RGPD El artículo 25 trata de la protección de datos desde el diseño y por defecto.
Este concepto garantiza que el controlador de datos considere la privacidad del interesado en cada etapa de su operación y diseñe operaciones de procesamiento de datos que coloquen al RGPD en el centro de un conjunto de objetivos.
Para lograr esto, las organizaciones deben primero definir un conjunto distinto de objetivos de privacidad, antes de emprender la ingeniería y posterior implementación de una operación de procesamiento de datos (o, por proxy, un producto).
Protección de datos por diseño y por defecto
- Teniendo en cuenta el estado de la técnica, el coste de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas que plantea el tratamiento, el responsable del tratamiento deberá, tanto en el momento de determinar los medios de procesamiento como en el momento del procesamiento en sí, implementar medidas técnicas y organizativas apropiadas, como la seudonimización, que estén diseñadas para implementar principios de protección de datos, como la minimización de datos, de manera efectiva. manera e integrar las salvaguardias necesarias en el procesamiento para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
- El responsable del tratamiento implementará medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se procesen los datos personales que sean necesarios para cada propósito específico del procesamiento. Esa obligación se aplica a la cantidad de datos personales recopilados, el alcance de su procesamiento, el período de su almacenamiento y su accesibilidad. En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas.
- Un mecanismo de certificación aprobado de conformidad con el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos establecidos en los apartados 1 y 2 de este artículo.
Protección de datos por diseño y por defecto
- Teniendo en cuenta el estado de la técnica, el coste de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas que plantea el tratamiento, el responsable del tratamiento deberá, tanto en el momento de determinar los medios de procesamiento como en el momento del procesamiento en sí, implementar medidas técnicas y organizativas apropiadas, como la seudonimización, que estén diseñadas para implementar principios de protección de datos, como la minimización de datos, de manera efectiva. manera e integrar las salvaguardias necesarias en el procesamiento para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
- El responsable del tratamiento implementará medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se procesen los datos personales que sean necesarios para cada propósito específico del procesamiento. Esa obligación se aplica a la cantidad de datos personales recopilados, el alcance de su procesamiento, el período de su almacenamiento y su accesibilidad. En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas.
- Un mecanismo de certificación aprobado de conformidad con el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos establecidos en los apartados 1 y 2 de este artículo.
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
Cuando una organización se propone diseñar una operación de procesamiento de datos que cumpla con la protección de datos "por diseño" y "por defecto", hay varios factores importantes a tener en cuenta:
Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.
La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.
Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.
Esto incluye:
Las organizaciones deben utilizar acuerdos de confidencialidad (NDA) y acuerdos de confidencialidad para proteger la divulgación intencional o accidental de información confidencial a personal no autorizado.
Al redactar, implementar y mantener dichos acuerdos, las organizaciones deberían:
Las leyes de confidencialidad varían de una jurisdicción a otra, y las organizaciones deben considerar sus propias obligaciones legales y regulatorias al redactar NDA y acuerdos de confidencialidad (consulte ISO 27002 Controles 5.31, 5.32, 5.33 y 5.34).
Las organizaciones deben garantizar que el ciclo de vida del desarrollo se cree teniendo en cuenta la protección de la privacidad.
Para lograr esto, las organizaciones deberían:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
El sistema organizacional debe diseñarse, documentarse, implementarse y mantenerse teniendo en cuenta la protección de la privacidad:
Los principios de ingeniería deben analizar:
Los principios de ingeniería deben tener en cuenta:
La ingeniería de sistemas seguros debe abarcar:
Las organizaciones deberían adoptar un enfoque de seguridad de "confianza cero".
Cuando la organización subcontrata el desarrollo a organizaciones de terceros, se deben hacer esfuerzos para garantizar que los principios de seguridad del socio estén alineados con los propios de la organización.
Las organizaciones también deben procesar PII solo si es relevante, proporcional y necesaria para cumplir un propósito declarado, incluido:
Artículo del RGPD | Cláusula ISO 27701 | Controles ISO 27002 |
---|---|---|
Artículo 25 (3) del RGPD UE | ISO 27701 5.2.1 | Ninguna |
Artículo 25, apartado 1, letra f) del RGPD UE | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
Artículo 25 (1) del RGPD UE | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
Artículo 25 (1) del RGPD UE | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
Artículo 25 (2) del RGPD UE | ISO 27701 7.4.2 | Ninguna |
Le proporcionamos un entorno prediseñado donde puede describir y demostrar cómo protege los datos de sus clientes europeos y del Reino Unido.
La plataforma ISMS.online tiene orientación integrada en cada paso combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que el esfuerzo requerido para demostrar su enfoque hacia el RGPD se reduce sustancialmente.
También se beneficiará de una gama de potentes funciones que le permitirán ahorrar tiempo.
Descubre más por reservando una breve demostración de 30 minutos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración