Probablemente, usuarios, empresas y organizaciones se han visto abrumados por la gran cantidad de información que, en los últimos meses, han recibido o visto publicada sobre el Reglamento General de Protección de Datos (RGPD). Incluso, no sería atrevido decir que algunas compañías han sufrido ataques de nerviosismo según se acercaba el 25 de mayo. Por eso, vamos a tratar de ser prácticos. Aunque pueda parecer demasiado, vamos a elaborar una lista de tareas con las medidas técnicas (cifrado, controles de acceso, continuidad de negocio, etc.), organizativas (políticas corporativas, procedimientos internos, derechos y obligaciones de los empleados, custodia y mantenimiento de la documentación, etc.) y legales de cumplimiento, que nos ayude en la tarea.

¿QUÉ QUEREMOS HACER? (para qué quiero los datos y qué quiero hacer con ellos)

√ Identificar los tratamientos.

√ Crear un Registro de Actividades de Tratamientos (RAT): en ocasiones hay que hacerlo.

√ Realización de Análisis de Impacto: posiblemente, sea necesario llevarlo a cabo para saber el impacto que puede tener el tratamiento que queremos hacer en los titulares de los datos, ya que puede ser alto.

√ Consulta previa a la Agencia de Protección de Datos: si el impacto es alto, tendré que pedir permiso a la AEPD o el organismo de control correspondiente.

¿CÓMO NOS ORGANIZAMOS?

√ Nombrar un Delegado de Protección de Datos: no siempre es obligatorio, pero es recomendable. Va a ser el contacto entre la Agencia Española de Protección de Datos y la empresa. Es el defensor del titular de los datos dentro de la organización. No es el que ejecuta el cumplimiento, es el que se encarga de que alguien lo haga.

√ Establecer roles, responsabilidades y autoridades: responsable del ejercicio de los derechos, responsable de las notificaciones a la AEPD, responsables técnicos, etc.

√ Identificar un Código de Conducta Sectorial: estos códigos servirán como herramientas para que los responsables y encargados puedan demostrar el cumplimiento, teniendo en cuenta las características y necesidades específicas de los distintos sectores.

GARANTIZAR LOS DERECHOS DE LOS TITULARES

√ Informar a los titulares de lo que se pretende hacer y cómo ejercer sus derechos.

√ Pedir consentimientos de cada tratamiento.

√ Realizar acuerdos contractuales con terceros encargados del tratamiento.

√ Implantar un procedimiento de atención a los derechos ARCOPO:

• Derecho de acceso
• Derecho de rectificación
• Derecho de cancelación
• Derecho de oposición
• Derecho a la portabilidad
• Derecho al olvido

√ Si alguien quiere hacer uso de sus derechos, debemos saber qué hacer.

MEDIDAS DE SEGURIDAD (ANTES RD1720)

Antes el legislador especificaba qué medidas técnicas había que cumplir para garantizar la seguridad de los datos, pero la tecnología es tan rápida que se esas medidas se quedaban obsoletas casi a la par que nacían. Ahora hay que autorregularse: hacer el análisis de riesgos, seleccionar controles de mitigación (por ejemplo, los de la ISO 27002).

√ Realizar un Análisis de Riesgos (ISO 31000 – MAGERIT)

Existe una probabilidad de que me pase algo y, cuando me suceda, voy a tener un impacto: Probabilidad X Impacto = Riesgo

Este análisis responde a la pregunta: ¿cómo afecta a los usuarios la pérdida de confidencialidad, integridad y disponibilidad de sus datos?

Pretende analizar de un modo sistemático cómo pueden verse afectados los datos ante distintos escenarios de riesgo, que tenemos que definir. Para cada escenario de riesgo, definiremos una probabilidad de ocurrencia y un impacto estimado.

De la correcta selección de escenarios, y de la buena estimación de probabilidad e impacto, dependerá la exactitud del modelo.

√ Seleccionar controles de mitigación (ISO 27002 – ENS)

Conocidos los riesgos, hay que establecer un Plan de Tratamiento. Este Plan puede derivarse de un conjunto de controles (ISO 27002 establece un conjunto adecuado, completo y sencillo).

√ Implantación de las contramedidas de reducción de riesgo

Para cada control seleccionado, debemos aplicar la denominada “seguridad por capas”, que permitirá la gestión completa de cada control.

√ Implantar un mecanismo de vigilancia y control: será necesaria la monitorización avanzada y un sistema de control.

RESPUESTA ANTE INCIDENTES

√ Implantar planes de respuesta a incidentes de seguridad.

√ Implantar un procedimiento de notificación de brechas.

MEJORA CONTINUA

Estaremos permanentemente en una fase de mejora continua. Cada año habrá una revisión, una mejora de los procesos, etc.

√ Auditoría periódica

√ Planes de mejora

√ Certificación del sistema

by