Tuesday 3 April 2018

Incidentes de seguridad en el nuevo RGPD

Una de las principales novedades del Reglamento General de Protección de Datos (RGPD) es la obligatoriedad que, desde ahora, tienen las empresas de informar a los organismos de control de violaciones a sus sistemas de seguridad que afecten la integridad y confiabilidad de los datos personales de sus clientes o personal.

Pero primero vamos a definir ¿qué son violaciones de seguridad?

En el lenguaje corriente el término violación de seguridad y brecha de seguridad representan lo mismo. El RGPD incluye dentro de esta definición cualquier ataque o imprevisto que ocasione la desaparición, daño o alteración de datos o información personal previamente cedidos y utilizados para fines específicos. Así como el acceso y/o transmisión no autorizada de dichos datos de forma accidental o intencional, y la eliminación de uno o más registros de la base de datos de la organización, inclusive por su propio personal, cuando esta acción no haya sido aprobada y se considere una transgresión de la norma.

El procedimiento de control y notificación de las brechas de seguridad se trata de manera amplia en el RGPD, no sólo en la sección dedicada de forma exclusiva a este asunto, sino también en los segmentos relativos a la figura del Delegado de Protección de Datos o DPD y el Principio de Responsabilidad Proactiva, en ambos casos se refuerza la obligación de la empresa (del responsable, el encargado y el representante) de notificar oportunamente a las autoridades sobre las fallas en el protocolo de seguridad y la violación de los datos personales de los interesados.

El RGPD establece, en sus artículos 33 y 34, los procedimientos relativos a la notificación de las Autoridades y de las personas físicas afectadas.

Esta comunicación es obligación de todos los responsables del tratamiento de datos y no sólo de las empresas de telecomunicación y proveedores de servicio de internet, como solía ocurrir bajo la antigua Ley Orgánica de Protección de Datos o LOPD.

El responsable del tratamiento de datos debe:

  • Notificar a la Autoridad competente de la brecha de seguridad de acuerdo con las políticas y normas internas establecidas en los protocolos de seguridad y de conformidad con el nuevo Reglamento. 

  • Llevar un registro de todos los incidentes de seguridad dentro de la organización y que ocurran bajo su responsabilidad.
  • En caso de que la brecha suponga una amenaza directa a las libertades y derechos fundamentales de la persona; el responsable del tratamiento deberá cumplir con la notificación del interesado al igual que la de la Autoridad de Control y Supervisión de la Protección de Datos.
  • El aviso a la persona afectada debe ser inmediato, a fin de que el interesado tome las medidas y precauciones necesarias para resguardar su seguridad e intereses personales de la mejor manera.
  • El RGPD establece un plazo de 72 horas para la notificación.

¿Cuándo un incidente amerita la notificación?

  • Si la brecha de seguridad puede causar daños emocionales, físico y/o financieros.
  • Si el volumen o la naturaleza de los datos así lo exige.
  • Si se trata de datos sensibles.

El Departamento de Protección de Datos de Globalpacta está a su disposición para analizar el grado de cumplimiento que su empresa tiene en materia de Protección de Datos y realizar en caso necesario, la implantación o las adaptaciones oportunas que aseguren su total cumplimiento.


Rellene el formulario de abajo y un representante de Globalpacta se pondrá en contacto con usted. Si lo prefiere, puede ponerse en contacto con nosotros a través de la siguiente dirección de correo electrónico: 
info@globalpacta.com o a través del teléfono de contacto +34 93 363 79 10.


Para mayor información por favor visite: http://globalpacta.com/proteccion-de-datos 

 
Posted by at No comments:
Labels: ,
Location: Muntaner, 340, principal, 08021 Barcelona, Spain

Friday 23 March 2018

Protección De Datos En El Sector Sanitario

Siempre que un paciente acude a un centro sanitario o a una consulta médica privada, sus datos personales y las incidencias objeto de su consulta, así como la medicación prescrita, son almacenadas en un fichero conocido como historia clínica, que tiene como fin llevar un seguimiento de la evolución de la enfermedad.

Por lo tanto, los profesionales del sector sanitario manejan datos personales de alto riesgo que les obligan a extremar las precauciones frente a posibles sanciones. Como abogados especialistas en protección de datos nuestra misión consiste en asistirle en el efectivo cumplimiento de la normativa vigente mediante un seguimiento personalizado.

Información, consentimiento y confidencialidad

El primer paso a la hora de tratar datos personales ha de ser el consentimiento, que según la nueva normativa ha de ser expreso y por escrito. Además, se usarán sólo los datos que sean necesarios para el tratamiento o la investigación sobre la enfermedad del paciente, cuidando que sean siempre ciertos.

El paciente deberá ser informado de la existencia de los ficheros donde se guardan sus datos, los fines para los que se van a usar, los destinatarios de dicha información, quién es el responsable del fichero y de qué manera puede ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Como se ha dicho, la protección de datos en el sector sanitario es de alto riesgo, por lo que se requiere la máxima confidencialidad y respeto del secreto profesional, incluso cuando la relación del paciente con el personal médico haya finalizado. Los responsables de los ficheros deberán llevar a cabo una evaluación del impacto.

También es necesario elaborar un documento de seguridad en el que se recojan las medidas adoptadas y los protocolos que deberán implementarse en caso necesario, documento que estará a disposición de la Agencia Española de Protección de Datos.

Registro y comunicación

Todo centro sanitario, por sus características, deberá nombrar un Delegado de Protección de Datos que se encargue de supervisar el cumplimiento de la ley y garantizar la seguridad del paciente, nombramiento que habrá de notificar a la AEPD.

Asimismo, el responsable de los ficheros deberá mantener un registro de las actividades realizadas donde se especifiquen los fines del tratamiento, una descripción de las categorías de los interesados y de los destinatarios previstos, así como los datos de contacto del responsable, representante y delegado de protección de datos.

La comunicación de datos entre entidades se hará bajo autorización del paciente, para lo cual el responsable del fichero deberá definir en un contrato escrito el tratamiento por parte de un tercero, garantizando que lo hará según sus instrucciones, y comprobará que no se utilicen con fines distintos ni sean comunicados a otros, obligándole a cumplir con las mismas medidas de seguridad.

Siempre que se elabore un fichero de datos personales se deberá notificar a la AEPD, inscribiéndolo en el Registro General de Protección de Datos, así como su modificación o cancelación.

No olvide que el departamento de Protección de Datos de Global Pacta está a su disposición para analizar el grado de cumplimiento de su clínica o consulta médica en materia de protección de datos y realizar, en caso necesario, la implantación de medidas o las adaptaciones oportunas que aseguren su total cumplimiento.

Para mayor información por favor visite: http://globalpacta.com/proteccion-de-datos
Posted by at No comments:
Labels: , ,
Location: Muntaner, 340, principal, 08021 Barcelona, Spain
Subscribe to: Posts (Atom)