Ciberseguridad, Privacidad & GDPR
CIBERSEGURIDAD Y PRIVACIDAD
El aumento de los requisitos de seguridad en el tratamiento de datos ha convertido al área de práctica legal sobre la seguridad de la información y ciberseguridad en una de las más relevantes de la práctica legal del momento.
Protección frente a los riesgos inminentes
Estos requisitos de seguridad han venido de la mano de la legislación pública en un primer momento, y por la vía de los acuerdos privados en un segundo momento; pero en cualquier caso responden a la necesidad de proteger los datos cedidos a otra parte en el marco de una relación de confianza.
Protección a gran escala, nacional e internacional
En Gowper realizamos un trabajo de estudio y adecuación entre jurisdicciones y disciplinas jurídicas a fin de ofrecer un asesoramiento legal integral a nuestros clientes nacionales e internacionales.
No nos limitamos a determinar las obligaciones legales y posibles responsabilidades, sino que anticipamos la adecuación a los cambios legislativos en la materia, reforzando las medidas preventivas. Con este objetivo, elaboramos estrategias de cumplimiento normativo para minimizar los costes de la adecuación a los cambios legales.
También desarrollamos e implementamos estrategias de privacidad y cumplimiento normativo a nivel europeo, incluyendo la transferencia internacional de datos personales, sistemas de defensa y seguridad, y preparación de sistemas defensivos para la defensa de las partes contratantes encargadas del tratamiento de datos.
Elenco de servicios:
- Evaluación y control de la privacidad de datos y los riesgos y responsabilidades derivados de la ciberseguridad, en transacciones empresariales y financieras.
- Evaluación y elaboración de códigos de conducta, políticas y portales de denuncias, normas corporativas obligatorias y acuerdos de transferencia de datos a nivel tanto nacional como internacional.
- Ayudamos a los clientes en todo, desde la comprensión de las complejidades de los cuestionarios de cumplimiento de terceros, la redacción de estructuras de gobernanza y cumplimiento, así como la revisión de contratos específicos para RRHH o terceros, como los nuevos sistemas informáticos.
- Acuerdos de transmisión y procesamiento de datos.
- Disputas y reclamaciones relativas a la privacidad y seguridad de datos.
- Representación y defensa ante cualquier procedimiento sancionador o regulatorio, relativo a la ciberseguridad y tratamiento de datos.
ASESORAMIENTO JURÍDICO EN MATERIA DE GDPR
Proporcionamos asesoramiento jurídico discreto en torno al GDPR, incluida la respuesta a las violaciones de datos.
EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD (PIAS)
Puede que esté creando un nuevo sistema informático, desarrollando una nueva aplicación o comprando un nuevo producto. Según el GDPR, debe demostrar que está aplicando un enfoque de protección de datos desde el principio del desarrollo del nuevo proyecto o iniciativa. Una PIA le permite identificar los riesgos para los sujetos de datos de cómo se utilizarán los datos personales mientras desarrolla el sistema, con el fin de tomar medidas para reducir o eliminar los riesgos e identificar a aquellos dentro de la organización que deben ser responsables.
RESPUESTA A LAS VIOLACIONES DE DATOS
Desde el robo de un ordenador portátil hasta un hackeo o el envío de un archivo adjunto a un destinatario equivocado, las violaciones de datos personales son inevitables. La clave es cómo se responde a ellas.
Asesoramos a las empresas, incluidas las de tecnología, servicios profesionales y organizaciones de afiliados, sobre cómo responder a las violaciones de la protección de datos; a diseñar y probar de forma proactiva planes de respuesta a las violaciones, mejorar las políticas de protección de datos, procedimientos y gobernanza en general; y a hacer frente a las consecuencias inmediatas de una violación de conformidad con las diversas responsabilidades legales y reglamentarias.
ALMACENAMIENTO DE DATOS PERSONALES
Según el GDPR, los datos deben utilizarse para su propósito específico y luego eliminarse después de un período de tiempo razonable, teniendo en cuenta cualquier otra responsabilidad legal.
Tener una política de retención de datos eficaz que refleje el almacenamiento y la eliminación de diferentes tipos de conjuntos de datos es ahora esencial. El envío indefinido de contactos de correo electrónico de hace décadas ya no es una opción.
CONSENTIMIENTO INFORMADO ESPECÍFICO
Esto es esencial para confirmar la base del procesamiento de datos personales. Según el RGPD, los datos personales sólo pueden tratarse bajo uno de los 6 epígrafes:
– Consentimiento informado específico
– Interés legítimo
– Interés vital
– Función pública
– Obligación legal
– Contractual
El consentimiento es necesario para cada actividad específica para la que se utilizarán los datos, y los datos personales sólo deben utilizarse para el fin para el que fueron recogidos.
LOS DATOS PERSONALES NO PUEDEN SALIR DEL EEA
Si utiliza servidores en la nube para alojar datos personales, los datos personales de los ciudadanos de la UE no pueden salir del Espacio Económico Europeo (EEE). Existen mecanismos para permitir que los datos personales salgan del EEE, como las cláusulas contractuales modelo y las normas corporativas vinculantes, así como el Escudo de Privacidad UE/EE.UU. cuando se trata de EE.UU., pero, por regla general, los datos personales deben permanecer en el EEE, de ahí que empresas como Facebook, Apple, Microsoft y Google dispongan de amplias instalaciones de almacenamiento de datos en Europa.
DERECHO AL OLVIDO
Una organización debe demostrar que ha eliminado todos los datos innecesarios relacionados con una persona y que ésta no volverá a ponerse en contacto con ella. Cuando los datos personales se almacenan en múltiples sistemas o en una infraestructura que no permite una eliminación «definitiva» de los datos, es necesario contar con soluciones eficaces para cumplir con el derecho al olvido.
DERECHO A LA PORTABILIDAD DE LOS DATOS
Se trata de garantizar que el interesado pueda recibir un conjunto completo de sus datos en el formato que elija (es decir, en un formato utilizable y en el soporte que elija).
SOLICITUD DE ACCESO DEL SUJETO (SAR)
Los interesados tienen derecho a recibir una copia completa de sus datos personales en un plazo de treinta días a partir de su solicitud. Las organizaciones deben ser capaces de gestionar a tiempo un posible aumento del volumen de SAR.
NOMBRAMIENTO DE UN DELEGADO DE PROTECCIÓN DE DATOS (DPD)
En virtud del RGPD, todas las organizaciones con más de 250 empleados deben nombrar y registrar obligatoriamente un DPD ante el regulador, mientras que las organizaciones más pequeñas también pueden necesitar nombrar un DPD dado el volumen o la sensibilidad de los datos que manejan. Ofrecemos formación y apoyo a los DPD.
POLÍTICAS DE PRIVACIDAD DEL SITIO WEB
Deben reflejar cómo se recogen, almacenan, conservan, transmiten y eliminan los datos personales. También deben confirmar cómo un usuario puede hacer uso de los distintos derechos que le otorga el GDPR.
PROGRAMAS DE COOKIES DE SITIOS WEB
Muchas cookies de sitios web obtienen datos del usuario, como las direcciones IP, y suministran datos a terceros. Las cookies deben estar claramente enumeradas en el sitio web de su empresa y se debe obtener el consentimiento para su uso, incluso si solo son cookies analíticas o de sesión.