Reglamento General de Protección de Datos (GDPR EU General Data Protection Regulation)

by | Mar 1, 2019 | Blog, Herramientas / tools

GDPR es una regulación Europea que aplica para todas las organizaciones que usan datos de Europeos. El punto principal es darle control a las personas sobre sus datos. El GDPR “empezó” el 14 de abril 2016 pero se hizo obligatorio el 25 de mayo 2018. La multa por no cumplir es una locura, son 10 millones de euros o hasta el 2% o del volumen de ingresos anual de la empresa (lo que sea mayor ja). O el nivel 2, 4% o hasta 20 millones.

Las organizaciones que usan nuestros datos deben tener controles técnicos y organizacionales para proteger los datos.

El GDPR tiene 99 artículos en 11 capítulos:

  • I – General provisions
  • II – Principles
  • III – Rights of the data subject
  • IV – Controller and processor
  • V – Transfers of personal data to third countries or international organisations
  • VI – Independent supervisory authorities
  • VII – Cooperation and consistency
  • VIII – Remedies, liability and penalties
  • IX – Provisions relating to specific processing situations
  • X – Delegated acts and implementing acts
  • XI – Final provisions

En resumen los derechos que tenemos son:

Image result for gdpr derechos

Uno de los que más me llamo la atención fue “consentimiento” ahora tiene que ser en una forma sencilla y en “plain english” osea ya no nos pueden vacunar el gigantesco contrato que hay que aceptar para usar la app que nadie lee.

En caso de que los hackeen tienen que informar a los involucrados.

Y los datgos tienen diferente valor, no es lo mismo PII que datos “normales

Porque esto es importante? Porque ahora más que nunca Europa reconoce el valor de la información y un hacker ya no tiene que ir necesariamente por dinero, ahora si consigues una buena base de datos puedes obtener más dinero de formas más “creativas”.

Hay tres grandes roles, sujeto, controlador y procesador de datos.

Image result for controller vs processor under gdpr

Es importante aclarar la diferencia entre privacidad y seguridad

GDPR

También es importante diferencia datos vs información

Image result for data vs information

Aquí tienen algunas plantillas si van a aplicar GDPR son de un curso de Udemi bastante bueno: Templates GDPR incluye:

  1.  Gap assessments con gráficas automáticas
  2.  Un gap assessment the Microsoft enfocado más en tecnologías separado en 4 columnas (Discover, Manage, protect, report)
  3. Un archivo para preparar el proyecto.
  4. Los Roles que se tienen que aplicar, donde tienes que tener mucho cuidado porque hay unos que son legalmente responsables.
  5. Personal data capture form (es para hacer un inventario de todo la información que recibes). Incluye acciones y un glosario.
  6. La GDPR policy
  7. Data Subject request procedure: Osea que hacer si un usuario hace una petición para algo. Esta cool porque tiene hasta flujo-gramas.
  8. Data protection impact assessment process. Identificar el riesgo, analizarlo, evaluarlo y actuar en el.
  9. Procedimiento para transferir datos a otros países o a organizaciones internacionales.
  10. Que hacer en caso de data breach
  11. Procedimiento para notificar a una persona
  12. Carta ejemplo que se le manda
  13. Un flujo-agrama de la respuesta
  14. Procedimiento en caso de que tengas un breach
  15. Etc, Etc.