Tras conocerse la noticia del gran ataque informático sufrido por la empresa Equifax, esta ha comenzado a recibir múltiples demandas de sus usuarios en reclamación de indemnizaciones por los daños sufridos.
Estas reclamaciones se basan en que, según se ha sabido, la compañía no tenía instalados los sistemas de seguridad necesarios para detectar e impedir el ataque ni contaba con un responsable de seguridad informática. Esto permitió que durante casi tres meses los atacantes pudiesen sustraer sin dificultad millones de datos de los usuarios de la empresa, sin que esta fuera consciente de la situación. Y para empeorar el caso, una vez que lo supo tardó más de un mes en informar al público.
Al igual que ha sucedido en otros casos, los fallos de seguridad en las empresas están dando lugar a un aluvión de reclamaciones, abriendo así paso a una nueva línea de negocio para los despachos que puedan ofrecer a sus clientes el asesoramiento legal para actuar contra las compañías que se han mostrado negligentes en la custodia de sus datos personales.
La cuestión que se plantea es qué consecuencias tendría para una empresa española un ataque similar al sufrido por Equifax, careciendo de las necesarias medidas de seguridad.
Fuente: el pais
La Agencia Española de Protección de Datos ha advertido este viernes de que quienes participen el domingo en las mesas del referéndum que pretenden celebrar los independentistas catalanes podrían incurrir en una infracción de la normativa existente en este ámbito sancionada con hasta 300.000 euros.
Esta agencia explica en un comunicado que lanza esta advertencia tras las consultas recibidas por parte de ciudadanos sobre su designación como miembros de las mesas del 1-O y por la posibilidad de que los integrantes de esas mesas tratasen y cediesen datos del censo electoral catalán.
Fuente:mallorcadiario
Facilita RGPD, la herramienta de la AEPD para adaptarse al nuevo reglamento de protección de datos.
Aunque no entrará en vigor hasta mayo de 2018, el nuevo reglamento de protección de datos va a suponer un reto para las empresas. Para tratar de ayudarlas a su cumplimiento, la Agencias Española de Protección de Datos, AEPD, ha presentado Facilita RGPD, la herramienta para ayudar a las empresas a su adaptación.
Al igual que en otras herramientas anteriores presentadas por la AEPD, como Evalua, se trata de un pequeño cuestionario online que no les llevará a las empresas más de 15 minutos en su cumplimentación. Una vez finalizado se generan una serie de documentos, de avisos que dichas empresas tienen que incluir. Se trata de una alternativa para aquellas organizaciones que sólo realizan tratamiento de datos básicos.
A poco que se traten datos con un nivel de protección más alto tocará acudir a empresas especializadas para que realicen un análisis de riesgos. A partir de aquí tomar las medidas oportunas y seguir las recomendaciones que nos marque la consultora para la adaptación al nuevo reglamento.
Facilita_RGPD eliminará los datos aportados por las empresas durante el desarrollo de la misma, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada. Es una herramienta de carácter anónimo.
Los documentos que genera serán las cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas...
Fuente:https://www.pymesyautonomos.com/legalidad/facilita-rgpd-la-herramienta-de-la-aepd-para-adaptarse-al-nuevo-reglamento-de-proteccion-de-datos
#RGPD #LOPD #REGLAMENTE DE DATOS EUROPA
“Las empresas deben considerar cada vez más el perjuicio reputacional de incumplir el RGPD”
La aplicación a partir de mayo de 2018 del Reglamento General de Protección de Datos de Europa (RGPD) supondrá un nuevo paradigma para las empresas afectadas. Tan es así, que al margen de las sanciones económicas que implicará su incumplimiento, las compañías deberán tener en cuenta el “perjuicio reputacional” que supondrá no atenerse a las nuevas obligaciones que de él se deriven. Sobre este tema disertará Lourdes Oroz, vicepresidenta de Pribatua y miembro de la Comisión de Derecho de las Tecnologías del Colegio de Abogados de Pamplona, dentro del programa del III Congreso de Seguridad Privada en Euskadi, cuyo periodo de inscripción ya está abierto.
– ¿Cuáles son a grandes rasgos las principales novedades que aporta el Reglamento General de Protección de Datos de la UE?
El nuevo “paradigma” es que el legislador europeo ha considerado que las organizaciones ya son lo suficientemente adultas, en esta materia, como para hacer su propia valoración del riesgo y en base a ello adoptar las oportunas medidas de seguridad. La pro actividad, la organización debe acreditar que cumple con los principios y adopta las medidas. La gestión del riesgo imprescindible para determinar tanto las medidas de seguridad como para valorar la posible vulneración de derechos y libertades de las personas afectadas. Y sin lugar a dudas la incorporación de la privacidad desde el diseño y por defecto.
-¿Qué aplicación tienen estas novedades para el ámbito de la videovigilancia y la seguridad privada? ¿Qué han hecho hasta ahora las empresas que ya no podrán hacer y qué consecuencias tendrá su incumplimiento?
La evaluación de impacto es obligatoria en el caso de observación sistemática a “gran escala” de una zona de acceso público, esto supone la obligación de realizar una descripción sistemática de las operaciones de tratamiento previstas, de los fines de tratamiento, así como del interés legítimo, y que se lleve a cabo una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación a su finalidad.
