redseguridad 082

20 red seguridad tercer trimestre 2018 administración entrevista obliga a informar de los inci- dentes, parece que el con- cepto de "ventanilla única" desaparece en el caso de las brechas de datos. ¿Podría haber incompatibilidades en este sentido? El RGPD obliga a notificar aquellos casos en los que la brecha suponga un perjuicio para los derechos y libertades de las personas. En conse- cuencia, sigue siendo necesa- ria la existencia de ventanillas para aquellos casos en los que la brecha no afecta a los derechos y libertades de las personas. La Agencia seguirá manteniendo el canal de notifi- caciones de brechas de segu- ridad, sin perjuicio de la futura plataforma común de incidentes a la que refiere la disposición adicio- nal tercera del Real Decreto-ley de Seguridad de las Redes y Sistemas de Información. ¿Qué criterios empleará la AEPD para determinar si la evaluación de impacto o el análisis de riesgos que han de realizar las compañías respecto a sus datos es adecuado? Cuando un responsable decide con- sultar a Unidad Tecnológica de la Agencia porque considera que no puede eliminar los riesgos que ha encontrado tras haber realizado el correspondiente análisis, la AEPD estudia la documentación aporta- da, analiza los riesgos detectados e informa al responsable sobre la licitud del tratamiento si este fuera posible con unas salvaguardas adicionales. Con carácter general, analizamos la información siguiendo las pautas que se han planteado en nuestras guías de análisis de riesgos y evalua- ciones de impacto en protección de datos, que recogen una metodología adecuada tanto para evaluar el nivel de riesgo como para establecer las medidas de control más adecuadas para minimizarlo. Ambas guías, dis- ponibles en la página web de la Agencia, incluyen además plantillas y anexos de gran utilidad para empre- sas y profesionales a la hora de reali- zar estos procesos. aplicación de las medidas proactivas de cumplimiento y a las pruebas aportadas que permitan demostrarlo. El Reglamento deja abierta la opción de que los Estados sancio- nen o solo adviertan a las admi- nistraciones públicas que incum- plan. Si en España no se las va a sancionar, ¿cómo van a garantizar que se cumple la normativa y que los datos de los ciudadanos van a estar seguros? El Proyecto de Ley Orgánica que se está tramitando no establece, en su actual redacción, sanciones económicas a las entidades recogi- das en su artículo 77, y contempla otras actuaciones para garantizar el cumplimiento, siguiendo la línea de la LOPD vigente. Entre esas actuacio- nes se incluye el establecimiento de medidas para que cese la conducta o se corrijan los efectos de la infrac- ción cometida, la proposición para que se inicien actuaciones discipli- narias o la comunicación al Defensor del Pueblo de la resolución dictada. En cuanto a la notificación de inci- dentes de seguridad, las empre- sas habrán de dirigirse a la autori- dad competente en la materia. No obstante, teniendo en cuenta que también se acaba de aprobar la nueva Ley de Sistemas y Redes de la Información, donde también se El Esquema de Certificación de Delegados de Protección de Datos facilita un punto de referencia para tratar de evitar cualificaciones de baja cali- dad. Este esquema ha des- pertado interés tanto dentro como fuera de España, pero nuestro objetivo es ofrecer un modelo para los profesiona- les de la protección de datos en España. Varias entidades se han interesado en él, y puede consultarse tanto en nuestra web como en la pági- na de la Entidad Nacional de Acreditación. El esquema beneficia tanto a aquellos que tienen que incor- porar esta figura a sus organi- zaciones como a los profesio- nales de la privacidad. Los primeros tienen la opción de elegir a personas que disponen de una cualificación que ha sido demostrada ante un tercero (entidad de certificación acre- ditada) y el profesional dispone de un marco de referencia con el que enca- minar su formación si así lo desea. En cualquier caso, es importante men- cionar que la certificación no es la única vía para ser DPD, que en ningún caso es obligatorio utilizar un determi- nado esquema y que puede ejercerse la función de DPD a través de otros procesos formativos o de experiencia en la materia. En cuanto a las sanciones que incluye el Reglamento, usted ha expresado en alguna ocasión que antes de multar se optará por otras medidas, como apercibir a las empresas que no cumplan. ¿Se aplicará esto en todos los casos? Se ha hablado mucho del régimen de sanciones del RGPD destacan- do las cifras más elevadas, pero el Reglamento también prevé otras opciones, un conjunto de medidas correctivas que pueden aplicarse con flexibilidad para garantizar el cumplimiento sin tener que llegar a la imposición de multas, como las advertencias o los apercibimientos. La adopción de unas u otras estará vinculada, entre otros aspectos, a la diligencia que se haya tenido en la