RGPD y el tercer sector

Reglamento General de Protección de Datos (RGPD)
 

¿Qué es el RGPD?

El RGPD es una nueva regulación que apunta a fortalecer los derechos individuales de protección de datos dentro de la Unión Europea. Sustituye a la Directiva de 1995 para hacer que la protección de datos sea sostenible en la UE a largo plazo, al tiempo que unifica la legislación nacional.

Las organizaciones podrán aprovechar al máximo las oportunidades de un mercado único digital, reduciendo la burocracia y beneficiándose de una mayor confianza de su base social.

Será de obligada aplicación a partir del 25 de mayo de 2018.

 

Diferencias con la LOPD (Ley Orgánica de Protección de Datos)

Las principales novedades que establece la nueva norma son las siguientes:

  • Será recomendable y en algunos casos obligatorio designar un Delegado de Protección de Datos (DPD), interno o externo, que asista a las organizaciones en el proceso del cumplimiento normativo.
  • Desaparecen los niveles de seguridad actualmente existentes (alto, medio, bajo).  En ciertos casos, se deberán realizar evaluaciones de impacto sobre la privacidad, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
  • Se introduce el concepto de ventanilla única, que permitirá a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos de su lugar de residencia, de su lugar de trabajo o del lugar donde se hubiera cometido la presunta infracción, independientemente del domicilio de la organización denunciada.
  • Las brechas de seguridad deberán ser comunicadas a las autoridades de control y, en determinados supuestos, también a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
  • Datos sensibles: se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
  • La selección de un encargado del tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.
  • Garantías adicionales para las transferencias internacionales de datos: establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la unión europea.
  • Sellos y certificaciones: se prevé que se creen sellos y certificaciones que permitan acreditar el cumplimiento por parte de las organizaciones.
  • Desaparece la obligación de inscribir los ficheros, que se sustituye por un control interno y, en algunos casos, un inventario de las actividades de tratamiento de datos que se realicen.
  • Sanciones: las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las administraciones públicas, aunque los estados miembros pueden acordarlo así).
  • Se introducirán los términos privacidad por diseño y privacidad por defecto.  La privacidad en el diseño busca que las organizaciones intenten evitar invasiones en la privacidad durante el diseño y la privacidad por defecto persigue que la privacidad se proteja en todo momento y de forma predeterminada.
  • Se crearán nuevos derechos.  Se añadirán a los actuales derechos de acceso, rectificación, cancelación y oposición, los derechos a la limitación del tratamiento y a la portabilidad de los datos.
  • Cuando se recaben datos personales, la información que se facilite a los afectados deberá ser más extensa que en la actualidad.  Por ejemplo, habrá que indicar el plazo de conservación de los datos personales, los datos de contacto del DPD y la base jurídica del tratamiento, entre otros.
  • Se verá modificada la figura del consentimiento.  El consentimiento será toda manifestación de voluntad libre, específica, informada que conlleve una aceptación inequívoca del usuario, ya sea mediante una declaración o a través de una acción afirmativa.  Los silencios y las casillas premarcadas no serán formas válidas de obtención del consentimiento.

 

¿Cómo afecta la RGPD al Tercer Sector?

El Tercer Sector, se ve afectado directamente por la RGPD debido a la gran cantidad de datos que maneja.  La Protección de Datos obliga a profesionales, organizaciones o entidades que en sus actividades diarias tratan con datos de carácter personal al cumplimiento de ciertas obligaciones y medidas de seguridad con el fin de garantizar los derechos de los titulares de los datos tratados.

 

¿Cómo puedo gestionar mi base de datos para cumplir con el RGPD?

Cuando se utilizan programas para gestionar grandes volúmenes de información, el riesgo de que ésta se pierda o se filtre es bastante grande, sobre todo si no se toman las medidas pertinentes. Si todos los colaboradores tienen acceso a ella, las posibilidades de que sea vista o utilizada por quien no debe, aumentan considerablemente.

Sin embargo, al trabajar con un software CRM (Customer Relationship Management), una organización no sólo contará con información mucho más detallada y ordenada, sino que además tendrá un nivel de seguridad óptimo para el manejo de estos datos.

 

¿Cómo puede un programa como CiviCRM ayudarme?

CiviCRM es una solución CRM libre, gratuita y de código abierto que, a diferencia del software propietario, está desarrollado y mantenido por la comunidad de usuarios, implementadores y desarrolladores en todo el mundo. Al estar orientado al Tercer Sector y ser de código abierto cuenta con aportes de miles de usuarios en todo el mundo lo que hace que el programa pueda evolucionar rápidamente adecuándose a los nuevos retos, entre ellos los nuevos requisitos de la RGPD.

