GDPR: Comienza la cuenta atrás… ¿Te ayudamos?

Miquel MorellOmega Peripherals

Alejandro NegroCuatrecasas

Cuatrecasas y Omega Peripherals

15 años de relación

Consultoría en infraestructuras

Suministro de sistemas de almacenamiento, proceso y Seguridad de la información

Servicios especializados, incluido el traslado de CPD al nuevo edificio

ALEJANDRO NEGRO

Madrid DELL EMC FORUM 2017

12 de diciembre de 2017

EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS: RETOS LEGALES Y TÉCNICOS

❖ El responsable debe establecer medidas apropiadas para garantizar y poder demostrar

que el tratamiento de datos que realiza es conforme con el RGPD. Las medidas deben

revisarse y actualizarse.

❖ Protección de datos desde el diseño: a la hora de establecer los medios para el

tratamiento y durante el tratamiento, el responsable debe establecer medidas adecuadas

para adecuarlo al RGPD y proteger los derechos de los interesados.

❖ Protección de datos por defecto: el responsable debe establecer medidas para garantizar

que, por defecto, se traten únicamente los datos necesarios para los fines específicos del

tratamiento. Esto afecta a la cantidad de datos recopilados, al alcance del tratamiento, al

periodo de conservación y a la accesibilidad (por defecto, los datos no pueden hacerse

accesibles a un número indeterminado de personas sin intervención de la persona).

RESPONSABILIDAD PROACTIVA. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

❖ Relativamente nuevo. Viene a combinar la información sobre los ficheros que consta en el Registro de la AEPD y el documento de seguridad.

❖ En él deben figurar por escrito:

✓ Nombre y datos de contacto del responsable, de cualquier corresponsable, del representante y del delegado de protección de datos.

✓ Fines, categorías de interesados y de datos personales.✓ Categorías de destinatarios.✓ Transferencias internacionales de datos, identificando el país de destino.✓ Plazos previstos para la supresión de las diferentes categorías de datos.✓ Descripción general de las medidas de seguridad.

❖ Obligatorio, salvo que la empresa tenga menos de 250 empleados. Necesario en todo caso si el tratamiento: (i) puede suponer un riesgo para derechos y libertades; (ii) no tiene carácter ocasional; o (iii) incluye categorías especiales de datos o datos relativos a condenas y delitos.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

❖ El responsable debe elegir un encargado que ofrezca garantías suficientes.

❖ Debe regularse por contrato (o acto jurídico equivalente), que deberá incluir:

✓ Objeto, duración, naturaleza y finalidad del tratamiento, categorías de interesados y dedatos personales, obligaciones y derechos del responsable y del encargado.

✓ Obligaciones del encargado:

- Garantizar el compromiso de confidencialidad de las personas con acceso a datos.- Implementar medidas de seguridad y ayudar al responsable a garantizar el cumplimiento de las

obligaciones relativas a seguridad de los datos.- Asistir al responsable para atender los derechos de los interesados.- Poner a disposición del responsable información para probar el cumplimiento de sus obligaciones

y permitir auditorías.- Informar inmediatamente al responsable si entiende que una instrucción vulnera la normativa de

protección de datos.- Notificar violaciones seguridad.- Registro de actividades de tratamiento en nombre del responsable.

ENCARGO DE TRATAMIENTO

❖ Las medidas de seguridad no están predeterminadas, sino que deben ser adecuadas al

riesgo y tener en cuenta factores tales como el estado de la técnica, los costes de

aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento.

❖ Ejemplos: seudonimización; cifrado; medidas para garantizar la confidencialidad,

integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de

tratamiento; medidas para restaurar la disponibilidad y el acceso a los datos personales de

forma rápida en caso de incidente físico o técnico.

❖ Necesidad de realizar auditorías (“verificación, evaluación y valoración regulares de la

eficacia de las medidas técnicas y organizativas para garantizar la seguridad del

tratamiento”).

