GDPR
Cumpla con los requisitos de proteccion de datos de la UE utilizando CyberOrigen.
Vision General
GDPR (Reglamento General de Proteccion de Datos) es la ley integral de privacidad de datos de la UE. Aplica a cualquier organizacion que procese datos personales de residentes de la UE.
Principios Clave
| Principio | Descripcion |
|---|---|
| Licitud | Base legal para el procesamiento |
| Limitacion de Proposito | Propositos especificos y explicitos |
| Minimizacion de Datos | Solo datos necesarios |
| Exactitud | Mantener datos precisos |
| Limitacion de Almacenamiento | No conservar mas de lo necesario |
| Integridad y Confidencialidad | Seguridad del procesamiento |
| Responsabilidad | Demostrar cumplimiento |
Articulos GDPR
Capitulo 2: Principios
| Articulo | Titulo |
|---|---|
| 5 | Principios relativos al procesamiento |
| 6 | Licitud del procesamiento |
| 7 | Condiciones para el consentimiento |
| 8 | Consentimiento de menores |
| 9 | Categorias especiales de datos |
| 10 | Procesamiento de datos penales |
| 11 | Procesamiento sin identificacion |
Capitulo 3: Derechos de los Interesados
| Articulo | Titulo |
|---|---|
| 12 | Informacion transparente |
| 13 | Informacion en la recogida |
| 14 | Informacion cuando no es del interesado |
| 15 | Derecho de acceso |
| 16 | Derecho de rectificacion |
| 17 | Derecho de supresion |
| 18 | Derecho a la limitacion |
| 19 | Obligacion de notificacion |
| 20 | Derecho a la portabilidad |
| 21 | Derecho de oposicion |
| 22 | Decisiones automatizadas |
Capitulo 4: Responsable y Encargado
| Articulo | Titulo |
|---|---|
| 24 | Responsabilidad del responsable |
| 25 | Proteccion de datos desde el diseno |
| 28 | Obligaciones del encargado |
| 30 | Registros de actividades |
| 32 | Seguridad del procesamiento |
| 33 | Notificacion de brecha a autoridad |
| 34 | Notificacion de brecha a interesados |
| 35 | Evaluacion de impacto en proteccion de datos |
| 37 | Delegado de proteccion de datos |
Primeros Pasos
1. Habilitar Marco
- Vaya a GRC → Marcos
- Haga clic en Inscribir en GDPR
- Haga clic en Habilitar
2. Inventario de Datos
Documente el procesamiento de datos personales:
- Identifique categorias de datos
- Mapee flujos de datos
- Documente base legal
- Registre en registro de actividades
3. Evaluacion de Seguridad
Evalue requisitos del Articulo 32:
- Cifrado
- Confidencialidad
- Integridad
- Disponibilidad
- Resiliencia
Controles Clave
Articulo 32 - Seguridad
| Requisito | Funcion CyberOrigen |
|---|---|
| Cifrado | Escaneo TLS/cifrado |
| Confidencialidad | Escaneo de control de acceso |
| Integridad | Verificaciones de integridad de archivos |
| Disponibilidad | Monitoreo de tiempo de actividad |
| Pruebas | Escaneo de vulnerabilidades |
Articulo 25 - Privacidad desde el Diseno
| Principio | Implementacion |
|---|---|
| Proactivo | Evaluacion de riesgos |
| Configuracion por defecto | Verificaciones de configuracion |
| Ciclo de vida completo | Gestion de evidencias |
| Seguridad | Escaneo continuo |
| Visibilidad | Registro de auditoria |
| Centrado en usuario | Controles de acceso |
Derechos de los Interesados
Cumplimiento de Derechos
Rastree y responda a solicitudes de interesados:
| Derecho | SLA | Documentacion |
|---|---|---|
| Acceso (Art. 15) | 30 dias | Log de solicitudes |
| Rectificacion (Art. 16) | 30 dias | Registro de cambios |
| Supresion (Art. 17) | 30 dias | Registro de eliminacion |
| Portabilidad (Art. 20) | 30 dias | Formato de exportacion |
| Oposicion (Art. 21) | 30 dias | Registro de respuesta |
Seguimiento CyberOrigen
- Vaya a GRC → Biblioteca de Controles
- Rastree controles DSR
- Documente procedimientos
- Vincule evidencias
Notificacion de Brechas
Cronograma
| Accion | Plazo |
|---|---|
| Detectar brecha | Lo antes posible |
| Notificar DPA | 72 horas desde conocimiento |
| Notificar interesados | Sin demora indebida |
Que Reportar
- Naturaleza de la brecha
- Categorias de datos afectados
- Numero aproximado de interesados
- Contacto del DPO
- Consecuencias probables
- Medidas tomadas
Soporte CyberOrigen
- Deteccion de vulnerabilidades
- Inteligencia de amenazas
- Documentacion de incidentes
- Seguimiento de remediacion
Requisitos de EIPD
Cuando se Requiere
Evaluacion de Impacto en Proteccion de Datos necesaria para:
- Perfilado sistematico
- Datos especiales a gran escala
- Monitoreo publico sistematico
- Nuevas tecnologias
Proceso de EIPD
- Describir procesamiento
- Evaluar necesidad
- Identificar riesgos
- Mitigar riesgos
- Documentar resultado
Gestion de Proveedores
Acuerdos con Encargados
Rastree requisitos del Articulo 28:
- Vaya a GRC → Proveedores
- Agregue encargados de datos
- Cargue DPAs
- Rastree cumplimiento
Gestion de Subencargados
- Documente subencargados
- Asegure cobertura de DPA
- Monitoree cambios
Mapeo de Controles
GDPR se mapea a otros marcos:
| Articulo GDPR | SOC 2 | ISO 27001 |
|---|---|---|
| Art. 32 Seguridad | CC6.1, CC6.7 | A.8.24 |
| Art. 30 Registros | CC2.2 | A.5.9 |
| Art. 33 Brecha | CC7.3 | A.5.24 |
| Art. 35 EIPD | CC3.1 | 6.1.2 |
Recopilacion de Evidencias
Evidencias Automatizadas
- Informes de escaneo de seguridad
- Revisiones de acceso
- Verificacion de cifrado
- Evaluaciones de configuracion
Evidencias Manuales
- Politicas de privacidad
- Registros de procesamiento
- Registros de consentimiento
- EIPDs
- DPAs con encargados
Brechas Comunes
| Requisito | Problema | Solucion |
|---|---|---|
| Art. 30 | Sin registros de procesamiento | Documentacion |
| Art. 32 | Cifrado debil | Actualizacion de cifrado |
| Art. 33 | Sin proceso de brecha | Plan de respuesta a incidentes |
| Art. 37 | Sin DPO designado | Designacion de DPO |
Sanciones
| Violacion | Multa Maxima |
|---|---|
| Nivel inferior | 10M EUR o 2% ingresos |
| Nivel superior | 20M EUR o 4% ingresos |