<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Brechas de seguridad RGPD archivos - Gestiona Abogados</title>
	<atom:link href="https://protecciondatoscertificado.es/blog/brechas-de-seguridad-rgpd/feed/" rel="self" type="application/rss+xml" />
	<link></link>
	<description>Delegados en Protección de Datos Certificados RGPD</description>
	<lastBuildDate>Wed, 16 Oct 2019 05:21:34 +0000</lastBuildDate>
	<language>es</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=6.9.4</generator>

<image>
	<url>https://protecciondatoscertificado.es/wp-content/uploads/2018/10/cropped-ico_gestiona_abogados.png</url>
	<title>Brechas de seguridad RGPD archivos - Gestiona Abogados</title>
	<link></link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>CONSEJOS PARA EVITAR TROYANOS</title>
		<link>https://protecciondatoscertificado.es/consejos-para-evitar-troyanos/</link>
					<comments>https://protecciondatoscertificado.es/consejos-para-evitar-troyanos/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Wed, 16 Oct 2019 05:20:35 +0000</pubDate>
				<category><![CDATA[blog]]></category>
		<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[Medidas técnicas y organizativas]]></category>
		<category><![CDATA[PROTEGER TU ORDENADOR]]></category>
		<category><![CDATA[RGPD]]></category>
		<category><![CDATA[troyanos]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=3703</guid>

					<description><![CDATA[<p>Consejos para evitar troyanos, para usuarios normales, y para usuarios paranoicos.</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/consejos-para-evitar-troyanos/">CONSEJOS PARA EVITAR TROYANOS</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Existen una serie de consejos básicos para evitar troyanos en tu ordenador. No vamos a repetir lo que ya hemos comentado en anteriores post: tener todas las aplicaciones actualizadas, un antivirus bueno, no bajar archivos de sitios que no conozcas.</p>



<p>Tampoco vamos a decirte que la única forma de estar 100%
seguro es no usar ordenadores ni conectarse a Internet. </p>



<p>Vamos una serie de medidas que van,  desde las menos intrusivas,  a las que son más propias de un verdadero&nbsp;paranoico&nbsp;de la seguridad.</p>



<h2 class="wp-block-heading">MEDIDAS DE SEGURIDAD</h2>



<h3 class="wp-block-heading"><strong>Redes wifi abiertas no,
gracias.</strong></h3>



<p>Primero de todo:&nbsp;nunca, jamás, en la vida, te conectes a
una red WiFi abierta&nbsp;si te preocupa mínimamente la seguridad. </p>



<p>Pueden ver el tráfico no cifrado, cualquiera puede ver qué puertos abiertos tienes en tu ordenador, e incluso podrían&nbsp;<a href="https://www.genbeta.com/navegadores/firesheep-hackea-con-un-click-cuentas-de-facebook-google-twitter" target="_blank" rel="noreferrer noopener" aria-label="entrar con un clic en tus cuentas de servicios que no usen HTTPS. (abre en una nueva pestaña)">entrar con un clic en tus cuentas de servicios que no usen HTTPS.</a></p>



<h3 class="wp-block-heading"><strong>Cuidado con las
descargas</strong></h3>



<p>Súbelo a sitios como&nbsp;<a rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)" href="https://www.virustotal.com/es/" target="_blank">VirusTotal</a>&nbsp;para comprobar que no es un malware. </p>



<p>Ah, y aunque no lo parezca,&nbsp;una descarga por BitTorrent
es más segura que una descarga directa.</p>



<h3 class="wp-block-heading"><strong>Activa controles de
integridad</strong></h3>



<p>Si está disponible,&nbsp; activa los controles de integridad de los archivos de sistema, &nbsp;en tu antivirus. </p>



<p>De esta forma, el antivirus chequeará que los archivos de sistema no han cambiado desde la última vez. </p>



<h3 class="wp-block-heading"><strong>Separa las cuentas de
usuario y administrador</strong></h3>



<p>Separar cuentas de usuario y administrador es una medida
sencilla y bastante efectiva.</p>



<p>Me refiero a que tengas dos usuarios distintos, uno para
administración y otro para tareas de usuarios. </p>



<p>Si quieres instalar un programa, sales de la cuenta de usuario y entras en la de administrador, y cuando acabes vuelves a la de usuario. </p>



<h3 class="wp-block-heading"><strong>Firewall</strong></h3>



<p>Otra medida bastante efectiva,  pero que fastidia mucho en el uso del ordenador,  es poner un&nbsp;firewall en modo estricto. </p>



<p>Con eso me refiero a bloquear todas las comunicaciones por
defecto, y sólo permitir la conexión por ciertos puertos a las aplicaciones que
tú hayas definido explícitamente. Básicamente, navegador, sistema de
actualizaciones y poco más.</p>



<h3 class="wp-block-heading"><strong>Cifrar el sistema</strong></h3>



<p>Cifrar nuestro sistema&nbsp;protegerá nuestros datos frente a
intrusiones. </p>



<p>Si ciframos todo el disco (incluyendo el SO), necesitaremos
una contraseña para acceder al sistema, pero entonces todos los archivos
aparecerán sin cifrar a nuestros ojos (y a los de los programas que se ejecuten
en el sistema). </p>



<p>Cifrar sólo ciertas carpetas o archivos es más recomendable si únicamente queréis proteger datos confidenciales (almacén de contraseñas, correos, agenda&#8230;).&nbsp;</p>



<h3 class="wp-block-heading"><strong>Usa sistemas menos
conocidos</strong></h3>



<p>Pónselo difícil al atacante usando software más minoritario. </p>



<p>No uses Windows o Mac, usa Linux. </p>



<p>Tampoco uses Android o iOS, usa BlackBerry o Windows Phone
(aunque si estás preocupado por la seguridad de verdad no sé qué haces con un
smartphone). </p>



<p>No porque unos sean más seguros que otros, sino porque si
usas un sistema menos usado habrá menos herramientas y recursos para atacarlo.
Simple matemática: a menos usuarios, menos interés tiene para los atacantes. </p>



<h2 class="wp-block-heading"><strong>¿Y SI USO UN MÓVIL O TABLET?</strong></h2>



<p>La seguridad en el móvil o táblet es un asunto muy delicado. ya que existe menos software de protección. </p>



<p>Los antivirus que existen para el móvil fallan, pero además existen otro tipo de vulnerabilidades frente a los que estamos totalmente vendidos,  sin sistemas de detección como los que pueda haber en un ordenador normal.&nbsp;</p>



<p><a rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)" href="https://www.genbeta.com/seguridad/vulnerabilidad-en-whatsapp-puede-dejar-parte-de-tus-conversaciones-al-descubierto" target="_blank">Fallos en las aplicaciones</a>,&nbsp;<a rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)" href="https://www.xatakamovil.com/apple/cualquier-dispositivo-ios-se-puede-hackear-con-un-cargador-modificado" target="_blank">en el propio sistema</a>, y a la hora de conectarse a redes WiFi que hayan sido suplantadas.</p>



<p>Lo mejor que puedes hacer es cifrar tus datos en el móvil por si alguna vez se te pierde, pero de cualquier forma, asume que los móviles y tablets, de momento, no son seguros.</p>



<h2 class="wp-block-heading"><strong>SOLUCIONES PARA
PARANOICOS</strong></h2>



<h3 class="wp-block-heading"><strong>¿Me pueden ver y grabar
por mi webcam? ¿y oírme por el micrófono?</strong></h3>



<p><strong>Si. </strong></p>



<p>Para la webcam del portátil, ponle un trozo de esparadrapo o
de cinta aislante. </p>



<p>Para la webcam del ordenador de sobremesa, basta con
desconectarla.</p>



<p>El micrófono del portátil ya es un poco más complicado pero
no imposible: Botón inicio &#8211; Panel de Control &#8211; Sistema &#8211; Administrador de
Dispositivos &#8211; y ahí buscar el micrófono que en cada portátil es distinto. Con
el botón derecho desinstalar o deshabilitar. </p>



<p>Ojo que a veces se vuelve a instalar o habilitar (que son
cosas distintas) automáticamente, por ejemplo en reinicios por las bravas o en
actualizaciones del sistema operativo.</p>



<h3 class="wp-block-heading"><strong>Uso de internet</strong></h3>



<p>Dos redes. Una conectada a internet como lo hace todo el
mundo, y otra, la buena, con conexión puntual a través de un puente de red, o
de un móvil libre nokia básico de prepago, con una tarjetilla de operadora africana,
rusa o china y comprada anónimamente en una zona turística. </p>



<p>Lo de identificarse para comprar un prepago, se hace solo en
España y otras dictaduras de nuestro entorno. Ah, y las tarjetillas no se
recargan, sino que se tiran cuando se les acaba el saldo y se utilizan nuevas
tarjetillas o se recargan con poco saldo, para regalar a inmigrantes y así
desconcertar a quienes estén haciendo escuchas ilegales. </p>



<p>Mejor aún, si se compran en el extranjero. Las de los
locutorios están bien, pero mejor no correr riesgos.</p>



<h3 class="wp-block-heading"><strong>No tener nada
importante en el ordenador</strong></h3>



<p>Si los falsos policías vienen a mi oficina con una falsa
orden de entrada y registro, ya pueden llevarse todos los ordenadores si quieren,
que ahí no hay nada importante, y lo importante está cifrado.</p>



<h3 class="wp-block-heading"><strong>¿Y todo esto que
recomiendas es legal?</strong></h3>



<p>No sólo es legal sino que además es obligatorio, según la
normativa de protección de datos.</p>



<p>Si un falso policía se hace con los datos de tus clientes y
los difunde, te cae una multa de la que dudo puedas recuperarte. </p>



<p>Lo más probable, es que tengas que cerrar la empresa.</p>



<h3 class="wp-block-heading"><strong>¿Qué hago si creo que
tengo un troyano de esos?</strong></h3>



<p>Salvaguarda los datos más importantes y formatea ahora mismo tu ordenador, pero ya.</p>



<p></p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" width="329" height="79" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png" alt="logo gestiona abogados" class="wp-image-1797" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png 329w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503-300x72.png 300w" sizes="(max-width: 329px) 100vw, 329px" /><figcaption><a href="https://protecciondatoscertificado.es/contratacion-online/" target="_blank" rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)">https://protecciondatoscertificado.es/contratacion-online/</a></figcaption></figure></div>



<p></p>
<p>La entrada <a href="https://protecciondatoscertificado.es/consejos-para-evitar-troyanos/">CONSEJOS PARA EVITAR TROYANOS</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/consejos-para-evitar-troyanos/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>TROYANOS EN TU ORDENADOR</title>
		<link>https://protecciondatoscertificado.es/troyanos-en-tu-ordenador/</link>
					<comments>https://protecciondatoscertificado.es/troyanos-en-tu-ordenador/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Mon, 14 Oct 2019 04:52:58 +0000</pubDate>
				<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[Medidas técnicas y organizativas]]></category>
		<category><![CDATA[policia]]></category>
		<category><![CDATA[RGPD]]></category>
		<category><![CDATA[troyanos]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=3701</guid>

					<description><![CDATA[<p>Troyanos: instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador.</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/troyanos-en-tu-ordenador/">TROYANOS EN TU ORDENADOR</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h2 class="wp-block-heading">TROYANOS
INTRODUCIDOS EN TU ORDENADOR POR LA POLICÍA</h2>



<p>La policía puede usar un software llamado popularmente «<strong>troyano policial</strong>» examinando en remoto los datos incluidos en un dispositivo ajeno, y  sin que su usuario o titular se entere. Esta presentación explica los detalles </p>



