Configuración > Normativas > GDPR > Activar
Y llegó el día. Después de tantos anuncios, polémicas e interpretaciones, el pasado viernes 25 de mayo entró en vigencia la famosa regulación General de Protección de Datos, o GDPR, para toda la Unión Europea. No pasaron unas horas de su entrada en vigencia, y ya cuatro gigantes tecnológicos fueron acusados de quebrantar esa norma.
El grupo NOYB (None Of Your Business o "No es asunto tuyo") acusó a Google, Facebook, Instagram y WhastApp de incumplir la norma y les reclama varios miles de millones de Euros en concepto de multas. NOYB fue fundada por el conocido activista Max Schrems, que lucha a favor de la privacidad de los datos en Internet y que se volvió conocido por haber presentado 22 denuncias por diferentes violaciones en ese sentido a Facebook.
Si bien GDPR es una ley aprobada por el Parlamento Europeo y cuyo propósito es el de
proteger los datos personales de los miembros de la UE, su espectro de
acción sobrepasa las fronteras de la Unión. Por este motivo intentaremos
explicar brevemente los aspectos más significativos de esta ley que ya está
entre nosotros:
Datos que se protegen:
Si bien la ley efectúa 26 definiciones en su Artículo 4,
cabe destacar que extiende el concepto de “datos personales” respecto a
legislaciones anteriores, incluyendo los siguientes parámetros:
Identificadores:
- nombre,
- número de
identificación,
- datos de
localización,
-
identificador en línea
Uno o varios elementos propios
de:
- la identidad
física,
-
fisiológica,
- genética,
- psíquica,
- económica,
- cultural o
- social
Pero además, va más allá aún. Dado
que hoy en día, con los sistemas de inteligencia artificial, es posible
analizar enormes cantidades de datos relacionados con las actividades de las
personas y generar perfiles de comportamiento, la ley prevé que asimismo se
deben proteger dichos perfiles relacionados particularmente con:
-
rendimiento profesional,
- situación
económica,
- salud,
-
preferencias personales,
- intereses,
-
fiabilidad,
-
comportamiento,
- ubicación
-
movimientos de dicha persona física
De hecho la ley genera una delgada línea
entre el registro de los eventos de seguridad y la privacidad de dichos datos.
En cualquier organización de cierta magnitud, se cuentan con sistemas de
monitoreo que analizan y alertan en función de actividades sospechosas en sus
sistemas tanto desde el exterior de la organización como en su interior. Si
bien estos datos son fundamentales para prevenir ataques o incidentes de
seguridad, un abuso en el manejo de dichos datos podría estar violando la GDPR.
Es por esto que a los responsables actuales de ciber seguridad de las empresas
les aguarda un enorme desafío en determinar la forma de tratar esos datos
definiendo qué datos se almacenan, por cuánto tiempo, en qué condiciones, qué
se hace con ellos luego, entre otras.
Ámbito de aplicación:
La ley se aplica a las empresas o entidades que manejendatos personales como parte de las actividades de una de sus oficinasestablecidas en la Unión Europea (UE), independientemente del lugar donde
sean tratados los datos, o si la empresa está establecida fuera de la UE
y ofrece productos o servicios (tanto pagos como gratuitos) u observa el
comportamiento de las personas en la UE.
Actores:
Existen dos actores definidos quienes son responsables de
aplicar todas las medidas de protección que se definen más adelante. Estos
actores son los “responsables de tratamiento” (en inglés “controller”)
cuya responsabilidad es la de determinar los propósitos y medios para el
tratamiento de los datos; y los “encargados de tratamiento” (en inglés:
“processors”) que efectivamente efectúen el tratamiento de los datos personales por cuenta del
responsable del tratamiento. Las actividades de los responsables se encuentran
reglamentadas en el Artículo 24 y las de los encargados en el Artículo 28.
En el caso de empresas que manejen datos de gran cantidad
de personas, la GDPR sugiere la incorporación de un tercer actor denominado “delegado
de protección de datos” (en inglés: DPO ó Data Protection Officer) cuyas
responsabilidades y atribuciones se detallan en los artículos 37, 38 y 39.
Medidas:
Las empresas que trabajen con
datos personales de personas residentes en la Unión Europea deberán efectuar
una serie de tareas, cambios, rediseños, adaptaciones de sus sistemas de forma
de cumplir con la ley y evitar las enormes multas que pueden llegar hasta los
20 millones de Euros. A continuación se efectúa una breve descripción las
medidas más importantes:
1- Análisis de
aplicabilidad
Inicialmente, la empresa que trabaje con datos que puedan
caer dentro de la ley, debe efectuar un análisis de si los dueños de los datos
y los tipos de datos son alcanzados por la norma. En el caso de que lo sea,
deberán determinar su rol (responsable o encargado) y adecuar la organización
de su empresa para incorporar los nuevos procesos de Tratamiento de la
Información a los que los obliga la ley.
2- Evaluación de Riesgos
El Artículo 32 de la norma (Seguridad del Tratamiento) es
absolutamente claro que las medidas de tratamiento deben efectuarse basado en
el nivel de Riesgo. Es por esto que es fundamental efectuar una evaluación
inicial del Riesgo que permita luego ser gestionado e ir aplicando las medidas
de tratamiento basadas en el Riesgo obtenido.
