Cumplimiento de RGPD (GDPR)

¿Qué es RGPD (o GDPR)?

¿En qué se diferencia de la Directiva de Protección de Datos de la UE?

Text

El Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés) es el marco legal de la UE y el Reino Unido que sustituyó a la anterior Directiva de Protección de Datos de la UE en 2018. La diferencia más significativa entre ambos es la que hay entre un reglamento y una directiva.

Un reglamento es una ley y es jurídicamente vinculante, mientras que una directiva es una recomendación y no es jurídicamente vinculante. Esto significa que RGPD es una ley que deben acatar todos los Estados Miembros europeos.

Esta distinción también puede explicarse de la siguiente manera: un reglamento es un conjunto único de normas que deben cumplirse, mientras que una directiva es un conjunto de normas que deja espacio a la interpretación.

Mientras que la anterior Directiva de Protección de Datos de la UE no definía qué era una filtración de datos, RGPD incluye esta definición tan amplia, afirmando que una filtración de datos es “una vulneración de la Seguridad que provoca la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación o el acceso no autorizados a los datos personales transmitidos, almacenados o procesados de otro modo”.

Las definiciones de filtración de datos y datos personales son importantes porque, en virtud de ellas, muchos eventos o actividades diferentes podrían calificarse como vulneraciones de RGPD. Los datos personales se definen como “cualquier información relativa a una persona identificada o identificable; no se trata solo de datos que puedan ser utilizados para fraude o robo de identidad”.

Media
Image
GDPR Solutions for Information Security
Text

¿Cuál es el objetivo de RGPD?

RGPD busca proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen, cuando esos datos ya no son requeridos. La ley provee control individual acerca de cómo las compañías pueden utilizar la información que está directa y personalmente relacionada con los individuos, y otorga ocho derechos específicos.

Además, establece normas muy estrictas, que rigen lo que sucede si se vulnera el acceso a datos personales y las consecuencias (sanciones) que las organizaciones pueden sufrir en tal caso.

¿Cómo define RGPD a los “datos personales"?

En lo que respecta a la protección de datos, la normativa RGPD es la más estricta del mundo y define el término “datos personales" de forma tan amplia que abarca prácticamente cualquier información que pueda identificar a un individuo. RGPD puede aplicarse de muchas formas y los siguientes son tan solo unos ejemplos:

Identificación directa/indirecta

Si el sujeto puede ser identificado directa/indirectamente por su nombre, número de documento de identificación, dirección, perfil en línea o cualquier característica física, genética, mental, comercial o cultural única

Datos asignados

Por cualquier dato asignado a un individuo: número de teléfono, número de matrícula, identificación de cliente, número de tarjeta de crédito, etc.

Dirección IP

Direcciones IP si son entregadas por el controlador de una organización a petición

Text

Para el Cumplimiento de RGPD, hay que recordar las palabras "cualquier información". A la hora de tratar y proteger los datos personales que estén en su poder, asuma y actúe como si esos datos fueran un factor de identificación. Como ejemplo de lo amplia que puede llegar a ser la interpretación del RGPD, el Tribunal de Justicia Europeo incluye incluso información menos obvia en su interpretación. Si una persona puede llegar a ser identificada por la información registrada sobre aspectos como las horas de inicio y fin de la jornada de trabajo, o las respuestas de un examen y las observaciones de un examinador, esto también puede caer bajo el paraguas de RGPD.

En su definición de datos personales, RGPD también incluye información subjetiva. Es decir, puede incluir situaciones como las revisiones del rendimiento en el trabajo o los informes de solvencia de una entidad de préstamo, entre otras.

RGPD también aplica niveles de protección y somete a un nivel de protección aún más alto a los datos personales sensibles tales como datos genéticos, de salud, raza, origen étnico, opiniones políticas, afiliaciones religiosas, afiliaciones sindicales, etc.

 

Media
Image
Reporting software simplifies IT security audits
Text

¿A quién aplica RGPD?