<p><span id="addon-section">La reforma de la Ley de Enjuiciamiento Criminal del 2015 introdujo  una serie de medidas que permiten la instalación de software, en ordenadores de sujetos sospechosos de ciertos delitos –por parte de la policía y previa autorización judicial-, y ello con el fin de poder hacer un seguimiento remoto de su actividad (<a data-vids="170233" data-key-node="588" class="addon-citation addon-tooltip" rel="noopener noreferrer" href="https://go.vlex.com/vid/170233/node/588?fbt=webapp_preview" target="_blank">artículo 588<span class="tooltiptext node-preview no-print" style="margin-left: 0px"><small><img decoding="async" src="http://static.vlex.com/img-wide/vlex-logo_reload.png">Enlace añadido por la extensión vLex</small></span></a> de la <a data-vids="170233" class="addon-citation addon-tooltip" rel="noopener noreferrer" href="https://go.vlex.com/vid/170233?fbt=webapp_preview" target="_blank">Lecrim<span class="tooltiptext node-preview no-print" style="margin-left: 0px"><small><img decoding="async" src="http://static.vlex.com/img-wide/vlex-logo_reload.png">Enlace añadido por la extensión vLex</small></span></a>). </span></p>



<h3 class="wp-block-heading">Con orden judicial</h3>



<p>Un juez puede acordar de oficio, o &nbsp;a instancia del Ministerio Fiscal o de la Policía Judicial,  la utilización de identificación y códigos, así como&nbsp;la<strong> instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador.</strong></p>



<h3 class="wp-block-heading">Sin orden judicial</h3>



<p>Pero es que además, y “en caso de urgencia, cuando las investigaciones se realicen para la averiguación de delitos relacionados con la actuación de bandas armadas o elementos terroristas y existan razones fundadas que hagan imprescindible la medida podrá ordenarla el Ministro del Interior o, en su defecto, el Secretario de Estado de Seguridad”.</p>



<p>El
problema no es que la policía meta un troyano en tu ordenador, siempre que lo
haga con orden judicial, y se limite exclusivamente a espiarte, y no haga nada
más que lo que se le ordene por el juzgado que corresponda. </p>



<p>Lo
malo son los falsos policías que te meten un troyano, amparados en una falsa
orden judicial.</p>



<h3 class="wp-block-heading"><strong>¿Quién puede poner un troyano en tu
ordenador?</strong></h3>



<ul class="wp-block-list"><li>Policías de los de verdad que actúan por su cuenta y sin orden de sus superiores o del juzgado, llevados por enemistad o ganas de protagonismo.</li><li>Policías&nbsp;de los de verdad&nbsp;que meten el troyano ANTES de tener la orden judicial.</li><li>Detectives privados normalmente ilegales, que actúan también al margen de la ley.</li><li>Espías y mafiosos, contratados para apoderarse de lo que tengas en tu ordenador o en tu móvil. En este grupo están también los que te infectan con el troyano de la policía, y te piden 100 euros por eliminarlo.</li></ul>



<p>Delincuentes
todos ellos pero que por los motivos que sean, te rondan y pretenden vulnerar
tu derecho a la intimidad. </p>



<h3 class="wp-block-heading"><strong>¿Pueden meter estos falsos policías
algo en mi ordenador o en mi móvil?</strong></h3>



<p>Por
supuesto. </p>



<p>Pueden
hacer exactamente lo mismo que alguien sentado frente a él. </p>



<p>Algo
ilegal, algo que te incrimine, enviar correos desde tu cuenta, alojar imágenes
de porno con menores&#8230; el único límite es su imaginación y las ganas de
hacerte daño. </p>



<p>Obviamente,
todo lo que hagan será posteriormente utilizado en tu contra. </p>



<p><strong>A ver cómo demuestras que no has hecho algo que no has hecho.</strong> </p>



<p>Se
llaman pruebas diabólicas.</p>



<h3 class="wp-block-heading"><strong>Pagarán justos por pecadores</strong></h3>



<p>Veamos
ahora el mundo de la seguridad informática desde el punto de vista del
potencial delito que se pueda estar cometiendo. </p>



<h5 class="wp-block-heading">Un&nbsp;spammer&nbsp;no utiliza su ordenador personal y su dirección IP para enviar spam, o distribuir troyanos.</h5>



<p>No, esto no funciona así, porque entre otras cosas, los ‘malos’ no son tontos, y haciéndolo así se pondrían en el punto de mira de cualquier investigación. </p>



<p>Si
yo soy cibercriminal y quiero cometer delitos, me creo una red de ordenadores
zombis para cometer el delito, que no es ni más ni menos que infectar primero
un ordenador de forma que quede a mis órdenes y remotamente cometer mis
fechorías a través de este, quedando mi identidad oculta y prácticamente
impune.</p>



<h5 class="wp-block-heading">El
usuario que tiene su ordenador ‘rehén’ ni se entera de que este está llevando a
cabo acciones maliciosas, siendo sin embargo cómplice de un delito.</h5>



<p>Imaginemos
el caso práctico de la distribución de pornografía infantil, por ejemplo: el
ordenador desde el que estoy escribiendo este post podría ser parte de una red
de bots y estar enviando pornografía a diestro y siniestro. </p>



<p>Si
fuera parte de una investigación policial, probablemente acabaría yendo a la
cárcel o pagando una multa considerable, sin comerlo ni beberlo.</p>



<h3 class="wp-block-heading"><strong>¿Y qué pasa con el antivirus?</strong></h3>



<p>Los
antivirus suelen ir a remolque de las nuevas creaciones. </p>



<p>Pueden
pasar lustros antes que las empresas de antivirus lo detecten. </p>



<p>Por
otro lado, la mayoría de los programas de control remoto o administración
remota, no son detectados como programas maliciosos. Basta con modificar uno de
estos, para tener un eficaz troyano indetectable.</p>



<h3 class="wp-block-heading"><strong>¿Y qué pasa con la normativa de
protección de datos?</strong></h3>



<p>Como responsable de los datos que almacenas en tus equipos informáticos, tienes la obligación legal de adoptar todas las medidas técnicas y organizativas de seguridad necesarias para garantizar la seguridad de la información, evitando con ello su pérdida, alteración, accesos no autorizados, etc.&nbsp; Es decir</p>



<h4 class="wp-block-heading">-Respecto
al Control de acceso&nbsp;</h4>



<p>1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.&nbsp;</p>



<p>2.&nbsp;El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.&nbsp;</p>



<h5 class="wp-block-heading">3.&nbsp;El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.&nbsp;</h5>



<p>4.&nbsp;Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.&nbsp;</p>



<p>5.&nbsp;En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.</p>



<h4 class="wp-block-heading">-Respecto
a la Identificación y autenticación&nbsp;</h4>



<h5 class="wp-block-heading">1.&nbsp;El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.&nbsp;</h5>



<p>2.&nbsp;El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.&nbsp;</p>



<p>3.&nbsp;Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.&nbsp;</p>



<p>4.&nbsp;El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.</p>



<h5 class="wp-block-heading">Las
medidas que he citado, son las medidas mínimas que tienes que aplicar siempre y
en todo caso.</h5>



<p>El
de la Seguridad es uno de los principios básicos y esenciales de la normativa
de protección de datos. </p>



<blockquote class="wp-block-quote is-style-large is-layout-flow wp-block-quote-is-layout-flow"><p>Por lo que si tuvieras un troyano, o la menor sospecha de que pudieras tenerlo, más te vale que, con carácter inmediato, procedas a su eliminación.</p></blockquote>



<h3 class="wp-block-heading">Grave intromisión en la intimidad</h3>



<p>Estoy totalmente de acuerdo con la persecución de todo delito informático, con la detención de sus culpables y con la imposición de las penas que correspondan,&nbsp;pero estas cuestiones llevan inherentes una<strong> clara intromisión en la intimidad de los usuarios</strong>.</p>



<h5 class="wp-block-heading">Es de ver que también los operadores de telecomunicaciones quedan:</h5>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"><p> «obligados a prestar al juez, al&nbsp;Ministerio Fiscal y a los agentes de Policía Judicial […]&nbsp;la&nbsp;asistencia y&nbsp;colaboración precisa para facilitar el cumplimiento de los autos de intervención de las&nbsp;telecomunicaciones». </p></blockquote>



<p>Además, me llama la atención el 588 septies b párrafo segundo, que aduce que </p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"><p>«las autoridades podrán ordenar a cualquier persona que tenga conocimientos de seguridad informática, a que colabore con la Justicia para vulnerar cualquier sistema informático con el fin de obtener información procesal». </p></blockquote>



<p>En otras palabras, el Estado puede obligar a cualquier persona, a poner sus conocimientos al servicio de la investigación judicial. Estaríamos hablando de una especie de ”<strong>reclutamiento forzoso de hackers por parte del Estado</strong>”. </p>



<p>En conclusión,&nbsp;no dudamos de que el fin sea legítimo y que esté muy bien perseguir a los ciberdelincuentes. </p>



<p>De hecho, aplaudimos cualquier medida que vaya encaminada a
la protección de los ciudadanos,&nbsp;pero no estamos de acuerdo con los medios
propuestos.</p>



<p>Por ello, en el próximo post, te daré unos cuantos <a href="https://protecciondatoscertificado.es/consejos-para-evitar-troyanos/" target="_blank" rel="noreferrer noopener" aria-label="consejos para proteger tu sistema frente a un troyano.  (abre en una nueva pestaña)">consejos para proteger tu sistema frente a un troyano. </a></p>



<p></p>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="329" height="79" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png" alt="logo gestiona abogados" class="wp-image-1797" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png 329w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503-300x72.png 300w" sizes="auto, (max-width: 329px) 100vw, 329px" /><figcaption><a href="https://protecciondatoscertificado.es/contratacion-online/" target="_blank" rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)">https://protecciondatoscertificado.es/contratacion-online/</a></figcaption></figure></div>
<p>La entrada <a href="https://protecciondatoscertificado.es/troyanos-en-tu-ordenador/">TROYANOS EN TU ORDENADOR</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/troyanos-en-tu-ordenador/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>BRECHAS DE SEGURIDAD</title>
		<link>https://protecciondatoscertificado.es/brechas-de-seguridad-gestion/</link>
					<comments>https://protecciondatoscertificado.es/brechas-de-seguridad-gestion/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Mon, 16 Sep 2019 05:21:06 +0000</pubDate>
				<category><![CDATA[blog]]></category>
		<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[EIPD]]></category>
		<category><![CDATA[Medidas técnicas y organizativas]]></category>
		<category><![CDATA[RAT o Registro de Actividades de Tratamiento]]></category>
		<category><![CDATA[brechas de seguridad]]></category>
		<category><![CDATA[gestion RGPD]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=3610</guid>

					<description><![CDATA[<p>Violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales.</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/brechas-de-seguridad-gestion/">BRECHAS DE SEGURIDAD</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h2 class="wp-block-heading"><strong>¿Qué son las brechas de
seguridad?</strong></h2>



<p>Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como&nbsp;</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"><p>“aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”</p></blockquote>



<p>Debemos señalar que, todas las brechas de datos personales
son incidentes de seguridad, pero no todos los incidentes de seguridad son
necesariamente brechas de datos personales, siendo éstas, en las que el
incidente de seguridad pueda comprometer al del responsable de tratamiento de
datos personales.</p>



<h2 class="wp-block-heading"><strong>Fases para la gestión
de brechas de seguridad</strong></h2>



<p>A continuación vamos a resumir las fases que el responsable
de tratamiento debe tener en cuenta para la correcta gestión de las brechas de
seguridad.</p>



