Consultoría normativa GDPR


Consultoría normativa GDPR
Actualidad, 916 veces leido

La primera Directiva de protección de datos de la UE fue escrita en 1995, pero se ha elaborado una nueva reglamentación más estricta para tener en cuenta los enormes cambios tecnológicos de los últimos 20 años. Esta nueva normativa ya se encuentra vigente en este 2017.

 

A continuación se presentan 10 de los elementos más importantes que las organizaciones europeas han eliminado del borrador actual, para poder aprobar la nueva normativa 2017.

 

1. Se trata de un reglamento, no de una directiva

 

Los términos regulación y directiva suelen utilizarse indistintamente, pero son muy diferentes. Una directiva es implementada y aplicada por países individuales, pero las regulaciones se convierten en ley sin cambios cuando se aprueban. La actual directiva de protección de datos de la UE se asemeja a un mosaico de leyes ligeramente diferentes en toda Europa, pero la nueva regulación se aplicará en los 28 países. Podemos canalizar todas las dudas a través de nuestro servicio de Consultoría protección datos Madrid.

 

2. Los procesadores de datos serán responsables de la protección de datos

 

En virtud de la Directiva, cualquier dato "por el cual un individuo pueda ser identificado" era responsabilidad exclusiva del responsable del tratamiento, es decir, del titular de estos datos. Sin embargo, de acuerdo con las nuevas regulaciones, cualquier compañía o individuo que procese estos datos también será responsable de su protección, incluyendo a terceros como proveedores de la nube. En pocas palabras, cualquier persona que toque o tenga acceso a sus datos, dondequiera que estén basados, es responsable en el caso de una violación de datos. Las ramificaciones de esto son bastante amplias. Los terceros tendrán que ser más vigilantes cuando se trata de asegurar los datos de otros, y los propietarios de datos querrán examinar a fondo a sus socios. Desde nuestra Consultoría protección datos Madrid podemos ayudarle a despejar todas las incógnitas de este nuevo reglamento.

 

Con la nueva normativa en mente, las organizaciones deberían pensar en revisar sus contratos con terceros ahora. En el caso de los proveedores de la nube considerar seriamente tener, como parte de su contrato, la capacidad de revisar cuidadosamente sus procedimientos e incluso instalaciones para asegurarse de que están a la altura. Muchos proveedores de servicios en la nube, especialmente aquellos basados ​​fuera de la UE, pueden no creer que la reglamentación se les aplica, es evidente que lo harán.

 

3. El reglamento tiene ramificaciones globales

 

No deje que los términos "UE" o "Europa" le engañen, la nueva regulación afecta a toda organización mundial que pueda tener datos sobre ciudadanos y residentes de la UE. El daño a la reputación es también un elemento clave de una violación de datos y es probable que la nueva reglamentación armonice las políticas de "nomenclatura y vergüenza" en cada país. Por ejemplo, en el Reino Unido, la Oficina del Comisario de Información emite comunicados de prensa cuando las organizaciones son sancionadas en este momento, mientras que algunos otros países son actualmente bastante "tacto ligero.

 

4. Los usuarios podrán presentar reclamaciones de indemnización

 

El reglamento permitirá a los usuarios reclamar daños y perjuicios en caso de pérdida de datos como resultado de un procesamiento ilegal, incluyendo la reparación colectiva, equivalente a una demanda colectiva de estilo estadounidense. Esta es otra de las características en donde podemos aplicar nuestra Consultoría protección datos Madrid. La alta dirección necesitará una buena comprensión de qué tipo de impacto tendría en su negocio. No sólo los daños legales pueden ser increíblemente costosos desde una perspectiva financiera, sino que también representan daños de reputación como los casos pueden llevar a cabo durante años y mantener la historia en el ojo público durante todo este tiempo. Sony, por ejemplo, enfrenta actualmente siete demandas colectivas después del hack del año pasado. El público será recordado de las fallas de seguridad de Sony una y otra vez.

 

5. Hay normas más estrictas sobre la transferencia de datos sobre ciudadanos de la UE fuera de la UE

 

Incluso si se permite compartir (por más legítimo que se considere que sea el responsable del tratamiento de datos), actualmente la Directiva prohíbe transferir datos personales fuera del Espacio Económico Europeo (EEE) a menos que el controlador garantice un nivel adecuado de protección de la privacidad.

 

Al negociar con un proveedor de la nube, plantea la cuestión de si se les permite mover datos entre países como parte del contrato, si tienen que informarle de tal movimiento o sólo pueden hacerlo a su solicitud. Obtener visibilidad en la sede de CSP y las instalaciones de almacenamiento de datos (no asumir que es el mismo) y también en los países donde emplean a personas que administran el servicio. Además, si bien la Directiva permite que un responsable del tratamiento de datos decida si un tercero proveedor está a salvo, en virtud del Reglamento, sólo la Comisión puede hacerlo.

 

6. Derechos armonizados de solicitud de usuario

 

Bajo la directiva, los usuarios ya tienen derecho a ver los datos recopilados sobre ellos. Sin embargo, actualmente cada país define la forma en que deben responder los controladores de datos (el Reino Unido permite 40 días) y en la nueva regulación el plazo se armonizará, probablemente hasta 20 días.

 

7. Nuevos derechos de borrado

 

En la nueva regulación, los usuarios también pueden exigir que sus datos sean borrados. Esto puede sonar sencillo, pero no siempre es tan simple. Si una persona dijo que quería ser removido de una de sus bases de datos, ¿cómo lo haría? ¿Tendría que eliminar datos de varios sistemas? ¿Están los protocolos de sincronización en su lugar que harían difícil hacerlo? ¿Tiene procesos ahora para esto y cómo quitaría la información de contacto de bases de datos individuales o hojas de cálculo? Estas son preguntas que necesitan responder ahora, no después de que la regulación entre en juego. Podemos ayudar a su empresa a interpretar y sacar partido mediante nuestra Consultoría protección datos Madrid.

 

8. Es su responsabilidad informar a los usuarios de sus derechos

 

Conforme a las nuevas regulaciones, los controladores deben informar y recordar a los usuarios sus derechos, así como documentar el hecho de que les han recordado sus derechos. Además, los usuarios no deben tener que opt-out de sus datos que se utilizan, deben opt-in a sus sistemas. Esto es más estricto que la directiva actual y las empresas que caen en falta de estas medidas se enfrentarán a multas más grandes.

 

9. Sanciones más severas y informes simplificados sobre incidentes

 

Este es el más grande. En caso de que hubiera dudas sobre la gravedad de los reguladores están tomando la cuestión de violación de datos, las sanciones se han hecho mucho, mucho más difícil. Las multas pueden alcanzar los 100 millones de euros, o el 5 por ciento de los ingresos globales (lo que sea más alto).

 

En la actualidad, diferentes países tienen normas diferentes sobre la información de pérdida de datos tanto para el regulador como para los usuarios. El reglamento tiene la intención de racionalizar el proceso, lo más probable es que los reguladores deben ser informados en 72 horas - a menos que, según el requisito de "expectativas razonables" (explicado brevemente), los datos sean cifrados o tokenizados.

 

Se puede argumentar que algo falta en esta nueva regla, es decir, cuánto tiempo las organizaciones tienen que informar a los usuarios. TalkTalk, por ejemplo, recientemente sufrió una violación de datos e informó a los reguladores dentro de las 72 horas requeridas. Sin embargo, los usuarios no fueron informados hasta varios meses más tarde, en cuyo tiempo los hackers habían utilizado la información de contacto robada a los clientes de TalkTalk por teléfono / correo electrónico, pretendiendo ser de la compañía en un intento de robar dinero. TalkTalk debería haberse movido más rápido para informar a sus clientes de la violación de datos.

 

10. Cifrado y tokenización puede venir a su rescate

 

No todas las malas noticias, hay una pieza en el reglamento que dice que los controladores deben satisfacer las "expectativas razonables" de los individuos de la privacidad de los datos. Este es un término interesante ya que las regulaciones estipulan que los datos tokenised, cifrados o pseudo-anonomised satisfacen realmente estas expectativas. Esta es una gran noticia, ya que permite a las organizaciones cifrar o cifrar datos antes de subir a la nube. Suponiendo que las compañías mantengan las claves de cifrado en sus propias premisas, en primer lugar la pérdida de datos es mucho menos probable y, si sucede, pueden mostrar a los reguladores que tomaron medidas para "satisfacer las expectativas razonables de los individuos de privacidad de datos".

 

Conclusión

 

Este es el momento ideal para que los equipos de TI, seguridad y cumplimiento revisen los nuevos requisitos, busquen orientación legal y establezcan procesos que permitan el cumplimiento. Hay muchos otros cambios aparte de estos diez, proporciona detalles adicionales sobre las áreas más importantes, especialmente cuando afecta el uso de servicios en la nube y los datos almacenados en la nube.

 

Más información: www.exevi.com

www.exevi.comConsultoría normativa GDPR


0 Comentarios sobre Consultoría normativa GDPR


Tu dirección de email no será publicada. Todos los campos sob oblogatorios.

posicionamiento en buscadores
Vive Sex Shop - Tienda online de Juguetes eróticos
¿Quieres ayudarnos?
Coloca un enlace en tu web o blog a nuestro diario:
<a href="http://www.diario-abc.com/">Notas de prensa</a>
Diario ABC www.diario-abc.com
Diario digital de libre participación, formado por agencias, empresas y periodistas que desean publicar notas de prensa y dar así a conocer sus servícios o productos.
Este portal de notas de prensa pertenece al grupo Cerotec Estudios www.cerotec.net, formado por más de 40 portales en internet.
© Diario Abc 2019