3- Análisis de Impacto
La norma es muy estricta en su Artículo 35 respecto a que
tanto responsables como encargados tienen la responsabilidad de efectuar
análisis de impacto referidos a la privacidad de los datos. Estas evaluaciones
son muy similares a la metodología BIA (Business Impact Analysis) pero
enfocadas en la posible pérdida de privacidad de los datos. La información
exigible y resultante de este análisis está perfectamente detallada en dicho
artículo y la autoridad de aplicación de la ley tiene previsto publicar qué
operaciones específicas deberán ser objeto de un análisis de impacto.
4- Rediseño de las medidas
de protección de datos
El Artículo 25 (Protección de datos desde el diseño y por
defecto) establece que el responsable del tratamiento deberá aplicar tanto las
medidas técnicas como organizativas que permitan hacer foco en los datos
personales que requieran de dicho tratamiento.
Por este motivo, se deberá revisar toda la infraestructura
de seguridad de la empresa con el objetivo de corregir todas las medidas de
tratamiento que no cumplan con la norma y efectuar una tarea de rediseño de la
misma. A partir de dicho rediseño, se muestran las medidas específicas que
nombra la ley en su Artículo 32 en los siguientes 3 puntos:
5- Pseudonimización y
cifrado de los datos
Se deberán implementar medidas que efectúen el tratamiento
de los datos personales de manera tal que ya no puedan atribuirse a un
interesado sin utilizar información adicional. Por otra parte, esa información
adicional debe estar separada de la anterior y sujeta a medidas de seguridad
específicas. Esto podrá realizarse a través de la pseudonimización o del
cifrado de datos según sea más adecuado.
6- Recuperación ante
desastres
Como extensión a los proyectos de BIA, se deberán también
establecer planes de Recuperación ante Desastres (DRP) de modo de contar con la
capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidentes tanto físicos como técnicos.
7- Evaluaciones periódicas
de seguridad
Una vez tomadas las medidas técnicas de tratamiento que
correspondan, se deberá verificar, evaluar y valorar periódicamente la
eficiencia de dichas medidas para garantizar la seguridad en el tratamiento de
los datos. Esta tarea se suele denominar en inglés como Vulnerability
Assessment.
Para mejorar, asegurar y
mantener las medidas de seguridad efectivas a lo largo del tiempo, las
autoridades de la UE promoverán su certificación mediante mecanismos y
organismos específicamente designados para dicha función como se menciona en
los artículos 42 y 43.
8- Concientización
Las empresas que administran datos personales, corren dos
riesgos muy grandes a la hora de cumplir con GDPR. Uno de ellos es que no
tengan las medidas de seguridad suficiente y que algún atacante externo pueda
robar u obtener de algún modo esos datos. El otro gran riesgo es que el propio
personal que no esté suficientemente compenetrado con la norma, pueda en su
tarea diaria, tratar esos datos descuidadamente y estos puedan perderse o
exfiltrarse. Es por esto que en varios artículos de la ley, se insta a las
autoridades a promover tareas de concientización entre los empleados de las
empresas responsables y encargadas de forma de minimizar este riesgo.
9- Requisitos legales
Las empresas que manejen el tipo
de datos personales que están contemplados en la ley, deberán adecuar sus
procesos internos para cumplir con una gran cantidad de requisitos sobre los
datos y los usuarios. La ley especifica gran cantidad de condiciones en los primeros
artículos.
Por ejemplo, en el Artículo 5, se
define que los datos personales deberán ser tratados de manera lícita, leal y
transparente en relación con el interesado. El Artículo 6 enuncia las
condiciones en las que el tratamiento de los datos personales será lícito.
Fundamentalmente se basa en el consentimiento del usuario en que sus datos sean
utilizados y cuyas condiciones define en los Artículos 7 y 8. Los Artículos 9,
10 y 11 definen condiciones especiales de los datos a ser tratados.
Finalmente, en los artículos 12 al
23 se detalla cuidadosamente la información que se debe proveer al interesado
en caso de que no haya sido obtenida de forma directa, los derechos de éste en
eliminarla, evitar que sea utilizada, sea esta información personal específica
o creada mediante los mecanismos automáticos de perfilado.
Es por esto que las empresas
deberán llevar a cabo proyectos de ajuste de sus procesos o más aún, la
creación misma de procesos nuevos, que permitan contemplar todos estos
requisitos.
10- Comunicación
Si a pesar de todas las medidas tomadas para evitar el mal
uso de la información, se llegara a producir un incidente o violación de la
privacidad de la misma, los responsables tienen la obligación de comunicar
tanto al interesado como a las autoridades de la situación. Las condiciones,
formas, plazos, descripción y detalles de dichas comunicaciones están
establecidas en los artículos 31, 33 y 34. Las empresas deberán por lo tanto,
establecer los procesos formales para llevar a cabo esta tarea ajustados para
cumplir con la GDPR.
Comentarios
Publicar un comentario