• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / De la LOPD al RGPD

De la LOPD al RGPD

17 noviembre, 2017 Por Hispasec Deja un comentario

El 12 de septiembre de 2005, se publicaba la entrada titulada “Seguridad informática y protección de datos”. Hoy, 12 años más tarde y a seis meses de su fecha de aplicación, hablamos del Reglamento General de Protección de Datos y vamos a tratar de señalar qué ha cambiado desde entonces y qué implica su aplicación, tanto para la empresa responsable del tratamiento de los datos de carácter personal (o encargado del mismo por parte de un responsable) como para el ciudadano (titular de los mismos).


El RGPD es un Reglamento Europeo que entró en vigor el 25 de mayo de 2016, es una legislación europea, de aplicación directa en todos los países de la UE, al contrario que la LOPD (Ley orgánica de protección de datos), legislación española que responde a la transposición de la directiva europea 95/46. 

Además del RGPD, tendremos como compañera de este a la “nueva” LOPD (aprobada en el Consejo de Ministros del pasado viernes 10 de noviembre), que podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite, por lo que será necesario acudir a la LOPD y al RGPD para conocer las obligaciones y derechos que nos afectan. 

El RGPD no sólo es de aplicación a todo responsable o encargado establecido en la UE, sino que lo es también a empresas establecidas fuera de la Unión que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea. Es decir que el RGPD pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

El RGPD en las empresas.

Vamos a desarrollar fundamentalmente los aspectos que pueden ser del interés de las empresas, en su papel de responsables y/o encargados de tratamiento. El RGPD contiene también novedades importantes, que entran en el apartado de los Derechos del titular de los datos, y que, por tanto, suponen obligaciones para los responsables y encargados de tratamiento. 

Como comentario general, diríamos que el nuevo escenario es más flexible y exige, por tanto, más atención para las empresas. Frente a unas formas de pensar “tabuladas” (como han sido los conocidos niveles básico, medio y alto de medidas de seguridad detallados en el reglamento de desarrollo de la “vieja” LOPD), se imponen formas de pensar más abiertas, en las que aparecen conceptos como el enfoque a riesgos, la evaluación de impacto o la protección de datos desde el diseño.

Como idea fundamental, el RGPD obedece al principio de responsabilidad proactiva que requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo para, a partir de este conocimiento, determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. 

Comenzando por el principio, en la obtención de datos de carácter personal, aparece uno de los cambios importantes del RGPD en relación a la LOPD: la forma de obtener el consentimiento del interesado para el tratamiento de sus datos, que exige que sea libre, informado, específico e inequívoco, lo que deja sin valor el consentimiento tácito hasta ahora permitido. Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa. 

Además de la nueva forma de obtener el consentimiento, las empresas deben informar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre la base legal para el tratamiento de los datos, los períodos de retención de los mismos y otros aspectos. Adicionalmente se debe informar sobre la forma de ejercicio de sus derechos al titular de los datos, teniendo en cuenta que se han añadido derechos como el de portabilidad, que obliga a las empresas a proporcionar al interesado la información que se tiene de él en un formato estructurado, de uso común y lectura informatizada. 

Como decíamos, las medidas de seguridad a aplicar a los tratamientos de datos no se establecen ya en función de unos niveles básico, medio y alto. En el RGPD se define que los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de los tipos de tratamiento, la naturaleza de los datos o el número de interesados afectados. 

Tampoco el Documento de Seguridad, exigido en el reglamento de desarrollo de la LOPD y en el que se establecen los niveles de seguridad básico, medio y alto está ya en el RGPD. No obstante, se deberá disponer de un registro de actividades de tratamiento, que deberá contener información sobre finalidades del tratamiento, categorías de datos personales tratados, sistemas de tratamiento y medidas de seguridad aplicadas. 

El RGPD introduce otro aspecto también nuevo en la protección de datos desde el diseño, que exige que se analice en términos de protección de datos, desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.

Como hemos comentado, las medidas de seguridad que se deberán tener en cuenta no se relacionan en el RGPD con el tipo de datos personales que se tratan, como ocurría en la LOPD. En su lugar, se establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Para ello, los responsables podrán llevar a cabo una evaluación de impacto sobre la protección de datos con carácter previo a la puesta en marcha de aquellos tratamientos, que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Por último, analizamos una de las novedades más importantes del RGPD, mediante la cual la posición de las empresas se pretende que sea más proactiva y de mayor responsabilidad en todo lo relativo a la protección de datos de carácter personal. El RGPD establece para ello la figura del Delegado de Protección de Datos (DPD) que será obligatoria en algunos casos.

  • Autoridades y organismos públicos.
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.


Y otros que se enumeran en el borrador de la nueva LOPD. 

El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea.

Es importante tener en cuenta, en relación con la obligación de nombrar un DPD (cuando sea exigible) que: 

  • Se permite nombrar un solo DPD para un grupo empresarial.
  • Se permite que el DPD mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios.
  • Está permitido que el DPD desarrolle sus funciones a tiempo completo o parcial.
  • Para definir las funciones del DPD se deberá atender a lo establecido en el RGPD.


Este último aspecto del RGPD analizado ya permite prever un crecimiento importante en la prestación de servicios de “outsourcing” del rol del DPD por las organizaciones, públicas y privadas, por la dificultad de incorporar a profesionales del perfil requerido y por la facilidad que supone la posibilidad de acudir a un contrato de servicios.

En este sentido, es importante señalar la AEPD promueve un sistema de certificación de profesionales de protección de datos como herramienta de evaluación de candidatos a DPD.Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados y en las que se tienen en cuenta tanto la formación acreditada como la experiencia en labores relacionadas con la protección de datos de carácter personal.

Juan Carlos López
AIDCON CONSULTING
Más información:

Reglamento General de Protección de Datos
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf

Anteproyecto de Ley Orgánica de Protección de Datos
http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428461386?blobheader=application%2Fpdf&blobheadername1=Content-Disposition&blobheadervalue1=attachment%3B+filename%3DAPLO_Proteccion_Datos_Caracter_Personal_Texto.PDF

Guía del Reglamento General de Protección de Datos para responsables de tratamiento
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf






Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR