¿Es usted el encargado o el responsable del tratamiento de datos personales?

Le proponemos la manera más eficiente de cumplir con sus oblicagiones legales.
Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), tanto aquellas organizaciones que recaban algún tipo de datos personales (responsables) como las que reciben la encomienda o son contratadas para hacer algún tipo de tratamiento con los mismos (encargados), se encuentran con una serie de obligaciones, de las que en particular nos vamos a referir al artículo 28 de la LOPDGDD:
Artículo 28. Obligaciones generales del responsable y encargado del tratamiento.
Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable…
Lo peculiar en este punto es que, tanto el Reglamento como la Ley, dejan a criterio de los propios responsables y encargados la determinación de cuáles deben ser esas medidas adecuadas, y cómo poder acreditarlas. Y no podemos dudar que las organizaciones que ya han recibido sanciones de la AEPD, como Vodafone, EDP, Caixabank, BBVA o Equifax, estaban convencidas de disponer de esas medidas técnicas y organizativas adecuadas. Según Business Insider, en la primera mitad de este año 2021 se han interpuesto más de 23 millones de euros en sanciones a telecos, bancos, aerolíneas
Desde LEET Security ofrecemos un modelo único para definir cuáles son esas medidas adecuadas y para poder acreditar su implantación. En nuestra reciente versión de metodología y marco de controles de calificación, hemos incorporado los contenidos normativos, tomando, además, las medidas dispuestas en el marco de privacidad del NIST. Con ello, hemos enriquecido la calificación de ciberseguridad dotándola con un calificador complementario de privacidad.
¿Cómo funciona?
Lo primero, como siempre, es determinar el nivel de riesgo o impacto que puede causar un incidente acorde a la sensibilidad de la información y de la cantidad de datos que manejamos. Esto, evidentemente, es algo que solamente puede y debe hacer la propia organización. Simplificando, podríamos clasificar su resultado en tres niveles: bajo, medio o alto/crítico. Y en consecuencia, determinar cuales son las medidas que deben establecerse.
Pues bien, aquí entra el juego nuestro marco de controles, que dispone del más amplio catálogo de medidas técnicas, organizativas, procedimientos e incluso de seguridad física, organizadas en 5 niveles, desde un nivel básico, ‘D’, hasta el más elevado, ‘A’+, que se corresponde con una seguridad extrema. Siguiendo la simplificación anterior, podríamos asociar los niveles de riesgo a niveles de protección adecuados: así, para un nivel Bajo, se pueden seleccionar las medidas correspondientes al nivel ‘C’, nivel Medio con el ‘B’ y para un nivel Alto/Crítico, las del nivel ‘A’.

No obstante, dado que la calificación otorga niveles a las dimensiones de Confidencialidad, Integridad y Disponibilidad, así como a cada una de las diferentes secciones en que se clasifican las medidas, esta correspondencia podría hacerse de una forma mucho más detallada.
Con ello, se puede dar por cumplida la parte de determinación de las medidas adecuadas. Ahora quedaría la de garantizar y acreditar que se dispone de dichas medidas. Y esto es lo que aporta la calificación: el sello y certificado de calificación garantizan que esas medidas están implementadas y han sido verificadas por LEET Security, como entidad profesional independiente, en los servicios que han sido evaluados.
Finalmente, el calificador complementario de privacidad que mencionábamos, indica que se ha verificado el cumplimiento de todas las prácticas ligadas a la normativa de protección de datos correspondientes al nivel de calificación obtenido (en caso de carecer de alguna de ellas, no se proporciona el calificador complementario, sino un grado o porcentaje de consecución del mismo).
Con su calificación con un nivel correspondiente al riesgo establecido y el calificador complementario de privacidad, no se podrá garantizar que está libre de sufrir un incidente, pero en caso de ocurrir, estará en las mejores condiciones para acreditar que se ha actuado con toda la debida diligencia en el tratamiento de los datos personales. Si usted trata datos directamente, obtenga ya su calificación, sello y certificado. O exíjalo si contrata el tratamiento en un tercero o encargado.

All you need is LEET!

Recibe nuestras notificaciones desde este enlace