Podrías estar infringiendo el reglamento de protección de datos sin saberlo

  • Seguridad

No contar con un sistema de consentimiento tácito para el uso de datos de usuario, así como con un sistema de recogida de datos completo, una política interna de uso de datos regulada o un buen sistema informático contra ciberataques, son algunas de las infracciones de RGPD en las que incurren muchas empresas.

Más sobre seguridad

¿Cómo gestionar los riesgos y la seguridad en 2019? 

Guía de los líderes de red para proteger la SDWAN 

Robo de credenciales: prioriza la seguridad de tus apps

Estado de la ciberseguridad industrial en 2018 

Informe SophosLabs 2019 Threat Report 

Todo lo que deberías saber sobre las amenazas cifradas 

El pasado 25 de mayo entró en vigor del Reglamento General de Protección de Datos (RGPD), pero, pese a estar advertidas, son muchas las empresas que todavía se encuentran en período de adaptación al Reglamento. Según un informe de Cepyme y la Agencia Española de Protección de Datos (AEPD), todavía existe un 40% de empresas que desconocen qué cambios deben realizar para ponerse al día en esta materia.

Para que los empresarios puedan estar prevenidos, Coverfy hace un recorrido por algunos de los fallos más habituales que pueden originar casos de infracción de RGPD, y para los que es recomendable tanto un plan de acción, como tener un seguro de protección de datos por incumplimiento involuntario:

--No contar con un sistema de consentimiento tácito para el uso de datos de usuario. Antes se podían usar los datos del usuario mientras que éste no se pronunciara y dijera lo contrario después de avisárselo. Desde la entrada en vigor de RGPD es necesario recibir la respuesta afirmativa al respecto del cliente.

--No tener sistema de verificación de edad. En este punto, además, habrá cambios en la nueva LOPD, pues la Agencia Española de Protección de Datos está estudiando reducir la edad para el consentimiento de tratamiento de datos personales hasta los 13 años. Además, la nueva ley permitirá que los herederos accedan a los datos de las personas fallecidas para su supresión o rectificación.

--No tener un sistema de recogida de datos completo. No solo es clave manejar de forma segura los datos, sino manejar los datos exactos, pertinentes y limitados a lo necesario. Para que el empresario o responsable del manejo de los datos no incurra en infracción por manejar datos inexactos, debe poner todas las medidas necesarias para que el cliente le dé información lo más fiel posible.

--No tener una política interna de uso de datos regulada. Es imprescindible que toda la plantilla tenga definida una correcta política de uso de bases de datos. Si por un despiste o desconocimiento alguien usa un dato de un cliente para otra actividad del negocio para lo que no está permitido, la sanción sería cuantiosa.

--No tener delegado de protección de datos (DPO).  Uno de los cambios principales en la nueva ley es la aparición de la figura ‘voluntaria’ del DPO, que será ‘obligatoria’ en el caso de las organizaciones cuya actividad principal requiera una observación habitual y sistemática de interesados a gran escala, o consista en el tratamiento a gran escala de categorías especiales de datos personales. Asimismo, se ha de implementar un Canal Protección de Datos que sirva para recibir y registrar los incidentes y riesgos de violaciones de seguridad y atención de los derechos.

--No tener términos y condiciones web correctamente redactados. Muchos errores de principiantes se basan en copiarlos de otras páginas y son en estos apartados donde las inspecciones ponen más hincapié.

--No tener un buen sistema informático contra ciberataques. Los sistemas de protección y /o protocolos de ciberseguridad para blindarse frente a los ataques de terceros son imprescindibles, y más si se usan datos de carácter personal ajenos.

--No incluir la evaluación y prevención de los riesgos en la gestión de la empresa. De cara a gestionar eficazmente, analizar y prevenir, la empresa debe contar con un apartado o protocolo concreto de evaluación de riesgos en esta área, así como con planes de actuación ya preparados ante los posibles casos de crisis, donde desarrollar cómo actuar ante la ley, las autoridades y las personas que han cedidos los datos.