Mostrando entradas con la etiqueta GDPR. Mostrar todas las entradas
Mostrando entradas con la etiqueta GDPR. Mostrar todas las entradas

21 octubre 2017

¿Hay vida más allá de Oracle? GDPR:


Los contratos de servicios gestionados por terceros y de alojamiento, se han de reescribir.

Este mismo artículo, lo puedes encontrar en Linkedin

 Poco a poco se acerca el año 2018, dado el grado de tercerización de servicios que actualmente tenemos en España, este efecto secundario, dentro de la aplicación de la GDPR, lo encuentro interesante y digno de ampliar.

 Si bien las multas principales bajo GDPR de hasta 4% de la facturación global llaman la atención, la industria de servicios administrados enfrentará algunas obligaciones costosas y disposiciones contractuales detalladas a partir del próximo año. En muchos sentidos, los proveedores de servicios administrados entran en el proceso de cumplimiento por primera vez.

 En cuanto a la industria europea de TI, dice que los contratos para los proveedores de servicios administrados actualmente son muy leves en cuanto a las provisiones. Los clientes importantes pueden tener sus propios corredores en sus tratos con proveedores, pero en la práctica, todo lo que exige la directiva actual es que los proveedores de servicios tomen "medidas apropiadas". GDPR cambiará el panorama para los contratos de servicios gestionados y habrá muchas nuevas cláusulas que deberán incluirse.

 Por ejemplo: las cláusulas requeridas ahora están en las disposiciones para tomar "medidas de seguridad apropiadas" y actuar solo según las instrucciones del controlador.

 En el futuro las cláusulas adicionales bajo GDPR significarán:

  • Control sobre la subcontratación (subproceso).
  • Notificación de infracciones de datos y de los servicios de asistencia que responde a ellas.
  • Derechos de auditoría.
  • Asistencia para responder a los datos que ejercen sus derechos.
  • Eliminación / devolución de datos personales en la terminación.

Los clientes insistirán en tener derechos de auditoría, control sobre los subcontratistas, incluso sobre qué proveedores de soluciones son aceptables. Tienen derecho a oponerse a determinados proveedores y todo esto debe estar cubierto en el contrato, y la lista de disposiciones se ampliará.

¿Cuándo estás sujeto a las reglas de protección de datos? 

Si solo proporciona un centro de datos físico, probablemente no sea parte de él.  Ya no debería existir solamente el cumplimiento como tal - la organización en este momento puede necesitar solo mostrar conformidad y hacer presentaciones ante el regulador. GDPR sugiere que estas presentaciones serán reemplazadas por registros internos. Las nuevas reglas de GDPR pueden cambiar esto, pero todavía no está claro si los países y regiones individuales dejarán de tener que presentar solicitudes.

Se necesitarán oficiales de protección de datos (auditores) para demostrar que las organizaciones están cumpliendo e incorporando una cultura de privacidad. La privacidad por diseño se debe ver como una buena práctica e incorporada en los proyectos desde el principio, por lo que los desarrolladores se verán afectados. De acuerdo con GDPR, habrá una obligación de incluir esto por primera vez, con privacidad por defecto. Tendrán que mostrar por qué se recopilan los datos, el alcance de los datos y qué se excluye.

Hay mucho trabajo adicional: si una empresa enfrenta un alto riesgo de impacto en la pérdida de datos, deberá consultar al regulador. Y surgirá un nuevo grupo de personas, los oficiales de protección de datos, pero es probable que se convierta en un requisito formal si se cumplen ciertos criterios. Estos incluyen autoridades públicas o cualquier persona que realice un monitoreo a gran escala de individuos, como publicidadrastreo de imágenes CCTV o el uso de datos confidenciales, como datos de salud o políticos.

Las reglas especiales de recursos humanos se aplican a aquellos oficiales de protección de datos que no pueden ser despedidos por dar consejos que no le agradan al propietario de la empresa. Se supone que el DPO debe ser imparcial, una tarea compleja, preveo para las personas que ocupen estos puestos.
En resumen:

Bajo el régimen actual (ENS y LOPD, principalmente):
  • Los controladores de datos son responsables de los requisitos.
  • Multa máxima por incumplimiento, sobre el medio millón de euros.
  • No hay responsabilidad para los procesadores, excepto en virtud de sus acuerdos contractuales con un controlador de datos.
Bajo el GDPR:
  • Los procesadores tienen responsabilidad legal; no sola bajo contratos.
  • El artículo 28 establece una larga lista de requisitos que deben incluirse en los contratos entre controladores y procesadores, y los procesadores tienen aún menos discreción sobre cómo pueden llevar a cabo actividades de procesamiento.
  • La mayoría de los operadores de centros de datos actúan como controladores de datos con respecto a los datos personales que realmente procesan.
  • Las personas tienen derechos mejorados, incluida la portabilidad de datos y el derecho al olvido.
Publicado por en No hay comentarios:
Etiquetas: ,

