Fellowes_NIS-2_GDPR_Guide_ES

Page 1

AUMENTA LA SEGURIDAD DE TUS DATOS

con Fellowes

Guía para entender el RGPD y la NIS-2

Incorpora la protección de datos en tu actividad diaria

INTRODUCCIÓN

¿Por qué es tan relevante la protección de datos?

En un entorno cada vez más digitalizado, marcado por amenazas cibernéticas y riesgos constantes para la privacidad, la protección de datos ha dejado de ser opcional. Salvaguardar la información personal y corporativa es fundamental, y cumplir con la normativa vigente es clave para evitar sanciones, proteger la reputación y garantizar la responsabilidad empresarial.

Normativas como el RGPD y la nueva directiva NIS-2 obligan a las organizaciones a proteger los datos sensibles de forma responsable, tanto en formato físico como digital. El incumplimiento puede acarrear multas significativas, pérdida de confianza y, en algunos casos, responsabilidad directa para los equipos directivos.

Esta guía ofrece una visión clara de ambas regulaciones, ayudándote a entender tus obligaciones y a actuar con seguridad para asegurar el cumplimiento normativo.

Refuerza la seguridad.

Protege tu empresa.

Cumple con la normativa.

¿Qué se considera dato personal?

Los datos personales son cualquier información que permita identificar, directa o indirectamente, a una persona física. Pueden encontrarse en formato digital o físico, y su protección debe ser integral.

Nombres y apellidos

Dirección postal

Número de identificación (DNI, seguridad social)

Imágenes captadas por cámaras de videovigilancia

Proteger los datos implica salvaguardar tanto la información digital como la documentación en papel. Una brecha de seguridad puede producirse en cualquiera de los dos formatos.

¿QUÉ ES LA NIS-2?

Reforzando la ciberseguridad en Europa

La Directiva sobre la Seguridad de las Redes y de la Información (NIS-2) es la nueva legislación de la Unión Europea destinada a mejorar la ciberseguridad y la resiliencia operativa en sectores estratégicos. Entró en vigor en 2023 y debe ser implementada por todos los Estados miembros antes del 17 de octubre de 2024, según lo establecido en el artículo 41 de la directiva.

NIS-2 reconoce que las economías actuales dependen de la infraestructura digital, y que los incidentes cibernéticos pueden provocar interrupciones graves con consecuencias económicas y sociales. Por ello, la normativa se aplica tanto a entidades esenciales como a entidades importantes.

Si tu organización desempeña un papel relevante en la economía o en la sociedad —incluso de forma indirecta— es probable que esté incluida en el ámbito de aplicación de NIS-2. La directiva clasifica los sectores en dos categorías: ¿A quién afecta?

Entidades esenciales:

Infraestructura digital

Gestión TIC

Administración pública

Servicios postales y de mensajería

Aguas residuales

Entidades importantes:

Infraestructuras de mercados financieros Gestión de residuos

Producción química

Agua potable

Investigación

Producción alimentaria

Proveedores de servicios digitales

Los dos principios de la NIS-2

Las empresas incluidas en el ámbito de NIS-2 deben implementar medidas preventivas y mecanismos de respuesta.

Deber de diligencia:

Las organizaciones deben implementar medidas técnicas, operativas y organizativas proporcionales para garantizar la seguridad digital y la continuidad. Esto incluye la protección de sistemas informáticos, la evaluación de vulnerabilidades, la gestión de riesgos en la cadena de suministro y la implicación directa de la dirección.

Deber de notificación:

Las organizaciones deben notificar a la autoridad nacional competente sobre incidentes significativos. Las interrupciones importantes deben notificarse en 24 horas, mientras que otros incidentes en 72 horas. Un informe final detallado debe presentarse en un mes.

Sanciones por incumplimiento:

El incumplimiento de la NIS-2 puede tener graves consecuencias financieras y operativas:

MULTAS

de hasta

10 millones de euros

o el 2 % de la facturación global anual para entidades esenciales

MULTAS de hasta

7

millones de euros €

o el 1,4 % de la facturación global anual para entidades importantes

Además, los directivos pueden ser considerados responsables a título personal, lo que incluye posibles vetos temporales o permanentes para operar en determinados sectores.

El riesgo oculto: las brechas de seguridad en papel

Aunque la NIS-2 se centra en la resiliencia digital, los riesgos físicos no deben subestimarse. Cualquier incidente que implique la pérdida, el robo o la divulgación indebida de datos personales —incluidos los documentos en papel no gestionados de forma segura— también está contemplado por la normativa. Piensa en ejemplos cotidianos: contratos tirados a la basura, hojas de cálculo olvidadas en escritorios, archivos de RR. HH. en armarios sin llave o facturas depositadas en contenedores de reciclaje sin protección. Cada uno de estos escenarios puede exponer a tu empresa a sanciones y dañar seriamente su reputación.

¿QUÉ ES EL RGPD?

Protección de los datos personales

El Reglamento General de Protección de Datos (RGPD) regula desde 2018 el tratamiento de datos personales en la Unión Europea y el Reino Unido. Su objetivo es garantizar que los datos se gestionen de forma lícita, transparente y segura, respetando los derechos de las personas.

Los 6 principios fundamentales del RGPD

Toda estrategia de protección de datos debe basarse en estos principios:

1. Licitud, lealtad y transparencia: los datos deben tratarse de forma legal, justa y comprensible para el interesado.

2. Limitación de la finalidad: los datos deben recogerse con fines específicos, explícitos y legítimos, y no utilizarse posteriormente para otros fines incompatibles.

3. Minimización de datos: solo deben tratarse los datos estrictamente necesarios para cada finalidad.

4. Exactitud: los datos deben mantenerse actualizados; las inexactitudes deben corregirse o eliminarse sin demora.

5. Limitación del plazo de conservación: los datos deben conservarse solo durante el tiempo necesario para cumplir con la finalidad del tratamiento.

6. Integridad y confidencialidad: los datos deben protegerse mediante medidas técnicas y organizativas adecuadas que garanticen su seguridad.

¿Cuándo hay que informar sobre brechas de seguridad?

Toda brecha de seguridad que afecte a datos personales debe notificarse a la autoridad de control (en España, la AEPD) en un plazo máximo de 72 horas desde que se tenga constancia del incidente. En algunos casos, también debe informarse a las personas afectadas.

de hasta

El RGPD contempla sanciones económicas significativas: Sanciones por incumplimiento: 20 millones de euros € o el 4 % de la facturación global, lo que sea mayor

NIS-2 vs RGPD

Comprender las diferencias

A continuación, te mostramos una comparativa visual de ambas normativas.

ASPECTO

Enfoque

Ciberseguridad y resiliencia digital en sectores esenciales e importantes

RGPD

Protección de datos personales (digitales y en papel) en cualquier organización que trate datos de ciudadanos de la UE o Reino Unido.

Alcance

Principios clave

Entidades esenciales e importantes (energía, transporte, banca, salud, infraestructura digital, etc.)

Toda organización que recopile, almacene o procese datos personales de ciudadanos de la UE o Reino Unido.

Deber de diligencia y de notificación

Seis principios de protección de datos: licitud, finalidad, minimización, exactitud, conservación limitada, integridad y confidencialidad.

Notificación de brechas

A la autoridad competente: 24h en caso de interrupción grave del servicio, 72h para otros incidentes. Informe final en un mes.

A la autoridad de protección de datos en un máximo de 72h. En algunos casos, también a los afectados.

Sanciones

Responsabilidad directiva

Hasta 10 millones de euros o el 2% de la facturación global (entidades esenciales). Hasta 7 millones de euros o el 1,4% de la facturación global (entidades importantes)

Hasta 20 millones de euros o el 4% de la facturación global, lo que sea mayor.

