RGPD: ¿Está su empresa cumpliendo con el Reglamento General de Protección de Datos?

El Reglamento Europeo de Protección de Datos o RGPD ya está aquí desde el pasado 25 de mayo de 2018. Pero, ¿sabes si está tu empresa preparada? ¿Qué medidas has de tomar a nivel de ciberseguridad? ¿Has adaptado tu portal web o eCommerce a la exigencia normativa?
 

¿Qué es el RGPD?

El Reglamento General de Protección de Datos o RGPD es la nueva LOPD a nivel europeo que entró en vigor el pasado 25 de mayo de 2018 y que afecta a todas las empresas que recogen datos de terceros.

El incumplimiento de las normas que lo integran suponen sanciones económicas elevadas de hasta 20 M€ o un 4% del volumen anual de negocio. Por ello, resulta necesario adaptar la organización tanto a nivel normativo como tecnológico a las exigencias requeridas por el RGPD. Para ello, se recomienda que las empresas implanten medidas de monitorización continua  y adapten sus portales webs y ecommerces a la normativa RGPD de manera adecuada.

Ciberseguridad adaptada al cumplimiento del RGPD

Los servicios que ofrece inforges para ayudar a cumplir con el RGPD en materia de Ciberseguridad son los siguientes:

Cumplimiento Normativo y Legal

• Adecuación a estándares y buenas prácticas orientados al cumplimiento normativo exigido o recomendado según la actividad de cada Organización.
• Adaptar y homologar su organización a el RGPD: Servicio ‘llave en mano’ que incluye: definición del alcance, análisis inicial, implementación de medidas correctivas y acompañamiento durante el proceso de certificación.
• Servicios de DPO: Figura de “Delegado de Protección de Datos” delegada en especialistas (abogados) para garantizar el cumplimiento de la normativa.
• Migración de datos: Migración de datos de carácter personal alojados en sistemas que no cumplen con la RGPD (ej. Dropbox, Mega, WeTransfer, etc.), a entornos europeos y que cumplen con el RGPD (ej. OneDrive, Office 365).

Auditoría de Seguridad

Artículo 32 – Deben implementarse controles de seguridad apropiado al nivel de riesgo.
Artículos 33 y 34 – Notificación de Incidentes de Seguridad: Fugas y robos de datos.

Soluciones Gestionadas de Seguridad

Las soluciones gestionadas es el primer control que exige el RGPD para proteger los datos de ciberdelincuentes son:

• Protección Perimetral.
• Protección Avanzada en Puestos de trabajo y Servidores.
• Prevención de fuga de información.

Servicios de Recuperación

El RGPD establece que debe garantizarse la Disponibilidad de los datos personales.

• Protección ante pérdida de información: Servicios orientados a la Disponibilidad de los datos (protección de sistemas y continuidad de negocio en entornos on-premise).
• Protección ante pérdida de información: Servicios orientados a la Disponibilidad de los datos (Recuperación y Continuidad de Sistemas)

Un ejemplo claro de servicios de recuperación y continuidad de sistemas lo puedes encontrar en nuestro Centro Virtual de Contingencias.

Adaptación de Portales Web y Ecommerce al RGPD

¿Cómo debo aplicar el RGPD para ecommerce o portales web?

Formularios Web

El RGPD establece que en los formularios de nuestro portal web se debe:

• Incluir una cláusula informativa con resumen del tratamiento que se va a dar a los datos
• Añadir un enlace a la página con información completa y detallada del tratamiento de los datos
• Cada una de las finalidades debe tener una casilla de aceptación específica
• Recomendación: se establecerá un doble opt-in mediante un email para la confirmación del consentimiento.

Política de Cookies

El RGPD establece que en la política de cookies se debe:

• Modificar el aviso sobre cookies para que incluya el consentimiento expreso o la posibilidad de rechazarlas y acceder al sitio.
• Indicar que cookies se usarán y cuál es la finalidad. Se deben describir todas las cookies en uso y su finalidad en la página de política de privacidad o en una página específica sobre cookies.
• Renovar el consentimiento cada 12 meses.
• Registrar del consentimiento otorgado.
• Facilitar la retirada del consentimiento.

Política de Privacidad

El RGPD establece que en la política de privacidad debe:

• Mejorar accesibilidad de la página.
• Indicar expresamente que cumples y te sometes al RGPD
• Detallar la información que se recoge de los usuarios y su finalidad.
• Especificar quién tiene acceso a la información que guardas de tus usuarios.
• Concretar la identidad del responsable de la gestión de los datos
• Informar del derecho de los usuarios a solicitar el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
• Exponer la finalidad que vas a dar a los datos recogidos, y durante qué plazo vas a guardarlos.

Protocolo de Seguridad

El RGPD recomienda:

• Creación de un formulario para el ejercicio de los derechos de los usuarios sobre sus datos personales.
• Derechos ARCO actuales LOPD y Nuevos derechos.
• No es obligatoria la migración del sitio web a protocolo https pero es conveniente para una mayor seguridad y confianza del usuario, por SEO y para mejorar velocidad
• Requiere:
• Adquirir certificados
• Realizar un estudio del sitio previo a la migración
• Redirecciones del servidor http -> https

​Si quieres obtener más información directamente del autor de este artículo, no dudes en consultar la página de Consultoría RGPD y solicitar toda la información que necesites para cumplir el RGPD en tu empresa.