Es indispensable conocer las principales obligaciones que trae la Seguridad de Protección de Datos y cómo se debe de usar este requisito en una estrategia de ciberseguridad.
El enfoque está creciendo para el «Reglamento general de protección de datos» de la Unión Europea o GDPR (General Data Protection Regulation); las organizaciones están empezando a comprender la magnitud del cambio que generarán estas importantes regulaciones.
No son sólo las organizaciones de la Unión Europea (UE) las que están sujetas a los requisitos de GDPR.
Si una empresa almacena o maneja cualquier información de identificación personal, tan sencilla como nombres, direcciones de correo electrónico, entre otros, está obligada a cumplir con las normas y, si no lo hace, puede incurrir en sanciones.
¿Cuáles serían las sanciones por incumplimiento?
El GDPR autoriza multas de hasta 20 millones de euros, o el 4% de las ventas mundiales totales de una empresa, (cualquiera que sea mayor).
Estos son grandes números que impactan en el negocio, sin mencionar el daño a la reputación que se sufrirá si rompe esta nueva ley.
El principio de conducción detrás del GDPR es que los datos que se relacionan específicamente con una persona pertenecen a esa persona, no a la organización que la crea, la retiene o la procesa.
Obligaciones de la empresa
Las empresas se convierten en custodios de los datos de cada usuario, con todas las responsabilidades que se esperaría de alguien que tiene a su cargo algo muy valioso.
Para las organizaciones, esto significa:
- Obtener un permiso explícito para retener la información personal de alguien
- Limitar su uso al contexto en el que se otorgó ese permiso
- Dejar que el propietario de los datos lo revise, lo corrija o incluso lo exporte y elimine en el momento que lo desee
- Asegurar que se mantendrán a salvo y protegidos ante un uso indebido por parte de sus empleados o de terceros.
En términos prácticos, el GDPR requiere una reconsideración completa de los procesos de manejo de datos.
Esta revisión implica ubicar cada lugar donde se recopilan y almacenan los datos personales, y los procesos involucrados. Se tendrán que diseñar sistemas para que todos los procesos comerciales futuros cumplan con los requisitos de diseño de privacidad del GDPR.
Como se puede ver, estas actividades tocarán prácticamente todas las partes de la organización, consumiendo mucha atención y recursos a medida que se acerque la fecha límite de mayo de 2018.
Hay otro componente igualmente crítico del GDPR que también debe abordarse: el requisito de protección de datos.
Es notable que la protección de datos y no la privacidad de los datos, es lo que representa el «DP» en GDPR. Esto se debe a que, sin importar qué tan bien implementados estén sus procesos para manejar la información personal, si se pierde en una violación de datos, nada más importa. El GDPR entiende esto, y ha enmarcado los requisitos en consecuencia.
El mayor cambio, en términos de protección de datos, es el nuevo requisito de divulgación de violación de datos.
La mayoría de las empresas deberán nombrar un Oficial de Protección de Datos (DPO), cuya función será supervisar la implementación de los procesos de manejo de datos, pero también deberá interactuar con el régimen regulatorio de la UE.
Un nuevo requisito: en el caso de una violación de datos, el DPO debe informar formalmente dentro de las 72 horas posteriores al descubrimiento o tener una muy buena explicación de por qué no lo hizo.
Las penas más duras se reservan para violaciones repetidas, o en casos donde la protección de los datos del usuario es insuficiente.
Las penas máximas para los primeros infractores son normalmente la mitad del máximo del GDPR (hasta 10 millones de euros frente a 20 millones de euros, o el 2% frente al 4% de los ingresos).
A la luz de estos requisitos, y de los riesgos que asumen, las organizaciones deben usar este tiempo para revisar su estrategia y herramientas para la detección y respuesta de amenazas.
Si bien siempre es un buen negocio proteger contra la creciente sofisticación y el impacto del cambiante panorama de amenazas, el GDPR cambia la ecuación de riesgo de manera significativa.
La sugerencia es, sin duda, empezar a diseñar e implementar un programa de Protección de Datos basado en un una estrategia con enfoque en su negocio.
Por Marcos Nehme, Director Técnico América Latina y El Caribe de RSA Security, a Dell Technologies Company