( Madrid, 14 de septiembre de 2018). La Agencia Española de Protección de Datos (AEPD) ha publicado las bases para presentarse a los ‘Premios Protección de Datos Personales 2018’. Esta edición incluye las categorías de Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento, Comunicación, Buenas Prácticas Educativas para el uso seguro de internet por los menores e Investigación Emilio Aced.

La Agencia quiere reconocer así el trabajo realizado para difundir la importancia de este derecho fundamental en ámbitos como el educativo, el empresarial, la investigación científico-técnica, el realizado por Administraciones Públicas y el efectuado por medios de comunicación. El plazo para la presentación de candidaturas finaliza el 30 de noviembre.

El Premio a las Buenas prácticas sobre iniciativas para adaptarse al Reglamento reconoce la labor de organizaciones que promuevan la adaptación al Reglamento General de Protección de Datos (RGPD), así como aquellas que contribuyan a garantizar el derecho fundamental a la protección de datos personales. A la hora de valorar candidaturas se tendrán en cuenta los casos en los que la adaptación al RGPD y su cumplimiento revistan una especial dificultad por referirse a tratamientos de datos de alto riesgo. El premio, que consiste en una mención honorífica y la difusión de las buenas prácticas, se convoca en dos modalidades:

Iniciativas puestas en marcha por empresas del sector privado, asociaciones y fundaciones para adaptarse al RGPD.
Iniciativas para adaptarse al Reglamento llevadas a cabo por las entidades que configuran el sector público.

El Premio Protección de Datos de Comunicación 2018, que incluye un premio de 3.000 euros y un accésit de 1.500 euros, tiene por objeto reconocer los trabajos periodísticos de medios y profesionales de la comunicaciónque supongan una aportación destacada a la promoción de la privacidad entre los ciudadanos y las entidades que tratan información personal.

Podrán optar al mismo trabajos individuales dedicados a la materia objeto de la convocatoria −como un editorial, noticia, reportaje, o programa de radio o televisión− o proyectos periodísticos que definan un compromiso con la promoción de la protección de datos −tales como series de noticias o secciones especializadas−. Los trabajos deben haber sido difundidos entre el 1 de noviembre de 2017 y el 30 de noviembre de 2018.  

En esta edición de los Premios de Comunicación se priorizarán los trabajos que aborden diferentes aspectos del Reglamento, tanto los relativos a los derechos de los ciudadanos como los que hagan referencia a los cambios en las obligaciones que deben cumplir las entidades que tratan datos personales.

El Premio a las Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internettiene por objeto premiar la adopción de buenas prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional, y que contribuyan a concienciar a los alumnos sobre el valor de la privacidad y el uso responsable de la información personal que comparten en internet, tanto propia como de terceros.

El galardón −al que pueden presentarse proyectos técnicos, organizativos, métodos, acciones de promoción y concienciación, talleres, simulacros o materiales de difusión, entre otros− se convoca en dos modalidades:

Buenas prácticas llevadas a cabo por centros educativos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional. El premio incluye una dotación de material escolar por valor de 3.000 euros.
Compromiso de personas, instituciones, organizaciones y asociaciones, públicas o privadas, que se hayan distinguido de manera destacada en el impulso y la difusión del uso seguro de internet entre los menores, relacionado fundamentalmente con la información personal y con el valor de la privacidad. Este galardón es honorífico.

El Premio de Investigación Emilio Aced reconoce trabajos y proyectos con un enfoque estrictamente prácticorealizados en el ámbito de una Universidad u otra institución que promueva o financie estudios de investigación en el contexto de la investigación científico-técnica y en los que se apliquen los principios de protección de datos con el fin de garantizar los derechos y libertades de las personas.

Se primarán los trabajos que estén relacionados con tratamientos de datos personales considerados de alto riesgo, y el grado de complejidad y la innovación del proyecto o trabajo. El premio incluye una dotación económica de 3.000 euros.

(Madrid, 19 de julio de 2018). El 63% de las pymes españolas conocen el nuevo Reglamento General de Protección de Datos (RGPD), que se aplica desde el pasado 25 de mayo. Ello supone, no obstante, que un importante porcentaje, casi cuatro de cada diez empresas, no tienen aún conocimiento de esta normativa.

Así se pone de relieve en la Encuesta sobre el grado de preparación de las empresas españolas ante el RGPD, elaborada por la Agencia Española de Protección de Datos (AEPD) y la Confederación Española de la Pequeña y Mediana Empresa (CEPYME), que han presentado hoy la directora de la AEPD, Mar España, y el presidente de CEPYME, Antonio Garamendi. La encuesta se enmarca en el ámbito del protocolo de colaboración suscrito entre estas entidades y de la voluntad de ambas partes de conocer la realidad de las pymes españolas en este ámbito para seguir realizando acciones de información y difusión para impulsar el cumplimiento.

Los resultados de esta encuesta recogen que los tratamientos de datos que las pymes  realizan con mayor frecuencia son los de clientes, proveedores y empleados, que son tratados por la casi totalidad de las empresas (del 97% al 92%) y, en menor medida, los relativos a la videovigilancia (38%) y formularios en Internet (17%). Estos datos coinciden con el análisis que realizó la Agencia de los 4,3 millones de ficheros inscritos por parte de empresas. Al observar que un 75% de ellos hacían referencia a tratamientos de datos de escaso riesgo, y que se trataba de pymes en más de un 90% de los casos, la AEPD lanzó Facilita_RGPD, una herramienta para ayudar al cumplimiento de la nueva normativa a las pymes españolas. Este test online, que permite obtener los documentos mínimos indispensables para facilitar la adaptación al Reglamento, ha recibido más de 450.000 visitas desde que se lanzó el pasado septiembre.

La encuesta refleja que aún es necesario llevar a cabo un esfuerzo de difusión de la normativa vigente entre las pymes. En este sentido, tanto la AEPD como CEPYME y las organizaciones empresariales miembros de esta Confederación han difundido en las diferentes CCAA a través de varias vías las obligaciones del nuevo Reglamento y las herramientas que ofrece la Agencia a las empresas para facilitar el cumplimiento de la nueva normativa. Pese a que la adaptación a la nueva normativa puede suponer un esfuerzo para las pymes, éstas valoran positivamente el Reglamento. Así, casi 9 de cada 10 pymes considera que el Reglamento es mejor que la normativa anterior y 8 de cada 10 lo percibe como positivo.

El estudio también pone de relieve la falta de recursos de muchas pymes para poder afrontar las obligaciones de la normativa en materia de protección de datos, aunque también manifiesta la actitud positiva de estas empresas para cumplir sus obligaciones en este ámbito. Así un 85% están dispuestas a contratar un servicio de asesoramiento; un 79% muestran su disposición a informarse mejor sobre el Reglamento y un 60% optan por gestionar la protección de datos con medios propios y el apoyo de las herramientas y guías de la AEPD.

Para la AEPD y CEPYME, extender el conocimiento de la normativa sobre protección de datos; dimensionar bien las herramientas y las acciones de implantación de la misma, de acuerdo con los recursos a gestionar y el tamaño de las empresas, son elementos imprescindibles para establecer un valor añadido de confianza ante los clientes y para mejorar en competitividad. En este sentido, durante la presentación de los resultados de la encuesta, ambas entidades han anunciado que continuarán realizando acciones formativas y de concienciación a través de las organizaciones y asociaciones sectoriales, apoyando asimismo la digitalización de las pymes. 

El curso ‘El Reglamento General de Protección de datos: orientaciones para su aplicación’ se celebra del 2 al 4 de julio en el marco de las Actividades de Verano de la Universidad Internacional Menéndez Pelayo
La inauguración ha contado con la presencia del secretario de Estado de Justicia, Manuel Dolz, la directora de la Agencia, Mar España, y el rector de la Universidad Internacional Menéndez Pelayo, Emilio Lora-Tamayo
Acceso al programa

( 2 de julio de 2018). La Agencia Española de Protección de Datos (AEPD) imparte durante los días 2, 3 y 4 de julio el curso ‘El Reglamento General de Protección de Datos: orientaciones para su aplicación’, que tiene lugar durante las Actividades de Verano 2018 de la Universidad Internacional Menéndez Pelayo (UIMP) en el Palacio de La Magdalena de Santander.

 El encuentro analiza en profundidad la aplicación práctica del Reglamento General de Protección de Datos (RGPD), normativa aplicable desde el pasado 25 de mayo, e incluye un programa de conferencias y mesas redondas en las que están representados tanto el sector público como el privado, empresarial y profesional. En ellas se abordan diversas experiencias prácticas de adaptación al RGPD así como las diferentes herramientas que la Agencia pone a disposición de las organizaciones para fomentar el cumplimiento de la normativa. 

 La inauguración del curso ha contado con la presencia del secretario de Estado de Justicia, Manuel Dolz, la directora de la Agencia, Mar España, y el rector de la Universidad Internacional Menéndez Pelayo, Emilio Lora-Tamayo.

Durante la inauguración, Dolz ha señalado que la importancia que tiene “adaptar la normativa en protección de datos a los cambios que están provocando la sociedad de la información y la globalización”, así como “ofrecer un nivel de protección equivalente en el conjunto de la Unión Europea”.

 Por otro lado, el secretario de Estado de Justicia ha asegurado que es “urgente” completar la nueva legislación europea con una nueva normativa estatal “para adaptar nuestro ordenamiento jurídico a las disposiciones de este nuevo Reglamento”. Dolz ha destacado la necesidad de “consenso” para “sacar adelante el Proyecto de Ley”. En este sentido, ha subrayado que “en tema de derechos humanos no tiene que haber fragmentación en el Parlamento”, porque es una materia que “afecta a los derechos de la ciudadanía digital”.

 Por su parte, Mar España ha subrayado que, como directora de la Agencia Española de Protección de Datos, “el mayor reto es conseguir el impulso y el apoyo en el Parlamento, a través de todos los grupos parlamentarios, para aprobar la Ley Orgánica de Protección de Datos y de Derechos Digitales lo antes posible”.

 Lora-Tamayo, que ha calificado el nuevo Reglamento como un “punto de referencia mundial para la defensa de la privacidad”, ha explicado que con la celebración de este encuentro la UIMP contribuye a difundir las novedades más recientes con el objetivo de “facilitar desde una perspectiva práctica, tanto la aplicación del reglamento como un intercambio directo con el organismo regulador”.

 La figura del Delegado de Protección de Datos y su implantación en las organizaciones; los nuevos derechos que el RGPD otorga a los ciudadanos; el análisis de riesgos y las evaluaciones de impacto o los códigos de conducta son otros de los temas abordados durante el curso. Durante el mismo también se somete a análisis el nuevo régimen sancionador y  el mecanismo de coherencia en el que tienen que actuar las Autoridades de Supervisión y el Comité Europeo de Protección de Datos.

El documento ofrece a las organizaciones recomendaciones preventivas y un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan
Desde el pasado 25 de mayo, es obligatorio notificar a la Agencia las brechas de seguridad que afecten a datos personales y constituyan un riesgo, cumpliendo unos plazos para ello
Además, si existe un alto riesgo para los derechos y libertades también será obligatorio notificarlas a las personas cuyos datos pudieran haberse visto afectados

 

(Madrid, 19 de junio de 2018). La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la ‘Guía para la gestión y notificación de brechas de seguridad’ junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE. El objetivo de este documento es ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.

El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Con anterioridad a la aplicación del RGPD, la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.

De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.

La ‘Guía para la gestión y notificación de brechas de seguridad’ va dirigida a responsables de tratamientos de datos personales con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa, y se adecúe a las nuevas exigencias del RGPD. Para elaborar el documento también se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.

Esta guía pretende cubrir el amplio abanico del tejido empresarial español, tanto pymes como grandes empresas y, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad.

El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.

Por último, la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas.

 

El lanzamiento de la ‘Guía para la gestión y notificación de brechas de seguridad’ completa los manuales de ayuda que la Agencia Española de Protección de Datos ha presentado para facilitar la adaptación de las organizaciones al RGPD, entre los que se encuentran el Listado de cumplimiento normativo y las guías para Responsables de tratamientos de datos personales, Cumplimiento del deber de informar, Elaboración de contratos entre responsables y encargados, Análisis de riesgos y Evaluaciones de impacto, además de la herramientaFacilita_RGPD para empresas que traten datos de escaso riesgo.