Entradas

AENOR Y LETRADOX Unidos en la Protección de Datos

/en /por

AENOR Y LETRADOX
UNIDOS EN LA PROTECCIÓN DE DATOS

ABOGADOS LETRADOS Expertos en protección de datos

Servicio integral a empresas en Protección de Datos: asesoramiento y adaptación jurídica por LETRADOX y certificación por empresa AENOR

 

 

La adaptación de las empresas al Reglamento de Protección de datos es una prioridad.

Y como abogados de protección de datos estando ya tan solo a un mes apenas de su implantación definitiva.

¿Cómo aportar valor añadido a nuestros clientes en protección de datos? Sumando fuerzas y colaborando con AENOR.

La prestigiosa Asociación Española de Normalización y Certificación que se constituyó en 1986.

Para que los clientes de LETRADOX puedan también obtener la certificación AENOR.

Especialmente la CERTIFICACIÓN ISO27001.

 

La certificación ISO27001 de AENOR contribuye a fomentar:

Las actividades de protección de la información en las organizaciones, mejorando su imagen y generando confianza frente a terceros.

Es una importante referencia para diferenciarse de la competencia.
Si ud tiene un negocio online qué mejor que poder consolidar la confianza de sus potenciales compradores mostrándose como una empresa que respeta y maneja los datos personales de los clientes con profesionalidad y confidencialidad.

Para ello, resulta imprescindible que cuente con el asesoramiento jurídico que le ofrecemos en LETRADOX.

Además, tiene la posibilidad de ir más allá y acreditarse con una certificación AENOR.

Para que así sus clientes conozcan este plus que ud como empresario ha decidido implementar para diferenciarse de la competencia.

(Esta certificación es voluntaria y es un servicio independiente).

Las empresas que contratan con las administraciones públicas tienen en muchos casos la exigencia de cumplir con este parámetro.

Por lo que el servicio jurídico necesario de adaptación al reglamento de protección de datos y el tener la certificación no es ya una recomendación, sino una obligación y así consta en pliegos de condiciones para la contratación con la Administración.

Por tanto, para tener competitividad en las licitaciones públicas y para mejorar ésta en la contratación privada.

Este servicio proporcionará a su empresa la acreditación que necesita ya con la garantía de dos grandes empresas.
Por tanto, el servicio integral que ofrecemos a empresas, principalmente TICs, startups tecnológicas y empresas en las que los datos son muy importantes, comprende la actividad jurídica que desarrollamos en el despacho y la actividad de certificación, que llevará a cabo AENOR (si el cliente desea este servicio adicional). Todo ello para que, una vez que confíe en nosotros, tenga la seguridad de que cumple con la normativa al más alto nivel y tenga la tranquilidad de que tiene un servicio óptimo en protección de datos.

Desde LETRADOX ABOGADOS siempre queremos ofrecer a los clientes el mejor servicio jurídico; por eso, en la rama de protección de Datos qué mejor que unir fuerzas con AENOR y poder presentar a nuestros clientes esta colaboración.
En LETRADOX ABOGADOS podemos ayudarte y darte un servicio integral en protección de datos, hoy te presentamos el servicio añadido de certificación (por AENOR) y dentro de muy poco hablaremos de los ciberataques y la seguridad informática, para completar así todos los aspectos legales y técnicos de la protección de datos.

¿Quieres descubrir todo lo que podemos hacer por tu empresa?
Llámanos sin compromiso o escríbenos y te contamos todo lo que quieras saber.

Mercedes de Parada y Marián Rojo
Abogadas
Protección de Datos
C/ Jorge Juan 141, 3ºA. Madrid
Tlf. 912980061 / 645958948
www.letradox.com

PYMES y datos

Todo sobre Protección de Datos, por LETRADOX ABOGADOS

/en /por

TODO SOBRE PROTECCIÓN DE DATOS

 

LAS 10 CLAVES DE LA NUEVA NORMATIVA DE PROTECCIÓN DE DATOS
Por LETRADOX ABOGADOS

El nuevo Reglamento de Protección de Datos , que entrará en vigor en mayo de este año 2018. Introduce cambios en la regulación de la política de datos.

