lunes, 20 de noviembre de 2017
jueves, 16 de noviembre de 2017
Delegado de Protección de Datos
| Las empresas españolas deberán nombrar un Responsable de Protección de Datos en seis meses
La Vanguardia
|
MADRID, 15 (EUROPA PRESS)
Todas las organizaciones globales, tanto las establecidas en los países miembros como las que operan con la UE, deberán adaptar sus compañías al nuevo Reglamento General de Protección de Datos europeo (RGPD) en un plazo de seis meses, fecha en la que entrará en vigor. La nueva legislación contempla entre sus medidas más novedosas la obligación de nombrar o contratar a un Responsable de Protección de Datos dentro de las empresas.
Según se desprende de un documento de trabajo elaborado por firma de servicios profesionales Grant Thornton, el nuevo reglamento europeo establece nuevos derechos en materia de protección de datos para las personas y refuerza las protecciones actuales, aplicando requisitos más estrictos a los procedimientos en que las empresas utilizan los datos de carácter personal.
De hecho, la génesis de esta nueva legislación se encuentra en el volumen y creación de datos que suscita la proliferación del uso de Internet, las redes sociales, el cloud computing o la geolocalización, entre otras actividades habituales para cualquier ciudadano o empresa en la actualidad.
Según el socio de Innovación y Tecnología de Grant Thornton, Luis Pastor, "el nuevo reglamento nace teniendo en cuenta las exigencias de tecnología digital en el que operan las compañías, que les exige reforzar sus políticas de ciberseguridad aplicada a datos personales de todos los individuos con los que interactúan, ya sean empleados o clientes".
Grant Thornton recuerda que, aprovechando la obligatoriedad de la norma, al mismo tiempo en España se ha impulsado el Anteproyecto de Ley Orgánica (que sustituye a la actual Ley Orgánica de Protección de Datos de 1999) para facilitar la adaptación de la legislación nacional al RGPD europeo, que deberá ser aprobada antes de la entrada en vigor de esta nueva normativa europea.
La firma añade que, a pocos meses de la entrada en vigor del Reglamento, el conocimiento de las medidas que las compañías han de poner en marcha no es muy elevado, a pesar de que si no se hace pueden enfrentarse a fuertes sanciones contempladas en la nueva legislación, que pueden ascender en los casos de carencias operativas más graves a multas de hasta 20 millones de euros o el 4% de la facturación global anual.
Entre otras medidas, el RGPD introduce cambios en la gestión de los datos de particulares por parte de las empresas, como por ejemplo el derecho a oponerse por parte de los clientes a ciertos tipos de elaboración de perfiles; las evaluaciones de impacto relativas a la Protección de Datos (EIPD) que serán de carácter obligatorio; la notificación de las infracciones importantes a la autoridad responsable en un plazo de 72 horas.
Según Pastor, "para cumplir con el RGPD las empresas y organizaciones deben comprender los principales cambios que supone frente a la legislación actual, evaluar la política de protección de datos actual de sus organizaciones, identificar los posibles riesgos y comprobar el grado de preparación de su empresa para adaptarse a los nuevos requisitos. Tras estos pasos debería establecerse una hoja de ruta de implantación, en la que una figura importante es el nombramiento de un asesor de confianza que evalúe el proceso de implantación".
DECÁLOGO DE AYUDA A LAS EMPRESAS
Con el fin de que las empresas diagnostiquen fácilmente su estado de adaptación a la nueva norma, Grant Thornton aconseja seguir un plan que condensa en diez puntos el camino que una organización debería completar para tener un nivel óptimo de protección en sus datos.
En este decálogo, las empresas comienzan haciendo un análisis rápido de su situación, para pasar a preguntarse si cuentan con los procesos, recursos humanos y documentación exigida por la nueva normativa. Además, las compañías deben tener claro dónde se procesan sus datos de carácter personal y dotarse de un adecuado sistema de evaluación del impacto de protección de datos.
"Es recomendable asimismo que la empresa sepa cómo debe notificar una posible infracción y que evalúe periódicamente la eficacia de sus medidas de seguridad, porque el RGPD no sólo exige verificación, sino también mejora continua", según Víctor Géne, Asociado Senior de Legal de Grant Thornton.
jueves, 9 de noviembre de 2017
Principios de privacidad
| Estas son las nuevas obligaciones en privacidad de la futura normativa de protección de datos
OpenText presenta los seis principios de privacidad que afectarán a las empresas con la nueva legislación de protección de datos (GPDR).
