Nuevo curso RGPD básico en vídeo para empresas de más de 250 usuarios

La semana pasada finalizamos el curso RGPD básico en vídeo, que ya está plenamente disponible en nuestro campus online.

El curso va dirigido a empresas con más de 250 usuarios, ya que contempla escenarios propios de una estructura organizativa y orgánica de empresa mediana o grande. Se recomienda que el curso se imparta a los usuarios que tienen acceso o que tratan datos personales en la empresa.

El objetivo es formar y concienciar a los usuarios en materia de protección de datos, información confidencial y ciberseguridad, con escenarios cotidianos en los que se espera una actuación determinada.

El curso está formado por 18 vídeos de una media de 6 minutos cada uno y un total de 1 hora y cuarenta y cinco minutos si se seleccionan los 18 vídeos.

El cliente puede seleccionar los vídeos que quiere que los usuarios visualicen y los que quiere ocultar, de manera que el contenido y la duración total del curso se adapte al sector, a la empresa o al perfil del usuario (por grupos o categorías).

Cada vídeo tiene su propio test de evaluación, por lo que la secuencia natural es ver el vídeo y después contestar el test. Los tests de evaluación tienen una media de tres preguntas que son clave para la concienciación del usuario.

También hay 5 casos prácticos autoevaluables.

La duración total del curso, sumando los vídeos, los tests y los casos prácticos permite cumplir los requisitos establecidos por Fundae.

El certificado de finalización del curso se suministra en formato PDF, con fima electrónica y sellado de tiempo, con el fin de que la empresa disponga de una prueba del esfuerzo formativo realizado.

Los clientes de nuestro despacho pueden solicitar un acceso temporal al campus a xavier.ribas@ribastic.com con el fin de que puedan valorar el contenido y el formato del curso.

Nuevo contenido y formato de las capas de información sobre las cookies

En 2013, tras la elaboración de la Guía sobre cookies por parte de la AEPD, Adigital, Autocontrol e IAB, publicamos una infografía que resumía los puntos más importantes de la guía.

Este año la AEPD ha modificado los criterios relativos al consentimiento y a las capas de información, con el fin de adaptarlos al RGPD. Posteriormente, Adigital ha publicado un resumen de los cambios que suponen los nuevos criterios de la AEPD.

A continuación relacionamos, a modo de checklist, los puntos a tener en cuenta en las dos capas de información sobre las cookies de un sitio web.

Primera capa

  1. Identificación del titular de la página web.
  2. Advertencia sobre el uso de cookies propias.
  3. Advertencia sobre el uso de cookies de terceros.
  4. Información sobre las finalidades de las cookies.
  5. Información sobre la elaboración de perfiles, en su caso.
  6. Información sobre la monitorización de los hábitos de navegación, en su caso.
  7. Opción del usuario de aceptar o rechazar las cookies.
  8. Opción del usuario de configurar las cookies.
  9. Ver el detalle de estas opciones en el resumen de Adigital.
  10. Acceso directo al panel de configuración de las cookies

Segunda capa

  1. Información sobre el tipo de cookies y su finalidad.
  2. Panel de configuración de las cookies.
  3. Botón para habilitar las cookies.
  4. Posibilidad de seleccionar las cookies a habilitar agrupadas por finalidad.
  5. Posibilidad de agrupar las cookies en función de la empresa que las instala.
  6. El nivel de detalle o granularidad de las cookies activables no debe ser excesivo.
  7. Botón para desactivar todas las cookies.
  8. Identificación de los terceros cuyas cookies se utilizan en la página web.

Aspectos destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD

Estos son los aspectos más destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD, publicado hoy en el BOE:

Resumen general

Inspección en materia de protección de datos

Régimen sancionador en materia de protección de datos

Régimen transitorio de los contratos de encargado del tratamiento

Texto completo del RDL

Régimen transitorio de los contratos de encargado del tratamiento

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos.

En el caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. 

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD. 

Ver otros temas destacados de este RDL

Régimen sancionador en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen sancionador en materia de protección de datos.

Sujetos responsables

Están sujetos al régimen sancionador establecido en el RGPD y la normativa española de protección de datos las siguientes personas físicas o jurídicas: 

  1. Los responsables de los tratamientos.
  2. Los encargados de los tratamientos.
  3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. Las entidades de certificación.
  5. Las entidades acreditadas de supervisión de los códigos de conducta. 

No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia. 

