DPO y Responsable de Seguridad ENS, figuras incompatibles. ¿Qué pasa con los responsables de seguridad de la información en las entidades privadas?

Publicado en Blog
by
Viernes, 11 Enero 2019
Visto 545 veces

¿Debo designar un Delegado de Protección de Datos? ¿Quién puede ser nombrado Delegado de Protección de Datos? Estas cuestiones han sido planteadas por muchas entidades, antes, e incluso después, de que el Reglamento Europeo de Protección de Datos (en adelante RGPD) comenzase a ser plenamente aplicable desde el 25 de mayo de 2018.

Como ya hemos comentado en otras ocasiones, si bien la práctica de la designación de esta figura se ha desarrollado en varios Estados miembros a lo largo de los años, el Delegado de Protección de Datos (DPD) /Data Protection Officer (DPO) ha sido desde el primer momento una de las figuras más destacadas del RGPD, cuyos aspectos más importantes ya hemos tenido ocasión de examinar en este Blog, (El Delegado de protección de datos en el RGPD Parte I, Parte II, Parte III y Parte IV).

Asimismo, conforme evoluciona la normativa europea y la misma adquiere madurez, empiezan a plantearse nuevas cuestiones, respecto de las cuales la Agencia Española de Protección de Datos (en adelante AEPD) comienza a pronunciarse a través de publicación de Informes, como a finales del año 2018 lo hizo en el Informe Jurídico que analiza la posible compatibilidad entre el DPO y el responsable de seguridad del Esquema Nacional de Seguridad (en adelante Responsable de Seguridad ENS), y que será objeto de análisis en el presente artículo.

¿En qué sentido se ha pronunciado la Agencia en este Informe?

Con carácter previo a identificar cuáles son las principales diferencias que existen entre ambas figuras, la AEPD parte de la base de que las mismas pertenecen a dos ámbitos de actuación diferentes: la seguridad de la información y el de la protección de datos de carácter personal.

La seguridad de la información comprende el conjunto de técnicas y medidas orientadas a garantizar la confidencialidad, integridad y disponibilidad de la información y los datos importantes para cualquier organización, independientemente del formato que tengan.

En el ámbito de las Administraciones Públicas, es la  Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, la que establecía el mandato de creación de un Esquema Nacional de Seguridad (ENS), con la participación de las Administraciones Públicas, siendo este aprobado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante RD 3/2010).

El Esquema Nacional de Seguridad, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

El propio RD 3/2010 establece en su artículo 10 la existencia de tres figuras diferenciadas que forman parte del ENS:

  • Responsable de la información → Determinará los requisitos de la información tratada.
  • Responsable del servicio→ Determinará los requisitos de los servicios prestados.
  • Responsable de seguridad→ Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

La protección de datos de carácter personal se configura como un auténtico derecho fundamental reconocido como tal en el art. 18.4 de la Constitución Española, conforme al cual “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, y que actualmente se encuentra regulado en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así, la seguridad de la información se sitúa entre el conjunto de los principios, derechos, obligaciones y estructura organizativa de ambas normas, como una de las obligaciones atribuidas a responsables y encargados del tratamiento.

Presentada la diferencia existente entre los ámbitos de la seguridad de la información y de la protección de datos de carácter personal, la AEPD comienza el análisis de las razones que fundamentan su criterio.

¿En que se diferencian el Delegado de Protección de Datos y el Responsable de Seguridad del ENS?

¿Ultimando los regalos navideños? Conoce los riesgos que pueden albergar los juguetes conectados en nuestra privacidad

Publicado en Blog
by
Viernes, 04 Enero 2019
Visto 254 veces

 

Con la reciente entrada del año, una de las fechas claves de esta festividad se va aproximando. Los más pequeños de la familia esperan deseosos y expectantes la llegada de los Reyes Magos, quienes cada año, y recién llegados de Oriente, depositan en sus casas grandes cantidades de regalos.  

Los juguetes tradicionales van perdiendo popularidad frente a un nuevo modelo que ya ha venido para quedarse. Son los denominados “juguetes conectados.”

Tomando como base la guía de juguetes conectados, elaborada por el Instituto Nacional de Ciberseguridad (INCIBE), a través Internet Segura for Kids (IS4K), y por la Asociación Española de Fabricantes de Juguetes, así como la infografía realizada por la Agencia Española de Protección de Datos sobre juguetes conectados, iremos dando respuesta a las numerosas cuestiones que el uso de estos nuevos juguetes puede plantear en relación con la privacidad de los más pequeños.

Antes de tomar la decisión de comprar un juguete conectado, en primer lugar, debemos preguntarnos: ¿qué es un juguete conectado y cuáles son sus funciones?

A diferencia de los juegues tradicionales, la principal característica que albergan estos juguetes conectados es su conexión a internet, así como su interacción con otros dispositivos domésticos, para el intercambio de datos y recopilación de información sobre sus usuarios, normalmente, mediante la instalación de una app y la creación de una cuenta. Además, han de ir dirigidos a niños, excluyendo de tal definición todos aquellos dispositivos de ocio digital dirigidos a usuarios adultos.

Las funciones que un juguete conectado puede realizar son numerosas: desde grabar, registrar, reproducir o reconocer imágenes y sonidos a través de los micrófonos, sensores y cámaras incorporadas en los mismos, hasta interactuar con otras aplicaciones mediante otros dispositivos informáticos, navegar o comunicarse a través de la red.

Otra de las cuestiones que debemos plantearnos es: ¿con qué finalidad se recaban estos datos?

Los juguetes conectados recaban numerosos datos de sus usuarios, tales como los propios datos personales del menor, así como los de su familia, información sobre sus gustos, horarios, localización, imágenes, videos y sonidos grabados dentro del entorno doméstico y familiar del menor. Toda esta información se registra a través de internet, y no es difícil que el uso que se realice de dichas informaciones no sea del todo correcto, pudiendo llegar a producirse filtraciones de los datos a través de la red, con todas las consecuencias perjudiciales que ello podría suponer para la reputación del menor.

El uso de estos juguetes también puede conllevar serios perjuicios en la privacidad de terceros, al poder utilizarse la cámara y los micrófonos para grabar, e incluso espiar a otras personas sin su consentimiento.

Todo ello nos lleva a plantearnos cuál es el verdadero objetivo del almacenamiento y recopilación de los datos, y respondiendo a esta cuestión nos encontramos con varios fines:

Página 9 de 132

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal