rgpd-asesor-Sevilla

La Auditoría informática RGPD se hace necesaria en muchas ocasiones para supervisar y comprobar que los datos están siendo tratados de manera adecuada en la empresa. Y que se cuenta con las medidas necesarias para protegerlos. En González Pérez contamos con personal experto en protección de datos. Nuestro peritos informáticos y abogados en Sevilla pueden ayudarle.

Una empresa que trabaja con datos personales, qué medidas tiene que cumplir

  • Fisicas (poner un candado, un firewall, sistemas para que no entren en la empresa)
  • Organizativas (marketing no podrá ver datos de trabajadores, pero el departamento que hace las nominas, si)
  • Lógicas (informáticas – antivirus – contraseñas – copias – accesos)
  • Formación (si se encuentran un pendrive no pueden meterlo en el PC. Hay que documentar que se ha formado al personal y lo tiene que firmar el empresario y las personas formadas. Si es online, debe acreditarse el test con un certificado y firmado físico. Seguridad en los datos y Ciberseguridad.
  1. El documento de seguridad SIGUE existiendo.
  2. El contrato de tratamiento debe firmarse: tengo clientes y necesito enviarle correos. Tú tienes la plataforma de envío. Hay que tener dos contrato uno de prestación y otro de encargado de tratamiento (no vender datos, borrarlos al finalizar) y obligas a implementar las medidas de seguridad que tú tienes que cumplir. Si guardo mis ficheros en dropbox, éste tiene que implantar mis sistemas de seguridad. El modelo está en la AGPD.

¿Se pueden recuperar datos de RRSS que deja la gente de forma pública?

Si, se pueden extraer previo consentimiento del usuario.  En ciertos casos se puede utilizar el interés legítimo. Tú eres un deudor y necesito tus datos. Pues yo puedo usando el interés legítimo para localizar mis datos y enviarte al cobrador del frac.

Preguntas típicas Sobre RGPD

Tratamiento con Sensores

Te voy a vender micros y otros sensores para que todo funcione. Todo puede recibir datos de carácter personal como el calor corporal, humedad, etc. Esos datos están cubiertos, pero deben estar protegidos. Si no cumplo las medidas de seguridad, alguien puede manipular los datos y se estaría infringuiendo la RGPD.

Qué pasa con los datos de los CV

¿Cúanto tiempo hay que mantener los CVs desde que los ha recibido para seleccionar al adecuado? Si queremos mantenerlos durante un año, hay que borrarlos del sistema. Son personas que nos han pedido trabajo y no se lo hemos dado, Debemos borrarlo. Si lo queremos para finalidad histórica hay que borra el nombre, dni… es decir, los datos personales.

Borrado de datos en copias de seguridad

Si yo tengo una base de datos y le hago copias de seguridad junto con otra información de la que almaceno datos. ¿Qué pasa si llega un usuario y quiere que borremos los datos de él y los que tengamos de él en las copias?. Tenemos que aplicar el bloqueo que es que nadie va a tener acceso a ese dato. No se suprime por la imposibilidad técnica porque es casi imposible montar todas las copias, acceder a ese dato y volver a hacer la copia. Es decir, tengo que aplicar un documento para decir que ha pedido el borrado, que no se va a usar y que nunca se use.

Cookies

El fin es saber qué van a hacer con nuestros datos. Si nos hacen una pregunta por el formulario, el cliente puede seleccionar si quiere sólo que le respondan o bien que le sigan mandando documentación.

La ley de cookies debe informar al usuario sobre qué se va a hacer con su navegación y ahora aceptarlo expresamente.

Si LOPD utilizaba las cookies para creación de contraseñas, uso de perfiles, etc. Ahora, además, debe aceptarlas todas. Ahora el usuario debería seleccionar de forma única por cada una, aunque no está implantado Más adelante, los navegadores podrán bloquear cookies en función de su uso.

Encriptación y evitar el dato robado

Si los datos son robados, no deben ser visualizados fuera de la empresa. Deben estar encriptados. Los programas de encriptación son económicos para equipos básicos y las suites son asequibles para empresas medianas.

Las multas son hasta de 20mm eur o 4% del negocio global, eligiéndose la más alta. La multa se paga a la AEPD a través de la adminsitración pública.

  • Si has sufrido una brecha de seguridad, tienes 72 horas para notificar a la AEPD y la agencia te puede derivar a comunicar el hecho a los afectados para decirles que han sido sus datos robados.
  • Si me han borrado las bases de datos y no puedo enviar el aviso (me han robado o encriptado con un ramsonware la base de datos y no tengo acceso a mis propios datos), me tengo que ir a un medio público y grande, por ejemplo google o fb y comunicarlo. Si son personas mayores, por ejemplo, debería ir al mundo del periódico, que es más accesible a este tipo de público.
  • Y además, hay que pagar una indemnización a los afectados por la brecha de seguridad.

¿Una floristería debería tener cifrado? si un ciberdelincuente accede a la base de datos y no ve nada útil y se va. Esa entrada del ciberdelincuente no obliga a dar el aviso a la AEPD. Las suites de Sophos o Eset son fáciles y también valen para activarlo en un Pendrive y llevarlo encriptado.

Formar a los empleados

Atención con los empleados que se llevan los datos a casa. La responsabilidad es del empresario y es quien paga la multa. Que un empleado te robe os datos es la propia empresa que ha fallado en su deber de vigilar y formar.

Cuando la empresa haya pagado, hará denuncia en contra del empleado. El empleado no tendrá tando dinero para pagar a la empresa. Hay que mitigar ese riesgo.

Caso de Detectives o Peritos

Los agobados tienen autoridad legal para investigar o contratar a un investigador. Se puede buscar en las redes y buscar datos de otros porque está contratado para este fin. Cualquier otra persona con esta capacidad, puede repetir su derecho con el subcontratado mediante un contrato.

Es típico en este tipo de investigación usar las ventanas de incógnito: en google chrome, se puede abrir una ventana de navegación de incógnico que no lleva las cookies de acceso en redes sociales y así voy a dejar lo que se deja que google muestre al exterior.

Delegado de Protección de Datos: DPO / DPD

Qué empresas tienen que tenerlo: Aún no hay norma para inscribir al DPD en la AEPD. Pero en el documento interno, si hay que tenerlo.

¿Quién tiene que tenerlo? Administración pública, empresa que usen muchos datos (elaboración perfiles o envios y prospección comercial), y aquellas empresas que tengan datos especiales (politica, sexual, biometricos) o datos de denuncias o penales. Por ejemplo, una panadería no necesita un DPO.

Datos en la nube

Yo tengo que securizar los datos en local. Si lo almaceno en la nube, tiene que estar en un sitio que cumpla y que tenga los servidores en paises aprobados en escudo CEE. Si no, tengo que firmar un contrato de tratamiento para no tenir que pedir autorización a la AEPD.

Exigir a esa empresa las mismas medidas de seguridad que implementa en local, quién tiene acceso donde están los datos.

En el artículo 37 de la RGDP explica cómo elegir el DPO, conocimientos específicos en derechos, práctica en protección de datos; y en el artículo 39, habla de las funciones del delegado de protección de datos, que debe estar alerta pendiente, vigilar entre los departamentos que se cumpla la normativa, formación activa y contínua, evaluación, tratamiento, etc. Habrá dos tipos de DPO: con prácita y con título.

  • Autónomos: ellos mismo formarse y preguntar a la AEPD que tiene quía gratuítas.
  • Medias empresas (<50) equipo interno o externo. Lo mejor e xternalizar el servicio
  • Grandes empresas Generar equipo para protección de datos y mantenimiento informático más el Compliance Digital. Y un respaldo externa para respuesta rápidas a preguntas complejas

De aquí la necesidad de realizar el peritaje informático de cualquier prueba informática.