Prescripción de las infracciones

  1. Las infracciones con multas de hasta 20 millones prescribirán a los tres años.
  2. Las infracciones con multas de hasta 10 millones prescribirán a los dos años.
  3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador.
  4. Se reiniciará el plazo de prescripción si el expediente sancionador estuviese paralizado durante más de seis meses por causas no imputables al presunto infractor.

Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado. 

Los detalles del procedimiento se regulan en el el artículo 7 y siguientes del RDL.

Ver otros temas destacados de este RDL

Inspección en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen en materia de inspección.

Personal competente para el ejercicio de la actividad de investigación de la AEPD

  1. La actividad de investigación se llevará a cabo por los funcionarios de la AEPD.
  2. También podrán llevarla a cabo funcionarios ajenos a la AEPD habilitados expresamente por su Director.
  3. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones.
  4. Estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. 

Alcance de la actividad de investigación de la AEPD

Los funcionarios que desarrollen la actividad de investigación podrán:

  1. Recabar las informaciones precisas para el cumplimiento de sus funciones.
  2. Realizar inspecciones.
  3. Requerir la exhibición o el envío de los documentos y datos necesarios.
  4. Examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos.
  5. Obtener copia de ellos.
  6. Inspeccionar los equipos físicos y lógicos
  7. Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. 

Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. 

Ver otros temas destacados de este RDL

Real Decreto Ley que adapta al RGPD el régimen sancionador en materia de protección de datos

El Consejo de Ministros aprobó ayer un Real Decreto Ley con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos (RGPD). Esta primera fase del proceso de adaptación se limita a las materias que no requieren ley orgánica, que seguirán su proceso con la tramitación del proyecto de ley de la nueva LOPD en el Congreso de los Diputados.

Entre las medidas contenidas en el Real Decreto Ley, destacan las siguientes:

  1. La inspección de las infracciones del RGPD.
  2. El régimen sancionador en materia de protección de datos.
  3. Los procedimientos aplicables en caso de vulneración del RGPD.
  4. La delimitación de los sujetos a los que les es aplicable el régimen sancionador.
  5. La determinación de los plazos de prescripción de las infracciones y sanciones previstas en el RGPD.

El Real Decreto Ley deroga el artículo 40 de la LOPD, relativo a la potestad de inspección y el Título VII de la LOPD, relativo a las infracciones y las sanciones, a excepción del artículo 46 (Infracciones de las AAPP).

La vigencia del Real Decreto Ley será temporal, ya que entrará en vigor el día siguiente de su publicación en el BOE y permanecerá vigente hasta la entrada en vigor de la nueva LOPD, que se encuentra en tramitación parlamentaria.

VER ASPECTOS DESTACADOS DE ESTE RDL Y TEXTO PUBLICADO EN EL BOE

Jornada en Barcelona sobre el RGPD y la nueva LOPD

El próximo 8 de marzo participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPDBCN

Formulario de inscripción:

https://www.thomsonreuters.es/es/formulario/evento-dpo-barcelona-marzo.html

Programa completo:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=324674&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=85674359140244e5be44f385d1caca39&elqaid=21854&elqat=1

Jornada RGPD y RRHH – Los tres grandes riesgos del tratamiento de los datos de los trabajadores

El próximo viernes participaré en esta jornada sobre RRHH y RGPD organizada por la Asociación Catalana de Dirección de Recursos Humanos, en la que hablaremos de los datos que una empresa trata durante el ciclo de vida de la relación laboral y los tres grandes riesgos que ello genera:

  1. Tratar datos sin informar al trabajador.
  2. Aplicar los datos a finalidades distintas de las informadas.
  3. No identificar a las más de 80 categorías de proveedores con acceso a los datos.

Todo ello desde la óptica del Reglamento General de Protección de Datos.

Más información e inscripciones:

https://www.aedipecatalunya.com/es/els-tres-grans-riscos-del-tractament-de-les-dades-dels-treballadors-per-rh-23022018/

 

“Tras 6 meses de proyecto RGPD, todavía aparecen tratamientos”

La frase que da título a este artículo fue pronunciada por un amiga que trabaja en una gran consultora. Estaba desesperada porque, después de 6 meses de proyecto, todavía descubría tratamientos.

