3. CIO & Co-founder
MAGNORE e-Health &
e-Learning
➔ Máster en Telemedicina
➔ Ingeniero Técnico en
Informática
➔ Perito Informático Judicial
➔ Auditor Informático
¡NO SOY
ABOGADO!
La ley es interpretativa y
siempre hay que analizar cada
caso particular.
(o disponer de un buen buffet
de abogados)
Xavi Montaña
@fxmontana
4. 25 de Mayo de 2016
Se publica en el BOE el nuevo
Reglamento General de
Protección de Datos para
ciudadanos europeos
25
8. Como Usuarios
Cientos de emails
de “Actualización de
Términos y Condiciones”
Como Empresarios
Multas de hasta
20.000.000€ o el 4%
de nuestra facturación
9. ➔ Defender nuestros derechos
como
usuarios/consumidores
(sobretodo ante las grandes
empresas y tecnológicas)
La RGPD NO
es una ley
sancionadora
➔ Concienciar a las empresas
sobre qué datos tienen y qué
uso hacen de ellos
10. Si ya cumples la LOPD, adaptarse
a la RGPD no es complicado
¡QUE NO CUNDA EL PÁNICO!
El 40% de las empresas en
España no cumplían la LOPD
11. ¿Quién debe
cumplir?
Principalmente cualquier
persona que tenga datos
personales:
➔ Identificación (nombre,
apellidos,email, NIF, dirección,
teléfono)
➔ Datos sensibles
(Características personales,
salud, académicos o bancarios)
12. ¿Quién debe
cumplir?
Si se tiene actividad
comercial (autónomos, empresas,
asociaciones, comunidades de
vecinos):
➔ Agencia tributaria, bancos
➔ Gestoría, limpieza,
videovigilancia
➔ Página web, correo
electrónico, informática
OJO: No sólo digital,
también si tenemos
papel
13. En la mayoría de casos NO
La Agencia Española de
Protección de Datos facilita una
herramienta básica on-line:
FACILITA RGPD:
https://www.servicios.agpd.es/Facilita
¿Necesito una
empresa que
me realice la
RGPD?
14. Profesionales
FACILITA RGPD
➔ Cláusulas del formulario de contacto
➔ Recomendaciones de medidas técnicas
➔ Contrato de cesión a terceros
➔ Registro de actividades de tratamiento
➔ Cursos formativos https://www.incibe.es
(ya no es obligado informar a la AEPD)
15. ➔ Control de acceso a los
datos por persona y
contraseña (segura)
➔ Copias de seguridad
➔ Ordenadores al día:
actualizaciones, antivirus,
malware, comunicaciones
seguras
(que económicamente
podamos implementar)
No consiste
sólo en “colgar
los avisos”
16. Hemos de cumplir los derechos de los usuarios
OJO: ¡Se ha de identificar el solicitante!
https://www.aepd.es/reglamento/
derechos/index.html
➔ Acceso, Rectificación, Cancelación,
Oposición (LOPD)
➔ Limitación, Olvido, Portabilidad
(RGPD)
17. Solicitar y obtener
gratuitamente información
de sus datos
➔ Fines del tratamiento
➔ Destinatarios
➔ Plazo de conservación
➔ Origen de los datos
Acceso
22. Debemos informar a nuestros
usuarios y a la AEPD en
máximo 72 horas
Además si
tenemos una
brecha de
seguridad
Nueva figura: DPO
analiza los riesgos,
considera medidas y
comunica a AEPD.
23. Resumiendo:
Lo importante
Ser conscientes de:
➔ Qué datos personales
tenemos en nuestro poder
➔ Si están bien protegidos
➔ Si los damos a otra persona o
empresa
➔ No podemos hacer publicidad
sin consentimiento expreso
del usuario
26. Hosting1 Ha de cumplir la normativa
RGPD y nuestro servidor
ha residir físicamente en
Europa
27. Seguridad2➔ Conexión segura con SSL
➔ Contraseñas de acceso
seguras (hosting, panel de
control, administración)
➔ Software actualizado
28. Textos
legales
3 ➔ Política de privacidad
WordPress 4.9.6:
(Herramientas / Privacidad)
➔ Aviso legal
Informar de quiénes somos y cómo
nos pueden contactar
➔ Política de Cookies
- Ojo con Google Analytics, Google
Adsense, etc…
- Podemos utilizar librerías:
Quantcast, Cookieconsent,
Cookiesandyou.
29. ¿Recogemos
datos
personales?
4➔ Informar de la finalidad
➔ Derechos de los usuarios
➔ Confirmar consentimiento
No puede estar
preseleccionado
Atender su petición
Utilizar el servicio
Recibir publicidad
30. REVISAR:
➔ Registro de usuarios y
comentarios
➔ Atención con:
- Tiendas online
- Formularios de contacto
¿Recogemos
datos
personales?
4
33. Auditoría de
acceso a datos
privados
➔ ¿Quien, cuando y donde?
- Django-easy-audit (Django)
- EasyAuditBundle (Symfony)
- Envers (Hibernate)
5
34. ¿Debemos volver a pedir
permiso a todos?
Según el tipo de servicio es recomendable, al
menos cuando vuelvan a acceder a nuestros
servicios/página web.
35. No será necesario
➔ Si en el momento de alta
ya dieron consentimiento
explícito.
Será necesario
➔ Alta la realizamos
nosotros
➔ Recogimos su email
➔ Tenemos sus datos
desde otras finalidades.
37. No será necesario
➔ Si utilizamos doble
confirmación (double
opt-in) en el registro
➔ Si no nos desviamos de
la finalidad de la lista
➔ Si pedimos
explícitamente el
consentimiento
Será necesario
Si el usuario se registró
para un objetivo (prueba,
compra) y enviamos
publicidad