1. Cómo adecuarse
al RGPD (GDPR)
Obtén el control completo sobre los
datos y la información de tu empresa
16/07/2018 Abanlex.com 1
2. Pablo Fernández Burgueño
@Pablofb
• Abogado e investigador jurídico
• Fundador de NevTrace, Escila y Abanlex
• Especializado en privacidad y ciberseguridad
• Docente (o ponente en congresos) en:
• Ilustre Colegio de Abogados de Madrid
• ESIC – ICEMD
• UAH, URJC, UC3M, etc.
7/16/2018
5. Cómo cumplir RGPD antes del 25 de mayo ‘18
1. Análisis y registro de actividades
2. Designación de RS o DPO
3. Análisis de Riesgo e implantación
y configuración de medidas
4. Evaluación de Impacto
5. Contratos de encargado del
tratamiento
6. Avisos de protección de datos (por
capas) para formularios y web
7. Cumplimiento Ley de Cookies
8. Formación y mantenimiento
9. Protocolos ante: derechos;
respaldo y recuperación; brechas
de seguridad
16/07/2018 Abanlex.com 5
6. 0.- GDPR, NIS, Directiva de Secretos Comerciales… ¿Me afectan?
7/16/2018 Abanlex.com 6
- ¿Por qué existe esta normativa?
- ¿Qué tipo de empresas están afectadas?
- Ámbito de aplicación territorial
- Ámbito de aplicación por el tratamiento
- ¿Qué es NIS, D. de Secretos Comerciales, ENS?
7. 0.- Dato personal y medidas de seguridad. ¿Estoy obligado a cumplir?
7/16/2018 Abanlex.com 7
- ¿Qué es un dato personal?
- Medidas de seguridad, ¿qué tipos hay?
- ¿Estoy obligado a integrar medidas lógicas?
- ¿Debo integrar un firewall? ¿Cuál?
- ¿Debo contar con antivirus o endpoint? ¿Cuál?
11. 1.- Análisis y registro de las actividades de tratamiento
7/16/2018 Abanlex.com 11
- Datos de contacto del responsable y del DPO
- Fines del tratamiento;
- Descripción de los interesados
- Descripción de los datos personales;
- Categorías de destinatarios
- Transferencias de datos personales
- Plazos previstos para la supresión de los datos
- Descripción general de las medidas técnicas y
organizativas de seguridad
12. 2.- Designación de un DPD (DPO) o de un Responsable de seguridad
7/16/2018 Abanlex.com 12
DPO si…
- Administración Pública
- Observación habitual y sistemática de
interesados a gran escala
- Datos especiales o de condenas penales
Requisitos del DPO:
- cualidades profesionales
- conocimientos especializados del Derecho
- práctica en materia de protección de datos
- capacidad para desempeñar sus funciones
13. 2.- Designación de un DPD (DPO) o de un Responsable de seguridad
7/16/2018 Abanlex.com 13
Características del DPO
- Proactividad en la toma de decisiones
- Recursos necesarios ilimitados
- Independencia
- No será destituido ni sancionado
- Rendirá cuentas al más alto nivel
- Será persona de contacto para todos
- Deber de secreto o confidencialidad
- Podrá desempeñar otras funciones que no den
lugar a conflicto de intereses
14. 2.- Designación de un DPD (DPO) o de un Responsable de seguridad
7/16/2018 Abanlex.com 14
Funciones del DPO:
- Funciones del delegado de protección de datos
- Asesorar y supervisar el cumplimiento del
GDPR
- Asignar responsabilidades
- Concienciar y formar
- Auditar
- Atender a terceros interesados
- Cooperar con la AEPD
15. 3.- Análisis de riesgo e implantación y configuración de medidas de seguridad
7/16/2018 Abanlex.com 15
Protección de datos desde el diseño y por defecto
teniendo en cuenta:
- el estado de la técnica
- el coste de la aplicación
- la naturaleza, ámbito, contexto y fines del
tratamiento
- Los riesgos de diversa probabilidad y gravedad
Objetivo: garantizar que solo se traten los datos
necesarios para cada fin.
