Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

RGPD en la empresa y en WordPress

347 views

Published on

El nuevo reglamento general de protección de datos entró en vigor en mayo de 2016, es de aplicación obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018, y otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo actual. El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.

Más allá de las sanciones que puede acarrear la falta de cumplimiento del RGPD, todavía hay muchas pymes que están haciendo poco o nada ante esta nueva exigencia comunitaria.

Realizaremos una introducción básica en el estado actual de la normativa de protección de datos. Hablaremos de las principales novedades que establece RGPD (GDPR en inglés) en relación con la ley orgánica LOPD (15/1999). Explicaremos diferentes puntos de la normativa y obligaciones de las empresas para cumplirla. En esta charla también veremos qué medidas técnicas y organizativas tenemos que aplicar a nuestra empresa, al igual que a nuestro sitio web (WordPress).

* Información sobre ponente Regina Dubinska:

Regina Dubinska es coordinadora, consultora y formadora en materia de Protección de Datos en NosAdaptamos, S.L. con más de 10 años de experiencia en esta área.

Especialista en adaptación de las empresas de diferentes niveles de riesgo y todas las actividades a la normativa vigente de protección de datos (https://www.protecciondatos.org).

Certificado de Delegado de Protección de Datos Nº CP-X3-0001/2018 por IVAC-Instituto de Certificación, S.L.

Nos Adaptamos, S.L. posee reconocimiento de sus programas formativos para impartir formación de DPO/DPD (https://campusvirtual.protecciondator.org).

Redes sociales:
Linkedin: https://www.linkedin.com/in/regina-d-a3094189/

* Información sobre ponente Jordi Sala:

Jordi Sala es CEO de NosAdaptamos (https://www.nosadaptamos.com) especializado en ofrecer principalmente diseño y soporte para Joomla! y WordPress. Dispone de una amplia experiencia en CMS y hosting, debido a la colaboración durante años con Webempresa.

Co-organizador WordCamp Barcelona 2018 y Meetup de WordPress Molins de Rei. Siempre aportando un granito de arena como organizador y/o ponente en charlas relacionadas con el desarrollo web desde la aparición del módem de 32K.

Published in: Software
  • Be the first to comment

  • Be the first to like this

RGPD en la empresa y en WordPress

  1. 1. RGPD en la Empresa y en WordPress NOS ADAPTAMOS, SL26/11/2018
  2. 2. Regina Dubinska Jordi Sala Cofundador de Nos Adaptamos, SL Especialista en diseño y soporte para Joomla! y WordPress. Amplia experiencia en CMS y hosting. Co-organizador WordCamp Barcelona 2018 y Meetup de WordPress Molins de Rei. Cofundadora de Nos Adaptamos, SL Delegado de Protección de Datos DPD/ DPO. Consultora y asesora de la normativa de Protección de Datos. Formadora DPO/DPD, según el esquema de certificación AEPD-ENAC. NOS ADAPTAMOS, SL es una empresa especializada en diseño web y protección de datos.
  3. 3. Estado de la normativa actual • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (vigente en aquellos artículos que no contradigan el RGPD) • Reglamento (UE) 2016/679 (RGPD) del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (entrada en vigor el 25 de mayo de 2016, aplicación 2 años después) • Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. ¿La nueva Ley Orgánica de Protección de Datos … para cuándo?
  4. 4. Seguridad de los datos personales del RGPD. Responsabilidad proactiva. Construir seguridad: • Orientación a riesgo. (Art. 32) • Ingeniería de la privacidad. (Arts. 25, 35 y 36) Asumir consecuencias por falta de protección: • Presión reputacional. (Art. 33) • Transparencia con el interesado. (Art. 34) Pasamos de un modelo “prescriptivo” a un modelo “orientado a riesgo”. RGPD
  5. 5. ¿Qué son los “datos personales”? Datos personales: toda información relativa a usted, como persona física viva identificada o identificable. Los datos personales hacen referencia a todo aquello que contiene: el nombre, el apellido, el número de teléfono, etc. Datos sensibles: • Origen racial o étnico • Datos de opiniones políticas • Creencias religiosas o filosóficas • Datos de afiliación sindical • Datos genéticos • Datos biométricos con el objetivo de identificar de manera exclusiva a un individuo • Datos relativos a la salud o la vida sexual y/o la orientación sexual Sólo se recopilan y se tratan con el consentimiento explícito.
  6. 6. Principios RGPD Los datos personales serán: • Tratados de manera lícita, leal y transparente en relación con el interesado. • Recogidos con fines determinados, explícitos y legítimos. • Adecuados, pertinentes y limitados. • Exactos. • Mantenidos de forma que se permita identificación de los interesados no más tiempo del necesario. • Tratados de manera que se garantice una seguridad adecuada de los datos personales.
  7. 7. Consentimiento • Debe ser otorgado con pleno conocimiento por parte del interesado de los detalles e implicaciones del procesamiento. • Debe ser otorgado de manera libre por parte del interesado. • El consentimiento puede ser explícito o implícito, pero no debe dejar lugar a dudas sobre el hecho de que el interesado acepta el procesamiento de sus datos. • El consentimiento ha de ser prestado mediante una manifestación del interesado o mediante una acción afirmativa clara. • El procesamiento de datos sensibles siempre debe ir precedido de un consentimiento inequívoco. • El interesado debe tener la oportunidad en cualquier momento de retractarse y retirar su consentimiento. • El consentimiento debe recabarse en el momento de la recogida de datos. • El procesamiento de los datos no puede llevarse a cabo antes de informar y recabar el consentimiento.
  8. 8. Derechos RGPD Acceso Comunicar si existe tratamiento de datos. Rectificación Rectificar los datos inexactos o incompletos. Supresión, derecho al olvido Suprimir los datos excepto por motivos legítimos. Limitación del tratamiento Limitar el tratamiento de los datos. Portabilidad de los datos Transmitir los datos a otro Responsable o al Interesado en tratamientos automatizados. Oposición Cancelar el tratamiento de los datos.
  9. 9. Derechos de los interesados
  10. 10. Interés legítimo. Licitud de tratamiento El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte c) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento d) El tratamiento es necesario para proteger intereses vitales del interesado e) El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
  11. 11. RGPD Obligaciones de los responsables del tratamiento y encargados del tratamiento El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el Reglamento. El Responsable de Tratamiento está obligado a: • Elaborar un Documento de Seguridad. • Firmar contratos con Encargados de Tratamiento previa selección exhaustiva revisando garantías que ofrecen. • Firmar los acuerdos de confidencialidad con el personal con y sin acceso a datos. • Establecer las cláusulas informativas en toda la documentación externa de la empresa. • Obtener consentimiento válido. • Realizar el análisis de riesgos y EIPD (Evaluación de Impacto) si procede del análisis. • Designar el Delegado de Protección de Datos. • Realizar formación al personal de la empresa. • Control de las transferencias internacionales. • Notificar incidencias de seguridad. • Adecuar su sitio web. • Etc.
  12. 12. DPO Data Protection Officer DPD Delegado de Protección de Datos Uno de los cambios más sustanciales que introduce el nuevo RGPD es la obligatoriedad de la figura del Delegado de Protección de Datos. El Responsable y el Encargado del Tratamiento estarán obligados a designar un Delegado de Protección de Datos (DPO) siempre que: • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial. • Las actividades principales del Responsable o del Encargado consistan en operaciones de tratamiento que, a razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de Interesados a gran escala (videovigilancia). • Las actividades principales del Responsable o del Encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
  13. 13. Funciones de DPO/ DPD RGPD • Informar y asesorar sobre obligaciones impuestas por normativa de protección de datos. • Supervisar el cumplimiento de la normativa de protección de datos, incluidas:  asignación de responsabilidades;  concienciación y formación del personal;  realización de las auditorías;  asesoramiento sobre EIPD. • Cooperar con la AEPD y actuar como punto de contacto para cuestiones relativas al tratamiento.
