WiFi "gratis" en BA

¿Qué entregamos a cambio de tener WiFi “gratis” en Buenos Aires? Global Voices en Español (blog) Publicado el 10/02/2018 16:49 GMT  Imagen pública de promoción a la conexión Wifi del Metro de Buenos Aires. Un reciente informe de VICE Argentina revela algunos datos inquietantes sobre los términos y condiciones que aceptan (generalmente, sin leer) los usuarios de la red de WiFi que ofrece la ciudad de Buenos Aires de forma gratuita. Al igual que muchas ciudades modernas, Buenos Aires cuenta desde hace algunos años con una red de internet inalámbrica pública a la cual se accede desde los parques, plazas, terminales de bus y ómnibus e, incluso, dentro de la red de subterráneos, gracias a la instalación realizada por el Gobierno de la Ciudad de Buenos Aires (GCBA) en colaboración con Subterráneos de Buenos Aires Sociedad del Estado (SBASE). El informe señala que todo usuario que desee hacer uso de la red BAWiFi debe registrarse y aceptar los términos y condiciones para acceder a la conexión. Estos términos, a los que los usuarios no suelen prestar mucha atención, incluyen otorgar permiso al GCBA y a SBASE para recopilar sus datos personales y de registro, como el nombre, usuario, contraseña, número de documento de identidad o clave de identificación laboral (CUIL), nacionalidad, género, teléfono, dirección postal y datos de geolocalización, además de las fotografías y datos de voz almacenados en el dispositivo conectado a la red. Otro aspecto llamativo de los términos y condiciones de la red de WiFi de Buenos Aires es que, al aceptarlos, el usuario otorga su consentimiento para que el Gobierno de la Ciudad y SBASE hagan uso y difusión de sus fotos y voz con fines publicitarios y de comunicación: SBASE se reserva el derecho a realizar la acción publicitaria, de prensa, promoción, publicación y difusión que considere conveniente de los datos proporcionados por los USUARIOS que hagan uso del Servicio. Con la sola proporción de datos y aceptación de los presentes términos y condiciones, los USUARIOS prestan su expresa conformidad para la utilización y difusión de sus datos e Imágenes (foto y voz) por los medios publicitarios y de comunicación que SBASE y/o el Gobierno de la Ciudad Autónoma de Buenos Aires disponga. El trabajo de VICE, ilustra este fragmento en un ejemplo sencillo: “Si lo hizo [aceptar los términos y condiciones], no debería sorprenderse si un día al entrar a la estación, ve su cara en una gigantografía con la frase: “De lunes a viernes bien temprano, (su nombre y apellido) disfruta de nuestro servicio”.” Sin embargo, lo descrito anteriormente no es tan serio como lo que citamos a continuación del Artículo 2, apartado sobre “Plazo y duración”: SBASE podrá establecer nuevas condiciones y/o modificaciones a cualquiera de las cláusulas contenidas en los presentes términos y condiciones y las políticas de privacidad sin necesidad de contar con la autorización del USUARIO. El usuario acepta un contrato que puede cambiar sus términos en cualquier momento sin necesitad de su autorización. De allí surgen muchas dudas sobre qué pasará con todos los datos e imágenes recopiladas y almacenadas por el Estado, y a la luz de la inminente reforma de la actual Ley N° 25.326 de Protección de Datos Personales argentina, que data de octubre del 2000, se enciende una señal de alarma. ¿Para qué necesita SBASE el número de clave laboral de los usuarios? ¿Para qué necesita el gobierno de la ciudad almacenar las fotografías y notas de voz personales de cualquier ciudadano? ¿Qué otro uso potencial podría darle a esta información amparado por futuras modificaciones de la ley de protección de datos o de los términos y condiciones del contrato mismo? Teniendo en cuenta que el artículo cuarto de la ley de Protección de Datos Personales dice que los “datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido”, se puede suponer que algunos de los datos recopilados por SBASE (en particular, las fotos de usuarios) podrían considerarse “excesivos en relación al ámbito y finalidad para los que se hubieren obtenido”. Al momento de la edición de este artículo, el texto del contrato no está subido al sitio oficial del Gobierno de la Ciudad o de SBASE para su lectura y consulta ulterior; sólo se accede al contenido cuando se está en el Subte para conectarse. El usuario de Twitter Tomás publicó el texto completo del contrato de adhesión que había guardado en un documento de Google un tiempo atrás y, sobre el informe de VICE, comentó: Tomás@TomiOlava Replying to @TomiOlava Eso me llamó la atención y una vez me las mandé por mail después de aceptar. Nunca las había leído hasta hoy: 2:44 PM - Jan 29, 2018 33 30 people are talking about this Twitter Ads info and privacy La “sociedad de la transparencia” En las redes sociales, hubo muy pocas reacciones de los cibernautas frente a la publicación del informe de VICE (o de las condiciones en sí mismas). Javier Pallero, analista de políticas públicas de Internet de Access Now, explica que hay muy poca conciencia sobre la privacidad, y que lo más preocupante de todo esto es que sea el Estado quien recoja estos datos:  “Es el único que todavía tiene la capacidad de quitarte los bienes, privarte de la libertad o, bajo ciertas circunstancias, pegarte un tiro legalmente”. El usuario que accede a las plataformas de redes sociales, aplicaciones y otros servicios digitales está habituado a aceptar sus términos y condiciones de uso sin leerlos. Valeria Milanés, directora de la Asociación por los Derechos Civiles (ADC) Digital, explica que “son contratos de adhesión sumamente largos y con terminología muy compleja. Lo que debería suceder es que el texto fuera acompañado de mensajes con ideas muy claras sobre para qué se van a usar los datos, durante cuánto tiempo, en el lenguaje más sencillo posible”. La entrega de datos ya se ha naturalizado entre los usuarios a tal punto de reducirlo a un precio relativamente bajo que se paga para obtener el beneficio de una conexión “gratuita”: Selva Iris ✿⊱╮✿⊱╮@selvairis Replying to @TomiOlava Lo más increíble de todo: al argentino promedio no le importa, con tal de que le den wifi gratis acepta cualquier cosa, "total no tiene nada que ocultar". 6:18 PM - Jan 29, 2018 3 See Selva Iris ✿⊱╮✿⊱╮'s other Tweets Twitter Ads info and privacy En otros casos, se simplifica el problema y se propone una solución práctica: no utilizar el servicio. Sebastián @sphuertas1 Replying to @TomiOlava No lo uses. Nadie te obliga a hacerlo. 3:49 PM - Jan 29, 2018 See Sebastián 's other Tweets Twitter Ads info and privacy La escasa resistencia de los usuarios para entregar sus datos refleja un preocupante desinterés o desconocimiento de los potenciales riesgos que implica aceptar términos y condiciones que no comprenden en su totalidad. ¿Censura en la red #BAWifi? En otro orden de ideas, el blog El Disenso, abiertamente crítico del Gobierno de la Ciudad de Buenos Aires y del gobierno nacional, denunció el bloqueo de su sitio desde la red de WiFi de Buenos Aires tras haber publicado una serie de investigaciones que, según ellos, “incomodan al GCBA”. El blog alega que, el 1 de febrero, varios de sus lectores informaron que no podían acceder al sitio web cuando estaban conectados a la red BA WiFi. El Disenso@ElDisenso #EstaSemana Jue 1/2 #CensuraPRO: Después de denunciar a #Larreta, el #BAWiFi bloqueó @ElDisenso - Ahora el #GCBA no solo te monitorea, también decide que podés leer y que no! Leélo en @ElDisenso http:// bit.ly/2FCwtpk   2:58 PM - Feb 4, 2018 Censura PRO: Después de denunciar a Larreta, el BA WiFi bloqueó El Disenso - El Disenso Luego de publicar varias denuncias e irregularidades que tocan a la administración larretista en CABA el GCBA bloqueó el acceso a nuestro blog desde el BA WiFi censurándonos y prohibiéndole a los... eldisenso.com 7 20 people are talking about this Twitter Ads info and privacy Horacio Rodríguez Larreta es el Jefe de Gobierno de la ciudad de Buenos Aires, sucesor en el cargo que ocupara el actual presidente de la Nación, Mauricio Macri. El Disenso presentó quejas ante la Defensoría del Pueblo de la Ciudad de Buenos Aires y la empresa Subte BA. El 7 de febrero confirmó que el acceso al sitio se había restablecido en la red, en lo que describieron como un “incidente de bloqueo erróneo de URL”. Por supuesto, para muchos queda la duda sobre si el incidente fue accidental o intencional. Escrito porRomina Navarro

DPD

Delegado de Protección de Datos según el esquema de la AEPD

01/02/2018

Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de útil.

El próximo 25 de mayo de 2018 será aplicable el Reglamento General de Protección de Datos (RGPD) en el que la figura del Delegado de Protección de Datos (DPD) otorga un papel fundamental a los profesionales de la protección de datos. Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de útil.

Certificaciones en protección de datos

Existen en el mercado certificaciones relacionadas con la figura del DPD y la privacidad, pero ninguna de estas certificaciones es exigible para el desempeño del papel de DPD y, sin embargo, pueden añadir un valor al profesional de la privacidad y proporcionar seguridad a los responsables y encargados de los tratamientos de datos cuando tienen que seleccionar a su Delegado de Protección de Datos.

Si deseas trabajar como DPD debes de saber que no es necesaria una titulación específica y que el RGPD no exige que estos profesionales dispongan de ninguna certificación específica, tal y como se ha mencionado en el párrafo anterior. Al contrario de lo que se indica en algunas páginas web, no es necesaria certificación para ejercer como DPD, la designación de un DPD corresponde a los responsables y encargados de los tratamientos de datos personales y su selección se debe realizar con diligencia atendiendo a las cualidades profesionales y no a una titulación o certificación específica.

Las certificaciones para DPD ofrecen a los responsables y encargados de los tratamientos de datos personales un marco de referencia sobre la cualificación de los profesionales de la protección de datos, pero no son un requisito o una obligación para el ejercicio de sus funciones. Desde la AEPD somos conscientes de la necesidad de un marco de transparencia y confianza que oriente a responsables y encargados de tratamientos la elección de profesionales cualificados y, con este objetivo, la AEPD, en colaboración con ENAC y el Comité de Expertos, ha elaborado elEsquema de Certificación para DPD.

Si quieres ser Delegado de Protección de Datos según el esquema de la AEPD

Si deseas certificarte siguiendo el esquema de la AEPD debes de ponerte en contacto con una entidad de certificación. Para saber las entidades de certificación a las que puedes acudir debes de consultar la página web de la Agencia en el apartado Delegado de Protección de Datos – Certificación o la página web de ENAC (Entidad Nacional de Acreditación).

Ten en cuenta que las entidades que pueden certificarte deben haber pasado previamente por el proceso de acreditación llevado a cabo por ENAC y únicamente las entidades acreditadas por ENAC podrán convocar exámenes oficiales para certificarte como DPD de acuerdo con el esquema de la AEPD.

El proceso de acreditación se inicia cuando una entidad presenta su solicitud ante ENAC y es admitida superando la fase inicial de la revisión y análisis de los documentos que le han sido requeridos. Superada esta fase inicial, la futura entidad de certificación puede solicitar a la AEPD una designación o autorización provisional que le va a permitir emitir certificados de DPD que tendrán carácter de definitivos cuando dicha entidad haya superado el proceso de acreditación. Las autorizaciones provisionales emitidas por la AEPD tienen una vigencia máxima de un año.

Si te presentas a un examen para certificarte como DPD convocado por una entidad de certificación que ha sido designada provisionalmente, deberás ser informado por la entidad acerca del carácter de la certificación que obtendrás. Para acceder a un examen para certificarte como Delegado de Protección de Datos debes cumplir y acreditar ciertos prerrequisitos que se describen en el Anexo I del Esquema de Certificación de Delegados de Protección de Datos. Las entidades de certificación tendrán que valorar tu experiencia y formación antes de permitirte acceder al examen de certificación para DPD y, si no cumples los prerrequisitos exigidos, no podrás participar en las pruebas para certificarte.

Existen empresas que ofrecen cursos para certificarte como DPD según el Esquema de la AEPD, pero únicamente la formación reconocida por una entidad de certificación servirá para cumplir con los prerrequisitos de acceso al examen. Incluso existen entidades que han anunciado fechas de exámenes para certificaciones de DPD según el Esquema. Sin embargo, hasta que estas entidades no hayan presentado su solicitud ante ENAC, actúen con una designación provisional y finalmente hayan superado favorablemente su proceso de acreditación como entidad de certificación, los exámenes aprobados no tendrán valor para que puedas certificarte.

Es preciso que tengas en cuenta que el Esquema se puso en marcha en julio de 2017 y las futuras entidades de certificación están trabajando con el objeto de superar los procesos de acreditación necesarios, procesos que son complejos y que, en general, requieren meses de trabajo. En el momento actual únicamente existe una entidad que haya solicitado a la AEPD su designación provisional, pero a lo largo de los próximos meses cabe esperar que existan más entidades, ya que desde la puesta en marcha del Esquema han mostrado su interés en convertirse en entidades de certificación o en entidades de formación siguiendo el Esquema.

No olvides que puedes consultar las entidades de certificación con validez según el Esquema de la AEPD en la página web de la Agencia.

https://www.agpd.es/blog/delegado-de-proteccion-de-datos-segun-el-esquema-de-la-aepd-ides-idPhp.php

Premio de Agencia Vasca

Obra del Observatorio Iberoamericano de Protección de Datos premiada por la Agencia Vasca de Protección de Datos

El 22 de enero 2018,  la Agencia Vasca de Protección de Datos, daba a conocer los premiados en la V Edición de los Premios de Protección de Datos Personales. 

En concreto, en la categoría de investigación sobre protección de datos ha sido concedido el premio a la obra “Hacia una efectiva protección de los datos en Iberoamérica. Declaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos“, elaborada desde el Observatorio Iberoamericano de Protección de Datos, iniciativa cuya principal finalidad es extender la cultura de la privacidad y protección de datos en los distintos países, favoreciendo el conocimiento de la legislación y jurisprudencia existente al respecto, los derechos y las acciones que les asisten a sus ciudadanos, tratando de promover un clima de seguridad jurídica en el tratamiento de los datos de carácter personal que contribuya al desarrollo de las ciencias jurídicas en Iberoamérica.

La obra premiada recoge las diferentes Declaraciones elaboradas en el seno del Observatorio, tanto por los propios colaboradores como por profesionales, ciudadanos e Instituciones que cooperan en su redacción, en aras a una mayor concienciación de la importancia de aplicar criterios normativos en materia de privacidad, protección de datos y habeas data, así como la unificación de los mismos en los países iberoamericanos.

Para Daniel López Carballo, Coordinador de la obra, Director de la iniciativa del Observatorio y Socio del Área de Privacidad y Protección de Datos de ECIJA, “el ámbito normativo debe completarse con el establecimiento de mecanismos e instrumentos que hagan efectiva dicha protección, el análisis del impacto de las nuevas tecnologías y modelos de negocio, una concienciación clara de los ciudadanos estableciendo sistemas educativos en base a una mayor protección y conocimiento de sus propios datos y la generación de cultura de privacidad en el seno de las empresas, donde los datos se han consolidado como la moneda de la economía digital y su protección como valor diferenciador generador de confianza. En este sentido nacen las Declaraciones de la iniciativa, como compromiso claro de todas las partes que intervienen en el tratamiento de los datos de carácter personal”.

