Reglamento General de Protección de Datos

Quedan pocos meses para que las empresas se adapten a la nueva regulación de Protección de Datos. El 25 de mayo de 2018 entra en vigor el Reglamento General de Protección de Datos de la Unión Europea, también conocido por sus siglas en inglés GDPR. La tecnología puede ayudar a dar respuesta a esa legislación aportando soluciones a sus requerimientos.


El GDPR refuerza y pone en manos de los individuos el control sobre sus datos personales, otorgándoles el derecho sobre la manera en la que se accede a sus datos y cómo retirar ese acceso. Además, las organizaciones tienen que analizar sobre cómo recogen los datos y probar que están protegiéndolos de la mejor manera posible.


El GDPR es aplicable a cualquier compañía que trabaje con datos de usuarios europeos, sin que importe el lugar del mundo donde se encuentren. Y la definición de datos personales va desde los datos básicos de contacto, fotos, direcciones IP, o información relativa a la identidad física, económica, genética, social, etc. de la persona.


El no cumplimiento de esta regulacion puede conllevar multas de hasta 20 millones euros o un 4 por ciento de la facturación anual de la empresa.


El GDPR va a tener un importante impacto en todas estructuras de la compañía, desde la forma en la que se recogen y usan los datos personales, pasando por cómo se procesan, almacenan y transmiten a países fuera de la Unión Europea.


Las compañías han de situar la protección de los datos en el centro de sus procesos de información. Y deben tener muy en cuenta los siguientes aspectos:


  • Estrategia tecnológica: Las organizaciones tendrán que documentar e informar acerca de dónde se encuentran los datos, cómo los recogen, de qué forma se almacenan y quién puede acceder a ellos. 
  • Gestión de las identidades: El GDPR aboga por la necesidad de unas políticas de identidades aplicables, transparentes y documentadas, y también de herramientas para la autorización y autenticación a fin de asegurar la trazabilidad y una mayor seguridad. 
  • Responsabilidad proactiva: ya no será suficiente adoptar una serie de medidas, sino que debemos estar en condiciones de poder demostrar que esas medidas cumplen con el Reglamento y son verdaderamente eficaces. Para ello lo primero sería realizar una evaluación de riesgos de la información que manejamos. 
  • Deja de existir el consentimiento tácito (silencio, casillas ya marcadas, inacción del afectado); se requiere una manifestación de voluntad inequívoca y para cada uno de los fines del tratamiento. Esto obliga a que se recoja la información no sólo para los nuevos usuarios sino para los que ya hacen uso de los aplicativos. Además será necesario indicar, el tipo de información almacenada (DNI, Edad, Religión, etc), usuarios (SEPE, Entidad Bancaria, juzgado, etc), el tipo de uso ( almacenamiento, tratamiento, etc; si se pretende realizar un tratamiento ulterior para un fin distinto, que no sea aquel para el que se recogieron los datos, se deberá previamente informar al interesado), el tiempo que estará almacenado.. etc, de manera explícita. La recogida de la información deberá ser siempre la mínima. 
  • Transparencia en la información: El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo. El objetivo es que las personas se informen y sean conscientes de lo que sucede con los datos que proporcionan. 


La tecnología ha de jugar un papel fundamental en la ayuda de la correcto cumplimiento del GDPR. 


Control del dato. El primer paso es identificar la información que almacenamos y protegerlos de accesos no autorizados. El identificar y controlar los datos personales es el inicio de una correcta aplicación del GDPR. Para ello el conocimiento de los datos tanto estructurados como no estructurados en bases de datos relacionales como herramientas de Big data, es una fase fundamental del proceso.

- Gobierno de identidades y accesos. Las organizaciones necesitan centralizar y gobernar las identidades de los usuarios y gestionar sus accesos en base a privilegios. El uso de sistemas centralizados de autenticación como Active Directory o LDAP son de gran ayuda en este sentido.

- Amenazas. De acuerdo con los términos del GDPR, los responsables del tratamiento de los datos están obligados a informar de cualquier violación de la seguridad sin dilación indebida y en un plazo máximo de 72 horas desde que ésta se produce. Al gestionar el acceso a la información a través de aplicaciones y de privilegios y roles la organizaciones pueden proteger más fácilmente los accesos a la información y reforzar la detección y notificación de las violaciones de seguridad de los datos.

- Garantías de seguridad. Las organizaciones deben probar demostrar que las medidas adoptadas siguen el reglamento y son eficaces. La adopción de certificados con la ISO 27.001 o el cumplimiento de la matriz CSA para información almacenada en sistemas cloud son de gran utilidad para este cometido. La anonimización, el cifrado de datos, la trazabilidad del dato, son métodos efectivos para conseguir nuestro propósito.


Cuando la legislación europea sobre el GDPR entre en vigor el 25 de mayo de 2018, devolverá a los ciudadanos el control sobre sus datos personales y simplificará el entorno regulatorio para los negocios internacionales. Las organizaciones necesitan revisar su ciclo de vida de los datos y poner en marcha controles fuertes y rigurosos sobre la seguridad y protección de los datos y la forma en la que se accede y utilizan los mismos. Adoptar las soluciones software adecuadas, y enlazarlas con los procesos de cumplimiento, podrán asegurar su adecuación al GDPR.

Francisco Javier Moren Sanz
CEO ISYC

Comentarios

Entradas populares