<h3 class="wp-block-heading"><strong>1º&nbsp;Fase de preparación para responder ante l</strong>as brechas de seguridad.</h3>



<p>Se realizará un <a rel="noreferrer noopener" aria-label="análisis de riesgo (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/protocolos-parte-viii-analisis-de-riesgos/" target="_blank">análisis de riesgo</a> o <a rel="noreferrer noopener" aria-label="evaluación de impacto (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/eipd-ejercicio-practico/" target="_blank">evaluación de impacto</a>, en caso de ser necesario, para aplicar las <a href="https://protecciondatoscertificado.es/medidas-tecnicas-y-organizativas-rgpd/" target="_blank" rel="noreferrer noopener" aria-label="medidas técnicas y organizativas (abre en una nueva pestaña)">medidas técnicas y organizativas</a> adecuadas, para poder afrontar un incidente de seguridad y tener una efectiva capacidad de respuesta.</p>



<p>Se definirán los planes de respuesta a los incidentes de
seguridad.</p>



<h3 class="wp-block-heading"><strong>2º&nbsp;Fase de detección e identificación</strong> de las brechas de seguridad.</h3>



<p>El <a href="https://protecciondatoscertificado.es/protocolos-parte-iii-relacion-entre-responsable-y-encargado-del-tratamiento/" target="_blank" rel="noreferrer noopener" aria-label="responsable o encargado del tratamiento (abre en una nueva pestaña)">responsable o encargado del tratamiento</a> detectarán el incumplimiento o vulneración de las medidas de seguridad a que da lugar la brecha de seguridad.</p>



<p>La identificación del incidente de seguridad se hará sobre el
análisis de las siguientes fuentes de información:</p>



<ul class="wp-block-list"><li>Internas:&nbsp;medios internos de la empresa para mantener la seguridad.</li><li>Externas:&nbsp;comunicación del incidente por terceras personas.</li></ul>



<h3 class="wp-block-heading"><strong>3º&nbsp;Fase de Registro</strong> de las brechas de seguridad.</h3>



<p>La entidad debe mantener un registro de incidencias
debidamente documentado, que contenga:</p>



<ul class="wp-block-list"><li>Tipo de incidente.</li><li>Descripción del incidente.</li><li>Nivel de Gravedad.</li><li>Medidas adoptadas para su resolución.</li></ul>



<h3 class="wp-block-heading"><strong>4º&nbsp;Fase de
Clasificación y Valoración</strong></h3>



<h4 class="wp-block-heading">Determinar la clasificación de la brecha de seguridad que
podrá ser:</h4>



<ul class="wp-block-list"><li>Confidencialidad.</li><li>Integridad.</li><li>Disponibilidad.</li></ul>



<h4 class="wp-block-heading">Valorar la peligrosidad del incidente y la magnitud del
impacto en los individuos.</h4>



<p>Recurriremos para ello al análisis de riesgos o evaluación de
impacto realizado previamente.</p>



<p>Para clasificar la peligrosidad de un incidente seguiremos
las directrices proporcionadas por la AEPD:</p>



<ul class="wp-block-list"><li>La categoría o nivel de criticidad respecto a la seguridad de los sistemas afectados:&nbsp;(Crítico, Muy Alto, Alto, Medio, Bajo).</li><li>Naturaleza, sensibilidad y categorías de los datos personales afectados:&nbsp;(Datos de escaso riesgo, Datos de comportamiento, Datos financieros, Datos sensibles).</li><li>Datos legibles/ilegibles:&nbsp;Datos protegidos mediante algún sistema de <a href="https://protecciondatoscertificado.es/k-anonimidad-como-medida-de-privacidad/" target="_blank" rel="noreferrer noopener" aria-label="seudonimización (abre en una nueva pestaña)">seudonimización</a>.</li><li>Volumen de datos personales:&nbsp;expresados en cantidad (registros, ficheros, documentos) y/o en periodos de tiempo (una semana, un año, etc.).</li><li>Facilidad de identificación de individuos:&nbsp;facilidad con la que se puede deducir la identidad de los individuos a partir de los datos involucrados en la brecha.</li><li>Severidad de las consecuencias para los individuos:&nbsp;(Baja, Media, Alta, Muy Alta).</li><li>Características especiales de los individuos:&nbsp;Si afectan a individuos con características especiales o con necesidades especiales.</li><li>Número de individuos afectados:&nbsp;Dentro de una escala determinada, por ejemplo, más de 100 individuos.</li><li>Características especiales del responsable del tratamiento:&nbsp;En base a la actividad de la entidad.</li><li>El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial.</li><li>El número y tipología de los sistemas afectados.</li><li>El impacto que la brecha puede tener en la organización:&nbsp;(Bajo, Medio, Alto).</li></ul>



<h3 class="wp-block-heading">5º Fase de notificación</h3>



<p>La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la&nbsp;<strong>autoridad de control nacional</strong>&nbsp;de protección de datos, que en el caso de España es la&nbsp;<strong><a href="https://www.aepd.es/" target="_blank" rel="noreferrer noopener" aria-label="Agencia Española de Protección de Datos. (abre en una nueva pestaña)">Agencia Española de Protección de Datos.</a></strong></p>



<h4 class="wp-block-heading">¿Quién debe notificar las brechas de seguridad?</h4>



<p>El encargado de notificarlas será el <a rel="noreferrer noopener" aria-label="Responsable de Seguridad (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/el-responsable-de-seguridad-rgpd/" target="_blank">Responsable de Seguridad</a>, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del&nbsp;Responsable del Tratamiento.</p>



<p>¿Y si mi empresa tiene DPO? En este caso será el&nbsp;<a href="https://protecciondatoscertificado.es/" target="_blank" rel="noreferrer noopener"><strong>Delegado de Protección de Datos</strong></a>&nbsp;el encargado de la notificación.</p>



<h4 class="wp-block-heading">Plazo</h4>



<ul class="wp-block-list"><li>¿Existe un plazo determinado?</li><li>Sí, se dispone de<strong>&nbsp;72 horas</strong>&nbsp;para notificar la violación de seguridad ante la AEPD.</li><li>El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.</li></ul>



<h4 class="wp-block-heading">Contenido mínimo de la notificación</h4>



<ul class="wp-block-list"><li>La&nbsp;<strong>naturaleza</strong> de la violación, categorías de datos y de interesados afectados.</li><li><strong>medidas impuestas&nbsp;</strong>por el responsable para resolver&nbsp;esa quiebra.</li><li>si procede, las medidas adoptadas&nbsp;para reducir&nbsp;los posibles efectos negativos sobre los interesados.</li></ul>



<h4 class="wp-block-heading">Registro Electrónico</h4>



<ul class="wp-block-list"><li>La AEPD dispone de un<a rel="noreferrer noopener" aria-label="&nbsp;registro (abre en una nueva pestaña)" href="https://sedeagpd.gob.es/sede-electronica-web/vistas/formBrechaSeguridad/procedimientoBrechaSeguridad.jsf" target="_blank">&nbsp;registro</a>, &nbsp;mediante el cual electrónicamente, y siguiendo unos sencillos pasos,  se puede notificar ante la misma la brecha de seguridad.</li><li>En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.</li></ul>



<h4 class="wp-block-heading"><strong>Notificar a las personas afectadas la brecha de seguridad</strong></h4>



<p>Con el nuevo&nbsp;<strong><a rel="noreferrer noopener" aria-label="principio de accountabilty (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/medidas-de-responsabilidad-activa/" target="_blank">principio de accountabilt</a></strong>y, la normativa también exige que se comunique al afectado (a nuestro cliente), sin dilación indebida, la brecha de seguridad.</p>



<p>No obstante, en aras de no preocupar al interesado sin razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:</p>



<ul class="wp-block-list"><li>El responsable hubiera adoptado&nbsp;medidas técnicas u organizativas apropiadas antes de&nbsp;la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como seria el cifrado.</li><li>Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren&nbsp;que ya&nbsp;<strong>no hay posibilidad de que el alto riesgo se materialice</strong>.</li><li>Cuando la notificación implique&nbsp;un esfuerzo desproporcionado, debiendo en estos casos reemplazarse&nbsp;por medidas alternativas como puede ser una comunicación publica.</li></ul>



<h4 class="wp-block-heading"><strong>¿Puedo usar la misma notificación para la AEPD y para el interesado?</strong></h4>



<ul class="wp-block-list"><li>No.</li><li>La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.</li><li>A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.</li></ul>



<h4 class="wp-block-heading"><strong>¿Tengo que notificar siempre la brecha de seguridad?</strong></h4>



<p>Sí y no.</p>



<p>No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas. </p>



<p>Los casos donde no habría obligación de comunicar estas brechas son:</p>



<ul class="wp-block-list"><li>Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad</li><li>Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados</li><li>Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="329" height="79" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png" alt="logo gestiona abogados" class="wp-image-1797" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png 329w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503-300x72.png 300w" sizes="auto, (max-width: 329px) 100vw, 329px" /><figcaption><a href="https://protecciondatoscertificado.es/contratacion-online/" target="_blank" rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)">https://protecciondatoscertificado.es/contratacion-online/</a></figcaption></figure></div>
<p>La entrada <a href="https://protecciondatoscertificado.es/brechas-de-seguridad-gestion/">BRECHAS DE SEGURIDAD</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/brechas-de-seguridad-gestion/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>DOMÓTICA. Las casas inteligentes</title>
		<link>https://protecciondatoscertificado.es/domotica/</link>
					<comments>https://protecciondatoscertificado.es/domotica/#comments</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Thu, 01 Aug 2019 05:06:57 +0000</pubDate>
				<category><![CDATA[big data]]></category>
		<category><![CDATA[blog]]></category>
		<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[DOMOTICA]]></category>
		<category><![CDATA[RGPD]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=3490</guid>

					<description><![CDATA[<p>Un sistema domótico recoge información de unos sensores, que han sido instalados en casa, para después procesarla y emitir órdenes. </p>
<p>La entrada <a href="https://protecciondatoscertificado.es/domotica/">DOMÓTICA. Las casas inteligentes</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Una vivienda inteligente ayuda a que nuestra vida cotidiana sea más confortable, ahorra energía y dinero,  y protege mejor la casa. </p>



<p>Un
sistema domótico recoge información de unos sensores, que han sido instalados
en casa, para después procesarla y emitir órdenes. </p>



<p>La
casa inteligente acciona y toma decisiones por sí misma, eso sí, teniendo
siempre en consideración tus costumbres y estilo de vida.</p>



<h3 class="wp-block-heading"><strong>Ejemplos de domótica en el hogar</strong></h3>



<h4 class="wp-block-heading"><strong>#Abrir y cerrar puertas</strong></h4>



<p>Gracias
a la tecnología domótica podremos hacer que se abran o cierren las puertas, &nbsp;con tan solo acercarnos. En algunos casos se
pueden usar botones de proximidad, no se tocan y sirve para abrir la puerta.</p>



<h4 class="wp-block-heading"><strong>#Control de calefacción y
climatización</strong></h4>



<p>No
importa que sea invierno o verano. &nbsp;Tu
casa estará climatizada como a ti más te guste.</p>



<p>Otra
comodidad es la fijación de temperaturas de confort diferenciadas en las
distintas habitaciones en función de la permanencia de personas y de las
necesidades/preferencias de cada una.</p>



<h4 class="wp-block-heading"><strong>#Conectar y desconectar alarmas de
seguridad</strong></h4>



<p>Al
salir de casa automáticamente se conectará la alarma, y se activará un
mensaje/llamada automática a la empresa de seguridad en caso de intrusión o
tentativo de ingreso forzado.</p>



