charrua - - gdpr compliance el reglamento que nos afecta a ......5. impacto del nuevo rgpd en la...

- GDPR Compliance –El reglamento que nos afecta a todos

CharruaCon Security Conference #charruacon2018Montevideo

Disclaimer:


Hoy no rompo nada. Nada que declarar

About me:


Adrián Ramírez (Dolbuck)

o Security Consultant

o Data recovery

o Computer forensics

o Defense mitigation

o Computer and networking Security

o Social engineer

o Writer

o Pentester

o CO-organizer: SecAdmin, CharruaCon

o Expert in Cybersecurity and Judicial Computer Expertise (University

Distance MAdrid)

o Master in Cybersecurity (University Camilo Cela)

o Authorized instructor Data Protection Officer

http://www.cs3group.com/

http://www.cs3group.com/

Agenda:


1. ¿Qué está pasando en UE?

2. Lo que está sucediendo en España AHORA

3. Breve reseña LOPD EspañolaConceptos básicosSimilitudes con la Uruguaya

4. El RGPDPrincipales característicasLa figura del DPO

5. Impacto del nuevo RGPD en la empresa

6. Lo que se viene para acá.

7. Diversión y concienciación

¿Qué está pasando en la UE?



https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Breve reseña LOPD Española



Ley Orgánica 15/1999 de 13 de

diciembre de Protección de Datos

de Carácter Personal

Ley N° 18.331, de 11 de agosto de 2008.Compuesto de 49 artículos.


Artículo 1º . Derecho humano.- El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República.

Artículo 2º . Ámbito subjetivo.- El derecho a la protección de los datos personales se aplicará por extensión a las personas jurídicas, en cuanto corresponda.

Artículo 3º .Ámbito objetivo.- El régimen de la presente ley será de aplicación a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado.No será de aplicación a las siguientes bases de datos:

A) A las mantenidas por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

B) Las que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito.

C) A las bases de datos creadas y reguladas por leyes especiales.


Ley antecesoras


Objetivo: LOPDREGULAR

1. el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados

2. los derechos de los ciudadanos sobre ellos

3. las obligaciones de aquellos que los crean o tratan


Finalidad:GARANTIZAR y PROTEGER

1. las libertades públicas

2. los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar


Dato de carácter personalCualquier información numérica,

alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a

personas físicas identificadas o identificables.


Obligaciones1. LEGALIZAR

2. LEGITIMAR

3. PROTEGER


1. LEGALIZAR

Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la Agencia Española de Protección de Datos.


2. LEGITIMAR

Todos los datos de carácter personal recogidos deben cumplir 3 principios básicos:

a) Principio del consentimiento del afectado

b) Principio de información

c) Principio de calidad de los datos


3. PROTEGER

Establecer una serie de medidas con el fin de garantizar la seguridad de los datos de carácter personal recopilados.

Entre estas medidas se incluye la elaboración de un Documento de Seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.


Niveles de seguridadNivel Básico: Para todos los ficheros de datos de carácter personal.

Nivel Medio: Serán adoptadas para ficheros que contengan datos:a)relativos a la comisión de infracciones administrativas o penales.

b)sobre Hacienda Pública.

c)sobre Servicios Financieros.

d)sobre solvencia patrimonial y crédito.

e)un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20).

Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual.


Sanciones

• Leves (601,01€ - 60.101,21€)

• No solicitar la inscripción del fichero en la AEPD

• Recopilar datos personales sin informar previamente

• No atender a las solicitudes de rectificación o cancelación

• No atender las consultas por parte de la AEPD


Sanciones

• Graves (60.101,21€ - 300.506,25€)

• No inscribir los ficheros en la AEPD ni permitir el acceso• Utilizar los ficheros con distinta finalidad con la se crearon• No tener el consentimiento del interesado para recabar sus

datos personales• No permitir el acceso a los ficheros• Mantener datos inexactos o no efectuar las modificaciones

solicitadas • No remitir a la AEPD las notificaciones previstas en la LOPD• Mantener los ficheros sin las debidas condiciones de seguridad

Graves


• Crear ficheros para almacenar datos que revelen datos especialmente protegidos

• Recogida de datos de manera engañosa o fraudulenta• Recabar datos especialmente protegidos sin la autorización del afectado• No atender u obstaculizar de forma sistemática las solicitudes de

cancelación o rectificación• Vulnerar el secreto sobre datos especialmente protegidos• La comunicación o cesión de datos cuando ésta no esté permitida


Muy graves (300.506,25€ - 601.012,1€)

Casos reales de incumplimiento


https://www.genbeta.com/actualidad/la-aepd-sanciona-a-google-con-900-000-euros-por-infringir-la-lopd

https://www.genbeta.com/actualidad/la-aepd-sanciona-a-google-con-900-000-euros-por-infringir-la-lopd

http://www.cumplirlopd.es/sancioneslopd/

http://www.cumplirlopd.es/sancioneslopd/

4. Principales Características

Aspectos relevantes:


24/05/2018 Andalucía CERT 38


• Novedades a tener en cuenta de la RGPD:

• El principio de “responsabilidad proactiva”

• El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Principios


• En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.


• El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.

• De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

El “enfoque de riesgo”


• Aparte de los datos especialmente protegidos que ya preveía la LOPD, que ahora pasan a denominarse "categorías especiales de datos", el Reglamento incluye dos nuevas categorías especiales de datos:

•- Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionan una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica.

•

Nuevas categorías especiales de datos


•- Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esta persona (imágenes faciales, datos dactiloscópicos, etc.).

Nuevas categorías especiales de datos


• El RGPD requiere que el interesado preste el consentimiento mediante una declaración inequívoca o una acción afirmativa clara. A efectos del nuevo Reglamento las casillas ya marcadas, el consentimiento tácito o la inacción no constituirán un consentimiento válido.

Consentimiento


• Para adecuar nuestros formularios a la nueva normativa tienen que tener dos cosas:

1. Que el usuario dé su consentimiento expreso

2. Que se le informe de cómo, dónde y quién va a guardar los datos

3. Que sea tan fácil darse de baja como darse de alta


• ¿Qué sucede con aquellos tratamientos que se realizan con base en el consentimiento por omisión?

• Estas formas de consentimiento no son compatibles con el RGPD, ya que se basan en la inacción del interesado. El RGPD señala también que los tratamientos iniciados con anterioridad al inicio de su aplicación sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.


• El nuevo Reglamento configura la información como un derecho de las personas afectadas y amplía las cuestiones sobre las que es necesario informarlas, con los aspectos siguientes: los datos de contacto del delegado de protección de datos; la base jurídica del tratamiento; los intereses legítimos perseguidos en que se fundamente el tratamiento, en su caso; la intención de transferir los datos a un tercer país o a una organización internacional y la base para hacerlo, en su caso; el plazo durante el cual se conservarán los datos; el derecho a solicitar la portabilidad; el derecho a retirar en cualquier momento el consentimiento que se haya prestado; si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato; el derecho a presentar una reclamación ante una autoridad de control; la existencia de decisiones automatizadas, incluida la lógica aplicada y sus consecuencias.

Derecho de información


• En el ámbito de los servicios de la sociedad de la información, el consentimiento de los menores sólo será válido si tienen más de 16 años. Sin embargo, los estados miembros de la UE pueden rebajar la edad hasta los 13 años.

•Además, el lenguaje utilizado para informarles les debe ser comprensible.

• ¿Qué otras referencias a los menores contiene el RGPD?

• ….

Consentimiento de los menores


• El RGPD incorpora el derecho al olvido, como un derecho vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad:

• Los interesados tienen derecho a obtener la supresión de los datos ("derecho al olvido") cuando:

Los datos ya no sean necesarios para la finalidad para la que fueron recogidos.

Se revoque el consentimiento en el que se basaba el tratamiento.

El interesado se oponga al tratamiento.

Los datos se hayan tratado ilícitamente.

Los datos se tendrán que suprimir para el cumplimiento de una obligación legal.

Derechos de los interesados


• El RGPD suprime, a partir del 25 de mayo de 2018, la necesidad de crear formalmente los ficheros y notificarlos al Registro de protección

de datos de las autoridades de control.

Inscripción y notificación de ficheros

Una de las novedades que esta normativa establece es que ya no será necesario inscribir los ficheros en el Registro General de Protección de Datos de la AEPD. Sin embargo, se establece una nueva obligación para el Responsable del fichero y es la de llevar un Registro de actividades de tratamiento.


• El RGPD prevé nuevas obligaciones de documentación deltratamiento para los responsables o los encargados deltratamiento, salvo que el tratamiento que realice puedaentrañar un riesgo para los derechos y libertades de losinteresados, no sea ocasional, o incluya categorías especialesde datos personales, o datos personales relativos a condenase infracciones penales

• Estos responsables y encargados del tratamiento tienen quellevar un registro de las actividades de tratamiento que llevena cabo. Este registro debe contener, respecto de cadaactividad, la información que establece el artículo 30 delRGPD.

Registro de actividades de tratamiento


• Dicha obligación corresponde tanto al Responsable del fichero como al Encargado del tratamiento. Sin embargo, el RGPD no obliga a cualquier responsable o encargado a realizar ese Registro de actividades de tratamiento si no que establece unos requisitos:

La empresa u organización tenga más de 250 empleados.

Se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.

Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

¿Quién está obligado a realizar el registro de actividades de tratamiento?


https://ayudaleyprotecciondatos.es/2010/06/22/aclarando-responsable-del-tratamiento-y-encargado-del-tratamiento/

• Esta información incluye cuestiones como:

Nombre y datos de contacto del responsable y, en su caso, corresponsable, así como del Delegado de Protección de Datos si existiese.

Finalidades del tratamiento.

Descripción de categorías de interesados y categorías de datos personales tratados.

Transferencias internacionales de datos.

Cuando sea posible, plazos previstos para la supresión de los datos.

Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.


Contenido del registro de datos


• Obligaciones específicas de los encargados

• La Directiva 95/46 y en general las leyes nacionales de trasposición se centran en la actividad de los responsables. El RGPD, por el contrario, contiene obligaciones expresamente dirigidas a los encargados. La responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad. Pero en determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable y que pueden ser supervisadas separadamente por las autoridades de protección de datos. Por ejemplo, los encargados deben mantener un registro de actividades de tratamiento, deben determinar las medidas de seguridad aplicables a los tratamientos que realizan o deben designar a un Delegado de Protección de Datos en los casos que prevé el RGPD.


• El RGPD establece explícitamente que los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.


Contrato de encargo del tratamiento


• 1. El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

• 2. Las actividades principales del responsable/encargado del tratamiento consistan en tratamientos que, por naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

• 3. Las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

¿Se está obligada a nombrar a un DPO?El responsable y/o el encargado del tratamiento de la empresa deberá, obligatoriamente, nombrar un DPO cuando:


• Cuando sea probable que un tratamiento, especialmente si se utilizan las nuevas tecnologías, por su naturaleza, alcance, contexto o finalidades, suponga un riesgo alto para los derechos y libertades de las personas físicas, el responsable debe hacer una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales antes de iniciar el tratamiento.

Evaluaciones de impacto relativas a la protección de datos


• Si de la evaluación de impacto sobre la protección de datos resulta que el tratamiento previsto podría infringir el RGPD, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, el responsable debe hacer una consulta a la autoridad de control en materia de protección de datos competente.

• En los casos en que las EIPD hayan identificado un alto riesgo que a juicio del responsable de tratamiento no pueda mitigarse por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable deberá consultar a la autoridad de protección de datos competente. La consulta debe ir acompañada de la documentación que prevé el RGPD, incluyendo la propia Evaluación de Impacto.

Consulta previa


• El Reglamento introduce los conceptos de privacidad desde el diseño y privacidad por defecto.

• Esto implica que el responsable aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del tratamiento mismo, las medidas técnicas y organizativas adecuadas (como por ejemplo la seudonimización) concebidas para aplicar de manera efectiva los principios de protección de datos, e integrar las garantías necesarias en el tratamiento, para cumplir los requerimientos del Reglamento.

• Asimismo, el responsable aplicará las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se traten los datos personales necesarios para cada finalidad específica del tratamiento.

Protección de datos desde el diseño y por defecto


• El Reglamento también promueve los mecanismos de certificación, tales como certificados, sellos o marcas, como

mecanismo para demostrar el cumplimiento del RGPD.