El próximo 25 de mayo de 2018 entrará en vigor la nueva Regulación General de Protección de Datos (RGPD o GDPR por sus siglas en inglés), una ley que permitirá regularizar las obligaciones de privacidad y seguridad de las compañías que tratan información personal e incrementará el control normativo sobre los datos personales.
Desde OpenText, empresa especializada en Gestión de de la Información Empresarial (EIM), exponen algunas de las obligaciones que las organizaciones deberán cumplir cuando se estrene la GDPR:
–Legalidad, legitimidad y transparencia. Las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa.
-Limitación de uso. La información personal sólo puede recogerse con un fin explícito y legítimo, y su uso no puede expandirse más allá del consentimiento del usuario.
– Minimización de los datos. Los datos personales recogidos deben limitarse únicamente a lo que es necesario en relación con los objetivos para los cuales fueron recogidos y tratados.
-Precisión. La información personal debe ser precisa. Los usuarios deben tener derecho a solicitar correcciones que deben ser atendidas a la mayor brevedad posible.
– Limitación de almacenamiento. Las organizaciones están obligadas a no retener los datos personales más tiempo del necesario para el uso explícito y legítimo autorizado por el usuario.
–Integridad y confidencialidad. Las empresas que gestionen datos deben garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.
|
viernes, 3 de noviembre de 2017
RGPD
| Prepárate para el nuevo Reglamento europeo de Protección de Datos
El Mundo Financiero
ENTENDER LOS DATOS CON LOS QUE SE TRABAJAPrepárate para el nuevo Reglamento europeo de Protección de Datos· Por Javier Ortega Estrada, Director para el Sur de Europa y Mercados Emergentes de Dropbox
Jueves 02 de noviembre de 2017, 09:30h
El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos o RGPD (también conocido por sus siglas en inglés “GDPR”), una norma que tendrán que acatar todas las empresas que trabajan con datos personales de ciudadanos de la Unión Europea. Esta nueva regulación supone nuevas e importantes obligaciones para las empresas en cuanto a la gestión de los datos personales; además, para aquellas que vulneren las normas prevé sanciones severas como, por ejemplo, multas de hasta el 4 % del volumen de negocio global o de 20.000.000 €, la cantidad que sea mayor según el caso.
Algunos de los cambios más destacados que introduce este nuevo reglamento son los siguientes: nuevas normas sobre cómo notificar a las autoridades los incumplimientos relacionados con la protección de datos; el derecho a la portabilidad de los datos, es decir, el derecho a solicitar los datos personales para poder transferirlos a otros servicios; el derecho al olvido, que implica que la empresa tiene la obligación de borrar los datos de la persona que así lo solicite; la obligación de las empresas en determinados casos de llevar a cabo evaluaciones de impacto sobre la privacidad antes de tratar datos personales; o la obligación que tienen las empresas que realizan determinados tipos de procesamiento de datos de nombrar un encargado de protección de datos.
A menos de un año de la entrada en vigor del RGPD, hay muchas empresas que todavía no han empezado a prepararse y tendrán que desarrollar e implementar una estrategia específica para cumplir con el nuevo reglamento europeo.
Todas las entidades que tratan con datos personales de ciudadanos de la UE necesitarán diseñar una estrategia a medida que dependerá de varios factores como el tamaño de la empresa, el tipo y la cantidad de datos que tratan y las medidas de seguridad y privacidad que ya tienen implementadas. Se recomienda que las empresas busquen asesoramiento legal para determinar qué medidas son necesarias en cada caso. No obstante, hay varios requisitos sobre cómo tratar los datos personales que son comunes y afectarán a todas las empresas, incluso a las más pequeñas.
El primer paso para cumplir con el RGPD es entender de qué modo se almacenan, tratan, comparten y utilizan los datos personales en tu empresa. Para llevar a cabo un análisis minucioso de la situación, es necesario comparar el modo de proceder actual con los requisitos de la nueva regulación y pensar en los cambios que hay que realizar para poder cumplir con ella adaptándose de la mejor forma a tu empresa. Recuerda que el cumplimiento del RGPD no afecta solo a las políticas y medidas de tu propia entidad, sino que va más allá y se extiende a los proveedores que procesan datos personales en tu nombre.
