¿Se acabó el todo vale en la protección de datos?

24 de febrero de 2017 Por

Con el nuevo reglamento de Protección de datos europeo (RGPD) nace una figura que tendrá una enorme relevancia en la gestión de la protección de datos de las empresas: el delegado de protección de datos, que conoceremos como DPD.

Es importante recordar que el rol del delegado de protección de datos no se encuentra recogido en la actual normativa de protección de datos española, si bien es una figura ampliamente desarrollada en otros estados miembros. Esta figura se plantea como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos.
[Read more…]

La Seguridad en el nuevo reglamento de protección de datos

18 de enero de 2017 Por

Las amenazas evolucionan, se profesionalizan, se multiplican. Los ciberataques se complejizan e intensifican. ¿Qué plantea el nuevo reglamento de protección de datos al respecto?

Nuestra sociedad es digital. No se trata solo de proteger datos personales, sino que el desafío consiste en defender un modo de vida en donde todo está interconectado y donde dependemos de la seguridad de los sistemas para el sostenimiento de nuestras actividades cotidianas más elementales.

Nuevos peligros, nuevos retos, nuevas leyes

El nuevo reglamento de protección de datos recoge el guante y propone un marco regulador en donde la seguridad adquiere un enorme protagonismo y un enfoque más realista y práctico.
[Read more…]

Evaluaciones de Impacto en la Protección de Datos Personales (EIPD o PIA)

10 de enero de 2017 Por

Ya vimos en la anterior entrada los retos y oportunidades que plantea el nuevo reglamento europeo de protección de datos, y el enfoque preventivo que adopta. Es precisamente dentro de este enfoque preventivo donde encontramos uno de los elementos más importantes a mi juicio: la evaluación de impacto sobre la protección de datos, EIPD o PIA (por sus siglas en inglés, Privacy Impact Assessment).

Estos informes son muy comunes en otros países europeos y tienen como finalidad evaluar los riesgos y amenazas a los que se enfrenta un nuevo producto, servicio o sistema de información desde sus inicios. La ventaja es evidente: esto permite eliminar o mitigar dichos riesgos antes de que el sistema se desarrolle, evitando los costes económicos y reputacionales que puede conllevar su descubrimiento a posteriori (o incluso su materialización). [Read more…]

PYME vs Estándares de Seguridad de la Información (II)

2 de enero de 2017 Por

En el post anterior hablábamos de algunas de las razones que abocan a las pymes a ser reacias a implantar estándares de seguridad de la información. Como comentábamos en ese post, uno de los principales motivos es el desconocimiento que existe entre las pymes sobre los estándares de seguridad de la información aplicables, además de la incorrecta percepción que tienen acerca de los objetivos de los ciberataques (¿Quién va a querer atacar mi empresa?). La confluencia de estos dos factores va a resultar en que los directivos de estas organizaciones decidan invertir sus escasos recursos, en la mayoría de los casos, en proyectos con un retorno de inversión más evidente.

Precisamente, la disponibilidad de recursos es otro de los grandes obstáculos para las pymes a la hora de acometer la implantación de un estándar de seguridad de la información. Veamos porqué.
[Read more…]

PYME vs Estándares de Seguridad de la Información (I)

22 de diciembre de 2016 Por

En el universo de la Consultoría de GRC (Gobierno, Riesgo y Cumplimiento), es más común llevar a cabo proyectos en compañías de tamaño medio-grande que en pequeña y mediana empresa, siendo éstas segundas muy superiores en número, tanto a nivel nacional como europeo. Dada esta tesitura cabe preguntarse, ¿por qué son menos las pymes que contratan nuestros servicios?, ¿son menos vulnerables ante ataques que comprometan la seguridad de su información?

De sobra es conocido que, durante la última década, las organizaciones han experimentado una gran dependencia de sus sistemas de información para la prestación de servicios a sus clientes y cumplir con sus objetivos de negocio. Hoy en día, no solo las grandes compañías tienen esta dependencia de las TIC, también las pymes, que constituyen más del 99% del tejido empresarial europeo y, además, son las que presentan riesgos más significativos en cuanto a seguridad de la información se refiere. Estos riesgos constituyen una gran amenaza para el negocio de estas organizaciones.
[Read more…]

Nuevos retos y oportunidades con el nuevo Reglamento Europeo de Protección de Datos

24 de noviembre de 2016 Por

Qué duda cabe que el nuevo paradigma digital, el big data, la innovación constante en ingeniería social, los procesamientos masivos de información personal, imponen un nuevo modelo en la gestión de datos personales. Esto es inapelable.

Las empresas deben asumir nuevos retos en la gestión de la protección de datos, retos que sin ningún género de dudas, se convertirán en grandes oportunidades que nadie debería desestimar.

Con la misión de responder a estos nuevos retos y aportar soluciones más efectivas que la actual LOPD, nacida antes de la revolución digital, nace el nuevo reglamento europeo de protección de datos, cuya fecha límite de aplicación es mayo de 2018. Para entonces todas las empresas deberán haber realizado la transición hacia una nueva forma de concebir la protección de datos.
[Read more…]

Criterios de valoración de impacto: RGPD, ENS, LPIC y NIS

2 de noviembre de 2016 Por

Impacto: ese concepto del que todo el mundo habla.

La gestión del riesgo está al orden del día y muy arraigada a dicha gestión se encuentra todo lo relativo a la evaluación / estimación de impacto. Estos términos ya incluidos en la legislación vigente en materia de seguridad (ENS, LPIC,…) también forman parte de las Directivas y Reglamentos europeos que están a la vuelta de la esquina (RGPD y NIS).

En un escenario ideal, el significado, interpretación, uso y criterios para su cálculo sería homogéneo y aplicable a todos los ámbitos por igual, pero como ya sabemos, la realidad dista mucho de éste escenario utópico.
[Read more…]

Me van a auditar de 27001/ENS/LOPD o similares, ¿cómo será? ¿Qué debo saber?

27 de junio de 2016 Por

La palabra auditoría da miedo. Todos hemos hecho cientos de exámenes desde el colegio, pero algo tiene la palabra auditoría que genera mucho más estrés que cualquier otra prueba.

Los que alguna vez hayan sido auditados saben que no es tan horrible como suena (incluso puede llegar a ser algo rutinario), pero quienes se enfrentan a una auditoría por primera vez acostumbran a tener infinidad de dudas sobre el “cómo será”: ¿se pueden preguntar cosas? ¿Qué van a mirar? ¿Interesa perder el tiempo para que auditen menos cosas? ¿Se puede consultar la norma/ley o apuntes durante la auditoría? ¿Se puede salir al baño? ¿Es obligatoria la corbata? ¿Y si me quedo en blanco? Algunas pueden parecer tonterías, pero seguro que más de uno agradecerá estas líneas si le llega el día de ser auditado.
[Read more…]

Adaptación al Nuevo Reglamento General de Protección de Datos

17 de mayo de 2016 Por

img1La cuenta atrás ha comenzado: quedan dos años y pocos días para la aplicación del Nuevo Reglamento General de Protección de Datos (RDUE 2016/679). Concretamente, éste será aplicable a partir del 25 de mayo de 2018.

Como no nos gustan las prisas y teniendo en cuenta que a este reglamento “le teníamos ganas”, nos hemos puesto manos a la obra, perfilando las primeras aproximaciones del modelo para dar cumplimiento al recién llegado Reglamento.

¿Por dónde empiezo?

El primer paso consistirá en analizar el nuevo Reglamento para identificar el GAP existente entre nuestro modelo de gestión y el requerido por dicho reglamento. Sin embargo, al poco tiempo de iniciar este trabajo nos percataremos de que la foto final es un tanto difusa e imprecisa, podríamos decir que incompleta. Esto es debido a que todavía hay aspectos por concretar, especialmente en lo relativo a las medidas de seguridad que el Responsable del tratamiento deberá aplicar en cada caso. Por lo tanto, sin un destino final claro, complicado nos va a resultar establecer una hoja de ruta.

[Read more…]

¿Expertos en protección de datos o caraduras monumentales? Segunda parte

30 de mayo de 2011 Por

¿Recuerdan ustedes el post que publicamos hace unos días referente a un correo enviado por una empresa que nos “advertía” de lo importante que es cumplir con la LOPD y al mismo tiempo nos hacía una recomendación de sus servicios a coste 0, para adecuarnos al cumplimiento de la misma, haciendo caso omiso de la LOPD y de la Ley 34/2002, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico?

Cuando recibí semejante comunicación hice dos cosas: la primera escribir el post que se publicó en Security Art Work y que supongo algunos de ustedes leyeron, la segunda escribir a estos señores un correo, intentando ser amable, en el que intentaba explicarles su error. Trascribo a continuación el correo que les remití:

Estimados señores, si son ustedes expertos en protección de datos, asumo que serán expertos en aspectos legales relacionados con tecnologías y, por tanto, sabrán que, esto que están haciendo, en virtud del artículo 21.1 de la LSSICE Ley 34/2002, no lo pueden hacer, puesto que no tienen mi consentimiento EXPRESO para ello. Dado que la LSSICE no dispone de una agencia equivalente a la AEPD, es esta última la encargada de velar por el cumplimiento de este tipo de infracción e imponer las sanciones reglamentarias que son parecidas a las del régimen sancionador de la LOPD. Pueden ustedes leer algún detalle en http://pedrorodriguez.blogcanalprofesional.es/150-000-euros-por-enviar-publicidad-por-correo-electronico/, aunque los ejemplos en Internet son muchos.

Agradecería me borrasen ustedes de sus bases de datos para todo tipo de comunicaciones. Además creo que no les conozco de nada a ustedes.

Un saludo

PD: Es evidente que nadie da duros a cuatro pesetas.

El correo lo remití el pasado 13 de mayo y ¿qué creen ustedes que ha pasado? ¿una disculpa? ¿un correo informando de que mis datos han sido eliminados de su base de datos? ¿Un simple gracias, vamos a proceder a revisar nuestra política interna? Pues no, nada, absolutamente nada, eso es lo que ha pasado.

Es evidente, y así se comentó en varios de los comentarios de la entrada original de Security Art Work, que para conseguir ese hipotético “coste cero” (ojo, no low cost, sino coste cero que no es lo mismo), se estaba haciendo uso de las subvenciones entregadas por la Fundación Tripartita para formación. Nuestra empresa, S2 Grupo, ha perdido alguna propuesta de adaptación a la LOPD y auditorías del reglamento por no querer entrar al juego del fraude que algunos están haciendo con estas partidas presupuestarias entregadas, en definitiva, por el patronato de la Fundación en el que están, entre otros, el Ministerio de Trabajo y Asuntos Sociales. Es lamentable derivar estos fondos que pretenden que nuestras empresas sean cada vez más competitivas hacia temas como estos y más lamentable es que lo hagan pudiendo incluso cometer un delito de fraude con un trabajo entregado de una calidad, cuando menos, cuestionable.

Nuestro buen amigo y colaborador del Blog, Salvador Silvestre, nos apuntaba una URL de la fundación tripartita en la que se podía leer lo siguiente:

14/04/2010. Utilización de bonificaciones para LOPD – Nota informativa

Comunicado a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistemas de protección de datos de carácter personal.

La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.

El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.

La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.

Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.

La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en:

servicioalcliente@fundaciontripartita.org.

Con esta nota que pueden consultar ustedes en la URL indicada por Salvador en los comentarios, la Fundación Tripartita ha hecho en mi opinión lo que tenía que hacer. Es turno ahora de que nosotros hagamos lo que tenemos que hacer: poner en sus manos actuaciones como la referida en este blog…

Veremos cuál es el resultado.