El documento presenta un catálogo de 12 amenazas generales relacionadas con la protección de datos personales según el RGPD, incluyendo posibles pérdidas económicas, daños a la reputación o pérdida de clientes por incumplimientos regulatorios, carencia de medidas de seguridad, falta de legitimación o transparencia en el tratamiento de datos, y deficiencias en la gestión de derechos de los afectados y encargados de tratamiento.
0 calificaciones0% encontró este documento útil (0 votos)
209 vistas2 páginas
El documento presenta un catálogo de 12 amenazas generales relacionadas con la protección de datos personales según el RGPD, incluyendo posibles pérdidas económicas, daños a la reputación o pérdida de clientes por incumplimientos regulatorios, carencia de medidas de seguridad, falta de legitimación o transparencia en el tratamiento de datos, y deficiencias en la gestión de derechos de los afectados y encargados de tratamiento.
Descripción original:
Catálogo de amenazas para la seguridad de los sistemas de información según RGPD
El documento presenta un catálogo de 12 amenazas generales relacionadas con la protección de datos personales según el RGPD, incluyendo posibles pérdidas económicas, daños a la reputación o pérdida de clientes por incumplimientos regulatorios, carencia de medidas de seguridad, falta de legitimación o transparencia en el tratamiento de datos, y deficiencias en la gestión de derechos de los afectados y encargados de tratamiento.
El documento presenta un catálogo de 12 amenazas generales relacionadas con la protección de datos personales según el RGPD, incluyendo posibles pérdidas económicas, daños a la reputación o pérdida de clientes por incumplimientos regulatorios, carencia de medidas de seguridad, falta de legitimación o transparencia en el tratamiento de datos, y deficiencias en la gestión de derechos de los afectados y encargados de tratamiento.
Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
Descargar como docx, pdf o txt
Está en la página 1/ 2
CATALOGO DE AMENAZAS RGPD
1- GENERALES
- Por incumplimiento de la legislación sobre protección de datos personales:
Pérdidas económicas y daños reputacionales. - Por incumplimiento de la legislación sectorial con incidencia en la protección de datos: Pérdidas económicas y daños reputacionales. - Por carencia de medidas de seguridad adecuadas con pérdidas de datos personales Pérdidas económicas, pérdida de clientes y daños reputacionales. - Deficiente gestión de la privacidad: Pérdida de competitividad del producto o servicio. - Falta de conocimiento experto sobre protección de datos y comunicación con los afectados. - Incorporación tardía de expertos en protección de datos (DPO) o deficiente en funciones y competencias.
2- LEGITIMACIÓN DE LOS TRATAMIENTOS Y CESIONES DE DATOS PERSONALES
- Tratar o ceder datos personales cuando no es necesario por la finalidad. - Carecer de legitimación para tratamiento o cesión de datos personales. - Obtención de consentimiento dudoso o inválido para el tratamiento o cesión de datos personales. - Dificultar la revocación del consentimiento u oposición a un tratamiento o cesión. - Dificultar la legitimidad de la recogida y la cesión de datos personales provenientes de terceros. - Solicitar y tratar datos especialmente protegidos sin necesidad o sin salvaguardias - Añadir datos personales de forma no prevista para la finalidad inicial y sin información al afectado por al conectar bases de datos de la organización o terceros con reidentificación de información disociada. - Impedir la utilización anónima de un producto o servicio cuando no resulta indispensable.
3-TRANSFERENCIAS INTERNACIONALES - No obtención de las autorizaciones legales necesarias - Acceso secreto a los datos personales por parte de autoridades de terceros países. - Carencia de mecanismos de control de cumplimiento de las garantías establecidas. - Impedimentos del importador para el ejercicio de procedimientos de supervisión y control pactados. - Incapacidad de ayudar a los ciudadanos en el ejercicio de sus derechos ante el importador.
4- NOTIFICACIÓN Y REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO
- No poseer mecanismos o procedimientos para: Registrar la creación, modificación o cancelación de actividades de tratamiento. Realizar el EIPD o la consulta a la autoridad de control.
5-TRANSPARENCIA DE LOS TRATAMIENTOS
- Recoger datos personales sin proporcionar información debida o de manera fraudulenta. - En portales web: Ubicar información de protección de datos en lugares de difícil localización o diseminada. - Redactar la información de protección de datos en un lenguaje oscuro e impreciso.
6- CALIDAD DE LOS DATOS
- Solicitar datos innecesarios para las finalidades del producto o servicio. - Utilizar datos personales para finalidades no especificadas o incompatibles con las declaradas. - Existencia de errores técnicos u organizativos que propicien la falta de integridad de la información. - Datos transaccionales, de navegación o geolocalización para elaboración de perfiles y decisiones automáticas (en particular las que pertenecen a colectivos vulnerables). - Utilización de metadatos para finalidades no declaradas o incompatibles con las declaradas. - Realizar deducciones erróneas con inteligencia artificial, reconocimiento facial o análisis biométricos. - No poseer procedimientos para garantizar la cancelación de oficio de los datos al final del ciclo de vida.
7 -CATEGORÍAS ESPECIALES DE DATOS
- Errores al recabar el consentimiento expreso cuando este sea la causa que legitima su tratamiento. - Asunción errónea de la existencia de una habilitación legal para el tratamiento categorías especiales. - Disociación deficiente que permita la reidentificación de datos categorías especiales en procesos de investigación con datos anónimos
8- DEBER DE SECRETO - Accesos no autorizados a datos personales. - Violaciones de la confidencialidad de los datos personales por parte de empleados.
9- TRATAMIENTOS POR ENCARGO
- Inexistencia de contrato con ET o incorrecto que no refleje las garantías adecuadas. - Gestión deficiente de las subcontrataciones e insuficiente control sobre encargados y subcontratistas. - No definición o deficiencias en los procedimientos para comunicar al RT el ejercicio de los derechos de los interesados realizados ante los ET. - Dificultades para la portabilidad de los datos personales a otros una vez finalizado el contrato. - Falta de diligencia (o dificultad para demostrarla) en la elección del encargado de tratamiento.
10- DERECHOS DE LOS INTERESADOS
- Dificultar o imposibilitar el ejercicio de los derechos de los interesados. - No poseer procedimientos para la gestión de los derechos de los interesados. - No poseer procedimientos para rectificaciones, cancelaciones u oposiciones a los cesionarios de datos.
11- SEGURIDAD - Inexistencia de responsable de seguridad o deficiente definición de sus funciones. - Inexistencia de política de seguridad. - Deficiencias que permitan que personas no autorizadas accedan y sustraigan datos personales: Organizativas. Técnicas. - Imposibilidad de identificar a un usuario las acciones que lleva a cabo en un sistema de información. - Uso de identificadores que revelan información del afectado. - Deficiencias en la protección de la confidencialidad de la información. - Falta de formación sobre las medidas de seguridad que están obligados a adoptar y sus consecuencias. - Existencia de incentivos para obtener la información ilícitamente por su valor (económico, político, social, laboral, etc.) para terceros no autorizados.
12- OTROS - Cortes de energía eléctrica (no existencia de SAI, deficiencia en suministro eléctrico,..) - Pérdida de datos (no realizar copias de seguridad, no procedimientos de verificación de copias, …). - Fuego (inexistencia o no adecuada de medidas contra el fuego, …). - Accesos de personas no autorizadas (sin contraseña, contraseña poco robusta, no control accesos,...) - Personal que deja la compañía (única persona en un puesto, …)