16. 3.- Análisis de riesgo e implantación y configuración de medidas de seguridad
7/16/2018 Abanlex.com 16
Medidas mínimas sugeridas:
- Seudonimización y cifrado
- Confidencialidad, integridad, disponibilidad y
resiliencia permanentes
- Capacidad de restaurar la disponibilidad y el
acceso a los datos personales de forma rápida
en caso de incidente físico o técnico
- Proceso de verificación, evaluación y valoración
de la eficacia de las medidas técnicas y
organizativas para garantizar la seguridad
- Formación
17. 4.- Evaluación de impacto sobre datos personales (EIPD)
7/16/2018 Abanlex.com 17
El análisis de riesgo debe ser precedido por una
EIDP cuando nos encontremos ante:
- elaboración de perfiles para la toma de
decisiones sobre los afectados
- tratamiento a gran escala de datos especiales o
de condenas e infracciones penales
- observación sistemática a gran escala de una
zona de acceso público
18. 4.- Evaluación de impacto sobre datos personales (EIPD)
7/16/2018 Abanlex.com 18
La evaluación debe incluir como mínimo:
- descripción de las operaciones previstas
- descripción de los fines del tratamiento
- evaluación de la necesidad y la
proporcionalidad con respecto a su finalidad
- evaluación de los riesgos para los derechos y
libertades
- medidas previstas para afrontar los riesgos
19. 5.- Contratos de encargado del tratamiento
7/16/2018 Abanlex.com 19
Qué es y qué debe contener:
- Objeto
- Duración
- Naturaleza y la finalidad del tratamiento
- Tipo de datos personales
- Categorías de interesados
- Obligaciones y derechos del responsable
20. 5.- Contratos de encargado del tratamiento
7/16/2018 Abanlex.com 20
Compromisos del encargado (por contrato):
- Seguirá las instrucciones del responsable
- Garantizará la confidencialidad y secreto
- Tomará las medidas de seguridad necesarias
- No subcontratará (salvo excepciones)
- Asistirá para el ejercicio de los derechos
- A elección del responsable, suprimirá o
devolverá todos los datos
- Aceptará auditorías e inspecciones
21. 6.- Avisos de protección de datos (por capas) en formularios y web
7/16/2018 Abanlex.com 21
22. 6.- Avisos de protección de datos (por capas) en formularios y web
7/16/2018 Abanlex.com 22
Ejercicios prácticos:
1. Primera capa para el formulario de tu web
2. Añade “suscripción al boletín (newsletter)”
3. Revisa y comprende un aviso extendido
23. 7.- Cumplimiento de la Ley de Cookies
7/16/2018 Abanlex.com 23
¿Qué es la Ley de Cookies? ¿Me afecta?
Ley de Cookies:
- Bloqueo activo de cookies
- Primera capa informativa
- Segunda capa con información extendida
Actividad práctica: auditoría de cookies
24. 8.- Formación y mantenimiento
7/16/2018 Abanlex.com 24
El usuario (o empleado) es el eslabón más débil
- Formación:
- Seguridad física
- Seguridad lógica
- Seguridad organizativa
- Concienciación
- Mantenimiento constante y auditorías
- Documentación de todos los procesos
26. 10.- Brechas, repercusión mediática, indemnizaciones y sanciones
7/16/2018 Abanlex.com 26
- ¿Qué es una intrusión o brecha de seguridad?
- Si atacan a mi hosting, ¿quién responde?
- Y ¿si un trabajador se lleva documentos?
- ¿Qué es la notificación? ¿Qué tiempo tengo?
- ¿Qué información necesito recabar del ataque?
27. 10.- Brechas, repercusión mediática, indemnizaciones y sanciones
7/16/2018 Abanlex.com 27
- ¿Qué es la comunicación de incidencias?
- ¿y si solo han accedido a datos cifrados?
- Sufro ransomware, ¿y ahora qué?
- ¿Tendré que pagar a los afectados?
- ¿A cuánto ascienden las sanciones?
- ¿Me pueden multar por no contar con medidas
de ciberseguridad?
- ¿Se esperan multas elevadas?
28. Cómo cumplir RGPD antes del 25 de mayo ‘18
1. Análisis y registro de actividades
2. Designación de RS o DPO
3. Evaluación de Impacto
4. Análisis de Riesgo e implantación
y configuración de medidas
5. Contratos de encargado del
tratamiento
6. Avisos de protección de datos (por
capas) para formularios y web
7. Cumplimiento Ley de Cookies
8. Formación y mantenimiento
9. Protocolos ante: derechos;
respaldo y recuperación; brechas
de seguridad
16/07/2018 Abanlex.com 28
29. Datos de contacto
Pablo Fdez. Burgueño
@Pablofb
(+34) 91 83 27 626 www.abanlex.com info@abanlex.com
16/07/2018 Abanlex.com 29