Algunas empresas tendrán la obligación de nombrar un encargado de tratamiento. En todos los casos será necesario adoptar un programa de cumplimiento de protección de datos. Es probable que tengas que reforzar tu política de protección de datos y organizar sesiones de formación para tu equipo. Solo algunas empresas estarán obligadas a seleccionar un encargado de tratamiento. Resulta esencial hacerlo en aquellas que llevan a cabo dos tipos de trabajo – los relacionados con operaciones de tratamiento a gran escala que persiguen tratar diferentes categorías de datos personales o con seguimiento de datos personales a gran escala– como, por ejemplo, los anuncios en línea segmentados por comportamiento.
A tu empresa le interesa revisar la base jurídica que se utiliza actualmente para tratar distintos tipos de datos personales. Si la base del tratamiento de datos es el consentimiento del usuario, será necesario que te plantees cómo obtenerlo y cómo ser capaz de demostrar de forma clara cuándo se concede.
Según el RGPD, cualquier persona cuyos datos se traten en tu empresa tiene nuevos derechos, incluyendo el derecho a tener acceso a sus datos personales, a que se corrijan, se borren o se transfieran electrónicamente.
¿En tu empresa podéis encontrar, borrar y trasladar los datos de vuestros clientes fácilmente? ¿Disponéis de los recursos necesarios para responder con rapidez a las consultas relacionadas con los datos personales? ¿Tu empresa, y los terceros con los que trabajáis, guardáis registros de la localización de los datos, de cómo se procesan, de dónde se encuentran y de con quién se comparten?
De acuerdo con el RGPD, las empresas tienen que tener en cuenta la privacidad por diseño y desde el principio a la hora de desarrollar proyectos, procesos o productos nuevos. La idea que concibe la privacidad por diseño es que si la privacidad se tiene en cuenta desde un principio, los riesgos de privacidad se minimizan. ¿El acceso a los datos personales está protegido y solo tienen acceso a ellos las personas de tu empresa que los necesitan? En algunos casos, es conveniente que realices evaluaciones de impacto sobre la privacidad antes de tratar datos personales.
Será necesario que tu empresa cuente con una política de gestión de incumplimientos de protección de datos y con los procesos correspondientes para hacerlo. Asegúrate de que sabes a qué autoridades tienes que notificar dichos incumplimientos relacionados con la protección de datos y el tiempo que tienes para hacerlo. Las notificaciones que se hagan fuera de plazo, y los incumplimientos en sí, pueden implicar la imposición de multas.
El RGPD te obliga a informar a las personas de la base jurídica del tratamiento de datos y de las autoridades a las que pueden dirigirse en caso de que surja algún problema. Asegúrate de que las políticas de privacidad en línea de tu empresa están actualizadas.
Para poder cumplir con las normas del RGPD es necesario que tengas en cuenta la seguridad de tus datos de principio a fin, es decir, también tienes que considerar a los proveedores que tratan datos personales en tu nombre. Trabajar con un proveedor que se encargue del tratamiento de datos no te exime de las obligaciones del RGPD. Debes valorar si la empresa encargada de tratar los datos trabaja con estándares de protección de datos internacionales, si tiene experiencia en gestionar la seguridad de los datos a gran escala y si dispone de herramientas que puedan ayudarte a mejorar la gobernanza de datos y a mitigar los riesgos de incumplimiento. Revisa si tu proveedor cuenta con algún estándar internacional de seguridad y protección de datos como la ISO 27018 y pídele información sobre su seguridad de red y de información (por ejemplo, su técnica de encriptación y sus controles a nivel de aplicación), política de seguridad, evaluación de formación y riesgos, así como medidas de ensayo.
Por otra parte, los servicios TI de terceros también pueden ayudar a las empresas, especialmente a las PYMES, a cumplir con la regulación. Por ejemplo, las empresas pueden optar por soluciones en la nube que se crearon teniendo en cuenta cuestiones de seguridad y privacidad desde el principio. Valora cómo algunos servicios en la nube pueden ayudarte a controlar el acceso a los datos en tu empresa, a responder a las solicitudes de información sobre datos personales y a mejorar la seguridad en tu empresa.
|
miércoles, 4 de octubre de 2017
Agencia de acceso
Argentina presenta nueva Agencia de Acceso a la Información Pública
Argentina presenta nueva Agencia de Acceso a la Información Pública
El Gobierno de Argentina presentó hoy la nueva Agencia de Acceso a la Información Pública, creada tras un reciente decreto del presidente Mauricio Macri que modificó la ley de acceso a la información pública
Buenos Aires, 3 oct (EFE).- El Gobierno de Argentina presentó hoy la nueva Agencia de Acceso a la Información Pública, creada tras un reciente decreto del presidente Mauricio Macri que modificó la ley de acceso a la información pública.
Según informaron fuentes oficiales, el nuevo organismo es un ente autárquico que funcionará con autonomía funcional en el ámbito de la Jefatura de Gabinete de Ministros.
En el acto de presentación, el jefe de Gabinete, Marcos Peña, dijo que la misión de la nueva agencia es poner a disposición de la ciudadanía "información que le pertenece al público, a la sociedad, y que debe tener transparencia".
Al frente de la nueva agencia fue designado Eduardo Bertoni, quien hasta hace poco se desempeñó como director nacional de Protección de Datos Personales del Ministerio de Justicia argentino.
El pasado 26 de septiembre, Macri dictó un decreto de necesidad y urgencia por el que modificó la ley de acceso a la información pública en cuanto a las funciones y competencias de la Agencia de Acceso a la Información.
Entre los cambios, el decreto estableció que la agencia no sólo sea el órgano de control de la aplicación de la ley de acceso a la información pública, sino que también se encargue de la protección integral de los datos personales contenidos en archivos, registros, bancos de datos y otros medios.
El decreto presidencial fue cuestionado este lunes por la Asociación por los Derechos Civiles (ADC), quien advirtió de los "severos inconvenientes constitucionales" de las modificaciones a la norma sobre acceso a la información pública, aprobada por el Parlamento en septiembre de 2016.
La organización no gubernamental cuestionó que el cambio se haya hecho mediante un decreto de necesidad y urgencia y no mediante un debate legislativo.
Pero, además, para la ADC el decreto afecta la autonomía funcional de la agencia en tanto que dispone que su estructura sea aprobada por el Jefe de Gabinete.
"El decreto va en contra del objetivo de contar con un órgano de control independiente de posibles injerencias del Poder Ejecutivo", sostuvo la organización en un comunicado.
En tercer lugar, para la ADC debe examinarse con profundidad la consagración de la Agencia de Acceso a la Información Pública como autoridad de control en materia de protección de datos personales.
"En cuanto a la consagración de la agencia como autoridad de control de protección de datos personales, cualquier intento de unificación debe traducirse en una estructura operativa que refleje la igualdad jerárquica entre este derecho y el derecho al acceso a la información pública, evitando la implementación de una estructura orgánica sesgada hacia uno u otro de ellos", dijo Torcuato Sozio, director ejecutivo de ADC. EFE
viernes, 22 de septiembre de 2017
Multa
Condenaron a La Anónima a pagar 250 mil pesos a una cliente
Condenaron a la Anónima a pagar 250 mil pesos a una cliente
La Sociedad Anónima Importadora y Exportadora de la Patagonia (La Anónima) y la Compañía Financiera Argentina (Efectivo Sí), tendrán que indemnizar con 250 mil pesos e intereses a una cliente que las denunció por daño moral y punitivo.
La condena, que básicamente castiga el incumplimiento de las normas de Defensa del Consumidor, fue confirmada por la Cámara Civil de Apelaciones de la localidad rionegrina de Roca, al respaldar el fallo que la jueza en lo Civil, Andrea de la Iglesia, había dictado en febrero último.
Según fuentes judiciales, la mujer había contratado la tarjeta de crédito La Anónima, y sus desventuras comenzaron cuando sus datos fueron utilizados por desconocidos que solicitaron un crédito en Efectivo Sí, entidad ligada a la cadena de supermercados.
Contaron que la mujer (docente, ella) fue contactada en una escuela por una promotora de La Anónima a la que le entregó la documentación y los datos personales que le requería. Pero, para su desgracia, fallaron los controles y terminó figurando como deudora de un crédito personal de 10 mil pesos que jamás había solicitado.
“Los controles volvieron a fallar” y no sólo fue intimada al pago sino también informada como morosa en la base central de deudores del BCRA, lo que la llevó al Veraz, dijeron las mimas fuentes. Y subrayaron que es por eso que el fallo de los camaristas Gustavo Martínez y Adriana Mariani habla de un “proceder ligero y despreocupado” de las empresas “en materia de protección de datos personales y del consumidor”.
Sobre el rubro “daño punitivo” (200 mil pesos), el juez Martínez consideró que “las fallas de los controles y la escasa significación que aquí hemos visto respecto de los derechos y dignidad del consumidor, no son un hecho aislado, sino consecuencia del comportamiento que han observado para los clientes en general”.
Los otros 50 mil pesos del monto condenatorio corresponden al “daño moral” que sufrió la maestra.
|
martes, 19 de septiembre de 2017
Morosos
Fichero de morosos y derecho al honor
Justo Gil Sánchez 19.09.2017 | 04:30
Señalemos que el Derecho Constitucional está en nuestra cotidianidad, en el día a día, pudiendo verse afectados «derechos fundamentales» (coadyuvante, sostén y fundamento del orden político y de la paz social), en determinadas situaciones. Pero el «Procés» catalán ? como se está viendo- lo volatiliza todo. Es tema pantagruélico. No hay que desanimarse. El derecho de las personas físicas a la protección de datos personales es derecho contenido en la Carta de derechos fundamentales UE (art.8.1) y en el Tratado de funcionamiento UE (art.16.apdo1). Un fichero de morosos es algo así como una base de datos que refleja quienes tienen pagos pendientes. En consecuencia, para saber su situación, entidades financieras y empresas pueden acceder a esos ficheros para saber si tienen alguna deuda o embargo. Se trata, por tanto, de «ficheros de solvencia». Son de titularidad privada destinados a facilitar información sobre la solvencia de los clientes o potenciales clientes de las empresas asociadas a dicho registro. En mayo 2018 entrará en vigor el Reglamento (UE) 2016/679, de aplicación directa. El Gobierno, no obstante, está tramitando nueva Ley Orgánica que sustituya a la de 1999.
Les incluyen normalmente entidades financieras u otras (empresas de telefonía, por ejemplo) incluyendo las cuotas impagadas así como los datos del cliente incumplidor. Deben ser notificados los interesados en el plazo de treinta días desde que se hayan registrado sus datos.. La consulta de un listado de morosos en una práctica muy habitual a la hora de adoptar decisiones sobre riesgo de crédito.
Ocurre que, en algunas ocasiones, hay una inclusión indebida en dichos ficheros, por deudas inexistentes o discutidas, o no vencidas, o por una cuantía ínfima. En estos casos, puede haber una afectación de un derecho constitucional recogido en el art. 18.1 CE, como el «derecho al honor». Se trata de un derecho personalísimo. Y para defendernos de ésta situación, aparte de acudir a la Agencia Española de Protección de Datos (AEPD), blandiendo el art. 18 de la Ley Orgánica de Protección de Datos de Carácter Personal, o acudir a la Oficina de atención al consumidor del municipio (OMIC), podemos acudir a una procedimiento preferente y sumario de protección de derechos fundamentales. La consecuencia, de obtener una sentencia estimatoria, será obtener una «indemnización por daños morales» así como que se ejecuten los actos y comunicaciones que fuesen necesarios para excluir a la persona de los ficheros de morosos en los que se le había incluido.
La indemnización por daños morales (debe atender a la difusión, tiempo transcurrido con la anotación, la cantidad de consultas que se han hecho, incerteza de la deuda, naturaleza de las empresas que han consultado los ficheros, etcétera) se conjuga por la existencia de una «intromisión ilegítima en el derecho al honor».
Aquéllas circunstancias generan un notorio perjuicio en la fama y estima del perjudicado (reclamaciones extrajudiciales de despachos de abogados, cartas, requerimientos, etcétera). La jurisprudencial del Tribunal Supremo ha dicho que «no es admisible que se fijen indemnizaciones de carácter simbólico», pues al tratarse ? el derecho al honor- de derechos protegidos por la Constitución, como derechos reales y efectivos, están enraizados en un Estado social y democrático de Derecho y merecen una «protección especial». Se señala que la correlativa exigencia de una reparación tiene que ser acorde con el relieve de los valores e intereses en juego.
sábado, 9 de septiembre de 2017
Equifax
| Tu información podría estar en riesgo por el ataque cibernético a Equifax |
Hackers robaron datos confidenciales de Equifax, una importante agencia de informes crediticios. Mientras se toman cartas en el asunto, la compañía está ofreciendo un servicio de verificación y protección gratuita para los millones de afectados, que podrían ser tantos como la mitad de la población de los Estados Unidos.