Para Francisco González-Calero, Legal & Privacy Advisory Leader en GOVERTIS, que participado en la elaboración y coordinación de las diferentes Declaraciones, “sólo desde una unificación de criterios y armonización normativa se puede aportar seguridad jurídica a las empresas, instituciones y a los propios consumidores, aspectos que posibilitarán desarrollar todas las potencialidades del comercio electrónico, el Internet de las Cosas (IoT) y el Big Data. Cuestiones que requieren un análisis multidisciplinar tal y como se recoge en cada una de las Declaraciones que recopila esta obra”.

No debemos olvidar, como indica Eduardo Peduto, Director del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, que “cuando protegemos datos protegemos personas. Esta es la esencia de nuestra acción tanto en la divulgación, capacitación, investigación o cuando receptamos denuncias sobre la vulneración de datos personales. Hacer hincapié, nunca suficiente nunca vasto, que cuando nos abocamos a la protección de datos personales estamos protegiendo personas. Estamos protegiendo su intimidad, su privacidad, su dignidad. Su ciudadanía, entendida ésta en el sentido amplio en que hoy es reconocida por el desarrollo de las ciencias sociales. En definitiva, estamos protegiendo su mayor atributo: su condición de ser humano”.

Las diferentes Declaraciones presentadas en Lima (Perú), Barranquilla (Colombia), Buenos Aires y La Plata (Argentina), Santiago de Chile (Chile), Riobamba (Ecuador), Ciudad de Panamá (Panamá), México D.F. (México) y San José (Costa Rica), abordan diferentes aspectos relacionados con el tratamiento de los datos personales, tales como la necesidad de abordar una unificación de criterios normativos en Iberoamérica, educación, protección de los menores, la necesidad de adoptar instrumentos para la protección efectiva, seguridad y protección de los datos en Internet, criterios y medidas de seguridad, la protección de la identidad digital y el derecho al olvido, la implementación de garantías en tratamientos big data y la implantación de un Sello para el tratamiento de los datos personales en Iberoamérica.

Para Mauricio Garro, Ex-Director Nacional de la Agencia de Protección de Datos de los Habitantes, Ministerio de Justicia y Paz de la República de Costa Rica, “en la ponderación de los sistemas de Protección de Datos, se observa una clara tendencia, de armonizar las diferentes normativas. Ello, necesariamente implica, un cambio de paradigma en nuestra concepción de la Privacidad, dada la corriente que alimenta una mayor libertad en la transferencia de información, virtud tanto de las necesidades de seguridad estatal, como de la propia iniciativa de las nuevas generaciones en su diaria comunicación, aspectos que sin duda elevan el valor de la obra presentada”.

Para Sara Molina Pérez-Tomé, una de las colaboradoras de la obra y CEO de Marketingnize, “tenemos que entender que la sociedad evoluciona de una manera vertiginosa hacia sistemas de exigencia y garantía mayores, por lo que hoy en día las empresas y otras personas jurídicas deben pensar en un modelo de gestión diferente. Uno de los principales problemas en la sociedad de la digitalización, del IOT, del big data… es la falta de confianza en los productos y servicios tecnológicos. La satisfacción del cliente y la generación de su confianza es uno de los principales indicadores estratégicos de la calidad de un servicio en base a la relación entre percepciones y expectativas esperadas acerca de su privacidad y el tratamiento que se dará a sus datos personales”.

El resultado del trabajo realizado es una obra de constante actualidad, en cuya elaboración han intervenido 77 profesionales de reconocido prestigio, de diferentes nacionalidades ((Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Guatemala, México, Panamá, Perú, Portugal, República Dominicana y Uruguay), y que en sí misma es una evidencia de la cooperación internacional y la relevancia de los temas abordados en la misma, en un momento en que internet y el impacto de las nuevas tecnologías han cambiado la forma en que nos relacionamos, desarrollamos nuestra actividad profesional en una sociedad cada vez más global.

La Agencia Vasca de Protección de Datos, a través de su página web  informaba que, en la misma edición, se otorgaba e Premio a la Trayectoria Profesional en Protección de Datos a Iñaki Vicuña de Nicolás, el Accésit de Investigación a Accésit a  Sofía Lucas Areízaga, el Premio Comunicación y Difusión en Protección de Datos  a El Diario Vasco, reconociendo con el Accésit de Comunicación a la Asociación Vasca de la Privacidad y Seguridad de la Información Pribatua, y el Premio a las Mejores Prácticas en Protección de Datos a la Escuela Universitaria de Ingeniería de Vitoria-Gasteiz

Los premios Protección de Datos tienen el objetivo de reconocer los trabajos que supongan una aportación destacada a la promoción de este derecho fundamental entre los ciudadanos o contribuyan a fomentar la concienciación de las entidades que manejan información personal, y la entrega tendrá lugar el próximo 1 de febrero de 2018 en el Auditorio del  Centro Museo ARTIUM de Vitoria-Gasteiz.

Puede accederse, de manera gratuita, a la Obra “Hacia una efectiva protección de los datos en Iberoamérica. Declaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos” a través de la Biblioteca on-line de la Defensoría del Pueblo de la Cuidad Autónoma de Buenos Aires en el siguiente enlace.

http://es.calameo.com/read/002682399c9e17199b3dd

Privacidad por diseño

Seguridad

La privacidad por diseño ante la llegada del GDPR

14 enero, 2018

Por Alberto Iglesias Fraga

El artículo 25 del GDPR hace obligatoria la privacidad por diseño a la hora de crear o utilizar aplicaciones de software en nuestra empresa. Así es como afecta esta normativa en este terreno.

El próximo mes de mayo entra en vigor el ambicioso Reglamento General de Protección de Datos (GDPR), una medida que está trayendo por la calle de la amargura a un sinfín de empresas que no están (y seguramente no lo estarán) preparadas para cumplir con los nuevos requisitos de privacidad que esta normativa exige. No en vano, se estima que siete de cada diez compañías europeas no llegará a tiempo a este cambio regulatorio.

Más allá de las multas que se imponen en caso de incumplimiento o de los aspectos más llamativos del GDPR (como la necesidad de informar de cualquier vulneración de los datos personales o de obtener consentimientos más claros de los usuarios respecto al uso de su información), hemos de tener en cuenta que este reglamento esconde otros aspectos que, aunque igualmente exigentes, suponen una oportunidad de generar valor añadido para las organizaciones.

Uno de ellos es la privacidad por diseño, esa noción obligada por la Unión Europea que nos llevará a incorporar las disposiciones oportunas para la protección de los datos personales directamente en el diseño del software. Hasta ahora, era un aspecto muy comentado, cacareado en el sector tecnológico, pero apenas extendido debido a su complejidad técnica y su coste económico. Ahora ya no será una opción, sino un imperativo.

9 claves para entender el Reglamento General de Protección de Datos (GDPR)

La privacidad por diseño es la principal novedad del GDPR en materia de prevención a la hora de proteger a los consumidores europeos, junto a las evaluaciones de impacto o la figura del DPO (Data Protection Officer).  Para ser más exactos, este precepto está recogido en el artículo 25 del Reglamento General de Protección de Datos, que reza lo que sigue:

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Y todo eso, ¿qué significa? Pues como sucede con toda nueva regulación, ésta está sujeta a múltiples interpretaciones por parte de los expertos. Pero, en todas ellas, se incluye que las empresas deben incorporar medidas técnicas que protejan la privacidad en el propio diseño de los sistemas TIC y de las aplicaciones, así como a que solo se almacene o procese la cantidad mínima de datos personales que sean estrictamente necesarios.

Quizás eso no suponga tener que reinventar toda la política de privacidad de los sistemas actuales, pero sí cuanto menos una buena revisión para asegurarnos de que seguimos el precepto que mana del GDPR. Un examen en profundidad de la gestión de los datos personales de la organización que pasa por varios factores:

• Revisar los acuerdos con proveedores: A la hora de manejar datos de los clientes, las empresas suelen contar con ayuda de proveedores técnicos y administradores externos. A la hora de asegurar el cumplimiento del GDPR deberemos asegurarnos de que todos ellos cumplan en el diseño de sus sistemas con las normas del nuevo Reglamento, a fin de que ningún extremo de nuestro despliegue sea susceptible de una sanción.
• Aunar seguridad e ingeniería: Es la medida más lógica cuando se habla de privacidad por diseño, la creación de equipos multidisciplinares donde los expertos en seguridad trabajen codo con codo con los ingenieros de software a la hora de crear nuevos aplicativos. De esta forma nos aseguraremos de que el personal de seguridad tiene una visión completa de los flujos de trabajo, procesos de negocio y políticas existentes de recopilación, control, gestión y almacenamiento de datos susceptibles de caer en las garras del GDPR.
• Demostrar el cumplimiento es casi tan importante como el cumplimiento mismo del nuevo Reglamento. Una evaluación de impacto de la privacidad (PIA) de los sistemas contribuirá en gran medida a hacer ambas cosas. También se puede usar para guiar futuras decisiones de diseño de nuestros aplicativos de software.

Las Claves del DPD / DPO

Delegado de Protección de Datos

Las empresas españolas deberán nombrar un Responsable de Protección de Datos en seis meses La Vanguardia Todas las organizaciones globales, tanto las establecidas en los países miembros como las que operan con la UE, deberán adaptar sus compañías al nuevo Reglamento General de Protección de Datos europeo (RGPD) en un plazo de seis meses, fecha en la que entrará en vigor. La nueva legislación contempla entre sus medidas más novedosas la obligación de nombrar o contratar a un Responsable de Protección de Datos dentro de las empresas.

15/11/2017 14:43

MADRID, 15 (EUROPA PRESS)

Todas las organizaciones globales, tanto las establecidas en los países miembros como las que operan con la UE, deberán adaptar sus compañías al nuevo Reglamento General de Protección de Datos europeo (RGPD) en un plazo de seis meses, fecha en la que entrará en vigor. La nueva legislación contempla entre sus medidas más novedosas la obligación de nombrar o contratar a un Responsable de Protección de Datos dentro de las empresas.

Según se desprende de un documento de trabajo elaborado por firma de servicios profesionales Grant Thornton, el nuevo reglamento europeo establece nuevos derechos en materia de protección de datos para las personas y refuerza las protecciones actuales, aplicando requisitos más estrictos a los procedimientos en que las empresas utilizan los datos de carácter personal.

De hecho, la génesis de esta nueva legislación se encuentra en el volumen y creación de datos que suscita la proliferación del uso de Internet, las redes sociales, el cloud computing o la geolocalización, entre otras actividades habituales para cualquier ciudadano o empresa en la actualidad.

Según el socio de Innovación y Tecnología de Grant Thornton, Luis Pastor, "el nuevo reglamento nace teniendo en cuenta las exigencias de tecnología digital en el que operan las compañías, que les exige reforzar sus políticas de ciberseguridad aplicada a datos personales de todos los individuos con los que interactúan, ya sean empleados o clientes".

Grant Thornton recuerda que, aprovechando la obligatoriedad de la norma, al mismo tiempo en España se ha impulsado el Anteproyecto de Ley Orgánica (que sustituye a la actual Ley Orgánica de Protección de Datos de 1999) para facilitar la adaptación de la legislación nacional al RGPD europeo, que deberá ser aprobada antes de la entrada en vigor de esta nueva normativa europea.

La firma añade que, a pocos meses de la entrada en vigor del Reglamento, el conocimiento de las medidas que las compañías han de poner en marcha no es muy elevado, a pesar de que si no se hace pueden enfrentarse a fuertes sanciones contempladas en la nueva legislación, que pueden ascender en los casos de carencias operativas más graves a multas de hasta 20 millones de euros o el 4% de la facturación global anual.

Entre otras medidas, el RGPD introduce cambios en la gestión de los datos de particulares por parte de las empresas, como por ejemplo el derecho a oponerse por parte de los clientes a ciertos tipos de elaboración de perfiles; las evaluaciones de impacto relativas a la Protección de Datos (EIPD) que serán de carácter obligatorio; la notificación de las infracciones importantes a la autoridad responsable en un plazo de 72 horas.

Según Pastor, "para cumplir con el RGPD las empresas y organizaciones deben comprender los principales cambios que supone frente a la legislación actual, evaluar la política de protección de datos actual de sus organizaciones, identificar los posibles riesgos y comprobar el grado de preparación de su empresa para adaptarse a los nuevos requisitos. Tras estos pasos debería establecerse una hoja de ruta de implantación, en la que una figura importante es el nombramiento de un asesor de confianza que evalúe el proceso de implantación".

DECÁLOGO DE AYUDA A LAS EMPRESAS

Con el fin de que las empresas diagnostiquen fácilmente su estado de adaptación a la nueva norma, Grant Thornton aconseja seguir un plan que condensa en diez puntos el camino que una organización debería completar para tener un nivel óptimo de protección en sus datos.

En este decálogo, las empresas comienzan haciendo un análisis rápido de su situación, para pasar a preguntarse si cuentan con los procesos, recursos humanos y documentación exigida por la nueva normativa. Además, las compañías deben tener claro dónde se procesan sus datos de carácter personal y dotarse de un adecuado sistema de evaluación del impacto de protección de datos.

"Es recomendable asimismo que la empresa sepa cómo debe notificar una posible infracción y que evalúe periódicamente la eficacia de sus medidas de seguridad, porque el RGPD no sólo exige verificación, sino también mejora continua", según Víctor Géne, Asociado Senior de Legal de Grant Thornton.

  

Principios de privacidad

Estas son las nuevas obligaciones en privacidad de la futura normativa de protección de datos Silicon ES Jaime Domenech, 7 de noviembre de 2017, 5:31 pm OpenText presenta los seis principios de privacidad que afectarán a las empresas con la nueva legislación de protección de datos (GPDR). El próximo 25 de mayo de 2018 entrará en vigor la nueva Regulación General de Protección de Datos (RGPD o GDPR por sus siglas en inglés), una ley que permitirá regularizar las obligaciones de privacidad y seguridad de las compañías que tratan información personal e incrementará el control normativo sobre los datos personales. Desde OpenText, empresa especializada en Gestión de de la Información Empresarial (EIM), exponen algunas de las obligaciones que las organizaciones deberán cumplir cuando se estrene la GDPR: –Legalidad, legitimidad y transparencia. Las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa. -Limitación de uso. La información personal sólo puede recogerse con un fin explícito y legítimo, y su uso no puede expandirse más allá del consentimiento del usuario. – Minimización de los datos. Los datos personales recogidos deben limitarse únicamente a lo que es necesario en relación con los objetivos para los cuales fueron recogidos y tratados. -Precisión. La información personal debe ser precisa. Los usuarios deben tener derecho a solicitar correcciones que deben ser atendidas a la mayor brevedad posible. – Limitación de almacenamiento. Las organizaciones están obligadas a no retener los datos personales más tiempo del necesario para el uso explícito y legítimo autorizado por el usuario. –Integridad y confidencialidad. Las empresas que gestionen datos deben garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.