Este problema ya surgió en 1992 con la aprobación de la LORTAD y se reprodujo en 1999 con la aprobación de la LOPD. Las preguntas típicas eran: “¿Cómo puedo conocer todos los datos que tratan los departamentos y cuándo tengo que dejar de buscar?”. Pensando que éramos nostros los que teníamos que encontrar el dato, y no al revés, en 1992 empezamos a utilizar programas de búsqueda de texto en el que introducíamos varios apellidos con operadores booleanos. Primero en cada ordenador, después en los servidores y finalmente, con herramientas de red.

Pero pronto nos dimos cuenta de que la solución no pasaba por monitorizar constantemente lo que hacía el negocio, ya que ello tendía a la saturación de información, al caos, a la paranoia y a la frustración. Era mucho más eficaz analizar las necesidades reales de la empresa, definir un modelo de datos, aplicarlo y exigir su cumplimiento. Es decir, pasar de una metodología “pull” a una metodología “push”.

En la actualidad, las herramientas de descubrimiento de datos se han perfeccionado hasta el punto de llegar a terminales remotos, detectar ordenadores apagados y volver a revisarlos cuando están operativos, gestionar correctamente los falsos positivos… Pero el objetivo no es tratar el dato personal como si fuese un virus, alertando sobre cada CV que llegue por correo electrónico, sino completar y actualizar el modelo de datos acordado, con una frecuencia que se estime razonable. Además, estas herramientas no detectan los tratamientos no automatizados realizados en papel y en otros soportes.

Como siempre, las mejores soluciones incorporan elementos de varias metodologías. Los proyectos de Compliance son un ejemplo de ello, al combinar el canal ético, los controles de prevención y detección y la verificación periódica. Es decir, se espera que el negocio se autorregule, cumpla la ley y comunique los riesgos y los incumplimientos a través del canal ético, pero de forma complementaria también se implantan medidas preventivas, se verifica el funcionamiento de los controles y se realizan investigaciones internas.

En el RGPD se establecen principios como el de la privacidad desde el diseño y por defecto y el de responsabilidad proactiva, que permiten exigir a los departamentos que realizan tratamientos un mayor grado de colaboración que el que podrían mostrar con la simple asistencia a una entrevista de análisis de tratamientos o a la disposición a dejarse monitorizar con herramientas de descubrimiento de datos.

La experiencia de 1992, perfectamente vigente en la actualidad, nos demuestra que la eficacia en la gestión de los tratamientos es mayor cuando los departamentos pasan de la colaboración a la implicación. Y ello se puede conseguir en un proyecto de RGPD aplicando un sencillo protocolo de 5 pasos:

  1. Análisis de tratamientos
  2. Definición del modelo de datos
  3. Confirmación y aprobación del modelo de datos
  4. Comunicación del modelo de datos a los departamentos
  5. Firma del modelo de datos

El punto 5 consiste en un compromiso de transparencia total, una declaración firmada en la que aparece la lista de datos tratados y la lista de finalidades del tratamiento. En este documento el firmante declara que se obliga a aplicar el modelo de datos y finalidades y a comunicar cualquier propuesta de modificación al Comité de Protección de Datos y Seguridad de la Información.

Mientras el incumplimiento de esta obligación supone una infracción muy grave de la política de protección de datos de la empresa, el cumplimiento permite al solicitante tener la tranquilidad de que los tratamientos que realice estarán plenamente reflejados en el registro de tratamientos y quedará acreditada su diligencia y la de la empresa.

El modelo de datos puede complemetarse y actualizarse con herramientas de discovery, pero lo que resulta evidente es que ni la empresa ni el DPO pueden estar permanentemente vigilando al negocio. Éste debe alcanzar un nivel de madurez y responsabilidad que no sólo es necesario, sino también exigible, desde el momento del diseño de cualquier nueva campaña, producto o servicio.

Pensemos que el riesgo de no informar del tratamiento de un dato o aplicarlo a una finalidad no informada es uno de los más altos de todo el RGPD, tanto en probabilidad como en impacto. Ello exige actuar en proporción a la cuantía de la sanción, que es también la más alta.

Incluso en los casos en que es imposible realizar todas las entrevistas en los tres primeros meses, debido a la complejidad de la estructura corporativa y de las agendas de los interlocutores, descubrir tratamientos a los 6 meses de un proyecto de adecuación al RGPD invita a revisar la metodología o el nivel de autoridad del responsable del proyecto.


Los documentos de base correspondientes a los puntos 1 a 5 de este artículo son cinco de los 103 entregables de nuestra metodología RGPD.