Abraham
Muinielo
I.
Consentimiento
expreso e inequívoco, que requiere un consentimiento libre, específico,
informado y demostrable.
II.
Categorías
de datos especiales; origen étnico o racial, opiniones políticas, convicciones
religiosas o filosóficas, afiliación sindical, datos genéticos, datos
biométricos que permitan la identificación unívoca de una persona, datos
relativos a la salud, datos relativos a la vida y orientación sexuales.
III.
Nuevas
obligaciones como encargado del tratamiento; informar de las brechas de
seguridad, comunicar en un máximo de 72 horas los fallos de seguridad así como
la obligación un estudio de riesgo para las empresas que utilicen datos
sensibles.
IV.
Privacy Impact Assessments (PIA´s). Evaluaciones de impacto en protección de datos
(EIPD), siempre que sea probable que las operaciones de tratamiento, entrañen
un alto riesgo para los derechos y libertades de las personas físicas.
V.
Promueve
la creación de perfiles o la seudonimización, relevantes en entornos y procesos
de Cloud Computing y Big Data. Es una medida encaminada a la reducción de
riesgos que consiste en la separación con “barreras” técnicas u organizativas
que impidan la identificación posterior.
VI.
Data
Protection Officer (DPO) | Delegado Protección de datos.Profesionalización de
la figura del responsable de protección de datos (el cual será obligatorio, ya
sea en plantilla o como servicio externalizado, en determinados organismos
y empresas).
VII.
Data
Mapping se trata de elaborar un inventario del flujo de datos; identificar e
registrar las principales bases de datos y posteriormente clasificarlas.
VIII.
Amplia
el concepto de “Dato Personal” ya que incluirá los números de
identificación en línea o de localización.
IX.
Nuevos
derechos para los titulares de datos. A los derechos ARCO (acceso,
rectificación, cancelación y oposición), se suman el derecho a la supresión
(derecho al olvido), derecho a la limitación y derecho de portabilidad).
X.
Tres
principios; accountability o principio de control, rendición de cuentas y
diligencia debida; privacy by design o implementar medidas y procedimientos
técnicos y organizativos apropiados para garantizar el cumplimiento normativo y
la protección de los derechos de los interesados; y, en su caso, garantizar por
defecto el tratamiento de datos para fines concretos o privacy by default.
Este artículo fue publicado en su Blog Fraude
Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e
inquietudes relacionados con el fraude interno, tanto con profesionales de la
auditoria interna como con cualquier empresario o directivo que no disponga de
un departamento de auditoria interna en su organización. Para mayor información
debes visitar: https://fraudeinterno.wordpress.com/.
¿Te ha gustado la información? ¡Compártela con
otro auditor interno!
No hay comentarios:
Publicar un comentario