Los directivos pueden ser responsables personalmente, incluyendo vetos temporales o permanentes.

La organización es sancionada, aunque la responsabilidad puede extenderse a delegados de protección de datos o directivos.

Acciones prácticas

Refuerza tu cumplimiento normativo

Para la mayoría de las organizaciones, cumplir con la NIS-2 y el RGPD requiere una combinación de políticas bien definidas, tecnologías seguras y una implicación activa de los empleados en su actividad diaria.

1

Confirma tus obligaciones

Verifica si tu organización está clasificada como entidad esencial o importante según la NIS-2.

Revisa tus responsabilidades bajo el RGPD y asegúrate de conocer qué datos personales gestionas y con qué finalidad.

2 Fortalece las prácticas de seguridad

Implementa y actualiza regularmente firewalls, sistemas de cifrado y planes de respuesta ante incidentes.

No descuides los riesgos físicos: establece controles para impresiones desatendidas, archivado y destrucción segura de documentos.

3 Define procedimientos de reporte

Establece rutas claras de escalado para la gestion de incidentes.

Asigna responsables para la notificación y documentación de brechas.

Asegúrate de que tu equipo pueda cumplir con los plazos estrictos de notificación (24–72 horas).

4 Forma regularmente a los empleados

Integra la protección de datos en la práctica diaria, más allá de las políticas de TI.

Aborda tanto los riesgos digitales (phishing, contraseñas débiles) como los físicos (almacenamiento y destrucción de papel).

5 Controla el ciclo de vida de los documentos

Establece una política clara de destrucción para documentos obsoletos.

Almacena los documentos sensibles de forma segura hasta su eliminación.

Conserva solo lo necesario: revisa los archivos periódicamente y elimina de forma segura los documentos caducados.

Soluciones Fellowes

Herramientas

prácticas para reforzar el cumplimiento normativo

Desde la destrucción segura hasta el archivado eficiente y la protección visual de la información, las soluciones Fellowes contribuyen a proteger los datos en cada fase de su ciclo de vida, facilitando el cumplimiento de la NIS-2 y el RGPD.

Desafío:

Prevenir brechas de seguridad a partir de documentos impresos.

Solución:

Destructoras de papel: Integrarlas en la política de gestión documental ayuda a minimizar el riesgo de brechas de seguridad. Tritura los documentos en papel que ya no sea necesario conservar para evitar que la información sensible pueda ser recuperada o utilizada indebidamente.

Descubre la gama de destructoras

Desafío:

Almacenar registros físicos de forma segura y sistemática

Solución:

Soluciones de archivo: Mantén tus documentos organizados con sistemas claramente etiquetados y estructurados, como los productos BANKERS BOX®. Estas soluciones permiten transportar y almacenar los archivos de forma segura hasta su destrucción definitiva.

Descubre nuestras soluciones de archivo y organización.

Desafío:

Proteger los datos en pantalla de miradas indiscretas.

Solución:

Filtros de privacidad: Previenen el riesgo de brechas por visualización no autorizada en pantallas. Son ideales para entornos compartidos, trabajo híbrido o espacios abiertos, donde se accede a información confidencial.

Descubre los Filtros de Privacidad PrivaScreen™

Desafío:

Proteger tus dispositivos mientras te desplazas y trabajas en espacios compartidos.

Solución:

Protección para portátiles: El maletín y elevador para portátil Breyta™ con cierre de seguridad protege tu equipo, documentos y accesorios en entornos abiertos. Además, funciona como soporte ergonómico, ideal para el trabajo híbrido.

Descubre la Gama de accesorios ergonómicos Breyta™

La protección de datos ya no es solo responsabilidad del área de TI. Es un compromiso de toda la organización. Alinearse con el RGPD y la NIS-2 e integrar prácticas seguras de gestión documental y de datos en los procesos diarios permite evitar sanciones, generar confianza y mantener la resiliencia operativa.

Haz de la protección de datos una prioridad.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.