Los datos personales cubiertos por RGPD comienzan por los datos asignados a una persona física en el momento de su nacimiento, incluyen todos los datos identificables de esa persona a lo largo de su vida y terminan con la muerte de la persona. Sin embargo, no se aplica a organizaciones, Negocios, instituciones, etc.

Las organizaciones que almacenan o procesan información personal acerca de residentes de la UE están obligadas a cumplir con RGPD, aunque estén ubicadas fuera de la UE.

Recuerde que el Reglamento define datos personales como “cualquier información relativa a una persona física o individuo identificado o identificable“.

 

No se puede minimizar el impacto de RGPD en el personal de IT. Es responsabilidad de todos los miembros (controladores, oficiales de protección de datos y procesadores, entre otros) facilitar y exigir el Cumplimiento de RGPD. Este es un breve repaso de los roles asociados al Cumplimiento de RGPD:

Controlador:

Un controlador, solo o conjuntamente con otros, determina cómo y por qué se tratan los datos personales. Esta función es similar, pero ampliada, a la del anterior responsable del tratamiento de datos en virtud de las antiguas directivas de protección de datos de la UE. Legalmente, el responsable del tratamiento tiene la responsabilidad última de garantizar que los encargados del tratamiento cumplan las normas.

Los 8 derechos que establece RGPD

Derecho a estar informado

Antes de que se recopilen los datos, el titular de los datos tiene derecho a saber cómo se recopilarán, procesarán y almacenarán, y con qué fines.

Derecho al acceso

Una vez recopilados los datos, el titular de los datos tiene derecho a saber cómo se han recopilado, procesado y almacenado, qué datos existen y con qué fines.

Derecho a la rectificación

El titular de los datos tiene derecho a que se corrijan los datos incorrectos o incompletos.

Derecho a ser borrado (derecho a ser olvidado)

El titular de los datos tiene derecho a que se eliminen definitivamente sus datos personales.

Derecho a restringir el procesamiento

El titular de los datos tiene derecho a bloquear o suprimir el procesamiento o la utilización de los datos personales.

Derecho a la portabilidad de los datos

El titular de los datos tiene derecho a trasladar, copiar o transferir sus datos personales de un controlador de datos a otro, de forma segura, en un formato de uso común y legible por máquina. Siempre que sea técnicamente posible, esto incluye también el derecho a que los datos se transfieran directamente de un controlador a otro sin que el titular de los datos tenga que manipularlos.

Derecho a objetar

El titular de los datos tiene derecho a oponerse a que las autoridades públicas o las empresas procesen sus datos sin su consentimiento explícito. También tiene derecho a impedir que los datos personales se incluyan en bases de datos de marketing directo.

Derecho a no ser sometido a la toma automatizada de decisiones

El titular de los datos tiene derecho a exigir la intervención humana, en lugar de que las decisiones importantes las tome únicamente un algoritmo.

Lista de comprobación del Cumplimiento de RGPD

Text

RGPD puede ser una carga pesada. Esta lista de comprobación puede ayudarlo a empezar a saber qué necesita para cumplir con esta legislación. Nota: la información que figura a continuación es de carácter general y no se considera asesoramiento jurídico. Para evaluar la situación de su organización, debe contactar con un abogado especializado en el Cumplimiento de RGPD.

Evalúe sus datos

  • Comience por una auditoría de la información que procesa actualmente, incluidos los detalles sobre quién puede acceder a ella
  • Asegúrese de que tiene una justificación legal para recopilar estos datos
  • Detalle el procesamiento y su justificación legal en su Política de Privacidad de los Datos

Asegure sus datos

  • Emplee protocolos de encriptación y otros métodos para garantizar el anonimato de los datos personales siempre que sea posible
  • Elabore una Política de Seguridad de la Información y asegúrese de que los empleados reciban la capacitación correspondiente Revise su política con regularidad y exija el Cumplimiento de los aspectos específicos que contiene
  • Asegúrese de disponer de un plan de respuesta a incidentes para reportar las filtraciones, mitigar los problemas y remediarlos para evitar incidentes similares en el futuro

