20 Mar El nuevo reglamento LOPD y la figura del Interim Manager TIC
Como Interim Manager TIC y experto en informática empresarial, una de las auditorias que cada día más las empresas solicitan es respecto de la LOPD, tanto desde el punto de vista teórico-administrativo (documento de seguridad, publicación en la agpd, etc.) como y más importante para mi modo de ver, las medidas que la empresa tiene en la realidad aplicadas a proteger su información de carácter personal y también su información confidencial, en este sentido el nuevo reglamento LOPD pone en alerta a todo tipo de empresas en materia de seguridad informática.
nuevo reglamento LOPD
La entrada en vigor del Reglamento entro en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables
El nuevo Reglamento Europeo de Protección de Datos tiene una novedad significativa que radica en la obligatoriedad de notificar los problemas de seguridad tanto a las autoridades de Control como a los usuarios o afectados. En esa línea debemos entender que ante un problema de robo de información de este carácter el responsable del tratamiento debe notificar el problema la autoridad de control competente y al afectado siempre que implique una violación de datos personales, a más tardar 72 horas después de que haya tenido constancia de ella.
Esta notificación debe realizarse siempre que se produzca un riesgo de violación de datos que pueda afectar la intimidad o a los datos personales de un cliente o particular, incluyendo las consecuencias de la violación para el particular, si puede conllevar fraude o usurpación de su identidad, daños físicos, sufrimiento psicológico humillación o perjuicio reputacional, incluyendo las medidas que la empresa ha puesto en marcha para atenuar o paliar estos riesgos siempre por medios que garanticen una pronta recepción por parte del interesado.
Cuando el robo de información se realice sobre datos que estén cifrados y por tato el presunto “delincuente” no pueda descodificar, no será necesario la notificación al afectado.
La notificación a agpd será obligatoria respecto a determinadas categorías de datos, como los relativos a infracciones penales o cuentas bancarias, en estos casos debemos notificar e incluir:
- Número de afectados.
- Tipos de datos.
- Descripción Datos de contacto del delegado.
- Efectos y consecuencias de la brecha.
- Medidas tendentes a atenuar los posibles efectos y medidas adoptadas.
Conclusiones
Es obvio que las empresas deberán tener una figura, más allá del actual responsable de seguridad, transversal a la organización, que en caso de producirse alguna incidencia las documente, gestione la comunicación de brechas de seguridad, tanto para los afectados como para la autoridad de control, tiempos de ejecución y modelo de comunicación.
Al mismo tiempo deberá contar con un plan de contingencias que permita subsanar estos problemas en el menor tiempo posible, minimizar el impacto y reforzar la seguridad interna, disponiendo de medidas de seguridad, sistemas de detección, análisis de intrusiones, etc. que pueda hacer mediante auditoria externas, hacking ético o ciberseguridad.
Es en estos casos donde nosotros, Interim Manager TIC, somos una figura perfecta para delegar estas responsabilidades que requieren de:
- Experiencia en seguridad informática, LOPD, leyes, etc.
- Visión transversal de la compañía.
- Capacidad de objetividad.
- Aptitudes de escucha activa, comunicación, etc. entre otras aptitudes directivas.
- Conocimiento amplio de tecnología y de negocio.
Contacta conmigo si necesita este tipo de colaboración.
Interim Manager TIC. Luis Vilanova Blanco.
606954593
luis@luisvilanova.es