RGPD: Cambios respecto a la LOPD

Blog

19
- Oct
2017
Publicado por: Juan Martínez
[Certificación]
RGPD: Cambios respecto a la LOPD

Introducción

El RGPD ha sido publicado por la Unión Europea por la necesidad de conseguir una mejor adaptación de la ley de protección de datos a los nuevos desarrollos tecnológicos, con un crecimiento exponencial del tratamiento de datos.

Este nuevo reglamento requiere una actuación proactiva por parte de los encargados y responsables del tratamiento en cuanto a las tareas de recogida y tratamiento de datos, siendo importante el concepto de protección por defecto y desde el diseño.

El RGPD ha establecido como nuevos datos personales identificadores únicos relacionados con las TIC, como las cookies, direcciones IP o similares.

Cambios generales: RGPD frente LOPD

Tras haber entendido porque era necesario este nuevo RGPD, lo más importante es entender los cambios que supone con respeto a la LOPD española.

Cambios en cuanto a la legitimación

El concepto de tratamiento de datos de alto riesgo, hace alusión al tratamiento de datos destinado a la evaluación de aspectos personales para la elaboración de perfiles, a la observación sistemática a gran escala de una zona de acceso público.

El cambio más importante es que dejan de ser válidos los consentimientos tácitos o por omisión, siendo necesaria la declaración clara o acción afirmativa y explícita para casos de alto riesgo, decisiones automatizadas, transferencias internacionales, etc.

Los tratamientos iniciados bajo la antigua LOPD, serán válidos si el consentimiento es conforme establece el RGPD.

Cambios en cuanto a la transferencia de información a los interesados

El RGPD establece que la información a los interesados deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencilla., proporcionando la siguiente información:

  • Base jurídica del tratamiento
  • Intención de realizar transferencias internacionales
  • Datos de Delegado de Protección de Datos
  • Elaboración de perfiles

Cambios en cuanto a derechos de los afectados

Derecho de acceso

  • LOPD: Era obligatorio facilitar todos los datos de base del afectado, pero no copias o documentos
  • RGPD: Reconoce el derecho de obtener una copia de los datos personales que son objeto del tratamiento
  • Importante: Podrán atender este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales

Derecho al olvido

Este derecho es la consecuencia de la aplicación del derecho al borrado de los datos personales, siendo una manifestación de los derechos de cancelación u oposición en un entorno online.

Si los responsables de tratamiento han hecho públicos datos personales, deberán adoptar medidas técnicas para borrar su información personal.

Limitación del tratamiento

Bajo petición previa del afectado, no se aplicarán las operaciones de tratamiento bajo ciertos casos, descritos en detalle en la RGPD, como cuando el tratamiento es lícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello.

    Importante:
  • La limitación del tratamiento es un derecho de los interesados que no debe confundirse con el bloqueo de los datos por parte de la legislación española
  • Los plazos y procedimientos son los mismos que para el resto de derechos
  • Se impide la práctica habitual del borrado de los datos cuando se ejerzan otros derechos, como es el acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.

Portabilidad

El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Este derecho solo puede ejercerse:

  • Cuando el tratamiento se efectúe por medios automatizados
  • Cuando se base en el consentimiento o en un contrato
  • Cuando el interesado lo solicita con respecto a los datos que haya proporcionado al responsable, incluidos datos derivados de la propia actividad sobre los datos.
    Importante:
  • Este derecho implica que los datos del interesado se transmiten de un responsable a otro siempre que sea posible.
  • Este derecho no es aplicable si los datos se han facilitado por terceras personas o para datos.

Cambios en la relación responsable-encargado

Las novedades en las relacionas entre los responsables y encargados se establecen en tres ámbitos distintos.

  1. Obligaciones específicas para los encargados

    El cambio consiste en que la antigua LOPD solamente contenía obligaciones para los responsables, sin embargo, el RGPD también contiene obligaciones para los encargados del tratamiento

    • Deben mantener un registro de las actividades de tratamiento
    • Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan
    • Designan a un Delegado de Protección de Datos en los casos indicados por el RGPD

  2. Elección del encargado del tratamiento

    Los responsables elegirán encargados con las capacidades técnicas organizativas apropiadas para que el tratamiento cumpla los requisitos necesarios

  3. Contenido del contrato del encargado

    Las relaciones entre el responsable y el encargado deben formalizarse por contrato o en un acto jurídico, adaptando los contratos previos al nuevo RGPD.

Medidas de responsabilidad activa

Otro aspecto importante son los procedimientos que el responsable y el encargado de tratamiento deben aplicar para cumplir con las medidas de responsabilidad activa.

Registro de actividades del tratamiento

Los responsables y encargados deben mantener un registro de operaciones de tratamiento que contenga la siguiente información: Nombre y datos de contacto del responsable, Finalidad del tratamiento, Descripción de categorías de interesados y categorías y datos personales tratados y Transferencias internacionales.

Están exentas las organizaciones que cuentan con menos de 250 empleados, a menos que el tratamiento que realicen pueda entrañar riesgo para los derechos y libertades de los interesados, que no sea ocasional o que incluya categorías especiales de datos.

Notificación de violaciones de seguridad de datos

Las violaciones engloban todo incidente que ocasione destrucción, perdida o alteración de datos personales, así como la comunicación y acceso no autorizados de estos.

