Centro de Formación y Consultora de Normativas Obligatorias
Carrusel
Expertos en Protección de datos
En JMSM Privacy Consulting, trabajamos con los clientes para crear una hoja de ruta práctica y personalizada de los pasos para implementar y lograr el cumplimiento del RGPD en toda la organización
Carrusel
Formación a tu Medida
El objetivo a conseguir por los expertos asesores de Grupo Gesfortec en el área de Formación Bonificada, es el de aportar soluciones a medida dentro del ámbito del aprendizaje y desarrollo de los equipos humanos de las organizaciones.
Carrusel
CONSULTORÍA NORMAS OBLIGATORIAS
Asesoramiento Integral a Empresas, Ahorra tiempo encontrando todas las soluciones para tu negocio en un mismo lugar

Control Horario y Protección de Datos de los Empleados

Más información

ÚNETE A NOSOTROS

Más información

ACCESO CAMPUS VIRTUAL

Más información

SOBRE NOSOTROS

 

GRUPO GESFORTEC, S.L. y JMSM PRIVACY CONSULTING es una empresa joven, llena de entusiasmo y profesionalismo. Tiene un formato que nos hace dinámica y muy atractiva para las nuevas tendencias del mercado dirigida por José Manuel Sánchez Molero.

«En el mundo de los negocios, las cosas importantes no son hechas por una sola persona. Son hechas por un grupo de personas, por eso GRUPO GESFORTEC está compuesto por Profesionales altamente cualificados para poder asesorar a todos nuestros Clientes»

Con un importante aprendizaje en los asuntos propios de la actividad de Recursos Humanos, GRUPO GESFORTEC, S.L. y JMSM PRIVACY CONSULTING encara sus desarrollos con una propuesta bien complementada del factor humano, técnico y logístico. Es por esto, que somos una fusión de dos grandes actividades complementarias orientadas a ofrecer soluciones basadas en rendimiento, eficiencia y vocación de servicio.

Nuestra Misión es aportar diversos servicios de alta calidad a nuestros clientes, generar y desarrollar soluciones a sus necesidades, logrando con éxito los objetivos comunes.

Siempre perseguimos aplicar adecuadamente nuestros conocimientos, habilidades y herramientas para crear el máximo valor posible para nuestros clientes. Constantemente buscamos incrementar nuestra competitividad y productividad empresarial a través de la vanguardia del conocimiento y su aplicación en el negocio.

GRUPO GESFORTEC, S.L. ha firmado acuerdos de colaboración con diferentes escuelas de negocios y plataformas formativas, que permite ofrecer formación con unos estándares de calidad muy altos.

Pensamos en nuestros clientes en todo momento, y por esta razón fomentamos la capacidad de adaptación a sus necesidades, conociendo su realidad y la del mercado, para promover el mayor entendimiento y obtener los mejores resultados.

Aprendemos de nuestras experiencias como organización y crecemos, por esta razón estamos dispuestos a romper con paradigmas para superar permanentemente las expectativas de nuestros clientes.

Defendemos la confidencialidad de nuestros clientes, manejando honestamente nuestros negocios, actuando de manera congruente entre lo que somos, lo que decimos y hacemos, reflejando el más alto sentido ético y moral en cualquier situación.

 

El nuevo Reglamento europeo de protección de datos está aquí. ¿Estás listo?

El Reglamento General de Protección de Datos (RGPD) estipula nuevas reglas sobre cómo puede recopilar, conservar y procesar los datos de las personas dentro de la UE. Estamos aquí para ayudarlo a alcanzar el cumplimiento. El RGPD entró en vigor el 25 de mayo de 2018 . Este nuevo y estricto régimen de cumplimiento de protección de datos conlleva severas sanciones financieras por incumplimiento.

Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil

En esta entrada destacamos algunas medidas, como el cifrado de dispositivos, que permiten limitar el impacto en caso pérdida o robo de dispositivos portátiles.


¿Qué riesgos supone el uso de estos dispositivos?

En un mundo totalmente globalizado e interconectado, es habitual en el día a día intercambiar información o tenerla disponible para poder utilizarla en múltiples localizaciones y de forma flexible, tanto a nivel personal como a nivel profesional.

El uso de dispositivos portátiles se ha popularizado por su gran versatilidad y precios asequibles, lo que nos facilita tener a mano los informes en los que estamos trabajando, la presentación que tenemos que realizar, fotografías, o en definitiva cualquier información que necesitemos utilizar de manera flexible desde diversos equipos. Teléfono inteligente, tableta y ordenador portátil son hoy en día herramientas imprescindibles en el trabajo.