MEDIDAS DE SEGURIDAD

❖ En caso de producirse una violación de la seguridad de los datos personales, el responsable deberá:

✓ documentar y notificar las violaciones de seguridad a la autoridad de control.

✓ notificar las violaciones de seguridad a los interesados cuando tenga un alto riesgo para los interesados.

❖ Excepciones:

✓ Los datos están protegidos por medidas que hacen ininteligibles los datos para cualquier persona no autorizada.

✓ Se han tomado medidas ulteriores que hacen improbable que se concretice el alto riesgo.

✓ Si la notificación supone una labor desproporcionada.

NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

❖ Tratamientos que requieren observación habitual de los interesados o tratamientos decategorías especiales de datos.

❖ Posibilidad de designar un delegado único para un grupo empresarial.

❖ Persona con preparación.

❖ Funciones:

✓ Informar y asesorar sobre las obligaciones impuestas por la normativa.

✓ Supervisar el cumplimiento de la normativa y políticas internas.

✓ Cooperar con la autoridad de control.

✓ Servir de punto de contacto de la autoridad de control.

EL DELEGADO DE PROTECCIÓN DE DATOS

❖ Advertencia (eventual infracción) y amonestación (infracción).

❖ Órdenes.

❖ Sanciones económicas:

✓ Hasta 10 millones de euros o hasta el 2% del volumen de negocios mundial totalanual del ejercicio financiero anterior (el importe más elevado): obligaciones deresponsable/encargado, de organismos de certificación y de autoridades decontrol.

✓ Hasta 20 millones de euros o hasta el 4% del volumen de negocios (el importemás elevado): principios básicos, no atención de derechos, transferenciasinternacionales.

✓ Hasta 20 millones de euros o hasta el 4% del volumen de negocios (el importemás elevado): Incumplimiento de resoluciones de autoridades de protección dedatos.

SANCIONES

MUCHAS GRACIAS

Este documento es meramente expositivo y debe ser interpretado conjuntamente con las explicaciones y, en su

caso, con el informe elaborado por Cuatrecasas sobre esta cuestión

This document is merely a presentation and must be interpreted together with any explanations and opinions

drafted by Cuatrecasas on this subject

Este documento é uma mera exposição, devendo ser interpretado em conjunto com as explicações e quando seja o

caso, com o relatório/parecer elaborada pela Cuatrecasas sobre esta questão

DONDE NOS AYUDA LA TECNOLOGIA

Certificaciones

• El hecho de estar certificados en ISO27001 nos ha ayudado a entender y prepararnos para GDPR

¿Donde puede ayudar la tecnología?

Art.6

• Processing notallowingidentification

Art.17

• Right to erasureand to be forgotten

Art.20

• Data portability

Art.25

• Privacy by design

Art.30

• Records ofprocessingactivities

Art.32

• Security ofProcessing

Art.35

• Data ImpactAssessments

Chapter V

Art.44 a 50

• Data transfers

Apartados relevantes de la norma

CHAPTER II Principles

Article 6 Lawfulness of processing Processing not allowing identification

CHAPTER III Rights of the data subject

Section 3 Rectification and erasure

Article 17 Right to erasure (‘right to be forgotten’) Right to erasure and to be forgotten

Article 20 Right to data portability Data portability

Section 5 Restrictions

CHAPTER IV Controller and processor

Section 1 General obligations

Article 25 Data protection by design and by default Data protection by design & default. Privacy by design.

Article 30 Records of processing activities Records of processing activities

Section 2 Security of personal data

Article 32 Security of processing Security of processing

Section 3 Data protection impact assessment and prior consultation

Article 35 Data protection impact assessment Data protection impact assessment

CHAPTER V Transfers of personal data to third countries or international organisations

Article 44 General principle for transfers Transfers of personal data

Article 45 Transfers on the basis of an adequacy decision Transfers of personal data

Article 46 Transfers subject to appropriate safeguards Transfers of personal data

Article 47 Binding corporate rules Transfers of personal data

Article 48 Transfers or disclosures not authorised by Union law Transfers of personal data

Article 49 Derogations for specific situations Transfers of personal data

Article 50 International cooperation for the protection of personal data Transfers of personal data

¿Como nos ayuda la tecnología?