Entre tales cambios destaca los que obligan a disponer en plantilla de un oficial de protección de datos a las empresas que trabajen con información profesional a gran escala.

Otro aspecto es el que complica la forma de obtener datos personales. Ya que los usuarios tienen que confirmar de forma activa que están de acuerdo con el uso de sus datos. Y también la empresa tiene que dejar muy claro el propósito por el que piden tales datos.

Esta normativa no afecta solo a empresas europeas, sino a aquellas que procesen datos de ciudadanos europeos. Independientemente de si está establecida o no en la Union Europea.

El nuevo reglamento distingue entre los controladores de datos( la organización que determina los propósitos y medios del procesamiento de datos personales) y los procesadores de datos( el usuario que procesa los datos en nombre de otros).

De esta forma, el consumidor tiene nuevos derechos, como el de recibir información clara sobre los datos que se están almacenando y la forma de corregirlos o eliminarlos por completo.

Del mismo modo, todas las empresas están obligadas a comunicar las brechas de seguridad que pudieran producirse, por lo que deberán extraer información cons-tante sobre los intentos de intrusión y los accesos no autorizados y notificarlos en el plazo correspondiente. También será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.

El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018.

Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la tras-ponen, entre ellas la española, así como la Ley Orgánica 15/1999, de 13 de Di-ciembre, siguen siendo plenamente válidas y aplicables.

Por ello, puede ser útil para las organizaciones que tratan datos, empezar ya a va-lorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España ya que se prevén sanciones millonarias para las empresas que incumplan la normativa, por lo que sería recomendable acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información y considerar la privacidad de forma previa a cualquier tratamiento de datos.

Mercedes de Parada Rodríguez y Marián Rojo Setién
ABOGADAS

LETRADOX ABOGADOS

Despacho de abogados en Alcalá de Henares

Bufete de abogados en Madrid

Tlf. (+34) 645958948 / 912980061

info@letradox.es

www.letradox.com

Sede central: C/ Jorge Juan nº141. Madrid.

Abogado en Alcalá de Henares
Abogado Madrid
Y Abogado España.

Análisis de los riesgos en Protección de Datos por LETRADOX ABOGADOS

/en /por

ANÁLISIS DE RIESGOS EN LOS TRATAMIENTOS
DE DATOS PERSONALES
SUJETOS AL RGPD

LETRADOX ABOGADOS
Despacho de abogados en Alcalá de Henares
Bufete en Madrid
Tlf. (+34) 645958948
Tlf: 912980061
info@letradox.es
www.letradox.com

En LETRADOX ABOGADOS , abogados expertos en Protección de Datos. Basándonos en el documento de la Agencia Española de Protección de Datos.

Por ello hemos confeccionado este resumen sobre los riesgos en los tratamientos de datos personales sujetos al RGPD. Como continuación de nuestros artículos sobre el nuevo Reglamento.

¿A qué riesgos está sometida tu empresa en el tratamiento de datos personales? ¿Cómo intentar neutralizar esos riesgos y cumplir con la normativa?

Hoy, en Letradox, todas las respuestas.

El 25 de mayo de 2018 entro en vigor el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (RGPD).

CONSIDERACIONES GENERALES

Llamamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza. A través de una secuencia de actividades que incluyen la identificación y evaluación del riesgo.

Así como las medidas para su reducción o mitigación.
Se puede dividir en tres etapas:

Identificación, evaluación y tratamiento de los riesgos.

Un riesgo lo podemos definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza.

También junto a la probabilidad de que esta se materialice.

El impacto se determina en base a los daños que se pueden producir si la amenaza se materializa.

Además el objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad o impacto de que estos se materialicen.

