Encuentro formativo sobre el RGPD, Reglamento General de Protección de Datos y Ciberseguridad
El día 24 de mayo Inedu con colaboración con BCNSoluciona organiza un evento formativo sobre el nuevo reglamento, RGPD, de aplicación directa que entra en vigor el 25 de mayo de 2018, entrando en vigor el 25 de mayo de 2016, dejando dos años de adecuación.
En el evento sobre RGPD, se hablará de las medidas necesarias para adecuar a nivel legal y las medidas necesarias para proteger la información a nivel de Ciberseguridad.
La idea del evento es hacer un a introducción a todas las medidas del RGPD y hacer recomendaciones para el cumplimiento, dado que para poder cumplir no es posible en 1h de evento.
Resumiendo, a modo introductorio, el Reglamento General de Protección de Datos (RGDP) lo que quiere es que los datos personales sean o estén seguros, y se permitan a las personas más control y visibilidad sobre sus datos, que han dejado a las empresas por unas necesidades.
El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
El Reglamento General de Protección de Datos (RGDP), para cumplir con estas ideas añade dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables y se proyectan sobre todas las obligaciones de las organizaciones, responsabilidad proactiva y análisis de riesgos.
En relación a la responsabilidad proactiva, el reglamento dice:
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Y el otro elemento es el enfoque de riesgo:
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
De estos dos principios se extrae que cada empresa ha de aplicar sus medidas de seguridad según se desprenda de su análisis de riesgos y las posibilidades económicas que tenga. Para empezar, estaría bien tener un Firewall, un gestor de logs y un backup, después de esto hay otras que también serían muy recomendables.
También se desprende que se debe de poder demostrar que se cumplen con las medidas que salen de un análisis de riesgos, por eso lo mejor es hacer una consultoría de seguridad, una auditoria de seguridad web y APP y un pentest.
Fuente: https://www.agpd.es
Más información blog BCNSoluciona: https://www.bcnsoluciona.com/category/blog/