RGPD

Prepárate para el nuevo Reglamento europeo de Protección de Datos El Mundo Financiero ENTENDER LOS DATOS CON LOS QUE SE TRABAJA Prepárate para el nuevo Reglamento europeo de Protección de Datos · Por Javier Ortega Estrada, Director para el Sur de Europa y Mercados Emergentes de Dropbox Jueves 02 de noviembre de 2017, 09:30h El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos o RGPD (también conocido por sus siglas en inglés “GDPR”), una norma que tendrán que acatar todas las empresas que trabajan con datos personales de ciudadanos de la Unión Europea. Esta nueva regulación supone nuevas e importantes obligaciones para las empresas en cuanto a la gestión de los datos personales; además, para aquellas que vulneren las normas prevé sanciones severas como, por ejemplo, multas de hasta el 4 % del volumen de negocio global o de 20.000.000 €, la cantidad que sea mayor según el caso. Algunos de los cambios más destacados que introduce este nuevo reglamento son los siguientes: nuevas normas sobre cómo notificar a las autoridades los incumplimientos relacionados con la protección de datos; el derecho a la portabilidad de los datos, es decir, el derecho a solicitar los datos personales para poder transferirlos a otros servicios; el derecho al olvido, que implica que la empresa tiene la obligación de borrar los datos de la persona que así lo solicite; la obligación de las empresas en determinados casos de llevar a cabo evaluaciones de impacto sobre la privacidad antes de tratar datos personales; o la obligación que tienen las empresas que realizan determinados tipos de procesamiento de datos de nombrar un encargado de protección de datos. A menos de un año de la entrada en vigor del RGPD, hay muchas empresas que todavía no han empezado a prepararse y tendrán que desarrollar e implementar una estrategia específica para cumplir con el nuevo reglamento europeo. Todas las entidades que tratan con datos personales de ciudadanos de la UE necesitarán diseñar una estrategia a medida que dependerá de varios factores como el tamaño de la empresa, el tipo y la cantidad de datos que tratan y las medidas de seguridad y privacidad que ya tienen implementadas. Se recomienda que las empresas busquen asesoramiento legal para determinar qué medidas son necesarias en cada caso. No obstante, hay varios requisitos sobre cómo tratar los datos personales que son comunes y afectarán a todas las empresas, incluso a las más pequeñas. Entiende los datos con los que trabajas El primer paso para cumplir con el RGPD es entender de qué modo se almacenan, tratan, comparten y utilizan los datos personales en tu empresa. Para llevar a cabo un análisis minucioso de la situación, es necesario comparar el modo de proceder actual con los requisitos de la nueva regulación y pensar en los cambios que hay que realizar para poder cumplir con ella adaptándose de la mejor forma a tu empresa. Recuerda que el cumplimiento del RGPD no afecta solo a las políticas y medidas de tu propia entidad, sino que va más allá y se extiende a los proveedores que procesan datos personales en tu nombre. Decide quién se ocupa de la protección de datos en tu empresa Algunas empresas tendrán la obligación de nombrar un encargado de tratamiento. En todos los casos será necesario adoptar un programa de cumplimiento de protección de datos. Es probable que tengas que reforzar tu política de protección de datos y organizar sesiones de formación para tu equipo. Solo algunas empresas estarán obligadas a seleccionar un encargado de tratamiento. Resulta esencial hacerlo en aquellas que llevan a cabo dos tipos de trabajo – los relacionados con operaciones de tratamiento a gran escala que persiguen tratar diferentes categorías de datos personales o con seguimiento de datos personales a gran escala– como, por ejemplo, los anuncios en línea segmentados por comportamiento. Garantiza que existe una base jurídica en cuanto al tratamiento de datos A tu empresa le interesa revisar la base jurídica que se utiliza actualmente para tratar distintos tipos de datos personales. Si la base del tratamiento de datos es el consentimiento del usuario, será necesario que te plantees cómo obtenerlo y cómo ser capaz de demostrar de forma clara cuándo se concede. Entiende qué derechos tienen los propietarios de los datos Según el RGPD, cualquier persona cuyos datos se traten en tu empresa tiene nuevos derechos, incluyendo el derecho a tener acceso a sus datos personales, a que se corrijan, se borren o se transfieran electrónicamente. ¿En tu empresa podéis encontrar, borrar y trasladar los datos de vuestros clientes fácilmente? ¿Disponéis de los recursos necesarios para responder con rapidez a las consultas relacionadas con los datos personales? ¿Tu empresa, y los terceros con los que trabajáis, guardáis registros de la localización de los datos, de cómo se procesan, de dónde se encuentran y de con quién se comparten? Protege la privacidad de tu empresa por diseño De acuerdo con el RGPD, las empresas tienen que tener en cuenta la privacidad por diseño y desde el principio a la hora de desarrollar proyectos, procesos o productos nuevos. La idea que concibe la privacidad por diseño es que si la privacidad se tiene en cuenta desde un principio, los riesgos de privacidad se minimizan. ¿El acceso a los datos personales está protegido y solo tienen acceso a ellos las personas de tu empresa que los necesitan? En algunos casos, es conveniente que realices evaluaciones de impacto sobre la privacidad antes de tratar datos personales. Prepárate para gestionar los incumplimientos Será necesario que tu empresa cuente con una política de gestión de incumplimientos de protección de datos y con los procesos correspondientes para hacerlo. Asegúrate de que sabes a qué autoridades tienes que notificar dichos incumplimientos relacionados con la protección de datos y el tiempo que tienes para hacerlo. Las notificaciones que se hagan fuera de plazo, y los incumplimientos en sí, pueden implicar la imposición de multas. Proporciona la información esencial El RGPD te obliga a informar a las personas de la base jurídica del tratamiento de datos y de las autoridades a las que pueden dirigirse en caso de que surja algún problema. Asegúrate de que las políticas de privacidad en línea de tu empresa están actualizadas. Trabaja con tus proveedores Para poder cumplir con las normas del RGPD es necesario que tengas en cuenta la seguridad de tus datos de principio a fin, es decir, también tienes que considerar a los proveedores que tratan datos personales en tu nombre. Trabajar con un proveedor que se encargue del tratamiento de datos no te exime de las obligaciones del RGPD. Debes valorar si la empresa encargada de tratar los datos trabaja con estándares de protección de datos internacionales, si tiene experiencia en gestionar la seguridad de los datos a gran escala y si dispone de herramientas que puedan ayudarte a mejorar la gobernanza de datos y a mitigar los riesgos de incumplimiento. Revisa si tu proveedor cuenta con algún estándar internacional de seguridad y protección de datos como la ISO 27018 y pídele información sobre su seguridad de red y de información (por ejemplo, su técnica de encriptación y sus controles a nivel de aplicación), política de seguridad, evaluación de formación y riesgos, así como medidas de ensayo. Por otra parte, los servicios TI de terceros también pueden ayudar a las empresas, especialmente a las PYMES, a cumplir con la regulación. Por ejemplo, las empresas pueden optar por soluciones en la nube que se crearon teniendo en cuenta cuestiones de seguridad y privacidad desde el principio. Valora cómo algunos servicios en la nube pueden ayudarte a controlar el acceso a los datos en tu empresa, a responder a las solicitudes de información sobre datos personales y a mejorar la seguridad en tu empresa.