Manteniendo el Gobierno de los datos

Garantizando la Seguridad de los datos

Facilitando la transferencia de datos y su portabilidad

Asegurando la disponibilidad de los datos

Entendiendo sus datos

• Manteniendo el Gobierno de los datos – para asegurar que puede manejar sus datos dinámicamente y automáticamente se puede aplicar un sistema de data governance

Manteniendo el Gobierno de los datos

• Productos como SourceOneDiscovery Manager nos permiten descubrir y asegurar el mantenimiento del estado a efectos legales de contenidos archivados en respuesta a solicitudes por parte del regulador

Ejemplos

Data governance

• Hacer cumplir la normativa sobre seguridad de los datos.– Todo dato recogido de un

ciudadano de la UE debe securizarse contra accesos no autorizados.

– Encriptación y control de accesos son recomendados

– También hay que conservar un registro de la actividad de los datos

Garantizando la Seguridad de los datos

• Para impedir leer los datos en caso de acceso no autorizado:

– Data Domain Encryption:• using RSA BSAFE FIPS 140-2-

validated cryptographiclibraries.

– UNITY: Data at rest encryption

Ejemplos

• Para recuperar rápidamente de ataques, por ejemplo Ransomware.

– NetWorker 9.1 SnapshotManagement Integration

– XtremIO Snapshot

– Timefinder SnapVX

Encriptación y control de accesos

• Los datos deben estandarizarse, han de ser accesibles y se deben poder portar, no solo para el DataSubject sino a través de los Data Controllers

Facilitando la transferencia de datos y su portabilidad

• Para gestionar copias al Cloud:

– Cloudboost

• Para transferir datos entre cabinas:

– EMC Open ReplicatorMigration

Ejemplos

Los datos deben estandarizarse, han de ser accesibles y se deben poder portar

• Los datos han de estar disponibles y ser fidedignos (y recuperables) no solo para el procesamiento sino para responder a preguntas y solicitudes del DataSubject

Asegurando la disponibilidad de los datos

• DR sin perdida de acceso a Oracle

– Vplex

– Recoverpoint

• DR de entornos virtuales

– EMC SRDF Adapter for VMware vCenter Site Recovery Manager

Ejemplos

• Backup y replica en 2 sites

– Networker

– Datadomain replication con DDboost.

Los datos han de estar disponibles y ser fidedignos

• Si no sabes donde residen tus datos (estructurados, no estructurados, Backup, replica y/o Cloud) entonces no serás capaz de encontrarlos, clasificarlos, securizarlos ni de tomar acciones sobre los mismos.

• ¿Eres capaz de mostrar y registrar el linaje de tus datos conforme son procesados y transformados?

Entendiendo sus datos

backupReplica

Base de datos

Documento o hoja de

calculo

Ficheros de log

• Descubrir datos

– sourceOne discoverymanager

• Para descubrir copias y gestionarlas desde un único punto

– eCDM : Enterprise copy data Management

Ejemplos

• Localizar copias:

– Networker

– Datadomain

DOCUMENTOS EXIGIBLES

Documentos para cumplimiento GDPR

Política General de protección de datos personales:• Política que establece los principios generales de protección de datos personales

Política de protección de datos de empleados:• Política que establece como se tratan los datos personales de los empleados.

Nota publica sobre protección de datos – Registro de notas• Establece las condiciones bajo las que la compañía procesa los datos personales de sus

clientes/visitantes de la web. Registro de todas las notas publicadas. Política de retención de datos

• Establece el periodo durante el cual se conservaran datos personales por la compañía. Data Protection Officer Job Description

• Documento que establece las responsabilidades del DPO.