El RGPD centra su atención en las amenazas sobre los derechos y libertades de los interesados.  Además trata de ver como es una actividad de tratamiento, por sus características.

También el tipo de datos a los que se refiere o el tipo de operaciones que puede causar un daño a los interesados.

PROTECCION DE DATOS DESDE EL DISEÑO Y LA GESTION DE RIESGOS

La exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o puesta en marcha de los tratamientos. Además evolucionando en función de las variaciones del contexto y de factores o elementos que intervienen en las mismas.

El RGPD introduce los conceptos de protección de datos desde el diseño y por defecto, para garantizar los derechos y libertades de los interesados desde una actividad de tratamiento.

El responsable del tratamiento que utilice datos personales debe aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:

– pseudonimización, cifrado de datos personales
– Confidencialidad, integridad, disponibilidad, resiliencia permanente de sistemas de tratamiento
– Proceso de verificación, evaluación y valoración regulares de la eficacia.

A la hora de definir una actividad de tratamiento hay que saber cuales son las finalidades del tratamiento de datos personales. Corresponde a cada organización decidir el nivel de agregación o segregación para elaborar el registro de actividades de tratamiento.

Como, ponderar la optimizaron de la gestión de la protección de datos para que resulte útil, ágil, efectiva y permita alcanzar los objetivos que la legislación busca.

También puede resultar útil al responsable y al encargado del tratamiento a la hora de elaborar el registro de actividades de tratamiento volver.

Los ficheros que la organización hubiera descrito con anterioridad.

Por ello, la AEPD ha incluido la posibilidad de obtener una copia en electrónico del contenido completo de la declaración de sus ficheros incorporadas al registro de tratamientos de la entidad las actividades que realiza sobre los datos personales de las personas deberá fijarse en las nuevas obligaciones que el RGPD describe sobre el responsable de tratamiento y el encargado de tratamiento.

Art. 5 RGPD, establece los principios relativos al tratamiento de datos personales:

– licitud, lealtad y transparencia
– Limitación de la finalidad
– Minimizaron de datos
– Exactitud
– Limitación del plazo de conservación
– Integridad y confidencialidad

Para determinar si un tratamiento entraña escaso riesgo.

AEPD ha puesto a disposición de los responsables de tratamiento de datos personales la herramienta Facilita_RGPD, destinada a las personas y empresas.

Para las personas y entidades que no cubran sus necesidades on la herramienta se debe evaluar si las actividades entrañan un alto riesgo para los derechos y libertades del interesado.

Una EIPD no se requiere siempre para ello hay que realizar un análisis previo para determinar de forma preliminar el nivel de riesgo al que puede estar expuesto el tratamiento y tomar la decisión adecuada en base a ello.

Para determinar si es necesario o no una EIPD se puede seguir una breve metodología constituida por dos fases:

La primera, análisis de las listas de tratamientos previstos en la regulación (art 35.3, 35.4 y 35.5).

Posteriormente, análisis de la naturaleza, alcance, contesto y fines de tratamiento (art.35.1).

Con caracter general hay que realizar una IPD cuando un tratamiento puede suponer un alto riesgo para los derechos y las libertades de las personas físicas.

Sobre todo si se utilizan nuevas tecnologías y teniendo en cuenta la naturaleza, alcance, contexto o finalidades del tratamiento.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Puede identificase como el conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica.

Cada tratamiento incluirá una serie de operaciones. Se deben incluir en el registro de actividades en el momento previo antes de su puesta en marcha.

La identificación y descripción de las acts de tratamiento es una obligación y necesidad en las fases iniciales para facilitar el análisis de riesgos.

Posteriormente cada responsable deberá valorar el grado de segregación o agregación al que somete sus tratamientos.

Es fundamental que el registro de acts este permanentemente actualizado y en un formato claro y legible que facilite su comprensión por parte de terceros.

El registro de actos de tratamiento debe incluir toda la información que recoge el articulo 30 RGPD.

ANALISIS BASICOS DE RIESGOS

El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo.

