Ir al contenido principal

GDPR: NUEVA LEY DE PROTECCIÓN DE DATOS EN EUROPA

El Reglamento de Protección de Datos comenzó a regir el viernes 25 de mayo en Europa, estableciendo mayor control para los ciudadanos e importantes sanciones para las entidades que no garanticen la seguridad establecida.



El viernes 25 de mayo de 2018, entró en vigencia el nuevo Reglamento General de Protección de Datos Personales (en inglés, General Data Protection Regulation o “GDPR”), con el fin de devolverles a los ciudadanos europeos el control de sus datos personales. De todos modos, no posee impacto únicamente en Europa, sino que tiene implicaciones más amplias para las empresas de todo el mundo que procesan datos en dicho continente.

GDPR no es nuevo, existe desde 2016 (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) pero desde este viernes 25 comenzó a ser aplicada obligatoriamente. Se trata de la nueva ley única de protección de datos, la cual introduce importantes cambios en todas las leyes europeas de privacidad y sustituye la obsoleta Ley de protección de datos de 1995. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.

En España, la actual RGPD va a sustituir a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) aprobada por las Cortes Generales el 13 de diciembre de 1999.

En las últimas semanas, Google, Twitter, Facebook, Spotify, tiendas digitales, bancos, portales turísticos y muchos otros servicios, comenzaron a enviar correos electrónicos con novedades en sus términos y condiciones de servicio y políticas de privacidad.

La norma reconoce dos derechos que ya se encontraban dentro de las normativas europeas: por un lado, el “derecho al olvido", es decir, a la eliminación de datos propios en la web; por otro, el “derecho a la portabilidad de información”, esto es, la posibilidad para cada usuario de llevarse sus datos de una plataforma a otra.

Además del “derecho a ser olvidado”, la ley incluye disposiciones que potencialmente podrían aumentar los derechos de los consumidores sobre sus datos. Las leyes relativas a la libertad de expresión impedirán que “el derecho a ser olvidado” se extienda a los artículos de prensa. Más precisamente, los ciudadanos podrán solicitar que su nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web o redes sociales, información médica o una dirección IP sean eliminados cuando ya no sean necesarios, cuando se haya retirado el consentimiento y en los casos en los cuales se hayan recolectado de forma ilícita.

Esto implica, por ejemplo, que los usuarios abarcados por la GDPR deberán ser informados cuando sus datos queden expuestos en un cibercrimen. Por otro lado, también abarca el acceso a la posibilidad de corrección de los propios datos personales. 



Cronología

Para establecer una cronología del proceso para la aprobación de la GDPR, la cual se lanzó el 25 Enero de 2012, debemos contemplar:

·         21 de octubre de 2013: Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) tenía su voto de orientación.
·         15 de diciembre de 2015: Negociaciones entre Parlamento Europeo, Consejo y Comisión (tripartito) resultó en una propuesta conjunta.
·         17 de diciembre de 2015: La comisión LIBE del Parlamento Europeo votó positivamente sobre el resultado de las negociaciones entre las tres partes.
·         8 de abril de 2016: Adopción por el Consejo de la Unión Europea.​ El único estado miembro que votó en contra fue Austria, argumentando que el nivel de protección de datos en algunos aspectos es bajo en comparación con la directiva de 1995.
·         14 de abril de 2016: Adopción por el Parlamento Europeo.
·         El reglamento entró en vigor 20 días después de su publicación en el Diario oficial de la Unión Europea el 4 de mayo de 2016.​ Sus disposiciones serán directamente aplicables en todos los estados miembros dos años después de esta fecha.
·         Será aplicada de forma obligatoria a partir del 25 de mayo de 2018.

Sanciones

La nueva ley establece las siguientes sanciones debido a su no cumplimiento:

