...
Las reclamaciones presentadas ante la Agencia Española de Protección de Datos (AEPD) durante 2018 se incrementaron un 32,8% hasta alcanzar las 14.146. En cuanto a la tematica de las mismas, corresponden a inserción indebida en ficheros de morosidad, videovigilancia , servicios de Internet, reclamación de deudas, Administración Pública, sanidad , publicidad , comercios, transporte y hostelería, entidades financieras y publicidad a través de e-mail o teléfono móvil.
Respecto a los plazos de resolución, la mitad de las reclamaciones admitidas en la Agencia se resuelven en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior. Además hay que tener en cuenta que el traslado de la reclamación al responsable o DPD no conlleva necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa.
En 2018 se han dictado 907 resoluciones sancionadoras (434 con sanción económica, 96 con resolución de infracción a Administraciones Públicas y 377 apercibimientos). En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: Contratación fraudulenta, inserción indebida en ficheros de morosidad, videovigilancia, spam (LSSI), publicidad (excepto spam), servicios de Internet, reclamación de deudas, telecomunicaciones, Administración Pública y sanidad.
Leer Noticia original en su web
Leer más...
Brechas de seguridad: protégete ante el ransomware 20-05-2019
El ransomware es una ciberamenaza con gran impacto sobre datos de carácter personal tanto en el sector de las pymes como para grandes empresas. Te contamos cómo protegerte.
Desde la Agencia Españ...
El ransomware es una ciberamenaza con gran impacto sobre datos de carácter personal tanto en el sector de las pymes como para grandes empresas. Te contamos cómo protegerte.
Desde la Agencia Española de Protección de Datos queremos concienciar sobre la necesidad de tomar medidas técnicas y organizativas para evitar que se produzcan brechas de seguridad. Este fomento de la concienciación se realiza en el marco del principio de responsabilidad activa de Reglamento General de Protección de Datos, especialmente en el caso de usuarios particulares y pymes que con frecuencia suelen disponer de menos recursos para dedicar a estas cuestiones.
Aún así, a pesar de aplicar las medias de seguridad oportunas, las brechas de seguridad pueden ocurrir, por lo que las organizaciones deben estar preparadas para ser capaces de detectarlas y actuar para minimizar y evitar el daño a los derechos y libertades de las personas. Con este objetivo la AEPD publicó la Guía para la Gestión y Notificación de Brechas de Seguridad.
Una de las medidas en las que se materializa el principio de responsabilidad activa del RGPD es en la obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la quiebra suponga un riesgo para los derechos y libertades de los afectados, dentro de las 72 horas siguientes a que el responsable sea consciente de que el hecho se ha producido.
Además, en los casos en que sea probable un alto riesgo para los derechos o libertades de los afectados, también se les deberá comunicar la brecha a estos. El objetivo de la comunicación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias.
Leer Noticia original en su web
Leer más...
Jornada de difusión sobre las novedades de la Ley de Marcas 02-05-2019
El pasado 14 de enero de 2019 entró en vigor el Real Decreto-Ley 23/2018, de 21 de diciembre, por el que se modifica, entre otras, la Ley 17/2001, de 7 de diciembre, de Marcas, con el objeto de transp...
El pasado 14 de enero de 2019 entró en vigor el Real Decreto-Ley 23/2018, de 21 de diciembre, por el que se modifica, entre otras, la Ley 17/2001, de 7 de diciembre, de Marcas, con el objeto de transponer la Directiva (UE) 2015/2436 del Parlamento Europeo e del Consejo, de 16 de diciembre de 2015, relativa a la aproximación de las legislaciones de los Estados miembros en dicha materia.
La nueva redacción introduce matices en lo relativo al concepto de marca, a los derechos conferidos por el registro o al aspecto procedimental.
Esta jornada está organizada por el Servicio de Promoción y Desarrollo Sectorial de la Dirección General de Industria e Innovación Tecnológica y la OEPM.
Inscripción: patentesymarcas@jcyl.es
Lugar: Centro Soluciones Empresariales. C/ Ramón y Cajal S/N.Arroyo de la Encomienda. Valladolid
Día: 7 de mayo de 2019
Hora: 10:00 horas
Leer Noticia original en su web
Leer más...