De la principal ventaja de este tipo de dispositivos, que es precisamente la portabilidad, surge un factor de riego adicional muy importante, como es la posibilidad de pérdida o robo de estos dispositivos. Adicionalmente, no se debe olvidar que estos dispositivos, como cualquier otro dispositivo informático, se enfrentan a muchos otros tipos de riesgos que deberán ser tratados adecuadamente.

En caso de pérdida o robo de un dispositivo de este tipo estaremos ante una brecha de confidencialidad por posibles accesos indebidos a los datos almacenados en el dispositivo y/o brecha de disponibilidad en caso de no tener una copia recuperable de los datos. Precisamente, este tipo de brechas de seguridad  representa más del 20% de las notificaciones recibidas en la AEPD relacionadas con estos incidentes, por lo que resulta muy interesante poner de manifiesto qué medidas de seguridad pueden ayudar a mitigar las consecuencias negativas de la pérdida o robo de un dispositivo de este tipo.

Medidas de seguridad

Como norma general, y atendiendo a los principios establecidos en el RGPD, se deben minimizar los datos personales almacenados/procesados en dispositivos portátiles, utilizándolos para acceso remoto a los mismos en la medida de lo posible.

Hay tres medidas de seguridad particularmente efectivas para minimizar los posibles daños causados por una brecha de seguridad debida a la pérdida o robo de un dispositivo portátil.

  • El cifrado de los datos en el dispositivo es una medida efectiva para evitar el acceso no autorizado a los datos en caso de pérdida o robo. Es importante recordar que los datos personales, aunque estén cifrados, siguen siendo datos de carácter personal.
  • Mantener una copia de los datos en otro soporte o copia de seguridad es una medida efectiva para combatir la pérdida de disponibilidad de los datos.
  • Contar con una contraseña de bloqueo de pantalla y/o autenticación de usuario en el dispositivo igualmente robusta y conservada de forma segura. Esta última medida de seguridad no es aplicable a dispositivos de almacenamiento extraíbles.

Las tres medidas son importantes, cada una es efectiva sobre diferentes aspectos de la seguridad de los dispositivos, por lo que deben utilizarse de forma conjunta.

En teléfonos inteligentes y tabletas relativamente actuales, la opción de cifrado suele estar activada por defecto, pero es necesario comprobar que efectivamente está activada y que se ha seleccionado un clave de cifrado suficientemente robusta que debe ser mantenida de forma segura.

Para ampliar información sobre estas medidas de seguridad se puede consultar la Ficha 1 de la Guía de privacidad y seguridad en internet de la AEPD.

En todo caso, antes de utilizar dispositivos portátiles, cualquier organización debería regular en la política de seguridad su uso basándose en un análisis de los riesgos que presentan según las características particulares de los tratamientos de datos que realiza.

En la política de seguridad se debe establecer si se permite o no su utilización, y en caso afirmativo, cuáles son las medidas a aplicar para minimizar el riesgo, como por ejemplo establecer qué tipo de dispositivos se pueden utilizar; qué tipo de información se puede almacenar en estos dispositivos; las categorías de datos; establecer limitaciones de tamaño; autorizar únicamente aquellos que sean estrictamente necesarios; mantener un inventario de estos dispositivos; garantizar la seguridad de los dispositivos y/o equipos a los que se conectan; formar y concienciar a los empleados sobre los riesgos, así como de la necesidad de cifrar  y hacer copias de seguridad. Sobre todo, se debe ser consciente del riesgo de pérdida o robo de estos dispositivos y tener previsto un plan de actuación para poder responder lo más rápidamente y de forma efectiva.

Tanto la efectividad de las medidas aplicables, como la conveniencia de utilizar estos dispositivos o sustituirlos por otras soluciones, debe revisarse periódicamente dentro de los planes de gestión del riesgo de la organización.

¿Qué hacer en caso de pérdida o robo?

En cuanto tengamos indicios de la pérdida o robo de un dispositivo debemos empezar a actuar lo antes posible.

En caso de que el dispositivo contenga datos de carácter personal se tendrá que, como mínimo, hacer frente a las obligaciones establecidas en los artículos 33 y 34 del RGPD.  En general, el primer paso será poner el incidente en conocimiento del responsable de tratamiento para que se pueda activar el plan de actuación. El responsable tiene que saber exactamente qué información contenía el dispositivo y disponer de un plan de actuación para poder gestionar el incidente de seguridad.

En particular, si se trata de una brecha de seguridad que afecta a datos personales se deberá notificar la misma a la AEPD cuando exista un riesgo para los derechos y libertades para las personas físicas dentro del plazo de 72h desde que se conoce el incidente. Además, se deberá comunicar a los afectados cuando este riesgo sea alto.