·         Una advertencia por escrito en los casos de incumplimiento previo e intencional,
·         Auditorías periódicas de protección de datos,
·         Una multa de hasta 10,000,000 o hasta el 2% del volumen de negocios mundial anual del ejercicio anterior en el caso de una empresa, cualquiera que sea mayor, cuando haya habido una infracción de las siguientes disposiciones (Artículo 83, Párrafo 4):
·         Las obligaciones del controlador y del procesador de conformidad con los artículos 8, 11, 25 a 39, 42 y 43,
·         Las obligaciones del organismo de certificación de conformidad con los artículos 42 y 43,
·         Las obligaciones del organismo de supervisión de conformidad con el artículo 41 (4).
·         Una multa de hasta 20,000,000 o hasta el 4% del volumen de negocios anual del año financiero anterior en el caso de una empresa, cualquiera que sea mayor, cuando se haya infringido las siguientes disposiciones : (Artículo 83, párrafos 5 y 6).
·         Los principios básicos para el procesamiento, incluidas las condiciones para el consentimiento, de conformidad con los artículos 5, 6, 7 y 9,** the data subjects' rights pursuant to Articles 12 to 22,
·          Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional de conformidad con los artículos 44 a 49,
·         Cualquier obligación conforme a la ley de los Estados miembros adoptada en virtud del Capítulo IX,
·         El incumplimiento de una orden o una limitación temporal o definitiva del procesamiento o la suspensión de los flujos de datos por parte de la autoridad supervisora ​​de conformidad con el artículo 58 (2) o la falta de acceso en violación del artículo 58 (1)







Es una herramienta destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral. Se encuentra disponible gracias a la publicación de la Agencia Española de Protección de Datos.
Es un programa de ayuda general. Los documentos resultantes serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para facilitar el cumplimiento del Reglamento General de Protección de Datos."





________________________________________________________________________ 

Para mayor información, visite:

GDPR Key Changes
General Data Protection Regulation GDPR
Reforma de 2018 de las normas de protección de datos de la UE
Qué es la GDPR: guía para entender la nueva ley de protección de datos




Etiquetas:

Entradas más populares de este blog

MISP - Malware Information Sharing Platform

Les presentamos una gran plataforma.  Es MISP - Malware Information Sharing Platform.  ¿Qué es MISP? MISP  , Malware Information Sharing Platform y Threat Sharing , es una solución de software para recopilar, almacenar, distribuir y compartir indicadores de  amenazas  ciberseguridad.  Permite el análisis de incidentes de seguridad, como así tambien el de malware. El MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC. El objetivo del  MISP  es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero.  MISP  proporciona funcionalidades para respaldar el intercambio de información, pero también el consumo de la información por parte del Sistema de Detección de Intrusión en la Red (NIDS), Sistemas de Análisis de Logs (LIDS – Log-Based Intrusion Detection), SIEM . ¿Cómo funciona? Las funcionalidades principales de MISP , Malware Information Sharing y Threat Sharing son: - U
Publicar un comentario
Leer más

Palo Alto Networks adquiere el proveedor de SOAR - Demisto

La compañía Palo Alto Networks, con sede en Santa Clara, California, ha firmado un acuerdo definitivo para adquirir el proveedor de SOAR  (Automated Incident Response and Security Orchestration)  Dimisto, por $560 millones de dolares. El presidente y CEO de Palo Alto Networks, Nikesh Arora, dijo que la adquisición ayudará a acelerar la estrategia del Application Framework de Palo Alto Networks y mejorará la efectividad de los equipos de seguridad que necesitan soluciones. "No podemos resolver la seguridad al implementar más y más soluciones que nos alertan sobre posibles problemas; necesitamos soluciones" , dijo Arora durante una conferencia telefónica. "Demisto es un líder en el espacio en evolución llamado " orquestación de seguridad, automatización y respuesta ". Con Demisto, agregamos más analíticas de seguridad y tecnologías de automatización a nuestra plataforma y podemos fortalecer los resultados de seguridad que entregamos a nuestros 60,000 clientes
Publicar un comentario
Leer más

Agile Cybersecurity Action Planning (ACAP)

La ciberseguridad está operando en un entorno de imprevisibilidad, cambio de tecnología acelerado y una alta complejidad de amenazas . Con demasiada frecuencia, las respuestas a los ataque de ciberseguridad se basan en metodologías antiguas, engorrosas y lentas basadas en elementos críticos para dar una respuesta a dichos ataque de forma exitosa. Para enfrentarse a las amenazas de seguridad emergentes, las estrategias de protección de la ciberseguridad deben ser holísticas, ágiles y adaptables. La cultura organizativa de los departamentos de ciberseguridad debe ser lo suficientemente resistente como para trabajar con una estrategia flexible e inteligente con el fin de contrarrestar el entorno inevitablemente cambiante en el que nos encontramos. Con el simple hecho de los procesos actuales orientado al cumplimiento normativo y legislativo, se provoca que las organizaciones de ciberseguridad no puedan adaptarse a las condiciones cambiantes y emergentes nuevas. La solución, el Agile
Publicar un comentario
Leer más