Agencia de acceso

Argentina presenta nueva Agencia de Acceso a la Información Pública

W Radio

Argentina presenta nueva Agencia de Acceso a la Información Pública

El Gobierno de Argentina presentó hoy la nueva Agencia de Acceso a la Información Pública, creada tras un reciente decreto del presidente Mauricio Macri que modificó la ley de acceso a la información pública

Agencia EFE03/10/2017 - ( hace 22 horas )

Buenos Aires, 3 oct (EFE).- El Gobierno de Argentina presentó hoy la nueva Agencia de Acceso a la Información Pública, creada tras un reciente decreto del presidente Mauricio Macri que modificó la ley de acceso a la información pública.

Según informaron fuentes oficiales, el nuevo organismo es un ente autárquico que funcionará con autonomía funcional en el ámbito de la Jefatura de Gabinete de Ministros.

En el acto de presentación, el jefe de Gabinete, Marcos Peña, dijo que la misión de la nueva agencia es poner a disposición de la ciudadanía "información que le pertenece al público, a la sociedad, y que debe tener transparencia".

Al frente de la nueva agencia fue designado Eduardo Bertoni, quien hasta hace poco se desempeñó como director nacional de Protección de Datos Personales del Ministerio de Justicia argentino.

El pasado 26 de septiembre, Macri dictó un decreto de necesidad y urgencia por el que modificó la ley de acceso a la información pública en cuanto a las funciones y competencias de la Agencia de Acceso a la Información.

Entre los cambios, el decreto estableció que la agencia no sólo sea el órgano de control de la aplicación de la ley de acceso a la información pública, sino que también se encargue de la protección integral de los datos personales contenidos en archivos, registros, bancos de datos y otros medios.

El decreto presidencial fue cuestionado este lunes por la Asociación por los Derechos Civiles (ADC), quien advirtió de los "severos inconvenientes constitucionales" de las modificaciones a la norma sobre acceso a la información pública, aprobada por el Parlamento en septiembre de 2016.

La organización no gubernamental cuestionó que el cambio se haya hecho mediante un decreto de necesidad y urgencia y no mediante un debate legislativo.

Pero, además, para la ADC el decreto afecta la autonomía funcional de la agencia en tanto que dispone que su estructura sea aprobada por el Jefe de Gabinete.

"El decreto va en contra del objetivo de contar con un órgano de control independiente de posibles injerencias del Poder Ejecutivo", sostuvo la organización en un comunicado.

En tercer lugar, para la ADC debe examinarse con profundidad la consagración de la Agencia de Acceso a la Información Pública como autoridad de control en materia de protección de datos personales.

"En cuanto a la consagración de la agencia como autoridad de control de protección de datos personales, cualquier intento de unificación debe traducirse en una estructura operativa que refleje la igualdad jerárquica entre este derecho y el derecho al acceso a la información pública, evitando la implementación de una estructura orgánica sesgada hacia uno u otro de ellos", dijo Torcuato Sozio, director ejecutivo de ADC. EFE