La valoración de estas circunstancias y la decisión sobre notificar a la AEPD y a los afectados corresponde al responsable de tratamiento.

En general, para dispositivos de almacenamiento extraíbles, siempre que los dispositivos estén cifrados con un algoritmo criptográficamente fuerte, la clave de cifrado sea robusta y no se haya visto comprometida, y se disponga de una copia de seguridad de los datos, se podría considerar que la confidencialidad e integridad de los datos no están comprometidas y por tanto no es necesario notificar la brecha a la AEPD ni a los afectados, siempre y cuando el riesgo principal derive de la falta de disponibilidad de dicha información.

Para el caso de dispositivos con sistema operativo, como son teléfonos inteligentes, tabletas y ordenadores portátiles, habrá que considerar además si los mecanismos y las credenciales de autentificación de usuarios en el sistema operativo, o patrón/clave de desbloqueo en caso de teléfonos inteligentes y tabletas, son suficientemente robustas y no han sido comprometidas para tomar la decisión de notificar la brecha de seguridad.

En cualquier caso, los detalles de la brecha de seguridad deberán quedar registrados en el registro de incidentes de seguridad de la organización.

ASPECTOS GENERALES DE LOS DATOS DE SALUD. HISTORIA CLÍNICA



Los datos personales relativos a la salud son considerados como datos sensibles, especialmente protegidos, y, tras la publicación del RGPD, como una categoría especial de datos personales.

Dos de las cuestiones que se plantean los usuarios de la sanidad es qué informaciones de carácter personal son datos y cuáles no lo son; y el alcance del concepto “personal” en una base de datos sanitaria.

El RGPD define «datos personales» como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Los «datos relativos a la salud» se definen como: “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

También son datos de salud los datos genéticos que son aquellos datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

Por tanto, los datos personales existentes en bases de datos sanitarias son de dos tipos: los que identifican a la persona, tales como nombre y apellidos, dirección, teléfono, DNI, número de tarjeta sanitaria, etc…; y toda la información acerca de su estado de salud, tales como pruebas diagnósticas, cirugías, medicamentos, antecedentes familiares, etc.

Toda esta información personal y de salud constituye la denominada “Historia clínica”, que define la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP) como: el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.

La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro sanitario.

La historia clínica incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente o usuario tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud tanto en el ámbito de atención primaria como de atención especializada.

La finalidad principal de la historia clínica es facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan ese conocimiento veraz y actualizado del estado de salud referido en el párrafo anterior.

Los usuarios de la sanidad se cuestionan quién es el propietario de su historia clínica. Desde la perspectiva de la normativa de protección de datos no se maneja este concepto de propiedad.

Las sanciones han llegado…

Las sanciones han llegado. Tal y como anunciaba a finales del año pasado la AEPD y os informábamos en el boletín de diciembre «Incumpliento, Sanciones y Función Inspectora AEPD», las primeras resoluciones sancionadoras ya están aquí, con multas y apercibimientos adecuados para cada caso. 

Queremos comentar los motivos de las sanciones de algunas de ellas, ya que algunos son reiterados. Echando la vista atrás, recogimos en el post de enero de «Sanciones RGPD-LOPDGDD» las sanciones que impone la normativa.

Hay que tener en cuenta que, para las infracciones señaladas en la LSSICE (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico), se aplicaran los criterios de graduación de las sanciones del artículo 39 bis de la misma y las cuantías establecidas en el art. 39 según la tipología de las infracciones cometidas (recogidas éstas en el artículo 38). 

Ahora sí, pasamos a comentar a través de ejemplos de Procedimientos Sancionadores (de ahora en adelante, PS) resueltos por la AEPD. 

Los PS 60/201943/201944/201967/2019 entre otros, dirimen sobre los envíos de correos, llamadas, SMS comerciales sin el consentimiento para el tratamiento de los datos personales. 

Los motivos que se dirimen en los Procedimientos Sancionadores mencionados son:

  • No tener el consentimiento del interesado: este hecho se expone en los cuatro expedientes escogidos, dado que el articulo 21 de la LSSICE señala que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”. Cuando exista una relación contractual previa y siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente, si que se permite dicho envío.
  • No poner en los envíos comerciales el derecho a la revocación del usuario afectado, tal y como expone el articulo 22.1 de la LLSICE “El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente…”

¿Qué es una comunicación comercial? La LSSICE da la definición (Anexo F, párrafo primero) diciendo que es “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.» 

También nos dice que no se considera comunicación comercial “A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

Queda muy claro por la LSSICE que se prohíben las comunicaciones comerciales de forma expresa sin consentimiento expreso, a excepción de una previa relación contractual lícita.

Además de la aplicación de la LSSICE, aplica el artículo 4.11 del RGPD cuando se estén tratando datos de carácter personal. Dicho artículo expone que el consentimiento es “toda manifestación de voluntad, libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”, y el articulo 6.1.a) del RGPD indica cuando dicho consentimiento es lícito.   

Por el incumplimiento del artículo citado, la AEPD ha impuesto las sanciones pertinentes a las infracciones catalogadas como Leves: en el primer caso, como no hay ninguna agravante del art. 40 LSSICE, la sanción impuesta ha sido de 1.000€; en los otros casos, como había agravantes tipo la reincidencia, intencionalidad o un plazo de tiempo de infracción continuado en el tiempo, las sanciones impuestas han sido de 2.500€ y 3.300€. 

El PS 89/2019 es un apercibimiento a la AMPA de un Colegio por la realización de fotografías a menores, niños del centro escolar, con el fin de comercializar unos calendarios. El afectado que ha interpuesto la reclamación alegó que “solo había dado consentimiento al colegio para el uso de las imágenes del menor”

Dicha infracción es por un tratamiento de datos regulado en el art. 6.1 a) del RGPD, en relación con el artículo 8.1 del RGPD al tratar la imagen de los menores sin el consentimiento de quien ostenta su patria potestad.
En este caso, el AMPA pone medidas, adoptadas tras el incidente, para garantizar que no se realicen ni difundan fotografías sin el consentimiento adecuado y por ello, antes de sancionar, optaron por el apercibimiento del AMPA. 

Hemos visto que, como ya comunicó la AEPD el pasado diciembre La Directora de la Agencia de Protección de Datos (AEPD), Mar España, se comentaba que la horquilla del importe económico era muy amplia y, poco a poco, se iría creando doctrina evaluando cada caso en concreto. La intención de la AEPD es perseguir los incumplimientos graves de la normativa, adecuando la sanción a los medios de que disponga el infractor.

Asociarse en un camino hacia el cumplimiento

Nuestra Consultoría ayuda a nuestros clientes a comprender cómo se aplica la ley de privacidad de la UE a sus organizaciones; ofrece los pasos prácticos y concretos necesarios para lograr el cumplimiento legal; y les ayuda a administrar sus obligaciones continuas después de que su proyecto RGPD-LOPDGDD inicial haya finalizado. Nuestro enfoque estructurado de RGPD-LOPDGDD proporciona un marco de cumplimiento de datos a largo plazo para minimizar el riesgo continuo de posibles multas por violaciones de la protección de datos. Nuestra asociación continua brinda servicios de enlace con el regulador, asesoría y servicios externos de oficiales de protección de datos.

Orientación Académica

Formación a sus Trabajadores

PLANES DE PRIVACIDAD

Adaptados a su Medida

JMSM Privacy Consulting, Consultoría de Protección de Datos Personales.

Calidad, Prestigio y Garantía

SOLUCIONES A MEDIDA

Nuestros Técnicos de Formación en colaboración con el Responsable de Formación de la empresa, desarrillará un plan totalmente personalizado; un programa específico para tu empresa. totalmente hechos a medida, poniendo al alcance de las empresas de todos los sectores soluciones para sus areas funcionales.
La confianza en nuestros servicios, el compromiso con un trabajo bien hecho y la experiencia acumulada nos permiten otorgar un servicio de calidad, es por eso que nos atrevemos a garantizar que nuestros clientes quedarán muy satisfechos con nuestro servicio, de lo contrario se les reintegrará el dinero abonado. En las prestaciones de servicios en los que se acuerdan obj

Garantía de Satisfacción

Nuestra Empresa tiene un Acuerdo de Colaboración por el cual asesoramos a todos nuestros Clientes al mejor precio y la mejor garantía. Somos conscientes que cada tipo de empresa y colaborador necesita un servicio diferente. Nuestra flexibilidad hace posible buscar en prevención de riesgos laborales a la medida de cada perfil. Esta diferenciación cuenta con el denominador

PREVENCIÓN DE RIESGOS LABORALES

Protegemos tu PYME ante los riesgos que puedan surgir durante la actividad cotidiana, permitiendo que te dediques íntegramente al desarrollo de tu negocio. Para pequeñas y medianas empresas e industriasFlexibilidad para crear un seguro a tu medidaDos modalidades: Pyme Activa y Empresa Integral Unificación de riesgos en una sola pólizaAmplia gama de garantíasExcelente rel

SEGUROS PARA PYMES

“Invertir en conocimiento produce siempre los mejores beneficios”

Logotipo
1
Hola, ¿En qué podemos ayudarle?
Powered by