  14. 14. Brechas de seguridad Una brecha es un fracaso en prevención y protección. Según las causas, podrá poner en cuestión el cumplimiento de nuestra responsabilidad activa. “La mejor victoria es vencer sin combatir”. Sun Tzu. El arte de la guerra. “El mejor procedimiento de gestión de brechas de seguridad es el que nunca ha tenido que ejecutarse”.
  15. 15. Procedimiento de gestión de brechas de seguridad RGPD Cuestiones clave a considerar en el diseño: • Roles y responsabilidades a involucrar. • Metodología de valoración y triaje de incidentes. • Protocolos de comunicación interna y toma de decisiones. • Coordinación con partes interesadas para realizar las comunicaciones/ notificaciones oportunas. • Seguimiento y reevaluación continua. • Aprendizaje y mejora.
  16. 16. Régimen sancionador Multa hasta 10.000.000 € o hasta el 2% de volumen de negocio anual a nivel global cuando se infringen: • Obligaciones de responsable o encargado • Obligación de organismos de certificación • Obligaciones de organismos de supervisión de códigos de conducta Multa hasta 20.000.000 € o hasta el 4% de volumen de negocio anual a nivel global cuando se infringen: • Principios básicos • Derechos • Transferencias internacionales • Incumplimiento de resoluciones de APD
  17. 17. ¿Y ahora que hacemos con WordPress para adaptarlo?
  18. 18. Hosting / Alojamiento Tiene que cumplir con el RGPD o sino cambiar de proveedor. Servidor en Europa.
  19. 19. Añadir certificado SSL. Activar redirección por defecto en HTTPS. WordPress actualizado. Copias de Seguridad. Contraseñas de acceso seguras en general. (TantoMontaMontaTantoIsabelComoFernando@2018JordiMeetupBarcelona)!! Seguridad
  20. 20. Política de Privacidad Desde WordPress 4.9.6 tenemos la opción de Ajustes -> Privacidad Dispone de una guía con recomendaciones que nos muestra información sobre los plugins instalados. Textos Legales ¿Qué nos ofrece WordPress por defecto? I Texto donde se informa al usuario del sitio web sobre cómo van a tratarse sus datos personales.
  21. 21. Exportar datos personales y Eliminar datos personales Desde WordPress 4.9.6 tenemos la opción de Herramientas -> Exportar datos personales y eliminar datos personales.Exportación y borrado de datos personales ¿Qué nos ofrece WordPress por defecto? II
  22. 22. Consentimiento expreso de tus usuarios para almacenar sus datos en los comentarios ¿Qué nos ofrece WordPress por defecto? III Esta opción permite que el usuario decida si quiere que WordPress recuerde sus datos cuando vuelva a escribir un comentario o, por el contrario, prefiere volver a introducir sus datos. Desde WordPress 4.9.6, en los comentarios aparece la opción: Guardar mi nombre, correo electrónico y sitio web en este navegador para la próxima vez que haga un comentario.
  23. 23. ¿Hemos terminado con RGPD y WordPress? ¿Nos marchamos?
  24. 24. Brechas de Seguridad Intentar evitarlas. Instalación de suites de seguridad. iThemes Security https://es.wordpress.org/plugins/better-wp-security/ Gestión de solicitudes y brechas de datos. GDPR https://es.wordpress.org/plugins/gdpr/ Monitorear la actividad de los usuarios. WP Security Audit Log https://es.wordpress.org/plugins/wp-security-audit-log/ Seguridad
  25. 25. Aviso LegalTextos Legales Información sobre Cookies El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación). Una cookie (galleta o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del navegador. Texto donde se informa a los usuarios sobre quién es el propietario de la página web. Adapta RGPD https://es.wordpress.org/plugins/adapta-rgpd/ https://www.protecciondatos.org/adapta-rgpd-plugin-wordpress-para-cumplir-rgpd-i/ https://www.protecciondatos.org/adapta-rgpd-plugin-wordpress-para-cumplir-rgpd-ii/
  26. 26. Términos y condicionesTextos Legales WooCommerce -> Ajustes -> Avanzado LSSI Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico La LSSI no se aplicará a un sitio web personal cuando su titular no realice ningún tipo de actividad económica a través de la misma.
  27. 27. Capas de información en formularios de contacto, comentarios y boletines. 1ª Capa 2ª Capa Información básica sobre Protección de Datos Responsable Ediciones Warren&Brandeis, S.A. +info… Finalidad Gestionar el envío de información y prospección comercial. +info… Legitimación Consentimiento del interesado. +info… Destinatarios Otras empresas del grupo Warren&Brandeis, Inc. Encargados de Tratamiento fuera de la UE, acogido a “Privacy Shield”. +info… Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional. +info… Información adicional Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.warrenbrandeis.com/protecciondatos/info La información en la segunda capa ha de completar con todos los detalles la información resumida, así como añadir la información adicional, requerida por el RGPD y que no estaba presente en la primera capa. La información en esta segunda capa debiera debe ser completa, es decir, no omitir información por el hecho de que ya se hubiese incluido en la información básica.
  28. 28. Newsletters En los formularios de suscripción se debe informar (primera capa) y (segunda capa). Opt in (optar por la inclusión o apuntarse en algo) Tiene que haber un consentimiento expreso de la suscripción. El usuario tiene que haber marcado una casilla (esta casilla no puede estar premarcada). Opt in doble Debes obtener confirmación por correo de la suscripción (doble opt-in). Opt out Darse de baja (alguien cancele su suscripción).
  29. 29. Anonimizar las Ips en Google Analytics Activar la compatibilidad con Do Not Track de Google Analytics Una explicación técnica sobre cómo Analytics anonimiza las direcciones IP: https://support.google.com/analytics/answer/2763052?hl=es Complemento de inhabilitación para navegadores de Google Analytics https://tools.google.com/dlpage/gaoptout Para que los visitantes del sitio web tengan la posibilidad de evitar que Google Analytics utilice sus datos Plugin Google Analytics Dashboard for WP https://es.wordpress.org/plugins/google-analytics-dashboard-for-wp/
  30. 30. ¿Preguntas? info@nosadaptamos.com Diseño web https://www.nosadaptamos.com Protección de datos https://www.protecciondatos.org https://campusvirtual.protecciondatos.org info@protecciondatos.org 26/11/2018

×