PROTECCIÓN DE DATOS Y DELITOS CIBERNÉTICOS, CÓMO LAS INSTITUCIONES DEBEN ENFRENTAR LOS NUEVOS PELIGROS

Javier Frutos GaraetaCEOGRC Compliance & Technology

Europa, pionera en la regulación de la privacidad, cambiará en 2015 su modelo normativo motivado por:

- Las fragmentaciones existentes en LA REGULACIÓN DE los estados miembros

- El cambio social que supone la adopción masiva de las nuevas tecnologías y las nuevas formas de compartir información personal a través de medios digitales

El reglamento europeo de protección de datos

El reglamento se aplica al tratamiento de datos personales de interesados (PERSONAS NATURALES) que residan en la unión por parte de un responsable del tratamiento (EMPRESAS, INSTITUCIONES PÚBLICAS…) no establecido en la unión, cuando las actividades de tratamiento estén relacionadas con:

a) La oferta de bienes o servicios a dichos interesados en la unión

b) El control de su conducta

Normativa extraterritorial, ¿Me afecta?

Además la unión europea determinará qué países tienen “niveles adecuados de protección”, conforme a las exigencias de esta nueva regulación.

La decisión de la ue tendrá importantes efectos en las transferencias internacionales de datos: necesidad de autorización específica para enviar datos a países no homologados por la comisión europea

Normativa extraterritorial, ¿Me afecta?

- Las redes sociales que alcanzan a millones de usuarios en el mundo, siendo de múltiples y distantes países e incluso realidades, tecnológica y jurídicamente hablando

- El cloud computing que basa su desarrollo, imparable e irreversible, en programas y servicios y, consecuentemente, se tratan los datos de carácter personal de personas identificadas o identificables por su nombre y apellidos o SIMPLEMENTE relacionadas y localizadas

¿Qué retos enfrenta la protección de datos?

- Las redes sociales permiten interconectar a personas distantes entre sí y ofrecen un lugar donde compartir conocimiento, información, recursos, etc.

- El acceso a cuentas de correo electrónico o la descarga de recursos como documentos, apps, o ficheros son ejemplos de servicios ofrecidos gratuitamente a los consumidores finales.

¿Son realmente gratuitos estos servicios?

Redes Sociales y Privacidad

Los perfiles generados a partir de preferencias, trazas, huellas de conexión, rastros de navegación por internet, redes sociales, etc, son en un bien con valor económico cuya venta permite explotar la información recogida:

“Mejora del conocimiento de los gustos, preferencias y hábitos de consumo de potenciales clientes”

Redes Sociales y Privacidad

“Todo individuo debe poder oponerse a la elaboración de perfiles de sus datos“

Se trata de poner límites a los resultados que se puedan obtener a partir de técnicas automatizadas de explotación del big data:

- Evaluación humana y explicación de la decisión adoptada de forma automatizada

Redes Sociales y Privacidad:Límites

“Los servicios y/o productos deben ser diseñados teniendo en cuenta los derechos de los consumidores”

- Facilidades para poder ejercer derechos arco + olvido- Principio de datos mínimos- …

La adopción de estas medidas supondrá el rediseño de muchos procesos internos en las organizaciones que ya están tratando datos de carácter personal

Privacy by Desing

“Una nueva generación de herramientas cloud de cumplimiento normativo llega para quedarse”. hay que valorar:

- Acuerdo de nivel de servicio- Confianza del proveedor- Continuidad de las actividades- Condiciones de contratación- Condiciones de privacidad, seguridad y continuidad de negocio.

¿Cloud Computing? Sí, Pero…

“Los sellos de protección de datos, ayudarán a aportar garantías y harán más sencillo la elección de proveedores. Será especialmente relevante para las entidades que se planteen externalizar servicios en cloud”

¿Cómo funcionarán? - Emitido por la autoridad de control después de un proceso de certificación realizado por un auditor acreditado. - Válido por 5 años

Cloud Computing y el Sello Europeo de P.D.

- Medidas de seguridad: definición, implantación y documentación de políticas, medidas, procedimientos y controles (iso/iec 27001 - sgsi).

- Incidentes de seguridad: notificación a la autoridad de control y al interesado (cuando la violación de datos afecte negativamente a la privacidad o a la protección de datos del interesado)

- Nombramiento delegado de protección de datos.

Más obligaciones, riesgos y responsabilidades

- “Las sanciones llegan hasta 100.000.000 euros o el 5% del volumen de negocios total de la entidad infractora”

- Un nuevo marco regulatorio que deberá analizar y gestionar cumplimiento normativo…

Conclusión