Equifax, una de las agencias de informes de crédito más grandes, y por lo tanto receptora de una masiva cantidad de información confidencial, fue hackeada recientemente. El ataque ha puesto en riesgo los datos confidenciales de 143 millones de estadounidenses.
El ciberataque masivo fue dado a conocer recién hoy, aunque se informa que ocurrió hace varios meses, en algún momento entre mayo y julio del 2017, cuando se descubrió la intrusión.
Equifax, una de las agencias de informes de crédito más grandes, y por lo tanto receptora de una masiva cantidad de información confidencial, fue hackeada recientemente. El ataque ha puesto en riesgo los datos confidenciales de 143 millones de estadounidenses.
El ciberataque masivo fue dado a conocer recién hoy, aunque se informa que ocurrió hace varios meses, en algún momento entre mayo y julio del 2017, cuando se descubrió la intrusión.
Uno de los factores que hacen que el ataque de Equifax sea particularmente problemático es el estatus de la compañía, que es una central que acumula información sensible relacionada con el crédito de millones de personas, incluyendo números de seguro social, tarjetas de crédito, números de licencia de conducir y otros datos personales que pueden utilizarse de diversas maneras para dañar a los afectados.
Mientras que la violación realizada a Equifax no es la más grande en términos del número de víctimas, es sin duda motivo de preocupación por el tipo de información crítica que fue robada. Ejemplos de la información sensible comprometida incluyen 209,000 números de tarjetas de crédito, datos personales relacionados con disputas de crédito de 182,000 víctimas, y datos que podrían utilizarse para acceder a historiales médicos, cuentas bancarias y más.
Este no es el primer ataque dirigido a Equifax. Un hack anterior robó datos de documentos W-2 del gigante del crédito, y otros ataques han ocurrido contra las filiales de la compañía. Esta violación, sin embargo, es la más grande.
Pamela Dixon, directora ejecutiva del grupo de investigación sin fines de lucro World Privacy Forum, dijo en un comunicado: “Esta situación es tan mala como puede ser posible. Si usted tiene un informe de crédito, lo más probable es que pueda estar afectado. Las posibilidades son mucho mayores que el 50 por ciento”.
Equifax ha establecido un sitio web oficial que las personas pueden visitar para tener más información sobre el ataque, averiguar si están afectadas e inscribirse en servicios gratuitos de protección contra robo de identidad y de monitoreo de archivos. Si alguna vez has solicitado cualquier tipo de crédito, como la gran mayoría de las personas en este país, es una buena idea ir al sitio y verificar tu situación.
De acuerdo con un comunicado de prensa emitido por la oficina del senador estadounidense Mark Warren, el ataque Equifax plantea importantes cuestiones sobre el papel del gobierno en la respuesta a la amenaza en curso a la información personal.
Mientras que la violación realizada a Equifax no es la más grande en términos del número de víctimas, es sin duda motivo de preocupación por el tipo de información crítica que fue robada. Ejemplos de la información sensible comprometida incluyen 209,000 números de tarjetas de crédito, datos personales relacionados con disputas de crédito de 182,000 víctimas, y datos que podrían utilizarse para acceder a historiales médicos, cuentas bancarias y más.
Este no es el primer ataque dirigido a Equifax. Un hack anterior robó datos de documentos W-2 del gigante del crédito, y otros ataques han ocurrido contra las filiales de la compañía. Esta violación, sin embargo, es la más grande.
Pamela Dixon, directora ejecutiva del grupo de investigación sin fines de lucro World Privacy Forum, dijo en un comunicado: “Esta situación es tan mala como puede ser posible. Si usted tiene un informe de crédito, lo más probable es que pueda estar afectado. Las posibilidades son mucho mayores que el 50 por ciento”.
Equifax ha establecido un sitio web oficial que las personas pueden visitar para tener más información sobre el ataque, averiguar si están afectadas e inscribirse en servicios gratuitos de protección contra robo de identidad y de monitoreo de archivos. Si alguna vez has solicitado cualquier tipo de crédito, como la gran mayoría de las personas en este país, es una buena idea ir al sitio y verificar tu situación.
De acuerdo con un comunicado de prensa emitido por la oficina del senador estadounidense Mark Warren, el ataque Equifax plantea importantes cuestiones sobre el papel del gobierno en la respuesta a la amenaza en curso a la información personal.