Auditoría de las Preferencias de Comunicaciones

CiviCRM tiene una extensa configuración que facilita el registro y la auditoría, asegurando que cada cambio en la base de datos pueda ser revisado. Las pautas del RGPD requieren que las opciones de alta y baja estén disponibles para el usuario y que la organización pueda ver estas opciones.

La comunidad de CiviCRM está desarrollando extensiones relacionadas con el nuevo RGPD que garantizarán que los cambios en las preferencias de comunicación se registren como una actividad de CiviCRM, entre otras funcionalidades.  Estas actividades incluirán los requisitos de las directrices del RGPD

 

¿Cómo puede un servicio en la nube como Civi-Go ayudarme?

Civi-Go es un servicio de CiviCRM en modalidad SaaS (Software as a service) o también llamada «en la nube». El servicio de Civi-Go está diseñado, operado y mantenido por nuestros profesionales. Este servicio nos permite ofrecer a las organizaciones la posibilidad de utilizar CiviCRM de una manera rápida, sencilla y segura:

  • No son necesarias instalaciones, configuraciones ni tareas técnicas
  • El servicio está totalmente gestionado, monitorizado y respaldado
  • Ya está listo para utilizar, incluso enviar correos masivos
  • Civi-Go es muy rápido y seguro

Utilizar un servicio como Civi-Go, ayuda a cumplir los requerimientos de seguridad que el RGDP requiere:

Autenticación de dos factores

Con procedimientos de seguridad estándar (especialmente en línea), al requerir simplemente un nombre de usuario y contraseña, cada vez es más fácil para los delincuentes acceder a datos privados del usuario como detalles personales y financieros y luego usar esa información para cometer actos fraudulentos, generalmente de naturaleza financiera.

Por este motivo se introducirán la autenticación de 2 factores con Google Authenticator.
 

Gestión de sesión de usuario

De acuerdo con el enfoque 2FA (autenticación de dos factores), creemos que una posible debilidad en la seguridad es que los usuarios dejen sus ordenadores conectados sin supervisión o sin cerrar la sesión o cerrar el navegador. Esto podría permitir el acceso no autorizado a los datos. Para minimizar este riesgo, reduciremos la cantidad de tiempo que una sesión iniciada permanece activa en CiviCRM mientras está inactivo.
 

Contraseñas Débiles

Los usuarios a menudo usan la misma contraseña en varios sistemas y, por lo tanto, los compromisos en los sistemas externos pueden dejar el registro de usuario de CiviCRM vulnerable al abuso. Por este motivo se introducirán sistemas de caducidad de contraseñas, obligando a todos los usuarios a restablecer sus contraseñas dentro de un cierto período de tiempo.

 

Copias de seguridad

Con el fin de proteger los datos de los clientes y garantizar la integridad de las copias de seguridad se mantienen en al menos dos ubicaciones. Esto garantiza que, si el servidor de alojamiento está comprometido de alguna manera, incluidos fallos de hardware, las copias de seguridad estarán disponibles fuera del sitio.

 

Cifrado de las bases de datos

Una de las técnicas recomendadas por las directivas RGPD para mitigar el riesgo, es garantizar que las bases de datos estén encriptadas. Todas las instalaciones de Ixiam están configuradas para acceder a través de protocolos HTTPS, asegurando que la transmisión de datos entre la máquina del cliente y el servidor esté encriptada, como lo haría cualquier portal de comercio. A su vez, todas las bases de datos (y sus correspondientes copias de seguridad) de los clientes de Civi-go están encriptadas y securizadas.

 

Ixiam Global Solutions

Ixiam Global Solutions es una consultora tecnológica donde se realizan proyectos utilizando herramientas de código abierto (Open Source) con entidades que buscan generar un impacto social.

Desde 2007, ofrecemos servicios en todas las etapas de los ciclos de vida del proyecto, desde el análisis hasta la implementación y el soporte. Estamos dedicados al Tercer Sector y conocemos bien las necesidades específicas en este ámbito. También contribuimos regularmente a la comunidad CiviCRM desarrollando y lanzando extensiones.

Entre los servicios que ofrecemos están los siguientes:

Proyectos CiviCRM

  • Formación a medida
  • Normalización y migración de datos
  • Configuración e Implementación
  • Integración con la web
  • Desarrollo de Módulos a medida

Si necesita asesoramiento en el uso de un CRM para su proceso de adaptación al Reglamento General de Protección de datos (de obligado cumplimiento a partir del 25 de mayo del 2018) puede consultarnos en info@ixiam.com

Escrito por Carolina Bardisa, consultora CiviCRM y Fundraising

Entradas Relacionadas:

Si tienes alguna duda ¡Escríbenos!