<h4 class="wp-block-heading"><strong>#Instalación de controles de acceso
digitales</strong></h4>



<p>Hoy
en día existe la posibilidad de instalar cerraduras electrónicas que permiten
controlar cuántas veces se ha abierto la puerta, comprobar si está bien cerrada
(incluso estando lejos de casa) o proporcionar acceso a cualquier persona en un
momento&nbsp;dado (por ejemplo, si un vecino tiene que acercarse a dejarnos
algo y no hay nadie en casa o si alguien se ha olvidado las claves).</p>



<h4 class="wp-block-heading"><strong>&nbsp;#Abrir y cerrar ventanas</strong></h4>



<p>Según
nuestras necesidades podemos ordenar con la voz, o a través de un dispositivo
inteligente, &nbsp;el abrir y cerrar ventanas.</p>



<h4 class="wp-block-heading"><strong>#Alertas de caída o accidentes</strong></h4>



<p>Útil
sobre todo por las personas mayores, la Smart home nos enviará un mensaje en el
caso que una persona se haya caído en la casa; al mismo tiempo podrá venir
activada la llamada automática a los servicios de emergencias</p>



<h4 class="wp-block-heading"><strong>#Encender y apagar todas las luces de
la vivienda</strong></h4>



<p>Si
no te acuerdas haber apagado todas las luces al salir de casa, una Smart home
lo detecta, &nbsp;y lo hará por ti.</p>



<p>Además,
la potencia de las luces se puede regular en función de la iluminación externa
para tener el máximo confort y ahorro.</p>



<h4 class="wp-block-heading"><strong>#Encender y apagar las luces
exteriores</strong></h4>



<p>Las
luces del jardín, o del garaje, pueden encenderse al detectar presencia, o
cuando no haya bastante luz, &nbsp;y apagarse
cuando queramos, &nbsp;o no haya presencia.</p>



<h4 class="wp-block-heading"><strong>#Baños automatizados</strong></h4>



<p>La
puerta que abre y cierra de manera automática, el lavabo no tiene grifo manual,
basta con un sensor de movimiento para que se active el agua durante el tiempo
que lo estás usando.</p>



<h4 class="wp-block-heading"><strong>#Encender y apagar cualquier
electrodoméstico del hogar</strong></h4>



<p>Siempre
que sea un electrodoméstico inteligente, podrás programarlo para que, &nbsp;según tus horarios, &nbsp;se ponga en función o se apague.</p>



<h4 class="wp-block-heading"><strong>#Portero inteligente</strong></h4>



<p>Puedes
desviar las llamadas del portero automático al teléfono móvil cuando no hay
nadie en la vivienda, &nbsp;y así, &nbsp;estar al tanto de lo que ocurre.</p>



<h4 class="wp-block-heading"><strong>#Subir y bajar persianas</strong></h4>



<p>Según
la luz exterior, &nbsp;y los momentos del día,
&nbsp;para que ahorremos electricidad.</p>



<h4 class="wp-block-heading"><strong>#Plegar o desplegar toldos</strong></h4>



<p>Imagina
por ejemplo que estás durmiendo y de repente empieza a llover o se gira un
fuerte viento. El sistema inteligente, al detectarlo, cerrará automáticamente
tus toldos.</p>



<h4 class="wp-block-heading"><strong>#Control para alertas</strong></h4>



<p>A
veces puede pasar que dejes un fogón encendido, la nevera abierta… el sistema
lo detecta y nos avisará.</p>



<h4 class="wp-block-heading"><strong>#Sistema contra incendios,
inundaciones y gas</strong></h4>



<p>Como
el ejemplo de antes, si por alguna razón hubiese una fuga de gas o un
malfuncionamiento de algún aparato, nuestra casa inteligente nos lo comunicaría
y, &nbsp;tal vez, &nbsp;se ponga directamente en contacto con el
servicio de mantenimiento.</p>



<h4 class="wp-block-heading"><strong>#Creación de situaciones deseadas</strong></h4>



<p>Apretando
un botón se crea la situación que deseamos: por ejemplo si quisiéramos ver una
película, dándole a un botón se podrías encender el Home cinema, las persianas
se bajan, las luces disminuyen.</p>



<h4 class="wp-block-heading"><strong># Audio y video</strong></h4>



<p>Podrás
tener un equipo de audio y sonido de alta calidad. Podrás activarlo con tu voz
o mediante dispositivo Smart, y hasta existen sistemas discretos y minimalistas
que solo se muestran mientras que están en uso.<br>
Además, &nbsp;si tienes un sistema audio
instalado en toda la casa, podrás escuchar música diferente, según la estancia,
o excluir aquellas donde no quiere que se escuche.</p>



<h4 class="wp-block-heading"><strong>#Vigilancia inteligente</strong></h4>



<p>Se
pueden vigilar, mediante las cámaras, las habitaciones de la casa cuando no
estamos; además y aun estando en casa, podemos comprobar otras habitaciones y ver
que hacen los niños, o nuestros animales domésticos.</p>



<h4 class="wp-block-heading"><strong>#Apagado del aire acondicionado o de
la calefacción si se detecta la apertura de ventanas</strong></h4>



<h4 class="wp-block-heading"><strong>#Riego del jardín</strong></h4>



<p>Los
sensores sabrán si habíamos programado el riego, y en caso de lluvia, detendrán
la programación.</p>



<h4 class="wp-block-heading"><strong>#Gestión automática de situaciones de
peligro</strong></h4>



<p>Podemos
programar las acciones que deseamos que se activen en caso de encontrarnos en
una situación de peligro. ¿Un ejemplo? activación de todas las luces, llamada a
un teléfono. Otra alternativa: al saltar la alarma podemos hacer que se
enciendan todas las luces o que parpadeen.</p>



<p>Eso
sí, tienes que tenerlo claro,&nbsp;para que una lavadora, un lavavajillas o un
frigorífico puedan ser domóticos, tiene que existir la posibilidad de conexión
a la red wifi de tu casa.</p>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="300" height="169" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/08/CASAS-INTELIGENTES-300x169.jpg" alt="Domótica-privacidad-seguridad de los datos" class="wp-image-3522" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/08/CASAS-INTELIGENTES-300x169.jpg 300w, https://protecciondatoscertificado.es/wp-content/uploads/2019/08/CASAS-INTELIGENTES-768x432.jpg 768w, https://protecciondatoscertificado.es/wp-content/uploads/2019/08/CASAS-INTELIGENTES-1024x576.jpg 1024w, https://protecciondatoscertificado.es/wp-content/uploads/2019/08/CASAS-INTELIGENTES-1080x608.jpg 1080w, https://protecciondatoscertificado.es/wp-content/uploads/2019/08/CASAS-INTELIGENTES-500x281.jpg 500w, https://protecciondatoscertificado.es/wp-content/uploads/2019/08/CASAS-INTELIGENTES.jpg 1280w" sizes="auto, (max-width: 300px) 100vw, 300px" /></figure></div>



<h2 class="wp-block-heading"><strong>PROBLEMAS DE LA DOMÓTICA</strong></h2>



<p>Hemos cambiado televisores, minicadenas y reproductores de
vídeo por persianas, iluminación y lavadoras. </p>



<p>El desarrollo técnico ha permitido que, a través del <a href="https://protecciondatoscertificado.es/iot-internet-de-las-cosas/" target="_blank" rel="noreferrer noopener" aria-label="internet de las cosas  (abre en una nueva pestaña)">internet de las cosas </a>(IoT por sus siglas en inglés), casi todo pueda conectarse a la red, pero falta bastante para que vivamos en auténticas casas inteligentes. </p>



<p>Hay que tener presente que cuando nos referimos al&nbsp;Internet de las cosas (IoT)&nbsp;aplicado a la domótica nos referimos a una serie de: </p>



<ul class="wp-block-list"><li>detectores, termostatos y sensores del hogar conectados a Internet; </li><li>dispositivos conectados que, cuando reciben una señal, activan el programa informático que les permite ejecutar la orden (por ejemplo, cuando, a través del smartphone, mandamos una orden a la aspiradora para que se ponga en marcha).</li></ul>



<p>Desde el punto de vista del usuario, hay dos cuestiones
importantes que cabe tener en cuenta: de un lado, la privacidad y protección de
datos y, de otro lado, la (in)seguridad informática.</p>



<h3 class="wp-block-heading"><strong>Privacidad y protección
de datos</strong></h3>



<p>Por lo que respecta a la privacidad y protección de datos,
hemos de partir de que nos encontramos en una época en que, como muchos dicen,
“el nuevo petróleo son los datos personales”. </p>



<p>Esto es así porque a través de la recopilación de datos es posible efectuar <a href="https://protecciondatoscertificado.es/elaboracion-de-perfiles-y-decisiones-automatizadas/" target="_blank" rel="noreferrer noopener" aria-label="perfiles de los usuarios (abre en una nueva pestaña)">perfiles de los usuarios</a>, revelando detalles del modo de vida y de los hábitos personales y familiares, lo que es utilizado por las empresas para sacar nuevos productos. </p>



<p>Aunque las empresas almacenen los datos procedentes de los dispositivos domóticos de forma masiva, sin identificar directamente a la persona, cabe tener en cuenta que los datos proceden de un determinado dispositivo al cual, consecuentemente, están vinculados dichos datos, siendo “extraño” que el usuario no se haya identificado en dicho dispositivo, máxime si realiza un control remoto del mismo. </p>



<h4 class="wp-block-heading">Observación habitual y sistemática</h4>



<p>En este sentido, cabe recordar que el Grupo del Artículo 29, en el documento sobre las&nbsp;“Directrices sobre los delegados de protección de datos”, ha citado como ejemplo de actividad que puede constituir una observación habitual y sistemática de interesados, la domótica&nbsp;(entre otras).</p>



<p>Por tanto, el usuario de dispositivos domóticos tendrá el derecho a ser informado, entre otros extremos:</p>



<ul class="wp-block-list"><li>sobre la utilización de los datos recopilados por el dispositivo, </li><li>de la finalidad de ese tratamiento, </li><li>la base jurídica que legitima el mismo, la cual, si pensamos en la elaboración de perfiles, difícilmente no deberá ser <a rel="noreferrer noopener" aria-label="el consentimiento (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/el-consentimiento-en-el-rgpd/" target="_blank">el consentimiento</a> expreso del interesado mediante una manifestación de voluntad libre, específica, informada e inequívoca, por medio de una declaración o clara acción afirmativa.</li></ul>



<h4 class="wp-block-heading"><strong>Claves para respetar la privacidad</strong></h4>



<p>Los datos resultantes de la domótica deberían estar <a rel="noreferrer noopener" aria-label="seudonimizados (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/k-anonimidad-como-medida-de-privacidad/" target="_blank">seudonimizados</a>, lo que, a grandes rasgos, implica la sustitución de un atributo por otro en un registro.</p>



<p>El usuario tiene derecho a que la información que permitiría la asociación entre ambos atributos esté protegida por <a rel="noreferrer noopener" aria-label="medidas técnicas y organizativas (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/medidas-tecnicas-y-organizativas-rgpd/" target="_blank">medidas técnicas y organizativas</a> suficientes y adecuadas, de modo que, en la medida de lo posible, se impida su identificación.</p>



<p>Los usuarios de estos dispositivos tendrán, respecto al responsable del tratamiento, <a rel="noreferrer noopener" aria-label="los derechos (abre en una nueva pestaña)" href="//protecciondatoscertificado.es/protocolos-parte-iiejercicio-de-derechos-acceso-rectificacionoposicion-cancelacion-derecho-al-olvido-limitacion-del-tratamiento/" target="_blank">los derechos</a> de acceso, rectificación, supresión, limitación de tratamiento, portabilidad y oposición, así como el derecho a ser informados en caso de producirse una <a rel="noreferrer noopener" aria-label="quiebra de seguridad  (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/protocolos-parte-vi-gestion-y-notificacion-de-violaciones-de-seguridad/" target="_blank">quiebra de seguridad </a>que entrañe un alto riesgo para sus derechos o libertades.</p>



<p>Los derechos de los usuarios son obligaciones para <a rel="noreferrer noopener" aria-label="el responsable del tratamiento. (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/protocolos-parte-iii-relacion-entre-responsable-y-encargado-del-tratamiento/" target="_blank">el responsable del tratamiento.</a></p>



<h3 class="wp-block-heading"><strong>La (in)seguridad informática</strong> en la domótica</h3>



<p>Si atendemos ahora a la segunda de las cuestiones a tratar,
la relativa a la (in)seguridad informática, hay dos aspectos principales a
tener en cuenta:</p>



<ul class="wp-block-list"><li>las empresas priorizan la rapidez en sacar al mercado, antes que la competencia, un determinado producto&nbsp;(tecnológico, en nuestro caso), dejando en un “segundo plano” las cuestiones relativas a la ciberseguridad; </li><li>estamos hablando de dispositivos conectados entre sí</li></ul>



<p> Imaginemos que por una vulnerabilidad en el dispositivo domótico, &nbsp;se puede facilitar a un ciberdelincuente el acceso:</p>



<ul class="wp-block-list"><li>a la contraseña de la red Wi-Fi; </li><li>a datos bancarios, si se han asociado al dispositivo; </li><li>al sistema de seguridad, anulándolo; </li><li>a nuestro hogar, si cuenta con cerraduras inteligentes; </li><li>a nuestra intimidad, si se trata de dispositivos habilitados para captar audio y/o imagen…</li></ul>



<h2 class="wp-block-heading"><strong>Conclusiones</strong></h2>



<p>Evidentemente,&nbsp;nadie puede asegurar una protección infalible ante posibles ataques en la red&nbsp;y una&nbsp;smart home&nbsp;no deja de estar conectada a internet. </p>



<blockquote class="wp-block-quote is-style-large is-layout-flow wp-block-quote-is-layout-flow"><p>No solo está en juego que alguien ajeno a nosotros haga de nuestra casa un infierno, &nbsp;al ponerla a mucha más temperatura, &nbsp;o decida que nos quedemos sin luz. </p></blockquote>



<p>Los datos personales que nos piden en
las&nbsp;apps&nbsp;forman parte de estas vulnerabilidades, así como todos los
patrones de comportamiento que recaben para tener el hogar a nuestro gusto
automáticamente. </p>



<p>Pese a todo, el IoT puede funcionar sin problemas con
conexiones locales, por lo que con una instalación que no requiera de un
servidor externo estaría menos expuesto a cibercriminales.</p>



<p>Como usuarios de dispositivos dómoticos, deberíamos, </p>



<ul class="wp-block-list"><li>por un lado, exigir a los fabricantes que cumplan con las obligaciones que el Reglamento General de Protección de Datos les impone&nbsp;(lo que, a su vez, si se hace bien, debería mejorar el tema de la (in)seguridad informática ya que, de acuerdo con la citada norma, el responsable ha de atender al principio de la protección de datos <a rel="noreferrer noopener" aria-label="desde el diseño y por defecto.&nbsp; (abre en una nueva pestaña)" href="https://protecciondatoscertificado.es/privacy-by-design-pbd-rgpd/" target="_blank">desde el diseño y por defecto.&nbsp;</a></li><li>y, por otro lado, no deberíamos de conformarnos con la “seguridad por defecto” que nos ofrece el fabricante, sino que tendríamos que adoptar<strong> medidas activas para autoprotegernos</strong>, preferiblemente asesorados por un experto en la materia y, en caso de no ser posible, al menos, procurando mantener el dispositivo siempre actualizado y modificando las contraseñas de forma regular.</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="329" height="79" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png" alt="logo gestiona abogados" class="wp-image-1797" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png 329w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503-300x72.png 300w" sizes="auto, (max-width: 329px) 100vw, 329px" /><figcaption><a href="https://protecciondatoscertificado.es/contratacion-online/" target="_blank" rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)">https://protecciondatoscertificado.es/contratacion-online/</a></figcaption></figure></div>
<p>La entrada <a href="https://protecciondatoscertificado.es/domotica/">DOMÓTICA. Las casas inteligentes</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/domotica/feed/</wfw:commentRss>
			<slash:comments>4</slash:comments>
		
		
			</item>
		<item>
		<title>LAS SANCIONES SON PARA EL RESPONSABLE</title>
		<link>https://protecciondatoscertificado.es/las-sanciones-son-para-el-responsable/</link>
					<comments>https://protecciondatoscertificado.es/las-sanciones-son-para-el-responsable/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Wed, 19 Jun 2019 05:18:32 +0000</pubDate>
				<category><![CDATA[blog]]></category>
		<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[Sanciones en el RGPD]]></category>
		<category><![CDATA[RESPONSABLE]]></category>
		<category><![CDATA[RGPD]]></category>
		<category><![CDATA[SANCIONES]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=3314</guid>

					<description><![CDATA[<p>Si hacemos un análisis de las brechas de seguridad,  un gran número de ellas han tenido su origen en el proveedor que trataba los datos.</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/las-sanciones-son-para-el-responsable/">LAS SANCIONES SON PARA EL RESPONSABLE</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h2 class="wp-block-heading"><strong>RESPONSABILIDAD DE LOS ENCARGADOS.</strong></h2>



<p>Las sanciones se imponen al responsable del tratamiento.</p>



<p>Si hacemos un análisis de las brechas de seguridad,  que se han conocido desde el 25 de mayo,  veremos que un gran número de ellas,  han tenido su origen en el proveedor que trataba los datos.</p>



<p>En el momento de distribuir las responsabilidades,  veremos que,  el incumplimiento de las obligaciones del proveedor encargado del tratamiento,  puede afectar al responsable del tratamiento que ha contratado sus servicios.</p>



<p>El responsable del tratamiento tiene la obligación de contratar proveedores que ofrezcan garantía suficientes (<strong>culpa in eligendo</strong>) y controlar su actividad,  llegando a auditarlos en el caso de los proveedores críticos (<strong>culpa in vigilando</strong>).</p>



<p>En la práctica, la empresa responsable del tratamiento,  será la que tendrá que hacer frente a las reclamaciones de los interesados,  por ser la que tiene <strong>legitimación pasiva</strong> en virtud del contrato suscrito con ellos.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="http://dataprotectionoficcer.com/wp-content/uploads/2018/12/deber-informacion-lupa-1.jpg" alt="información sanciones" class="wp-image-218"/></figure></div>



<h2 class="wp-block-heading"><strong>EL ENCARGADO, COMO RESPONSABLE DEL INCUMPLIMIENTO</strong></h2>



<p>El problema surge cuando el responsable del tratamiento quiere repercutir al encargado del tratamiento las sanciones de la AEPD y  las indemnizaciones pagadas a los interesados,</p>



<p>Puede encontrar <strong>limitaciones de responsabilidad</strong> en el contrato, o <strong>limitaciones de cobertura</strong> en la póliza de seguros del proveedor.</p>



<p>La empresa responsable del tratamiento puede verse entonces atrapada,  entre las reclamaciones de los perjudicados,  y las limitaciones de responsabilidad del proveedor que ha incumplido el RGPD y ha causado el perjuicio a los interesados.</p>



<div class="wp-block-image"><figure class="aligncenter is-resized"><img loading="lazy" decoding="async" src="http://dataprotectionoficcer.com/wp-content/uploads/2018/12/circulo_iconos_PROTECCION_DE_DATOS.png" alt="derivar la responsabilidad de las sanciones" class="wp-image-181" width="300" height="216"/></figure></div>



<h2 class="wp-block-heading"><strong>PROBLEMAS PARA DERIVAR ESA RESPONSABILIDAD</strong></h2>



<h3 class="wp-block-heading"><strong>EL CONTRATO</strong></h3>



<p>La&nbsp;<strong>primera barrera</strong>, es decir, la limitación de responsabilidad por vía contractual puede ser de tres tipos:</p>



<ol class="wp-block-list"><li><strong>Cuantitativa</strong>: establecida en una cantidad determinada o en el resultado de multiplicar el coste del servicio por una cifra.</li><li><strong>Cualitativa</strong>: basada en la exclusión de unos supuestos determinados de responsabilidad.</li><li><strong>Indirecta</strong>: derivada del incumplimiento de otros requisitos o provocada de facto por la insolvencia del proveedor.</li></ol>



<h3 class="wp-block-heading"><strong>LIMITACIONES DE LA PÓLIZA DE SEGURO</strong></h3>



<p>En el caso de que no existan limitaciones contractuales, o éstas sean anuladas tras una negociación con el proveedor o por vía judicial, aparece la&nbsp;<strong>segunda barrera</strong>, consistente en las limitaciones de la póliza de seguros de responsabilidad civil o en la de ciberriesgo.</p>



<p>La limitación de responsabilidad en este caso también puede ser de tres tipos:</p>



<ol class="wp-block-list"><li><strong>Cualitativa</strong>: supuestos excluidos de la cobertura.</li><li><strong>Cuantitativa individual</strong>: límite por siniestro.</li><li><strong>Cuantitativa anual</strong>: límite por la suma anual de siniestros.</li></ol>



<p>Un ejemplo,  de supuesto excluido de la cobertura del seguro de responsabilidad civil,  son las sanciones de la AEPD, que acostumbran a formar parte de la cobertura del seguro de ciberriesgo.</p>



<h3 class="wp-block-heading"><strong>SOLVENCIA ECONÓMICA DEL PROVEEDOR</strong></h3>



<p>La&nbsp;<strong>tercera barrera</strong>&nbsp;sería la solvencia económica del proveedor.</p>



<div class="wp-block-image"><figure class="aligncenter is-resized"><img loading="lazy" decoding="async" src="http://dataprotectionoficcer.com/wp-content/uploads/2018/10/ep_aenor_certificacionseguridad_620x350.jpg" alt="sanciones y la solvencia económica del proveedor" class="wp-image-59" width="310" height="175"/></figure></div>



<h2 class="wp-block-heading"><strong>«CURARSE EN SALUD»</strong></h2>



<p>El análisis de la existencia,  y la dimensión,  de las tres barreras que pueden impedir la repercusión al proveedor de las sanciones impuestas por la AEPD,  y de las cantidades pagadas a los interesados en concepto de indemnización por daños y perjuicios, debe hacerse en la <strong>fase de selección y homologación de proveedores, </strong>es decir, en la fase previa a la contratación.</p>



<p>Si la empresa no hace sus deberes en esa fase previa, tendrá que hacerlos en un momento en que puede ser demasiado tarde:</p>



<ol class="wp-block-list"><li><strong>Durante la fase de negociación del contrato </strong>con el proveedor seleccionado.</li><li><strong>Durante la vigencia del contrato</strong>, tras una auditoría contractual, o de seguros, que evidencia la existencia de limitaciones a la responsabilidad.</li><li><strong>Tras la brecha de seguridad o el incidente o incumplimiento </strong>que ha causado el perjuicio, negociando una distribución adecuada de responsabilidades,  en función del nivel de implicación en las causas del incidente,  o por vía judicial.</li></ol>



<p>Una vez constatado el papel de los proveedores en las brechas de seguridad,  y en las infracciones del RGPD que se han producido hasta el momento, las empresas responsables del tratamiento deberán revisar su metodología de:</p>



<ul class="wp-block-list"><li>-selección</li><li>-homologación</li><li>-contratación</li><li>&#8211; y <strong>control continuado</strong> de los proveedores que traten datos personales</li></ul>



<p>Y todo ello  con el fin de introducir medidas,  que permitan una distribución adecuada de las responsabilidades.</p>



<p>Estas medidas deberán incluir una revisión:</p>



<ul class="wp-block-list"><li>-del contrato.</li><li>-de la cobertura del seguro</li><li> -de la solvencia del proveedor</li></ul>



<p>Y todo ello con el fin de identificar, gestionar y tener en cuenta, en el proceso de toma de decisiones a aplicar,  en la fase de selección, las limitaciones que puedan existir a la responsabilidad del proveedor.</p>



<p></p>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="329" height="79" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png" alt="logo gestiona abogados" class="wp-image-1797" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png 329w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503-300x72.png 300w" sizes="auto, (max-width: 329px) 100vw, 329px" /><figcaption><a href="https://protecciondatoscertificado.es/contratacion-online/" target="_blank" rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)">https://protecciondatoscertificado.es/contratacion-online/</a></figcaption></figure></div>
<p>La entrada <a href="https://protecciondatoscertificado.es/las-sanciones-son-para-el-responsable/">LAS SANCIONES SON PARA EL RESPONSABLE</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/las-sanciones-son-para-el-responsable/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>PROTECCIÓN DE DATOS. POLÍTICAS (IV)</title>
		<link>https://protecciondatoscertificado.es/proteccion-de-datos-politicas-iv-brechas-de-seguridad/</link>
					<comments>https://protecciondatoscertificado.es/proteccion-de-datos-politicas-iv-brechas-de-seguridad/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Mon, 04 Feb 2019 06:05:00 +0000</pubDate>
				<category><![CDATA[blog]]></category>
		<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[Medidas técnicas y organizativas]]></category>
		<category><![CDATA[BRECHA DE SEGURIDAD]]></category>
		<category><![CDATA[POLÍTICAS PROTECCIÓN DE DATOS]]></category>
		<category><![CDATA[RGPD]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=1751</guid>

					<description><![CDATA[<p>Brechas de seguridad. RGPD</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/proteccion-de-datos-politicas-iv-brechas-de-seguridad/">PROTECCIÓN DE DATOS. POLÍTICAS (IV)</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Combatir las <a href="https://protecciondatoscertificado.es/protocolos-parte-vi-gestion-y-notificacion-de-violaciones-de-seguridad/" target="_blank" rel="noreferrer noopener" aria-label="brechas de seguridad (abre en una nueva pestaña)">brechas de seguridad</a> es una de las políticas más importante de protección de datos que debemos implantar en nuestra organización.</p>



<p></p>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="300" height="195" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/teclado-ordenador-1-300x195.jpg" alt="teclado ordenador" class="wp-image-1855" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/teclado-ordenador-1-300x195.jpg 300w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/teclado-ordenador-1-500x325.jpg 500w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/teclado-ordenador-1.jpg 558w" sizes="auto, (max-width: 300px) 100vw, 300px" /></figure></div>



<p></p>



<h4 class="wp-block-heading"><strong>Políticas de respuesta a brechas de seguridad</strong></h4>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"><p>Los sistemas de detección de intrusos de red (NIDS) supervisan de forma continua y pasiva el tráfico de la red en busca de un comportamiento que parezca ilícito o anómalo y lo marcan para su revisión. </p><p>Los NIDS no sólo bloquean ese tráfico, sino que&nbsp;también recopilan información sobre él y alertan a los administradores de red.</p></blockquote>



<p class="has-medium-font-size"><br>Pero a pesar de todo esto, las brechas de seguridad siguen ocurriendo. </p>



<p>Es por eso que&nbsp;es importante tener un plan de respuesta ante una violación de datos.</p>



<p class="has-text-color has-vivid-red-color">Un sistema sólido contra una violación garantizará que:</p>



<ul class="wp-block-list"><li>tienes los recursos preparados</li><li>es fácil seguir un conjunto de instrucciones para sellar la violación </li><li>recibes asistencia  legal, en caso de que sea necesario</li><li>tienes pólizas de seguro</li><li>tienes planes de recuperación de datos</li><li>la política de notificaciones, ¿qué y a quién se comunicarán las brechas?</li></ul>



<p>Por ello es de suma importancia la implantación de una política de respuesta a las brechas de seguridad dirigida a establecer:</p>



<ul class="wp-block-list"><li>los supuestos desencadenantes</li><li>las  partes interesadas</li><li>los plazos de respuesta, </li><li>las comunicaciones con los afectados y autoridades de control.</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="225" height="225" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/02/amenazas.jpg" alt="señal de advertencia con signo de admiración" class="wp-image-1879" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/02/amenazas.jpg 225w, https://protecciondatoscertificado.es/wp-content/uploads/2019/02/amenazas-150x150.jpg 150w, https://protecciondatoscertificado.es/wp-content/uploads/2019/02/amenazas-100x100.jpg 100w" sizes="auto, (max-width: 225px) 100vw, 225px" /></figure></div>



<p>Cuando se enfrenta a un problema de seguridad, cualquier organización debería intentar tomar las siguientes medidas:</p>



<h4 class="wp-block-heading"><strong>Comprende lo que ha pasado</strong>. </h4>



<p>Consulta con tus principales colaboradores de tu departamento de IT para evaluar la situación y entender qué datos se han visto comprometidos y cuál es el alcance de la brecha de seguridad.</p>



<h4 class="wp-block-heading"><strong>Decide el plan que hay que invocar. </strong></h4>



<p>Cuando ya tienes todos los detalles del problema, trabaja con tu equipo de IT y comunicaciones para decidir cuál es el plan que debe ser invocado. </p>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="300" height="155" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/empresa-1-300x155.png" alt="sombras de empleados alrededor de una mesa" class="wp-image-1858" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/empresa-1-300x155.png 300w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/empresa-1-768x398.png 768w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/empresa-1-1024x530.png 1024w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/empresa-1-1080x559.png 1080w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/empresa-1-500x259.png 500w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/empresa-1.png 1580w" sizes="auto, (max-width: 300px) 100vw, 300px" /></figure></div>



<p>Entre las acciones a llevar a
cabo, las siguientes pueden ser algunas de las que deberían estar en cualquier
plan:</p>



<h4 class="wp-block-heading"><strong>1.Desconecta tus sistemas de la red.</strong> </h4>



<p>Si un intruso ha accedido, lo más probable es que sea a través de la red. </p>



<p>Tu prioridad número uno es detener
daños adicionales y para ello lo mejor es desconectar los sistemas de la red. </p>



<p>El método de desconexión depende de la ubicación del servidor. </p>



<p>Para instalaciones in house, literalmente debes desenchufarlo todo. </p>



<p>Pero si eres una de las muchas organizaciones que tienen sus datos alojados en la nube, lo que necesitas es moverlo a una red aislada y desactivarlo. </p>



<p><strong>¿Por qué desconectar? </strong></p>



<p>Mientras que buscas y corriges la vulnerabilidad que se produjo con la intrusión, por ahora necesitas simplemente cerrar las puertas para que ninguna información salga sin tu permiso. </p>



<p>Si el servidor tiene datos críticos para el funcionamiento de la empresa, la cosa es un poco más complicada. </p>



<p>Por eso siempre es mejor separar funciones.</p>



<h4 class="wp-block-heading"><strong>2.Elimina todo rastro del atacante. </strong></h4>



<p> Un hacker puede haber estropeado
archivos, implantado datos o infringido otros daños. </p>



<p>La ruta más rápida para deshacerse
de todo lo que haya hecho es restaurar una copia de seguridad anterior que esté
limpia. </p>



<p>Elige el último momento conocido
en el que no había rastro del atacante y restaura los datos y el software desde
allí.</p>



<h4 class="wp-block-heading"><strong>3.Diagnóstica los sistemas comprometidos. </strong></h4>



<p>Ahora que ya está todo en
funcionamiento de nuevo, es el momento de averiguar quién entró, dónde, cómo,
qué información se puede haber llevado y cuáles de tus usuarios pueden verse
afectados. </p>



<p>Por supuesto, debes revisar todos
los logs para intentar ver dónde algo ha funcionado mal. </p>



<p>Examina qué ficheros fueron
afectados y cuándo, chequea si hubo clientes afectados mediante el envío de un
ataque de phising. </p>



<p>Pero ten en cuenta que si el
sistema estaba comprometido, los logs pueden no ser fiables ya que también pueden
haber sido falsificados.</p>



<h4 class="wp-block-heading"><strong>4.Notifica a los usuarios afectados. </strong></h4>



<p>No solo estás obligado a &nbsp;avisar a todos los interesados cuyos datos pueden haber sido afectados por una brecha de seguridad,  sino que hacerlo puede ayudar a detener el problema de tener una espiral fuera de control. </p>



<p>La mejor estrategia para comunicar
malas noticias es ser transparente. </p>



<p>En el momento en el que sepas lo
que sucedió informa a los usuarios y haz recomendaciones claras sobre las
acciones que deben de tomar.</p>



<h4 class="wp-block-heading"><strong>5.Toma acciones correctivas. </strong></h4>



<p>Cuando hayas sellado el sistema y
solucionado todos los problemas, toma medidas para asegurar que un robo similar
nunca vuelve a suceder. </p>



<p>Una de las principales formas de
acceso de los intrusos es a través de vulnerabilidades conocidas en piezas de
software. </p>



<p>Asegúrate de aplicar todos los
parches y actualizaciones con diligencia.</p>



<p>Recuerda a los usuarios internos las políticas de seguridad, como por ejemplo, no compartir la contraseña. </p>



<p>Considera la posibilidad de
reestructurar tu configuración para que sea más difícil que un intruso pueda
volver a entrar. </p>



<p>Almacena los ficheros logs en un
servidor remoto para que incluso si los hackers entran, no puedan falsificar la
evidencia de sus acciones.</p>



<h4 class="wp-block-heading"><strong>6.Comunícalo a la dirección de la empresa.</strong> </h4>



<p>Una vez el problema haya sido &nbsp;evaluado y puesto en marcha el plan, comunica la situación al equipo de dirección de la empresa. CEO, CTO, CMO, CFO, etc.</p>



<p>Querrán tener una visión completa de cómo y porqué sucedió, los clientes que han sido afectados, así como las medidas y  las acciones que se han tomado en consideración.</p>



<h4 class="wp-block-heading"><strong>7.Evalúa las secuelas. </strong></h4>



<p>Un análisis posterior al problema
es tan importante como cualquier otro proceso en caso de crisis. </p>



<p>Entender cómo y porqué la
seguridad de tu empresa ha sido violada, el punto exacto en el cual los datos
fueron comprometidos, y el impacto en el negocio a corto plazo y largo plazo,
son consideraciones importantes que debes entender. </p>



<p>En el futuro,  este análisis podría servirte para averiguar si alguno de los mayores impactos en tu negocio podría ser disminuido, o incluso eliminado, si vuelve a ocurrir algo similar.</p>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="300" height="72" src="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503-300x72.png" alt="logo gestiona abogados" class="wp-image-1797" srcset="https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503-300x72.png 300w, https://protecciondatoscertificado.es/wp-content/uploads/2019/01/Logo_Gestiona_Abogados-e1539547646503.png 329w" sizes="auto, (max-width: 300px) 100vw, 300px" /><figcaption><a href="https://protecciondatoscertificado.es/" target="_blank" rel="noreferrer noopener" aria-label=" (abre en una nueva pestaña)">https://protecciondatoscertificado.es/</a></figcaption></figure></div>



<p></p>
<p>La entrada <a href="https://protecciondatoscertificado.es/proteccion-de-datos-politicas-iv-brechas-de-seguridad/">PROTECCIÓN DE DATOS. POLÍTICAS (IV)</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/proteccion-de-datos-politicas-iv-brechas-de-seguridad/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>PROTOCOLOS (PARTE VI). Gestión y Notificación de violaciones de seguridad</title>
		<link>https://protecciondatoscertificado.es/protocolos-parte-vi-gestion-y-notificacion-de-violaciones-de-seguridad/</link>
					<comments>https://protecciondatoscertificado.es/protocolos-parte-vi-gestion-y-notificacion-de-violaciones-de-seguridad/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Wed, 28 Nov 2018 05:33:28 +0000</pubDate>
				<category><![CDATA[blog]]></category>
		<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[RAT o Registro de Actividades de Tratamiento]]></category>
		<category><![CDATA[brechas de seguridad]]></category>
		<category><![CDATA[protocolos]]></category>
		<category><![CDATA[RGPD]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=1461</guid>

					<description><![CDATA[<p>Protocolo de Gestión y Notificación de Violaciones de Seguridad (Brechas)</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/protocolos-parte-vi-gestion-y-notificacion-de-violaciones-de-seguridad/">PROTOCOLOS (PARTE VI). Gestión y Notificación de violaciones de seguridad</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h4><u>PROTOCOLO DE GESTIÓN Y NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD (ARTÍCULOS 33 Y 34 RGPD)</u></h4>
<p><a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer"></a> Gestiona Abogados</p>
<p>Para continuar con los protocolos que acrediten el cumplimiento del principio de responsabilidad activa, y poder demostrarlo, hoy veremos el protocolo de gestión y notificación de las brechas o violaciones de seguridad.</p>
<blockquote><p>El RGPD establece que una&nbsp;<strong>brecha de seguridad es</strong>&nbsp;“toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.</p>
<p>Asimismo el Reglamento General de Protección de Datos enuncia en los&nbsp;<strong>artículos 33 y 34</strong>&nbsp;que las brechas de seguridad deben ser notificadas a la autoridad de control<strong>&nbsp;cuando la misma&nbsp;constituya un riesgo para los derechos y las libertades de las personas físicas.</strong></p>
<p>Además, deberemos notificarla en un plazo máximo de&nbsp;<strong>72</strong>&nbsp;horas&nbsp;<strong>a contar desde que tengamos conocimiento de la brecha.</strong></p></blockquote>
<h6><strong>Establezcamos por tanto el protocolo de hoy en relación a los siguientes puntos:</strong></h6>
<ol>
<li><u style="color: #666666;">Comunicación interna en la organización</u><span style="color: #666666;">: es fundamental establecer un procedimiento para dar instrucciones al personal sobre cómo deberán proceder en el caso de que detecten una violación de seguridad, y a quién deberán notificarlo internamente (Responsable de Seguridad/ Delegado de Protección de Datos). Es recomendable contar con un modelo de notificación interna a disposición de los empleados, para que resulte más sencilla (y trazable) la notificación interna que realicen.</span></li>
<li><u>Comunicación a la Agencia Española de Protección de Datos</u>: se propone detallar en el protocolo el procedimiento de notificación e incluir el enlace del&nbsp;<a href="https://www.aepd.es/">sitio web de la AEPD&nbsp;</a>a través de cual se iniciará el procedimiento.</li>
<li><u>Comunicación a los interesados</u>: en el caso de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, se les deberá informar a los interesados. A tal efecto, se recomienda contar con un modelo de notificación al interesado (cuando sea posible enviar dicha notificación uno a uno) y cuando no sea posible, el procedimiento de comunicación se realizará a través de entornos corporativos.</li>
<li><u>Trazabilidad y seguimiento</u>: Asimismo, se recomienda incluir un apartado en el que, en su caso, se registre la violación de seguridad detectada y se gestione el seguimiento de la misma hasta su resolución.</li>
</ol>
<h6><strong>Veamos cada uno de los p</strong><strong>asos a seguir para la gestión de una brecha de seguridad</strong></h6>
<h4><strong>Procedimiento:</strong></h4>
<h6><strong>Apuntar en el registro interno la incidencia detectada</strong></h6>
<ul>
<li>El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.</li>
<li>Una vez resuelta la brecha se deberá también registrar la solución al problema.</li>
<li>Si la entidad cuenta con&nbsp;<a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer"><strong>Delegado de Protección de Datos</strong></a>&nbsp;será este el encargado de esta obligación.</li>
<li><strong>Averiguar si supone un riesgo para los derechos y libertades de los afectados</strong></li>
<li>
<blockquote><p><strong>¡Este paso es clave!</strong>, ya que marca la diferencia en cuanto a si tengo que notificar el problema de seguridad a la autoridad de control o no.</p></blockquote>
</li>
</ul>
<h6><strong>¿Pero cómo saber si supone un riesgo? Pues pensemos en cada uno de los siguientes puntos:</strong></h6>
<h5></h5>
<h5>Que pueda provocar daños y perjuicios físicos, materiales o inmateriales</h5>
<ul>
<li>problemas de discriminación</li>
<li>usurpación de identidad o fraude</li>
<li>pérdidas financieras</li>
<li>daño para la reputación</li>
<li>pérdida de confidencialidad de datos sujetos al&nbsp;secreto profesional</li>
<li>reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo</li>
</ul>
<h5>Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen</h5>
<ul>
<li>el origen étnico o racial</li>
<li>las opiniones políticas</li>
<li>la religión o creencias filosóficas</li>
<li>la militancia en sindicatos</li>
<li>el&nbsp;tratamiento de datos genéticos</li>
<li>datos relativos a la salud o datos sobre la vida sexual</li>
<li>relativos a las condenas e infracciones penales o medidas de seguridad conexas.</li>
</ul>
<h5>En los casos en los que se evalúen aspectos personales</h5>
<ul>
<li>en&nbsp; particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo</li>
<li>situación económica</li>
<li><a href="https://protecciondatos-lopd.com/empresas/datos-especialmente-protegidos-sensibles/">datos de salud</a></li>
<li>preferencias o intereses personales</li>
<li>fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales</li>
</ul>
<h5>En los casos en los que se traten datos personales de personas vulnerables, en particular niños</h5>
<p>Por tanto si el problema de seguridad ha afectado a alguno de estos campos deberemos notificarlo a la AEPD.</p>
<h4><strong>Notificación de la brecha de seguridad</strong></h4>
<p><a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer"></a> Gestiona Abogados</p>
<p>Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.</p>
<p>La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la&nbsp;<strong>autoridad de control nacional</strong>&nbsp;de protección de datos, que en el caso de España es la&nbsp;<strong>Agencia Española de Protección de Datos.</strong></p>
<h5>¿Quién debe notificar las brechas de seguridad?</h5>
<p>El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del&nbsp;<a href="https://protecciondatos-lopd.com/empresas/rgpd-responsable-tratamiento/">Responsable del Tratamiento</a>.</p>
<p>¿Y si mi empresa tiene DPO? En este caso será el&nbsp;<a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer"><strong>Delegado de Protección de Datos</strong></a>&nbsp;el encargado de la notificación.</p>
<h5>Plazo</h5>
<ul>
<li>¿Existe un plazo determinado?</li>
<li>Sí, se dispone de<strong>&nbsp;72 horas</strong>&nbsp;para notificar la violación de seguridad ante la AEPD.</li>
<li>El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.</li>
</ul>
<h5>Contenido mínimo de la notificación</h5>
<ul>
<li>La&nbsp;<strong>naturaleza</strong>de la violación, categorías de datos y de interesados afectados</li>
<li><strong>medidas impuestas&nbsp;</strong>por el responsable para resolver&nbsp;esa quiebra</li>
<li>si procede, las medidas adoptadas&nbsp;para reducir&nbsp;los posibles efectos negativos sobre los interesados</li>
</ul>
<h5>Registro Electrónico</h5>
<ul>
<li>La AEPD dispone de un&nbsp;<span class="removed_link" title="https://sedeagpd.gob.es/sede-electronica-web/vistas/formQuiebraSeguridad/procedimientoQuiebraSeguridad.jsf">registro</span>&nbsp;mediante el cual electrónicamente, y siguiendo unos sencillos pasos se puede notificar ante la misma la brecha de seguridad.</li>
<li>En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.</li>
</ul>
<p>&nbsp;</p>
<h4><strong>Notificar a las personas afectadas la brecha de seguridad</strong></h4>
<p>Con el nuevo&nbsp;<strong>principio de accountabilty</strong>&nbsp;(o rendición de cuentas), la normativa también exige que se comunique al afectado (a nuestro cliente), sin dilación indebida.</p>
<p>No obstante, en aras de no preocupar al interesado sin razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:</p>
<ul>
<li>El responsable hubiera adoptado&nbsp;medidas técnicas u organizativas apropiadas antes de&nbsp;la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como seria el cifrado.</li>
<li>Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren&nbsp;que ya&nbsp;<strong>no hay posibilidad de que el alto riesgo se materialice</strong>.</li>
<li>Cuando la notificación implique&nbsp;un esfuerzo desproporcionado, debiendo en estos casos reemplazarse&nbsp;por medidas alternativas como puede ser una comunicación publica.</li>
</ul>
<h4><strong>Plan de actuación</strong></h4>
<p><a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer"></a> Gestiona Abogados</p>
<p>Una vez que hemos comprobado que existe una brecha de seguridad y que ya la hayamos comunicado a quien corresponda. Debemos realizar una serie de actuaciones que nos van a servir para determinar si es necesario:</p>
<ul>
<li>contratación de un&nbsp;<strong>forense digital experto</strong>,</li>
<li>adoptar&nbsp;<strong>medidas procesales</strong>,</li>
<li>realizar un&nbsp;<strong>informe final&nbsp;</strong>sobre la brecha de seguridad y</li>
<li>realizar un informe sobre cómo se va a producir el&nbsp;<strong>cierre&nbsp;</strong>de la brecha de seguridad.</li>
</ul>
<h6><strong>Análisis de forense digital experto</strong></h6>
<p>En este documento se van a plasmar los hechos. Y estos informes van a tener importancia administrativa y judicial (si se da el caso).</p>
<h6><strong>Adoptar medidas procesales</strong></h6>
<p>Estas medidas nos sirvan para&nbsp;<strong>determinar el autor</strong>&nbsp;o persona responsable y para intentar conseguir la reparación del daño causado. Ahora bien, antes de iniciar acciones judiciales debemos valorar si con este procedimiento, el daño ocasionado aumenta (se considera que el perjuicio puede aumentar cuando, por ejemplo, se vea afectada la imagen de la empresa).</p>
<h6><strong>Informe final sobre la brecha de seguridad</strong></h6>
<p>Este documento debe contener toda la documentación relativa a la brecha de seguridad. Además, debe recoger un impacto final con el fin de que se facilite el&nbsp;<strong>estudio del incidente</strong>&nbsp;y que pueda servir para prevenir casos similares en un futuro.</p>
<h6><strong>Cierre de la brecha de seguridad</strong></h6>
<p>Tras la realización de todas las actuaciones anteriores se realiza el cierre de la brecha de seguridad.</p>
<p>A modo de resumen, es importante y necesario que las empresas tengan unas medidas para poder actuar en estos casos, activar sus protocolos y una vez que la situación esté controlada, se debe notificar a la autoridad de control (AEPD), pero nunca superando el plazo máximo establecido de 72 horas.</p>
<h5><strong>Respuesta a las brechas de seguridad</strong></h5>
<p><a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer"></a> Responsabilidad proactiva</p>
<p>La mayoría de las acciones de respuesta a brechas de seguridad correrán a cargo de un&nbsp;<strong>equipo de respuesta a incidentes</strong>&nbsp;dentro del servicio de informática o del equipo de seguridad informática correspondiente, que podrá formar parte de la empresa o estar completamente externalizado.</p>
<p>Durante el proceso de respuesta se distinguen una serie de fases:</p>
<ol>
<li>Contener el incidente,</li>
<li>Erradicar la situación generada por el incidente y</li>
<li>Acciones de recuperación oportunas.</li>
</ol>
<p>Estas fases no están perfectamente diferenciadas y es habitual que haya cierto solapamiento entre las mismas.</p>
<h6><strong>Contener el incidente</strong></h6>
<ul>
<li>La contención del incidente proporciona tiempo para desarrollar una&nbsp;<strong>estrategia de respuesta</strong>&nbsp;a medida.</li>
<li>Una parte esencial de la contención es la toma de decisiones rápidas como puede ser cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc.</li>
<li>Es una buena práctica que las&nbsp;empresas desarrollen políticas de actuación&nbsp;para la gestión de los incidentes en general y de los incidentes vinculados con datos personales en particular.</li>
</ul>
<h6><strong>Erradicar la situación</strong></h6>
<ul>
<li>Tras la contención de un incidente, la erradicación puede ser necesaria para&nbsp;<strong>solventar determinados efectos</strong>&nbsp;del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar cuentas de usuario vulneradas.</li>
<li>Tras la aplicación de las medidas se debe verificar el correcto funcionamiento de éstas, confirmando su idoneidad para la erradicación del incidente. De ser así, se dará por terminada esta fase.</li>
<li>Se deberán de tomar medidas que eviten o eliminen la posibilidad de que un incidente vuelva a producirse. En este sentido será necesario alimentar el plan de riesgos de la entidad afectada revisando si el mapa de riesgos contemplaba la amenaza que ha dio lugar a la brecha de seguridad y, en caso afirmativo, reevaluar las medidas de salvaguarda asociadas a fin de garantizar su efectividad.</li>
</ul>
<h6><strong>Acciones de recuperación</strong></h6>
<p>Esta fase&nbsp;tiene como objetivo el&nbsp;<strong>restablecimiento del servicio en su totalidad</strong>, confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa.</p>
<p>Deben aplicarse acciones y controles como:</p>
<ul>
<li><strong>Selección estrategia.</strong>Teniendo en cuenta el riesgo que quiera asumir la entidad así como la eficiencia y costes de las distintas opciones planteadas, se seleccionará la estrategia que deberá seguirse en el futuro.</li>
<li>Implementación de&nbsp;<strong>medidas preventivas</strong></li>
<li>Revisar el análisis de riesgos y aplicar controles adicionales y periódicos para evitar futuros incidentes similares</li>
</ul>
<h5><strong>¿Que ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?</strong></h5>
<ul>
<li>Deben notificar inmediatamente al responsable, es decir a nosotros, ya que somos nosotros los que tenemos la obligación de realizar la notificación a la AEPD y a los afectados.</li>
<li>Para que no se le “olvide” al encargado, recomendamos&nbsp;<strong>establecer protocolos de comunicación</strong>&nbsp;y dejar claras las&nbsp;<strong>obligaciones</strong>&nbsp;de nuestros proveedores de servicios que acceden a datos.</li>
</ul>
<h5><strong>¿Puedo usar la misma notificación para la AEPD y para el interesado?</strong></h5>
<ul>
<li>No.</li>
<li>La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.</li>
<li>A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.</li>
</ul>
<h5><strong>¿Tengo que notificar siempre la brecha de seguridad?</strong></h5>
<p>Sí y no.</p>
<p>No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas. Los casos que recoge la guía donde no habría obligación de comunicar estas brechas son:</p>
<ul>
<li>Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad</li>
<li>Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados</li>
<li>Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.</li>
</ul>
<blockquote><p>Esperamos que con este breves palabras seamos capaces de implantar un protocolo para la gestión de&nbsp;<strong>una brecha de seguridad y como gestionar su notificación.</strong></p>
<p>Puedes completar esta información con la&nbsp;<a href="https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf">Guía para la gestión y notificación de brechas de seguridad</a>&nbsp;publicada por la AEPD.</p>
<p>No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto&nbsp;contáctenos en el teléfono&nbsp;&nbsp;<strong>962915025</strong>, y uno de nuestros abogados estará encantado de atenderte.</p></blockquote>
<p><a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer">Gestiona Abogados</a></p>
<p>La entrada <a href="https://protecciondatoscertificado.es/protocolos-parte-vi-gestion-y-notificacion-de-violaciones-de-seguridad/">PROTOCOLOS (PARTE VI). Gestión y Notificación de violaciones de seguridad</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/protocolos-parte-vi-gestion-y-notificacion-de-violaciones-de-seguridad/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>COMUNICACIÓN CON LA AUTORIDAD DE CONTROL</title>
		<link>https://protecciondatoscertificado.es/comunicacion-con-la-autoridad-de-control/</link>
					<comments>https://protecciondatoscertificado.es/comunicacion-con-la-autoridad-de-control/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Fri, 26 Oct 2018 17:44:52 +0000</pubDate>
				<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[DPD]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=1231</guid>

					<description><![CDATA[<p>Comunicación con la Autoridad de Control por el Delegado de Protección de Datos.</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/comunicacion-con-la-autoridad-de-control/">COMUNICACIÓN CON LA AUTORIDAD DE CONTROL</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="wpb_text_column wpb_content_element ">
<div class="wpb_wrapper">
<p>En caso de ser nombrados Delegado de Protección de Datos,&nbsp;<a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer">Gestiona Abogados</a> procederá a la inscripción de dicho nombramiento en la Agencia Española de Protección de Datos, como así indica la legislación actual.</p>
<p>Si se produjera una violación de seguridad (ataques externos de hackers, perdida de dispositivos informáticos que contengan información de carácter personal, acceso a información sensible de personal no autorizado, etc.) habría que implantar el protocolo que, para estas situaciones, deben existir en las organizaciones.</p>
<p>En caso de que esta violación de seguridad pueda constituir un riesgo para los derechos y las libertades de las personas físicas, deberá comunicarse a la autoridad de control en un plazo de 72 horas.</p>
<p>Desde&nbsp;<a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer">Gestiona Abogados</a> le asistiremos en estas situaciones, siendo nexo de unión entre la autoridad de control y la propia organización.</p>
<p>No obstante, en&nbsp;<a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer">Gestiona Abogados</a> trabajaremos día a día en la prevención con el fin de que estas situaciones no se produzcan, o en caso contrario, minimizar los efectos negativos que se puedan producir.</p>
</div>
</div>
<div class="vc_empty_space"></div>
<p>La entrada <a href="https://protecciondatoscertificado.es/comunicacion-con-la-autoridad-de-control/">COMUNICACIÓN CON LA AUTORIDAD DE CONTROL</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/comunicacion-con-la-autoridad-de-control/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>¿QUE HACER ANTE UNA BRECHA DE SEGURIDAD?</title>
		<link>https://protecciondatoscertificado.es/que-hacer-ante-una-brecha-de-seguridad/</link>
					<comments>https://protecciondatoscertificado.es/que-hacer-ante-una-brecha-de-seguridad/#respond</comments>
		
		<dc:creator><![CDATA[Gestiona Abogados]]></dc:creator>
		<pubDate>Thu, 25 Oct 2018 10:30:00 +0000</pubDate>
				<category><![CDATA[blog]]></category>
		<category><![CDATA[Brechas de seguridad RGPD]]></category>
		<category><![CDATA[DPD]]></category>
		<category><![CDATA[BRECHA DE SEGURIDAD]]></category>
		<category><![CDATA[DPO]]></category>
		<category><![CDATA[LOPD]]></category>
		<category><![CDATA[RGPD]]></category>
		<guid isPermaLink="false">https://protecciondatoscertificado.es/?p=1135</guid>

					<description><![CDATA[<p>¿Qué debemos hacer ante una brecha de seguridad en los datos personales que tratamos?</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/que-hacer-ante-una-brecha-de-seguridad/">¿QUE HACER ANTE UNA BRECHA DE SEGURIDAD?</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><strong>Brecha: ¿Qué hacer?</strong></p>
<p>Cualquier estructura, esquema o modelo productivo que, durante la ejecución de sus actividades, demande datos personales a la vez que genera nueva información a partir de éstos, necesita contar con un sistema para detectar alteraciones en el acceso a sus bases.&nbsp; Si se produce un acceso no autorizado a esos datos personales, que pueda comprometer la privacidad, se produce una brecha de seguridad.</p>
<p><strong>¿Cómo debe ser ese sistema?</strong></p>
<p>Tal sistema debe apoyarse en verificaciones periódicas y aleatorias, así como en herramientas informáticas pensadas para la protección. De igual forma, es fundamental un registro ordenado de las incidencias con toda la información posible (niveles de acceso, tipos de datos afectados, alcance de la información comprometida, etc.).</p>
<p><strong>Obligación de notificar la brecha de seguridad</strong></p>
<p>Si durante la evaluación de los sistemas, observamos que se han visto comprometidos derechos personales, se ha producido una brecha de seguridad, naciendo la obligación, en ese momento, de notificarlo a la AEPD, según lo impartido en el artículo 33 del RGPD:&nbsp;<a href="https://docs.google.com/viewer?url=https%3A%2F%2Fwww.aepd.es%2Fmedia%2Fguias%2Fguia-brechas-seguridad.pdf" target="_blank" rel="noopener noreferrer">Guía para la notificación y gestión de brechas de seguridad</a></p>
<p><strong>Plan de respuesta</strong></p>
<p>Es por ello que, tan importante es contar con un sistema que detecte problemas de seguridad,como tener un plan de respuesta o actuación para resolver esos problemas de seguridad.</p>
<p>El plan de actuación debe contemplar modelos que categoricen las amenazas y generen acciones de contención. Es decir, un buen plan de actuación tiene como uno de sus ejes, evitar que aumente el daño causado por un acceso o uso fraudulento de los datos.</p>
<p><strong>Defensa de los afectados</strong></p>
<p>“Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”. (Artículo 82&nbsp;<a href="http://noticias.juridicas.com/base_datos/Privado/574082-regl-2016-679-ue-de-27-abr-proteccion-de-las-personas-fisicas-en-lo-que.html#a82" target="_blank" rel="noopener noreferrer">RGPD</a>).</p>
<p>Ninguna entidad pública o privada puede permanecer ajena a la nueva coyuntura. Vivimos una época donde toda la realidad es reducible a datos y donde todo se conecta con todo.</p>
<p>La mejor estrategia es contar e incorporar expertos o especialistas en la implementación de todo aquello que orienta el Reglamento. En&nbsp;<a href="https://protecciondatoscertificado.es/" target="_blank" rel="noopener noreferrer">Gestiona Abogados</a>&nbsp;podemos ayudarle en todo lo que necesite.</p>
<p>La entrada <a href="https://protecciondatoscertificado.es/que-hacer-ante-una-brecha-de-seguridad/">¿QUE HACER ANTE UNA BRECHA DE SEGURIDAD?</a> se publicó primero en <a href="https://protecciondatoscertificado.es">Gestiona Abogados</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://protecciondatoscertificado.es/que-hacer-ante-una-brecha-de-seguridad/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