En algunas ocasiones, hasta ahora, se tomaba la decisión de establecer la video vigilancia sin analizar ni realizar una ponderación entre esta medida y la restricción de los derechos fundamentales, la proporcionalidad establecida en los juicios de idoneidad, necesidad y su carácter proporcional en sentido estricto.
Un cambio importante es la obligación del responsable de tratamiento en la contratación del encargado de tratamiento, una posición que va más allá del RD 1720/2007, de velar por el cumplimiento, ahora se ha de adoptar una actitud “in vigilando” para realizar el contrato de la empresa de video vigilancia, esta empresa debe ofrecer garantías del cumplimiento de las obligaciones del RGPD, ha de poner a disposición del responsable de tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones como encargado de tratamiento y permitir y contribuir a la realización de auditorias.
El incumplimiento de las obligaciones derivadas al RGPD ha de ser de tipo económico, como hasta ahora, si bien considero que el perjuicio reputacional se ha de tener en consideración cada vez mas. Da la impresión que las sanciones se han puesto con la idea de evitar el cálculo del rendimiento por incumplir. Hemos de ir viendo como se van posicionando las autoridades de control y los tribunales.
– ¿Cómo afectará la nueva normativa a la seguridad en las comunicaciones?
El RGPD en la seguridad de las comunicaciones plantea la adopción de medidas desde el análisis de riesgos, como para todo el tratamiento de datos, en este punto la ISO 27001, el sistema de gestión de seguridad de la información, puede ser un esquema de trabajo muy válido para las organizaciones, va más allá del tratamiento de datos personales y plantea la protección de los activos y la recuperación de la actividad de la organización, máxime teniendo en cuenta el uso cada vez mayor de la “nube”.
– ¿Qué supondrá la figura del Delegado de Protección de Datos en las empresas?
La figura del DPO aún tiene mucho recorrido en nuestro país para asentarse, puede suponer un avance para dar seriedad y profesionalidad a las personas que asumen la responsabilidad de la empresa en esta materia, puede dar lugar, en empresas pequeñas a un coste añadido, para el caso de que estén obligadas a contar con esta figura.
El Esquema que la Agencia Española de Protección de datos ha sacado para la certificación de organizaciones que certifiquen a los futuros delegados de protección de datos, va en la línea de reconocer la experiencia de trabajo, al tiempo que marca la exigencia de pasar por un examen, es de esperar que garantice mayor seriedad y compromiso de la empresa en el tratamiento de los datos personales....LEER NOTICIA COMPLETA.
La AEPD aconseja como dejar de recibir publicidad no deseada.
La AEPD ha publicado un espacio web con consejos prácticos que pueden llevar a cabo, para ayudar a los ciudadanos a no recibir a través de SMS, llamadas telefónicas o por correo electrónico, publicidad no deseada.
La creación de esta sección en la web de la Agencia Española de Protección de Datos trata de fomentar la concienciación de los ciudadanos sobre los derechos que les asisten y qué pasos han de seguir para ejercerlos, y dejar así de recibir publicidad no deseada.
Inscribirse en la Lista Robinson, retirar el consentimiento, ejercer ante las empresas los derechos de oposición, cancelación, o solicitar la exclusión de las guías telefónicas son algunas de las recomendaciones prácticas que se incluyen.
¿Qué es la Lista Robinson?
Es un servicio gratuito de exclusión publicitaria, a disposición de los consumidores, que tiene como objetivo disminuir la publicidad que éstos reciben de forma abusiva.
El Servicio de Lista Robinson se enmarca en el ámbito de la publicidad personalizada, es decir, aquella publicidad que recibe un usuario direccionada a su nombre habiendo o no dado su consentimiento para recibirla.
Para el progreso de la actividad económica, el tratamiento de datos de carácter personal es vital. En particular, los tratamientos de datos con fines publicitarios se reconocen en la Directiva 95/46/CE
El fomento del legítimo ejercicio de dichas actividades debe conciliarse necesariamente con el respeto al derecho a la protección de datos de las personas, es por ello por lo que resulta necesaria la búsqueda del equilibrio entre el derecho a la protección de datos y el legítimo tratamiento de los mismos.
Esto queda plasmado en la normativa vigente: Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la misma, cuyo objetivo principal es proteger las libertades públicas de las entidades y los derechos fundamentales de los ciudadanos, estableciendo unas obligaciones para toda entidad que realice tratamientos de datos de carácter personal.
Asimismo, en lo que se refiere a las comunicaciones comerciales realizadas a través de llamadas telefónicas, correo electrónico, SMS o equivalentes, es necesario tener en cuenta lo dispuesto en la Ley 32/2003 de 3 de noviembre, General de Telecomunicaciones y la Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
La AEPD inició 282 expedientes por spam y 414 por publicidad realizada mediante otros medios en 2016, materias que se encuentran entre las cinco áreas en las que se declaran un mayor número de infracciones relacionadas con la Ley de protección de datos, por lo que con la creación de este espacio, estructurado en ocho secciones, la Agencia quiere ofrecer al ciudadano una información clara y completa ...LEER NOTICIA COMPLETA.