En vigor desde mayo de 2016, en implementación desde mayo de 2018, el Reglamento General de Protección de Datos de la UE (GDPR) todavía deja a muchas empresas preguntándose: ¿Estamos afectados? Y si es así: ¿Cómo logramos seguridad jurídica? ¿Y qué podemos hacer para cumplir con la protección de datos?
Loading...
Desde mayo de 2018, las empresas que manejan datos personales (y hay bastantes) tienen que estar preparadas para recibir una multa considerable. Las sanciones por violaciones de datos pueden ser significativas. Y esto siempre es así si no cumplen plenamente los requisitos del nuevo RGPD. Además, la nueva versión de la Ley federal alemana de protección de datos ( BDSG ) complementa y fundamenta la RGPD . Aquí, sin embargo, la incertidumbre prevalece en todas partes:
- ¿Qué son los "datos personales" de todos modos?
- ¿Somos una "entidad responsable" según el RGPD?
- ¿Quién es un "interesado"?
- ¿Qué significa exactamente "tratamiento automatizado" de datos personales?
- ¿Tenemos que nombrar un delegado de protección de datos?
¿Qué medidas se deben implementar?
La lista de cuestiones sobre el cumplimiento de la protección de datos que deben abordarse es larga.
Es cierto que la definición de los términos utilizados en el reglamento se puede encontrar en las listas de preguntas frecuentes. Sin embargo, esto no garantiza necesariamente claridad en cuanto al significado concreto para cada empresa. A más tardar cuando esté pendiente la implementación y el cumplimiento de las medidas y deberes necesarios (por ser necesarios) por parte de los empleados, debe haber respuestas correctas a tales preguntas, por ejemplo:
- ¿Qué son las "medidas técnico-organizativas"?
- ¿Cuándo son necesarios?
- ¿Qué pasa con la "proporcionalidad"?
- ¿Qué pasa con los numerosos "controles" exigidos por el RGPD, como los "controles de acceso o divulgación"?
- ¿Cómo se puede garantizar el cumplimiento de la protección de datos?
Protección de datos versus seguridad de la información
En cualquier caso, el paso correcto para una empresa afectada es establecer una solución efectiva sistema de gestión de protección de datos - adaptado a sus necesidades individuales, si es necesario ya con vistas a una certificación acreditada.
Lo que a menudo se confunde aquí: Protección de datos y seguridad de la información son dos pares de zapatos, incluso si hay superposiciones (por ejemplo, varias medidas de control). Por ejemplo, las empresas que cuentan con un sistema de gestión de seguridad de la información (SGSI) completo de acuerdo con ISO 27001 cubren en cierta medida el tema de la protección de datos.
Pero incluso aquí sigue existiendo un delta que puede descubrirse y cerrarse con o sin un SGSI utilizando un análisis de las deficiencias .
"La diferencia fundamental entre ambos temas: la seguridad de la información protege los datos de una empresa del uso indebido por parte de terceros; la protección de datos tiene como objetivo proteger los datos personales."
En agosto de 2019, con ISO 27701 Se publicó una nueva norma que formula requisitos para la protección de datos en la gestión de seguridad de la información. ISO 27701 especifica así un sistema de gestión de protección de datos basado en ISO 27001, ISO 27002 (guía para medidas de seguridad de la información) e ISO 29100 (marco para la protección de datos). ISO 27701 es un complemento de ISO 27001. La certificación según la nueva norma por sí sola no es posible.
Loading...
Gestión de Privacidad de Datos con ISO 27701
La protección de datos en el contexto de la seguridad de la información: ¿un tema apasionante? Más conocimientos expertos sobre la norma ISO 27701 en nuestro White Paper gratuito.
Cumplimiento de la protección de datos: beneficios
Recibes
- Información confiable sobre áreas de acción
- Conocimiento sobre el potencial oculto.
- Más seguridad de actuación y seguridad jurídica en el tratamiento de datos tras implementar las medidas adecuadas
Vaya sobre seguro: con una auditoría de protección de datos realizada por DQS
Por lo tanto, las empresas que se esfuerzan por lograr el cumplimiento en materia de protección de datos deberían hacer dos cosas: familiarizarse ellas mismas o a sus responsables de cumplimiento con el tema lo antes posible y hacer que un organismo independiente como DQS en forma de análisis de deficiencias.
El objetivo de una auditoría de protección de datos de este tipo es una autoevaluación con revisión de documentos. A continuación se comprueba in situ si la empresa cumple con los aspectos esenciales en materia de protección de datos. Un informe muestra si es necesario actuar y, de ser así, qué acción se requiere.
Loading...
Protección de datos del análisis de brechas DQS
¿Cuánto trabajo necesitas hacer para un análisis de GAP? Infórmate gratis y sin compromiso.
Newsletter de DQS
Manténgase informado suscribiéndose a nuestro newsletter.
Autor
Gert Krueger
Experto y director de proyectos de seguridad de la información, BSI-KritisV y protección de datos en DQS. Además, es auditor desde hace tiempo de la gestión de la calidad y el medio ambiente.
Loading...