Mecanismos de certificación


• El Reglamento introduce la figura del delegado de protección de datos, que podrá formar parte de la plantilla del responsable o encargado o actuar en el marco de un contrato de servicios. Será necesario designar un delegado de protección de datos en los casos siguientes:

• Cuando el tratamiento lo realice una autoridad u organismo público (excepto juzgados y tribunales). En este caso, se podrá designar un único delegado de protección de datos para diversas de estas autoridades u organismos.

• Cuando el tratamiento requiera la observación habitual y sistemática de interesados a gran escala.

• Cuando el tratamiento tenga por objeto categorías especiales de datos personales o datos relativos a condenas o infracciones penales.

Delegado de protección de datos (DPD)


• El delegado de protección de datos tendrá las funciones:

Informar y asesorar al responsable o al encargado y a los trabajadores sobre las obligaciones que impone la normativa de protección de datos.

Supervisar el cumplimiento de la normativa.

Asesorar respecto de la evaluación de impacto relativa a la protección de datos.

Cooperar con la autoridad de control.

Actuar como punto de contacto para cuestiones relativas al tratamiento.


• ¿Qué requisitos o cualificaciones debe tener el Delegado de protección de datos?

• El DPD ha de ser nombrado atendiendo a sus cualificacionesprofesionales y en particular a su conocimiento de la legislacióny la práctica de la protección de datos. Esto no significa que elDPD deba tener una titulación específica.


• El modelo de transferencias internacionales diseñado por el RGPD sigue los mismos criterios que el establecido por la Directiva 95/46 y por las legislaciones nacionales de trasposición. Según este modelo, los datos sólo podrán ser comunicados fuera del Espacio Económico Europeo:

• A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado.

• Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino.

• Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.

Transferencias internacionales


• Desde el punto de vista de los responsables y encargados que actualmente realizan transferencias internacionales o que las efectuarán en el marco del RGPD, hay algunas novedades a tener en cuenta:Las decisiones de adecuación que la Comisión ha adoptado con anterioridad

a la aplicación del RGPD seguirán siendo válidas, y por tanto podrán seguir realizándose transferencias basadas en ellas, en tanto la Comisión no las sustituya o derogue.

Las decisiones de la Comisión estableciendo cláusulas tipo para los contratos en los que se establecen garantías para las transferencias internacionales seguirán siendo válidas hasta que la Comisión las sustituya o derogue.

Las autorizaciones de transferencias que las autoridades nacionales de protección de datos hayan otorgado sobre la base de garantías contractuales seguirán siendo válidas en tanto las autoridades no las revoquen.


Las garantías sobre la protección que recibirán los datos en destino las debe ofrecer el exportador, que podrá ser tanto un responsable como un encargado de tratamiento.

Se amplía la lista de posibles instrumentos para ofrecer garantías, incluyéndose expresamente, entre otros, las Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación, así como los cláusulas contractuales modelo que puedan aprobar las autoridades de protección de datos.


En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requerirá la autorización de las autoridades de supervisión.

Se añade una excepción al listado que en su momento estableció la Directiva 95/46. Se trata de la posibilidad de que el responsable pueda transferir datos a un país sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados. En todo caso, la transferencia solo será posible si no prevalecen los derechos, libertades e intereses de los afectados y deberá comunicarse a la autoridad de protección de datos.


Casos de estudio….


Escudo de privacidad

Ejercicio: Busca 4 empresas que estén certificada en el Escudo de Privacidad


http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016D1250&from=EN

https://www.incibe.es/protege-tu-empresa/blog/adios-puerto-seguro-bienvenido-escudo-privacidad


La nota curiosa: Trump!!!Noticia Enero de 2017


• ¿Qué es una «decisión de conformidad»?

• Una «decisión de conformidad» es una decisión adoptada por la Comisión Europea que establece que un país no perteneciente a la Unión garantiza un adecuado nivel de protección de los datos de carácter personal en virtud de su legislación propia y los acuerdos internacionales.