27 septiembre 2017

La base de datos Oracle y GDPR, una introducción


El Reglamento General de Protección de Datos (Reglamento de la UE 2016/679) es el nuevo marco jurídico de la UE que rige el uso de los datos personales. Este texto deroga la actual Directiva 95/46/CE de protección de datos y sustituye a las leyes de protección de datos nacionales existente (En España, la Ley 15/1999 de Protección de Datos). El texto será aplicable en todos los estados de la Unión Europea de desde 25 de mayo de 2018.

La Unión Europea (UE) introdujo su norma de protección de datos hace 20 años a través de la Directiva 95/46 / CE sobre protección de datos. Debido a que una Directiva permite a los Estados miembros un cierto margen de maniobra al aplicarla en el Derecho nacional, Europa ha terminado con un mosaico de diferentes leyes de privacidad. Además, el aumento de las brechas de seguridad, los rápidos avances tecnológicos y la globalización en los últimos 20 años ha traído nuevos retos para la protección de los datos personales. En un esfuerzo por abordar esta situación, la UE desarrolló el Reglamento General de Protección de Datos (GDPR).

¿Qué debemos hacer ahora para prepararnos para el GDPR?
  • Implementar medidas de seguridad desde el diseño y por defecto en todos los procesos del tratamiento mediante procedimientos y sistemas que garanticen la protección de datos y el ejercicio de los derechos de los interesados.
  • Realizar un análisis de los riesgos que atañen al tratamiento y prevenir su impacto para garantizar los derechos y las libertades de las personas que puedan ser afectadas, asumiendo que la protección de datos es mucho más que un cumplimiento formal y documental.
¿Qué puede hacer Oracle para prepararnos para el GDPR?

El GDPR es aproximadamente de tres a cuatro veces la longitud de la Ley de Protección de Datos (LOPD) de  1998 que está reemplazando.

Los requisitos para las bases de datos son:
  • Descubrimiento
  • Clasificación
  • Enmascaramiento
  • Supervisión
  • Informes de auditoría
  • Respuesta y notificación de incidentes

La sanción máxima por incumplimiento es del 4% del ingreso anual o de 20 millones de euros, el que sea mayor. Pueden aplicarse multas inferiores al 2% para las infracciones administrativas, como no realizar evaluaciones de impacto o notificar a las autoridades o particulares en caso de incumplimiento de los datos. Esto pone las penas de protección de datos en la misma categoría que la anticorrupción o el cumplimiento de la competencia.

Lo que los DBA deben comenzar ahora es cuenta e identificar el 100% de los datos privados ubicados en todas las bases de datos.

Hay cuatro categorías principales en las que participará DBA. 

  1. Evaluar
  2. Evitar
  3. Detectar
  4. Maximizar la protección

Las principales bases legales para el procesamiento de datos son el consentimiento y la necesidad. Los datos pueden ser reconocidos como una necesidad si:
  • Se relaciona con la ejecución de un contrato
  • Ilustra el cumplimiento de una obligación legal
  • Protege los intereses vitales del titular de los datos u otra persona
  • Se relaciona con una tarea que es de interés público
  • Se utiliza para fines de interés legítimo perseguido por el responsable del tratamiento o por un tercero (en caso de que los derechos de la persona afectada lo anulen)

Las solicitudes de acceso de los sujetos de los datos deben ser respondidas dentro de un mes y sin cargo alguno. Esta es una nueva legislación dentro del GDPR y el mismo plazo de un mes se aplica a la rectificación de datos inexactos.

Las notificaciones de infracción deben hacerse dentro de las 72 horas siguientes a la toma de conciencia. Si no se cumple este plazo, se puede imponer una multa de 10 millones de euros, o el 2% del volumen de negocios global. Un incumplimiento es cualquier falla de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Las autoridades supervisoras deben ser notificadas si una violación resulta en un riesgo para los derechos y libertades de las personas.

Los datos almacenados de forma encriptada o seudónima no se consideran datos personales y quedan fuera del ámbito de aplicación de estas nuevas normas. A pesar de esto, los datos cifrados y considerados seguros utilizando la tecnología de hoy en día pueden volverse legibles en el futuro. Por lo tanto vale la pena considerar el formato que preserva la encriptación / o usar pseudónimos que los hacen anónimos, pero permite al procesamiento seleccionado de esos datos.
Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)