Documentos para cumplimiento GDPR

Inventario de Actividades de proceso de datos:• Documento usado para probar el cumplimiento del art.30 de la EU GDPR.

Guía para el Inventario de Actividades de proceso de datos• Documento que explica como listar todas las actividades de proceso de datos.

Formulario de Consentimiento del data subject• Documento usado para obtener el consentimiento del cliente (data subject) para el procesado de

sus datos personales con un fin concreto.

Formulario de revocación de consentimiento• Documento usado para revocar el consentimiento concedido.

Formulario de Consentimiento Parental• Documento usado para obtener el consentimiento de los padres/tutores de un menor para el

procesado de sus datos personales con un fin concreto

Formulario de revocación de consentimiento Parental• Documento usado para revocar el consentimiento Parental concedido.

Documentos para cumplimiento GDPR

Proceso para Solicitud de acceso del Data subject (cliente)• Documento que define el proceso por el que la compañía contesta las solicitudes del cliente

Metodología DPIA (Data Protection Impact Assessment )• Documento que describe como asesorar la necesidad y proporcionalidad de ciertas actividades de

proceso y provee medidas para mitigar los riesgos potenciales y libertades del cliente (DS)

Registro DPIA• Documento usado para documentar el proceso DPIA. Incluye el cuestionario DPIA.

Procedimiento de transferencia de datos transfronteriza• Documento que establece las condiciones bajos las cuales se procede a la transferencia de datos al

extranjero

Clausulas contractuales Standard• Modelo d eles cláusulas contractuales emitidas por la comisión europea para proveer salvaguardas

adecuadas respecto a la protección de la privacidad, derechos fundamentales y libertades

Documentos para cumplimiento GDPR

Processor GDPR Compliance Questionnaire• Cuestionario para asesorar a los proveedores sobre el cumplimento de GDPR

Acuerdo de proceso de datos con proveedores• Contrato que establece los limites y condiciones bajo los cuales un proveedor (procesor) puede procesar datos

personales en nombre de la compañía (controller)

Política de Seguridad TI• Política que describe las normes de Seguridad para los empleados

Política de control de accesos• Política que establece como los responsables aprueban los derechos de acceso a ciertos técnicos de Tecnologías de la

información

Procedimientos de Seguridad del departamento de TI• Describen las normes de Seguridad a utilizar en la infraestructura TI

Política BYOD (Bring Your Own Device) • Describe las regles para utilizar dispositivos personales (móviles, tabletas, etc.)para labores de negocio

Política de Teletrabajo y dispositivos móviles• Describe las regles para el uso de portátiles, móviles y otros dispositivos fuera de las oficinas de la empresa.

Documentos para cumplimiento GDPR

Política de mesa limpia/ pantalla limpia• Define como proteger la información ubicada en el puesto de trabajo y en las pantallas

Política de clasificación de la información• Define como clasificar la información según su confidencialidad

Política de Anonimación• Define como utilizar estas técnicas para proteger el procesado de datos personales

Política de cifrado• Define como usar controles criptográficos y claves para proteger la confidencialidad e

integridad de los datos Plan DR (plan de recuperación ante desastres)

• Define como recuperar la infraestructura y los datos después de un incidente disruptivo

Documentos para cumplimiento GDPR

Procedimiento de auditoria interna• Define como probar y evaluar las salvaguardas técnicas y organizativas

Checklist de la auditoria interna de la ISO27001• Proporciona una serie de preguntas basadas en los controles listados en el anexo A de

la ISO27001 Respuesta y notificación ante una intrusión (data breach) y su registro

• Procedimiento que establece las obligaciones dela compañía en el caso de una Perdida de datos

• Se establecerá un registro de intrusiones y/o perdidas de datos Notificación a las autoridades de una intrusión

• Documento que recoge a quien se notificara y como se producirá la notificación Notificación a los clientes (data subjects) de una intrusión

• Documento que recoge como se producirá la notificación al afectado