En vigor desde mayo de 2016, en aplicación desde mayo de 2018 - el Reglamento General de Protección de Datos de la UE (GDPR) todavía deja a muchas empresas preguntándose: ¿Estamos afectados? Y si es así: ¿Cómo logramos la seguridad jurídica? Y ¿qué podemos hacer para el cumplimiento de la protección de datos?

Loading...

Desde mayo de 2018, las empresas que manejan datos personales -y no son pocas- tienen que estar preparadas para pillar cacho. Las sanciones por violación de datos pueden ser importantes. Y siempre que no cumplan plenamente los requisitos del nuevo RGPD. Además, la nueva versión de la Ley Federal Alemana de Protección de Datos (BDSG) complementa y fundamenta el GDPR. Aquí, sin embargo, prevalece la incertidumbre por doquier:

  • ¿Qué son los "datos personales"?
  • ¿Somos una "entidad responsable" según el GDPR?
  • ¿Quién es un "interesado"?
  • ¿Qué significa exactamente "tratamiento automatizado" de datos personales?
  • ¿Tenemos que nombrar a un responsable de la protección de datos?

¿Qué medidas deben aplicarse?

La lista de preguntas sobre el cumplimiento de la normativa de protección de datos que hay que abordar es larga.

Es cierto que la definición de los términos utilizados en el Reglamento puede encontrarse en listas de preguntas frecuentes. Sin embargo, esto no garantiza necesariamente la claridad con respecto al significado concreto para la empresa individual. A más tardar cuando esté pendiente la aplicación y el cumplimiento de las medidas y obligaciones necesarias (porque así se exige) por parte de los trabajadores, debe haber respuestas adecuadas a preguntas como, por ejemplo:

  • ¿Qué son las "medidas técnico-organizativas"?
  • ¿Cuándo son necesarias?
  • ¿Qué pasa con la "proporcionalidad"?
  • ¿Qué ocurre con los numerosos "controles" exigidos por el RGPD, como los "controles de acceso o divulgación"?
  • ¿Cómo puede garantizarse el cumplimiento de la protección de datos?

Protección de datos frente a seguridad de la información

En cualquier caso, el paso correcto para una empresa afectada es establecer un eficaz sistema de gestión de la protección de datos - adaptado a sus necesidades individuales, si es necesario ya con vistas a una certificación acreditada.

Lo que a menudo se confunde aquí: La protección de datos y la seguridad de la información son dos pares de zapatos, aunque haya solapamientos (por ejemplo, diversas medidas de control). Por ejemplo, las empresas que disponen de un sistema de gestión de la seguridad de la información (SGSI) totalmente completo conforme a la norma ISO 27001 cubren hasta cierto punto el tema de la protección de datos.

Pero incluso en este caso, sigue existiendo un delta que puede descubrirse y cerrarse con o sin un SGSI mediante un análisis de deficiencias.

"La diferencia fundamental entre los dos temas: La seguridad de la información protege los datos de una empresa del uso indebido por parte de terceros; la protección de datos tiene como objetivo proteger los datos personales."

En agosto de 2019, con ISO 27701 se publicó una nueva norma que formula requisitos para la protección de datos en la gestión de la seguridad de la información. ISO 27701 especifica así un sistema de gestión de protección de datos basado en ISO 27001, ISO 27002 (orientación para medidas de seguridad de la información) e ISO 29100 (marco para la protección de datos). La ISO 27701 es un complemento de la ISO 27001. La certificación según la nueva norma no es posible por sí sola.

Cumplimiento de la protección de datos: ventajas

Obtendrá

  • Información fiable sobre áreas de actuación
  • Conocimiento del potencial oculto
  • Más seguridad de actuación y seguridad jurídica en el tratamiento de datos tras aplicar las medidas adecuadas

Por el lado seguro - con una auditoría de protección de datos de DQS

Por lo tanto, las empresas que se esfuerzan por cumplir con la protección de datos deben hacer dos cosas: familiarizarse ellas mismas o sus responsables de cumplimiento con el tema lo antes posible y hacer que un organismo independiente como DQS determine el status quo en forma de análisis de deficiencias.

Una auditoría de protección de datos de este tipo se centra en una autoevaluación con revisión de documentos. A continuación, se comprueba in situ si la empresa cumple los aspectos esenciales de la protección de datos. Un informe muestra si es necesario tomar medidas y, en caso afirmativo, cuáles.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

DQS Gap Analysis Data Protection

¿Cuánto trabajo hay que hacer para un análisis GAP? Descúbralo gratuitamente y sin compromiso.

Autor
Gert Krueger

Experto y director de proyectos de seguridad de la información, BSI-KritisV y protección de datos en DQS. Además, es auditor desde hace tiempo de la gestión de la calidad y el medio ambiente.

Loading...