El responsable debe notificar las violaciones antes de las 72 horas tras haberse producido, a menos que la violación no entrañe riesgo para los derechos y libertades de los afectados, incluyendo

  • Naturaleza de la violación
  • Categorías de datos y de interesados y afectados
  • Medidas adoptadas por el responsable para solventar la quiebra
  • Medidas aplicadas para paliar los posibles efectos negativos

Si las violaciones entrañan riesgo para los interesados, se les deberá notificar, para que puedan protegerse.

La sospecha de quiebra o la constatación de un incidente, no se deben notificar hasta conocer el riesgo real para los interesados.

Nombramiento del delegado de protección de datos

El RGPD establece que será obligatorio nombrar un Delegado de Protección de Datos (DPD) en los siguientes casos:

  • Autoridades y organismos públicos
  • Responsables o encargados que requieran una observación habitual sistemática de interesados a gran escala
  • Tratamiento a gran escala de datos sensibles

El DPD ha de ser nombrado según sus cualificaciones profesionales y, en particular, a su conocimiento en la legislación y la práctica de la protección de datos.

La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión.

Todo DPD, debe cumplir la siguiente serie de requisitos:

  • Total autonomía en el ejercicio de sus funciones
  • Necesidad de que se relacione con el nivel superior de la dirección
  • Obligación de que el responsable o el encargado le faciliten todos los recursos necesarios para desarrollar su actividad.

Transferencias internacionales

Los datos solo podrán transmitirse fuera del Espacio Económico Europeo en los siguientes casos:

  • Países, territorios o sectores específicos sobre los que la comisión haya adoptado la decisión de que ofrecen el nivel de protección adecuado
  • Cuando se hayan ofrecido garantías adecuadas sobre que los datos recibirán de forma adecuada en el destino
  • Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.

La lista de países externos que garantizan la protección de los datos según el RGPD son: Suiza, Andorra, Guenrsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, EEUU(Según Privaxy-Shield).

Tratamiento de datos de menores

La mención de menores, está relacionada con la obtención del consentimiento en el ámbito de la oferta directa de servicios a la sociedad de la información. El RGPD prevé que, en este entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con autorización de los padres.

EL RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años.

Por otra parte, el RGPD requiere que los responsables hagan esfuerzos razonables, para verificar que, para los niños menores de la edad que se fije como límite, el consentimiento se ha dado por los padres.

Seudonimización

Es un nuevo concepto que hace referencia al proceso al que se someten los datos (encriptación, hashing…), para que no se encuentren directamente vinculados a un individuo. No obstante, siguen siendo datos personales, por lo que necesitan legitimización para tratarlos. Las empresas que implanten seudonimización quedan exentas de cumplir ciertas obligaciones con el RGPD.

Aunque la AEPD impulsa a las empresas a llevar a cabo este proceso, es importante saber que conlleva realizar un análisis de riesgos y la consecuente evaluación de impacto.



jtsec ofrece servicios de consultoría para lograr el cumplimiento con la RGPD, por ejemplo, ayudando a empresas a implantar la seudonimización en sus procesos. No dude en contactar con nosotros si está interesado o necesita ayuda para la implantación de la RGPD en su entidad.

tags
Juan Martínez/Consultor Senior

Ingeniero de telecomunicaciones y Máster en ciberseguridad por la Universidad de Granada. Trabajando como consultor en jtsec desde julio de 2017 en proyectos relacionados con Common Criteria, certificaciones LINCE y estándares FIPS 140-2, FIPS 140-3, PCI-PTS y PCI-CPoC.

Aunque su actividad principal se centra en la consultoría, también ha participado en proyectos como evaluador LINCE y como analista de seguridad hardware gracias a la experiencia adquirida durante su participación en la tercera y cuarta edición del concurso llamado “Desafío tecnológico UGR” durante su tapa universitaria, donde obtuvo el tercer y primer premio respectivamente.

Juan forma parte de la primera promoción de alumnos certificados como CriptoCert Certified Crypto Analyst, cuya calidad, relevancia y utilidad es reconocida por el Centro Criptológico Nacional español.

Su principal motivación es continuar mejorando sus habilidades en ciberseguridad con el objetivo de poder participar activamente en la protección de los datos de usuarios y para ayudar a las compañías a conseguir las certificaciones de sus productos.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
ÚLTIMAS ENTRADAS
jtsec - Nuestro LINCE 2023
Febr 6, 2024
jtsec - Nuestro LINCE 2023
Les deseamos un feliz y ciberseguro 2024
Dic 19, 2023
Les deseamos un feliz y ciberseguro 2024
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Dic 14, 2023
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Cómo incluir tu producto o servicio en ENS ALTA.
Oct 31, 2023
Cómo incluir tu producto o servicio en ENS ALTA.
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
Sept 19, 2023
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
ENS & CPSTIC – Juntos somos más fuertes
Ago 23, 2023
ENS & CPSTIC – Juntos somos más fuertes
Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
Mayo 9, 2023
Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
jtsec obtiene la certificación ENS Alta.
Mayo 1, 2023
jtsec obtiene la certificación ENS Alta.
Common Criteria Statistics Report para 2022
Marzo 20, 2023
Common Criteria Statistics Report para 2022
¿Cómo evaluar la ciberseguridad de un dispositivo IoT de consumo según el esquema ETSI EN 303 645?
Marzo 9, 2023
¿Cómo evaluar la ciberseguridad de un dispositivo IoT de consumo según el esquema ETSI EN 303 645?
CATEGORÍAS