• Con esta «decisión de conformidad» los datos personales podrán transferirse desde los 28 Estados Miembro (y los tres miembros del Espacio Económico Europeo: Noruega, Liechtenstein e Islandia) a un tercer país, que obtenga esta «decisión de conformidad», sin más restricciones.



https://www.agesic.gub.uy/innovaportal/file/2303/1/adecuacion_ue.pdf

https://www.agesic.gub.uy/innovaportal/file/2303/1/adecuacion_ue.pdf

• ¿En qué se diferencia el Escudo de Privacidad del Puerto Seguro?

• Estos acuerdos obligan a las empresas de los EEUU de forma más estricta en lo relativo a la protección de datos personales de los ciudadanos de la Unión Europea. Por ello, son necesarios nuevos mecanismos de control y cumplimiento por parte de las autoridades de los EEUU y una mayor cooperación con las autoridades de protección de datos europeas.

• También se incluyen compromisos y garantías de parte de los EEUU de que las competencias legislativas para el acceso a los datos personales por parte de las autoridades públicas estarán sujetas a condiciones claras, limitaciones y supervisión, evitándose un acceso generalizado.

• Se crea además la figura del Mediador, que resolverá las quejas o solicitudes de los ciudadanos de le UE en relación con los posibles accesos a sus datos de los servicios nacionales de inteligencia.


• Si tengo contratados servicios (cloud, alojamiento web, correo electrónico, backup, big data…) en los que realizo transferencia de datos personales a empresas de EEUU, ¿me afecta?

• En este caso, y con estos acuerdos, tendrás mayores garantías en cuanto a la protección de datos de tus clientes y empleados.

• Siempre que realices la contratación de servicios externos que incluyan transferencia de datos personales, revisa que se cumple la LOPD en la transferencia. También es recomendable conocer la ubicación de los servidores del proveedor para asegurarte que están en un país cuya legislación ofrezca las mismas garantías que la española.


• A diferencia de la normativa actual, el Reglamento no establece un listado de las medidas de seguridad que son de aplicación de acuerdo con la tipología de datos objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Ello implicará tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar.

Medidas de seguridad


• El tipo de análisis variará en función de los tipos de tratamiento, de la naturaleza de los datos que se traten, del número de interesados afectados o de la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

• En las grandes organizaciones este análisis deberá como regla general llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes. En responsables de menor tamaño y con tratamientos de poca complejidad este análisis sería el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados

¿Cómo se lleva a cabo un análisis de riesgo?


• Si se produce una violación de la seguridad, el responsable debe notificarlo a la autoridad de control en un plazo máximo de 72 horas, a menos que sea improbable que constituya un riesgo para los derechos y libertades de las personas.

Además, cuando sea probable que la violación pueda comportar un alto riesgo para los derechos de los interesados, el responsable lo deberá comunicar a las personas afectadas sin dilaciones indebidas y en lenguaje claro y sencillo, excepto que:

Notificación de violaciones de seguridad


• El responsable hubiera adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas.

• Haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo.

• Suponga un esfuerzo desproporcionado.

• De todas formas la empresa debería tener un procedimiento para activar en ese caso.



5. Impacto del RGPD en la empresa


Mayor conciencia por datos de carácter personal Formación a los empleados y concienciación Inversión el el campo de la ciberseguridad Productos y servicios orientados a la seguridad Mayor repeto por los Datos de Carácter Personal


6. Lo que se viene.

Toda empresa que trate datos de carácter personal con una empresa Europea deberá de tener los niveles de seguridad

exigidos por el propietario del tratamiento.


7. Un poco de diversión

Conclusiones

Los datos de carácter personal son muy importantes y debemos

de tomar conciencia de ellos, tanto ciudadanos, como

empresas.


Referencias:

https://www.datospersonales.gub.uy/https://www.aedp.eshttps://www.datospersonales.gub.uy/e-learning/story_content/external_files/preguntas-frecuentes.pdfhttp://www.impo.com.uy/bases/leyes/18331-2008

https://www.datospersonales.gub.uy/

https://www.aedp.es/

https://www.datospersonales.gub.uy/e-learning/story_content/external_files/preguntas-frecuentes.pdf

http://www.impo.com.uy/bases/leyes/18331-2008

charrua - - gdpr compliance el reglamento que nos afecta a ......5. impacto del nuevo rgpd en la...

Documents