Monitoree sus datos

  • Seleccione a una persona que sea responsable de garantizar el Cumplimiento de RGPD en toda la empresa
  • Asegúrese de redactar y firmar un acuerdo para el procesamiento de datos con todos los agentes externos que procesen datos para su organización
  • Si opera fuera de la UE, deberá designar un representante dentro de la UE
  • Si es necesario, puede designar a un oficial de protección de datos

Consideraciones sobre la privacidad de los datos

  • Asegúrese de que sea fácil eliminar los datos personales si los titulares de los datos lo piden
  • Facilite que los clientes dejen de procesar los datos, si se lo piden
  • Asegúrese de que los clientes puedan recibir los datos personales que tenga sobre ellos en un formato que sea fácil de transferir
  • Habilite un proceso de objeción sencillo si se le pide que deje de procesar datos
  • Si sus procesos automatizados incluyen la toma de decisiones, asegúrese de que dispone de procedimientos para proteger los derechos de privacidad de los datos

Desafíos del Cumplimiento de RGPD

Text

Cumplir con las estrictas normas de RGPD plantea desafíos. Sin embargo, países de todo el mundo están de acuerdo en que las estrictas directrices diseñadas para proteger los datos personales trabajan en interés de las organizaciones y las personas, y muchos países están desarrollando normativas de Cumplimiento inspiradas en RGPD. Algunas de ellas son la Ley de Privacidad del Consumidor de California (CCPA), la propuesta de Ley de Aplicación de la Carta Digital de Canadá y la Lei Geral de Protecao de Dados (LGPD) de Brasil.

Para cumplir con la normativa, las organizaciones tienen que esforzarse por proteger los derechos de los titulares de los datos, llevar a cabo evaluaciones del impacto, reportar incidentes tales como las filtraciones y asegurarse de contar con procesos de auditoría. Además, aunque RGPD es un edicto de la UE, su impacto es global, porque las organizaciones que tienen empleados o clientes fuera de la UE o que utilizan datos procesados fuera de la UE también deben cumplirlo.

Cuando RGPD se promulgó, es posible que el personal de IT haya utilizado procesos manuales o incluso controles temporales para ayudar a cumplir los requisitos, pero este enfoque no es sostenible. En cambio, una tecnología de protección de datos potente, automatizada y optimizada cumple mejor los estrictos requisitos normativos para limitar el acceso a los datos personales y proteger los datos en reposo y en tránsito. Hay tres áreas que preocupan especialmente a los equipos de IT:

Seguridad

Las filtraciones de datos tienen un costo económico altísimo y un costo aún mayor en relaciones públicas, por lo que es fundamental garantizar la Seguridad de la Información incluida en el ámbito de RGPD. La práctica recomendada para los equipos de IT es invertir en soluciones de Seguridad tales como encriptación, Transferencia Segura de Archivos (MFT) y gestión de identidades y accesos.

Gestión de datos

RGPD otorga a los individuos el derecho a solicitar el acceso, la transferencia, la eliminación u otros tipos de procesamientos de los datos, por lo que los equipos de IT se enfrentan al reto de conseguir soluciones técnicas eficaces y transparentes para gestionar estas solicitudes. Además, para cumplir con los requisitos, el departamento de IT tiene que asegurarse de que las soluciones seleccionadas se puedan auditar. Y para hacer frente a las necesidades tras una filtración de datos, el departamento de IT tiene que asegurarse de contar con el personal y la capacitación adecuados tanto para reportar los incidentes como para mitigarlos.

Automatización

Otra de las preocupaciones es determinar cómo almacenar y gestionar de forma segura el estado del consentimiento de los titulares de los datos en toda la organización. El artículo 30 de RGPD establece la obligación de registrar las actividades de procesamiento de los datos personales. Al principio, muchas empresas lo hacían manualmente, pero estos registros necesitan una actualización periódica, por lo que la automatización ayuda a agilizar este requisito y permite a IT centrarse en tareas más generales. Las plataformas y herramientas de colaboración, así como establecer flujos de trabajo y reglas de Negocio, pueden facilitar la actualización de los registros en virtud del artículo 30.

Cumpla con los requisitos de RGPD con una suite de soluciones de Seguridad

Cumplir con RGPD requiere un enfoque por capas, que se puede implementar mejor con una suite de soluciones de Seguridad que puedan integrarse fácilmente en toda la empresa. Fortra ofrece una variedad de productos que le ayudarán a cumplir con RGDP.

Seguridad de email

Antes de que los datos personales se intercambien por correo electrónico, Clearswift aplica el tratamiento de Seguridad óptimo, basado en el contenido de los datos y en las políticas de privacidad de RGPD. Ofrece funcionalidades de sanitización y redacción en tiempo real, encriptación y bloqueo o eliminación de datos sensibles en función de las reglas que su Negocio defina para cumplir la normativa.

Clasificación de Datos

Las soluciones de Clasificación de Datos de Fortra ayudan a cumplir RGPD porque aplican tanto etiquetas visuales como etiquetado a los metadatos de un archivo, para proteger y controlar su uso. Al añadir la clasificación, los usuarios pueden determinar mejor cómo debe tratarse, manipularse, almacenarse y, eventualmente, eliminarse un dato determinado. La clasificación optimiza el Cumplimiento y mejora la Seguridad.

Evaluación de vulnerabilidades y Protección de intrusiones

Demostrar el Cumplimiento de GDPR es más fácil con la línea de soluciones de Seguridad Powertech. Las organizaciones pueden identificar y cuantificar automáticamente las vulnerabilidades de Seguridad, así como proteger mejor su sistema contra las intrusiones. Además, las potentes funcionalidades de auditoría ayudan a cumplir los requisitos de auditoría de RGPD.

Transferencia Segura de Archivos (MFT)

Las soluciones de Transferencia Segura de Archivos pueden ayudar a cumplir varios principios clave de RGPD como, por ejemplo, la transmisión segura de datos personales gracias a la encriptación, la realización de controles de integridad de las transferencias para proteger la exactitud, y la provisión de pistas de auditoría detalladas y reportes de todas las transferencias. Los datos personales se protegen en tránsito y en reposo mediante funcionalidades de accesos de usuarios granulares que añaden Seguridad adicional a los datos.

Protección de la Infraestructura

La suite de Protección de la Infraestructura de Fortra incluye herramientas para la gestión de vulnerabilidades, servicios y software de pentesting, simulación de adversario y detección de intrusiones. Estas soluciones protegen los datos sensibles y garantizan el Cumplimiento de la normativa mediante la supervisión y evaluación de su infraestructura para identificar y priorizar cualquier riesgo. Gracias a sus completas funcionalidades de generación de reportes, también pueden demostrar fácilmente el Cumplimiento de la normativa a los auditores externos.

Prevención de Pérdida de Datos (DLP)

RGPD establece que los procesadores deben garantizar que los datos personales no se utilicen para ningún otro propósito fuera de los servicios a los que estaban destinados. La Prevención de Pérdida de Datos de Digital Guardian ayuda al Cumplimiento de RGPD al permitir a las organizaciones descubrir, monitorear y controlar eficazmente los datos personales transmitidos en la red, en uso en las estaciones de trabajo o en reposo en las estaciones de trabajo, los servidores de red y almacenados en la Cloud. Los datos se protegen adecuadamente contra la transmisión, la difusión, el uso y el almacenamiento no autorizados, mientras que la funcionalidad de análisis y generación de reportes puede proporcionar documentación clave para demostrar el Cumplimiento del RGPD.

Podemos ayudarlo con el Cumplimiento de RGPD

Solicite una sesión gratuita de 30 minutos con nuestro equipo para conversar sobre sus necesidades de Seguridad y analizar cuáles son las mejores soluciones para su organización. Lo ayudaremos a determinar cuáles son los siguientes pasos para cumplir con RGPD y proteger correctamente sus datos.

AGENDE SU CONSULTA GRATUITA