Se deben describir adecuadamente las actividades de tratamiento proceso que facilitara la documentación del registro de actividades de tratamiento.

La descripción de los tratamientos sujetos al análisis de riesgos permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.

Las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares.

También simplifica el análisis y permite establecer medidas de seguridad por defecto. El ciclo de vida de los datos se puede dividir en etapas:

– captura de datos
– clasificación, almacenamiento
– Uso, tratamiento
– Cesión o transferencia de los datos a un terceros para su tratamiento
– Destrucción

Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento se pueden clasificar en:

– Actividades de tratamiento sobre los datos de carácter personal
– Datos
– Intervinieres
– Tecnología

Las actividades de tratamiento donde se puede aplicar el enfoque de gestión de riesgos por defecto.

Además considerando que han sido analizadas previamente mediante el análisis de la necesidad de realizar una EIPD se situaran siempre en un nivel de riesgo no elevado.

Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se diferencian en:

Riesgos asociados a la protección de la información.

Y también riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

El proceso de gestión de riesgos se estructura en tres fases:

Identificación, evaluación y tratamiento.

Para ayudaros en esta compleja cuestión sobre riesgos en el tratamiento de los datos personales, estamos a vuestra disposición en LETRADOX ABOGADOS.

También nos podéis escribir a info@letradox.es

Y además llamarnos a los tlf 912980061 / 645958948

además pedir cita para atenderos y resolver vuestras cuestiones sobre Protección de datos.

Esperamos que este artículo os haya sido de utilidad.

Atte
Mercedes de Parada y Marián Rojo
Abogadas

LETRADOX ABOGADOS
www.letradox.com

Abogados asesoramiento protección de datos

Todo sobre PROTECCIÓN DE DATOS. Abogado. LETRADOX

/en /por

 

LETRADOX ABOGADOS

 

 

Despacho de abogados en Alcalá de Henares

 

 

Bufete de abogados en Madrid

 

 

Tlf. 912980061 /  (+34) 645958948

 

 

 

 

Sede central: C/ Jorge Juan nº141. Madrid.
 

 

 

 Abogado Protección de Datos. Madrid. LETRADOX

 

 

El nuevo Reglamento de protección de datos, que entrará en vigor el próximo año. Introduce cambios en la regulación de la política de datos.

 

Entre tales cambios destaca los que obligan a disponer en plantilla de un oficial de protección de datos. Sobre todo a las empresas que trabajen con información profesional a gran escala.

 

Otro aspecto es el que complica la forma de obtener datos personales. Ya que los usuarios tienen que confirmar de forma activa que están de acuerdo con el uso de sus datos. Y además la empresa tiene que dejar muy claro el propósito por el que piden tales datos.

 

Esta normativa no afecta solo a empresas europeas. Sino a aquellas que procesen datos de ciudadanos europeos, independientemente de si está establecida o no en la Union Europea.

 

El nuevo reglamento distingue entre los controladores de datos( la organización que determina los propósitos y medios del procesamiento de datos personales). Y los procesadores de datos( el usuario que procesa los datos en nombre de otros).

 

De esta forma, el consumidor tiene nuevos derechos. Como el de recibir información clara sobre los datos que se están almacenando y la forma de corregirlos o eliminarlos por completo.

 

Del mismo modo, todas las empresas están obligadas a comunicar las brechas de seguridad que pudieran producirse. Por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos no autorizados y notificarlos en el plazo correspondiente. También será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.

 

 

El Reglamento ha entrado en vigor el 25 de mayo de 2016. Pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018.

 

Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, así como la Ley Orgánica 15/1999, de 13 de Diciembre, siguen siendo plenamente válidas y aplicables.

 

Por ello, puede ser útil para las organizaciones que tratan datos, empezar ya a valorar la implantación de algunas de las medidas previstas. Siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD. Que sigue siendo la norma por la que han de regirse los tratamientos de datos en España ya que se prevén sanciones millonarias para las empresas que incumplan la normativa. Por lo que sería recomendable acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información y considerar la privacidad de forma previa a cualquier tratamiento de datos.
 
 
Tal como señala la Agencia Española de Protección de Datos. El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la Directiva del año 1995, y a la actual normativa vigente nacional y que comenzará a aplicarse el 25 de mayo de 2018. El periodo dos años es un periodo de adaptación y preparación. O dicho de otro modo, tiene como objetivo permitir que los Estados Miembros de la Unión Europea, así como las Instituciones y también las empresas y organizaciones que trabajan con datos se vayan preparando y adaptando para el momento en que el Reglamento sea aplicable. 
Del análisis del Reglamento europeo se despliegan varios conceptos y realidades que se deberán garantizar en todos los Estados Miembros de la Unión. De este modo, se intenta crear un espacio unificado sobre las libertades y derechos de todos los ciudadanos con respecto al tratamiento de los datos de carácter personal y su información privada.
Con el objeto de que la nueva ley entre en vigor sin demora. Esto es, desde que se inicie la vigencia del Reglamento Europeo en mayo de 2018. El propio Consejo de Ministros ha recibido del Ministerio de Justicia el pasado 24 de junio el anteproyecto de la ley. Aún debe ser objeto de consultas, dictámenes  e informes que se estimen necesarios. Incluso, la consulta a los ciudadanos y entidades afectadas, sin olvidar el Dictamen del Consejo de Estado. La forma escogida es la de Ley Orgánica, se tratará de un texto amplio de unos 78 preceptos.
Según señala el mismo Reglamento ‘’Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes’’
Una figura que deberá crearse en «cualquier empresa que sea prestador de servicios de la sociedad de la información según la ley -que serían a día de hoy cualquier compañía que tenga una actividad económica en Internet (portal web, compra venta online, etcétera)- deberá contar con un DPO’’, comenta Jesús Yáñez, socio del área de privacidad de Ecija,  en el Diario Digital de Expansión.
Además, se establecen sanciones mucho más severas. Frente a los responsables o encargados del tratamiento de aquellos datos que vulneren la normativa de protección de datos. En esta línea, conllevarían unas multas de hasta 20 millones de euros o el 4 % del total del volumen de negocios anual del ejercicio financiero anterior.
Algunas de las medidas que se proponen en el nuevo Reglamento son una continuación de las anteriores. Es decir, un desarrollo; no obstante, otras tantas constituyen prácticas a reformular. Por tanto, implicará muchas reformas en el sistema de Protección de Datos de todas las entidades públicas y privadas.
Por último, un cambio importante en el nuevo Reglamento tiene que ver con el concepto de ‘consentimiento’ pues con carácter general, se exigirá que sea libre, informado, específico e inequívoco. ¿Cómo se considera que es inequívoco? El Reglamento obliga que haya ‘’una declaración de los interesados o una acción positiva que indique el acuerdo del interesado’’. Es decir, imposibilita su deducción por silencio o de la omisión de actuación de los propios ciudadanos.
Por ende, las empresas deberán analizar y revisar cada una de las formas en que se llegan a obtener y registrar los consentimientos. Es decir, no puede practicarse el denominado consentimiento tácito (prácticas aceptadas en la actual norma, pero no para la que será de aplicación en un futuro cercano).
¿Tiene alguna duda? Llámenos sin compromiso y conozca todo lo que LETRADOX ABOGADOX puede hacer por usted. Tlf. (+34) 645958948 o bien envíenos un email a info@letradox.es
Gracias a todos nuestros clientes y seguidores de redes sociales por hacer de LETRADOX el despacho más recomendado.
Atentamente,

 

Mercedes de Parada Rodríguez
Abogada nºcol. 118.218 ICAM

 

LETRADOX ABOGADOS

 

 

 

 

 

Abogado en Alcalá de Henares

 

Abogado Madrid

 

 Y Abogado España.