Me acabo de enterar de que el año pasado se han producido más de 123.000 ataques informáticos a empresas.

Existen numerosas empresas que prestan servicios informáticos: de software, de hardware, de mantenimiento informático, de hosting, programación, diseño web, etc.

La gran mayoría de estas empresas tienen acceso a los sistemas informáticos de sus clientes o alojan en sus servidores información facilitada por esos clientes.

¿Este es tu caso?

¿Sabes cómo evitar un ataque informático en tu empresa? ¿Y cómo proteger los datos que manejas?

Muchas empresas informáticas desconocen qué deben hacer para cumplir el RGPD. Por eso aquí te cuento lo que debes hacer.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva Ley de Protección de Datos (pendiente de aprobar aún en España)
  • LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)

¿Cómo deben cumplir las empresas informáticas el RGPD?

Las empresas que prestan servicios informáticos tienen en sus manos una gran cantidad de datos,  desde datos identificativos a datos financieros o de salud, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Este tipo de entidades manejan una gran cantidad de datos de clientes. Cada vez que un cliente te contrata el mantenimiento informático de sus sistemas o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso que cumplas con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu empresa informática para adaptarte al RGPD son:

  1. Realiza un Registro de actividades de tratamiento
  2. Elabora un análisis de riesgos
  3. Realiza una Evaluación de impacto
  4. Firma los contratos con terceros
  5. Incluye los textos legales en la página web
  6. Solicita el consentimiento a los clientes
  7. Facilita los derechos de los usuarios
  8. Firma los contratos con los empleados
  9. Nombra un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las empresas informaticas

1. Registro de actividades de tratamiento

Aquí empieza todo.

¿Tienes claro qué datos estás utilizando en la empresa?

Como primer paso debes analizar qué tipo de datos manejas y qué cantidad. Debes responder a preguntas como:

  • Tipo de datos que recopilas
    • Identificativos
    • Bancarios
    • Financieros
    • De salud …..
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
    • En papel
    • En soporte informático
  • Si cedemos esos datos o los transferimos fuera de nuestro país
  • Medios de tratamiento

Para ello es necesario que realices un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

Toma nota.

La empresa debe también realizar análisis del riesgo en el que valore las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en qué equipos?
  • la naturaleza de los datos, o
  • el número de interesados afectados:
    • 1.000?
    • 5.000?
    • 50.000?

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. El uso de sistemas de cifrado obsoletos sería un caso de incumplimiento.

3. Evaluación de impacto

Sí, ya sé. Aquí empieza lo complicado.

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

¿Sabes qué es?

Se trata de un informe en el que enumerar los riesgos que existen para los datos que tratas y aplicar los controles y garantías adecuados para protegerlos.

Si en tu empresa informática:

  • realizas un tratamiento automatizado de datos, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas, o
  • realizas un tratamiento a gran escala de las categorías especiales de datos,

Entonces debes realizar esa Evaluación de impacto.

4. Contratos con terceros

No me digas que no hay nadie que pueda acceder a los datos que manejas.

No me lo creo.

¿Seguros que no hay una gestoría que le lleva los temas de facturas o nóminas?

A que sí.

Pues ya está.

A esa gestoría le cedes datos de tus clientes o de tus empleados.

Así de fácil.

Debes asegurar que también la gestoría cumpla la normativa de Protección de Datos.

Y qué decir tiene que debes estar seguro de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web (o sea, tú). En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil o nº de colegiado, si eres autónomo.

Tienes que incluir un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de tu empresa informática y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario habrá que informar expresamente de

  • el tratamiento de los datos que se le están solicitando,
  • finalidad,
  • si terceros van a acceder a esa información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • vía para ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Podemos definir las cookies como ficheros de información que se envían por una página web y se guardan en el navegador del usuario que entra en esa web. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

En caso de que tu web incluya esas cookies, debes cumplir con la normativa.

Las cookies se regulan en la LSSI.

En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de clientes

Además de actualizar la política de privacidad, tu empresa informática debe tener el consentimiento expreso de todos tus clientes para poder tratar sus datos. Este consentimiento puede solicitarse de dos formas:

  • En caso de que el cliente ponga sus datos personales en la página web, es obligatoria la existencia de una casilla desmarcada por defecto en la que pueda aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la empresa, debe firmar un documento donde le informes sobre:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • el medio por el que puede ejercer sus derechos ARCO.

El RGPD pretende que los ciudadanos tengan un mayor control sobre sus datos y sepan qué información tienen las empresas de ellos y para qué la van a usar. Por eso, debes notificarles cualquier cambio que se vaya a realizar respecto al tratamiento de sus datos.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Los derechos que pueden ejercer los interesados son:

  • acceso a sus datos personales;
  • rectificación en caso de que los datos sean inexactos;
  • supresión (derecho al olvido) cuando los datos se tratan ilegalmente o ya no son necesarios para la finalidad para la que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

¿Ya lo haces?

Pues no te olvides.

8. Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad.

¿Sabes por qué?

Para impedir que esa información sea revelada a personas no autorizadas. También es necesario que cumplan las medidas de seguridad que la empresa haya adoptado para garantizar la protección de los datos personales.

En una empresa informática, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

Pero, ¿a quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en tu empresa informática, debes estar prevenido con un plan de respuesta ante incidentes.

Y ojo con esto!

Se establece un plazo máximo de 72 horas para notificar a la AEPD ese incidente, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

¡De nada te sirve tener procedimiento que no cumpla con ese plazo!

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Existirán atenuantes si puedes demostrar a las autoridades y a los clientes que estás haciendo todo lo posible para cumplir con la normativa.

10. Nombrar un DPD

¿Esto qué significa?

Puede ser necesario que la empresa de servicios informáticos, por el volumen de datos que trate, designe a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Esa persona será el Delegado de Protección de Datos (DPD).

¿Lo necesitas?

Tendrás que determinar la cantidad de datos que manejas en la empresa y la finalidad para la que los usas.

Si manejas datos de más de 25.000 personas o elaboras perfiles de comportamiento, no lo dudes.

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto debes hacerlo público y comunicarlo a las autoridades de supervisión competentes.

El DPD podrá formar parte de la plantilla de la empresa o puede contratarse externamente.

Preguntas frecuentes

Aquí tienes la respuesta a cuestiones que seguramente te has planteado sobre protección de datos.

Si mis clientes son empresas, ¿debo solicitarles el consentimiento para tratar sus datos?

No, en ese caso no necesitas el consentimiento. Solamente los datos de personas físicas (ya sean autónomos o particulares) están considerados datos de carácter personal y, por tanto, solo podrán tratarse con el consentimiento del titular.

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

No existe obligación de realizar auditorías o inspecciones periódicamente.

Pero la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, estas auditorías o inspecciones autoimpuestas son aconsejables puesto que sirven para demostrar el cumplimiento del RGPD.

¿Cómo puedo demostrar que mi empresa cumple la normativa de Protección de datos?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Aplicando políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados por las autoridades públicas independientes de supervisión de los Estados miembros de la UE.
  • Cumpliendo las directrices emitidas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

¿Cómo destruir la información de forma segura?

Los medios eficaces que evitan completamente la recuperación de los datos contenidos en los dispositivos de almacenamiento son:

  • desmagnetización (exposición de los soportes de almacenamiento a un potente campo magnético, proceso que elimina los datos almacenados en el dispositivo),
  • destrucción física ( inutilización del soporte que almacena la información en el dispositivo para evitar la recuperación posterior de los datos que almacena) y
  • sobreescritura en la totalidad del área de almacenamiento de la información.

El INCIBE ha elaborado una Guía sobre borrado seguro de la información.

¿Tengo que cifrar los datos que trato?

Depende del tipo de datos tratados. El cifrado es una técnica a través de la que convertimos en ilegible una determinada información. Sólo se tendrá acceso a la la información si se utiliza una contraseña o código.

A partir de la entrada en vigor del RGPD, un responsable que recabe datos personales deberá en virtud de un análisis de los tratamientos que realice, determinar si es necesario cifrar la información para garantizar su seguridad. Para ello puede tener en cuenta el estándar internacional ISO 27000, sobre sistemas de gestión de seguridad de la información que, dentro de su apartado Intercambio de información, cita la utilización de procesos criptográficos para proteger la confidencialidad e integridad de los datos que circulan a través de redes públicas o inalámbricas.

Modelos

Aquí te dejo los documentos necesarios para un correcto cumplimiento en tu empresa informática de la normativa de Protección de Datos.

Sanciones

Debes tener en cuenta todos los pasos anteriores para adaptarte al RGPD ya que, en caso de incumplimiento, te enfrentarías a importantes sanciones. El organismo encargado de realizar inspecciones e imponer las sanciones correspondientes es la AEPD.

Aquí tienes algunas de las sanciones impuestas por la AEPD a empresas informáticas.

Enviar publicidad sin consentimiento

Para poder enviar publicidad o información comercial a tu lista de contactos debes tener el consentimiento expreso. Y, aunque tengas ese consentimiento, al enviar el email debes facilitar al destinatario la opción de revocar ese consentimiento. Resolución AEPD R/01056/2018

No facilitar información en los formularios de contacto

Al incluir en la página web formularios de contacto es obligatorio informar a los usuarios sobre cómo van a tratarse sus datos personales, los destinatarios y la finalidad. También debe indicarse el medio a través del cuál pueden ejercer sus derechos. Resolución AEPD E/07195/2017

No quiero despedirme sin antes darte un consejo.

Lo importante es que sepas adaptar tu empresa a la nueva normativa y evitar sanciones.

¿Sabes ya cómo adaptar tu empresa de servicios informáticos al RGPD? Pues manos a la obra!

¿Necesitas cumplir el RGPD?

Protección de datos en empresas informáticas
4.6 (92.86%) 14 votos