“Mientras que muchos se han acostumbrado quizás a oír hablar de una nueva brecha de datos cada pocas semanas, el alcance de este ataque implica números de Seguro Social, fechas de nacimiento, direcciones y números de tarjetas de crédito de casi la mitad de la población de los Estados Unidos”, afirma el senador. “El Congreso no sólo debe crear una norma uniforme de notificación de violación de datos, sino también necesita repensar las políticas de protección de datos, de modo que empresas como Equifax tengan menos incentivos para recopilar grandes conjuntos centralizados de datos altamente confidenciales de millones de estadounidenses”.
Al calificar tales ataques de “una verdadera amenaza para la seguridad económica de los estadounidenses”, es probable que Warren y otros funcionarios del gobierno presionen por una legislación que cree protecciones más fuertes para los consumidores contra el robo de datos. Varios funcionarios han estado trabajando en el desarrollo de ese tipo de legislación, y es probable que ahora esta se acelere, impulsada por la última situación.
jueves, 24 de agosto de 2017
Monotributo
| Monotributo: rechazan una acción de habeas data por exclusión de pleno derecho
iprofesional.com
Monotributo: rechazan una acción de habeas data por exclusión de pleno derecho
24-08-2017 Los magistrados entienden que el accionante pudo haber caído en una confusión ya que en el mes de enero de 2016 el organismo recaudador comunicó en su sitio web la exclusión del contribuyente que se había producido en el mes de diciembre del año anterior
|
jueves, 10 de agosto de 2017
El DPD
|
Posted: 01 Aug 2017 05:54 AM PDT
Directora de la Agencia Española de Protección de Datos
DELEGADO DE PROTECCIÓN DE DATOS
El Delegado de Protección de Datos: esquema de certificación, nombramiento, funciones y perfil requerido
Por Mar España
Directora de la Agencia Española de Protección de Datos
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deben designar un Delegado de Protección de Datos (DPD) en los supuestos que determina el propio RGPD o en los supuestos que la legislación de los Estados Miembros establezca.
Las funciones del DPD
El papel del DPD en las organizaciones es el de informar, asesorar, supervisar y cooperar con la autoridad de control, así como ser el punto de contacto para los interesados. Para desempeñar sus funciones deberá participar en todas las cuestiones relativas a la protección de datos personales recibiendo el apoyo de los responsables y encargados del tratamiento quienes igualmente le facilitarán los recursos necesarios para abordar sus funciones.
El DPD realizará sus funciones con total independencia, sin instrucciones por parte del responsable o del encargado del tratamiento, quienes garantizarán esta independencia evitando su destitución o sanción por sus decisiones relacionadas con el desempeño de su función de DPD. La posición del DPD será próxima a los niveles jerárquicos más elevados dentro de una organización, de manera que aquellos a quienes reporte tengan capacidad de decisión en calidad de responsables o encargados del tratamiento.
En ningún caso el DPD sustituirá al responsable en la toma de decisiones sobre los fines y alcance de los tratamientos ni deberá asumir la carga de las posibles sanciones en las que pudieran incurrir los responsables como consecuencia de tratamientos de datos no acordes con el RGPD.
Posiblemente el DPD sea el eje principal del principio de responsabilidad activa del RGPD. Es la figura encargada de velar por el derecho de protección de datos en las organizaciones e instituciones. En el sector público velará por la compatibilidad del cumplimiento de las obligaciones de una institución frente al derecho de protección de datos de los interesados y en el entorno privado será la figura encargada de compatibilizar el desarrollo de negocio del responsable frente al derecho de protección de datos de los interesados.
Esta nueva figura es clave para garantizar la confianza de los interesados en los tratamientos y en consecuencia debe significarse como elemento fundamental en la relación con los ciudadanos tanto en las actividades del sector público como del sector privado.
Un perfil multidisciplinar
Desde el punto de vista de la cualificación profesional estamos hablando de un perfil multidisciplinar que no se ajusta a una titulación concreta o a un ámbito académico específico. El DPD requerirá conocimientos jurídicos, técnicos y de negocio para realizar sus funciones, que en muchos casos se articularán entorno a un equipo multidisciplinar. Su papel estará orientado a la coordinación de varios profesionales, mientras que en otros casos, su labor podrá ser la de prestar servicio a varios responsables o encargados.
Las formas en las que se formalizará el desempeño de las funciones del DPD en las organizaciones serán tan variadas como variados pueden ser los tratamientos y las organizaciones, no es posible fijar un modelo único en el que enmarcar las funciones del DPD.
El DPD puede realizar sus funciones con plena dedicación o a tiempo parcialdentro de una misma organización compatibilizando sus funciones con otras que le hayan sido encomendadas por el responsable del tratamiento. En este caso, se prestará especial atención a la posible existencia de conflicto de intereses entre el desempeño de las funciones que pudieran compatibilizarse con el desempeño de su papel como DPD (artículo 38.6 RGPD). Antes de proceder al nombramiento del DPD es conveniente realizar un análisis de los posibles conflictos de intereses que pudieran existir entre las distintas tareas que se espera que realice el posible DPD dentro de una organización.
Nombramiento y certificación del DPD
Además de los supuestos obligatorios para la designación de un DPO previstos en el artículo 37.1 del RGPD y detallados en el artículo 35 del Anteproyecto de LOPD, los responsables y encargados podrán voluntariamente designar un DPO y potenciar el cumplimiento preventivo de sus obligaciones a través de esta figura.
Es importante tener en cuenta que el artículo 65.4 del citado Anteproyecto prevé la posibilidad de que la Agencia remita las reclamaciones al DPO a los efectos previstos en el artículo 38, con el objeto de impulsar la resolución amistosa en el seno de la entidad a través de esta figura clave.
Los responsables y encargados del tratamiento se ven ante el reto y la necesidad de elegir y nombrar con diligencia sus DPD, valorando el nivel de conocimiento, la cualificación profesional y su capacidad para el desempeño de tareas y actividades que implica el cumplimiento de las obligaciones del RGPD. Esta evaluación de cualidades puede suponer un grado de incertidumbre para los responsables en aquellos casos en los que no existe un conocimiento previo del profesional.
El RGPD otorga a los estados miembro, las autoridades de control, al Comité y a la Comisión la posibilidad de crear mecanismos de certificación en protección de datos, aunque no específicamente en el terreno de las cualificaciones profesionales.
Sin embargo, desde la AEPD entendimos el factor de la certificación del DPD como prioritario, de forma que pueda ser un elemento orientador para los responsables a la hora de elegir al DPD. No se trata de establecer un requisito de obligado cumplimiento. Se trata de elaborar un marco de referencia para los responsables y la exigencia o no del requisito de certificación es una opción para el responsable. En ningún caso la certificación será una limitación para el acceso a la profesión de DPD, existen profesionales cualificados para el desempeño de esta profesión con conocimientos y experiencia demostrados que podrán seguir ejerciendo su labor profesional y en el futuro podrá haber otras vías para que los profesionales puedan demostrar su preparación.
La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como una herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos. Este esquema de certificación para DPD de la AEPD se estructura en tres partes distintas: la AEPD como propietaria y responsable del esquema, la entidad de acreditación encargada de los requisitos que deben cumplir los certificadores (ENAC) y finalmente las propias entidades de certificación. Desde la AEPD entendemos que esta división en tres partes con funciones independientes es un factor de calidad para el proceso de certificación. Tres entidades distintas con funciones y responsabilidades independientes que establecen una relación de confianza y mutua responsabilidad.
El esquema de certificación contempla todos los ámbitos de cumplimiento del RGPD, incluyendo aspectos como por ejemplo:
Además de las cuestiones técnicas o jurídicas, el esquema de certificación tiene en cuentaotras cuestiones claves para el desempeño de las funciones del DPD. Algunas de estas funciones están relacionadas con las relaciones que deberá establecer el DPD en el desempeño de su actividad dentro de una organización, actividades relacionadas congarantizar la buena relación del DPD con los equipos y grupos de trabajo en los que estará implicado. Uno de los aspectos más importantes en el desempeño de las funciones del DPD son sus relaciones y capacidades de negociación para atender y balancear los derechos de los interesados frente a los intereses de negocio de los responsables. Estamos hablando de habilidades personales y características menos tangibles que finalmente harán que el desempeño de las funciones del DPD sean útiles a los responsables y que al mismo tiempo impidan que dichas funciones puedan convertirse en un obstáculo al funcionamiento de la organización.
Desde la AEPD esperamos que este marco de referencia pueda ser de utilidad tanto a los responsables y encargados como a los propios DPD, aportando una relación detallada de tareas y competencias en las que basar sus actividades con relación a los tratamientos.
|
Suscribirse a:
Entradas (Atom)