Cómo adaptarse a la nueva GDPR
Cómo adaptarse a la GDPR, de entrada en vigor desde el 25 de mayo de 2018, genera aún muchas dudas…
Esta nueva ley de protección de datos afecta a todas las empresas y todavía muchas no están tomando medidas para adaptar sus negocios. Según una encuesta elaborada por Dell, el 97% de las empresas de la Unión Europea aún no disponen de un plan para cumplir con la GDPR en 2018.
¿Qué es la GDPR? ¿Cuáles son sus novedades?
El Reglamento General de Protección de Datos (GDPR) se creó con el fin de establecer una normativa comunitaria que simplificara el cumplimiento simultáneo de múltiples regulaciones locales y unificara la legislación, normativa y procesos de protección de datos en la UE.
El obligatorio cumplimiento de la GDPR desde el 25 de Mayo de 2018, supone mayor seguridad y control sobre los datos de los ciudadanos de la UE y supone a las empresas una serie de obligaciones en materia de protección de datos personales superiores a lo que se contempla con la LOPD actual.
Requerimientos para el cumplimiento de las empresas
- Más medidas de seguridad
– gestión de control de acceso de usuarios
– contraseñas únicas y de expiración regular en todos los dispositivos
– cortafuegos actualizados y configurados correctamente
– antivirus, antimalware y software anti-spyware en tiempo real
– actualización regular para prevenir brechas de seguridad
– cifrado de datos personales en tránsito (VPN) - Cambios en cuanto a tratamiento de los datos personales
– limpieza segura de software y hardware antiguos
– clasificación y tratamiento especializado de los datos sensibles (añadiendo datos genéticos y biométricos a los contemplados en la LOPD)
– los usuarios tienen que otorgar su consentimiento de forma inequívoca o explícita si se trata de información sensible
– el artículo 32 obliga a utilizar pseudónimos y a cifrar los datos sensibles
– copias de seguridad y recuperación - Monitorización y notificación de posibles brechas de seguridad
– implementación de sistemas de detección y prevención de intrusiones
– notificar a las partes afectadas y al SA (Autoridad Supervisora) en el plazo de 72 horas
– poder demostrar que la normativa se está cumpliendo. En cualquier momento un auditor puede pedir a una compañía que demuestre que se cumple y se ha estado cumpliendo
Otros nuevos conceptos asociados a la GDPR:
- Ruptura de datos:
GDPR define una violación de datos como una acción que conduce a «la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados de otra manera». La UE considera que la pérdida de datos codificados no constituye una violación de datos, y muchas empresas utilizarán esta directriz como justificación para cifrar la mayor cantidad de datos que se considere necesario. Se pagarán multas en caso de violación de datos personales comprobada. - Notificación de infracción obligatoria:
GDPR introduce el concepto de notificación de infracción obligatoria. Por ley se debe comunicar las brechas de datos en la organización. La notificación se limita a la Autoridad Supervisora y a los clientes afectados.
La multa por incumplimiento de la GDPR alcanza un máximo del 4% de los ingresos globales o 20 millones de euros, lo que sea mayor.
¿Cómo cumplir con la GDRP?
La GDPR se centra en cómo recoges, almacenas y usas la información personal en el entorno empresarial. En definitiva, contemplamos 3 pilares fundamentales para afrontarla: normativa, procesos y tecnología.
- Normativa: cumplir con la GDPR dependerá de un auditor especializado. Se denominan Data Protection Officer (DPO) y pueden ser internos o externos. Esta figura designada en cada empresa debe garantizar la monitorización y el control para verificar el cumplimiento normativo ante la SA (Supervisory Authority – nivel nacional) y en su caso, a la European Data Protection Board.
- Procesos: será necesario revisar todos aquellos procesos en los que figuren datos personales, su ubicación, acceso, uso y tratamiento. Deben viajar siempre mediante comunicaciones encriptadas.
- Tecnología: este último pilar es clave a la hora de adoptar los mecanismos de protección, monitorización, clasificación y control de acceso exigidos. En Tecon destacamos 3 proveedores con soluciones tecnológicamente preparadas para ayudarte a cumplir con la nueva normativa: Microsoft (Azure), SonicWALL y HP-Zeed Security.
Microsoft:
Como anticipábamos hace unos meses, Microsoft es el primer proveedor que favorece las medidas necesarias para adaptarse a la GDPR en sus soluciones: Office 365, Windows 10, Microsoft 365, Enterprise Mobility & Security, Dynamics 365 y en global, su plataforma cloud gracias a Azure Active Directory Identity Protection. Microsoft Azure posibilita la clasificación integrada y etiquetado, permitiendo identificar en tiempo real dónde se ubican determinados datos y tipologías.
HP-Zeed Security:
Se trata de una solución de monitorización integral (red interna y externa) que te ayuda a mantener el estado de seguridad de tu infraestructura: detección y control de incidencias, notificación… [Ver página HP-Zeed]
SonicWALL:
Este reconocido proveedor de soluciones de seguridad cuenta con soluciones de firewall, antivirus, cumplimiento y cifrado del correo, VPNs, etc que te permitirán cumplir con los requisitos exigidos en la GDPR y a mejorar los mecanismos de seguridad preventiva de tu negocio.
¿Estás tomando medidas para cumplir con la GDPR? ¿Sabes cómo adaptarte?
Rellena el formulario que aparece a continuación si estás interesado en recibir más información sobre la GDPR.
Con los tiempos que corren en el cual la información esta casi al 100% en digital, estas nuevas medidas me parecen estupendas,
Gracias por el aporte Saludos!