Configuración > Normativas > GDPR > Activar

De -



Y llegó el día. Después de tantos anuncios, polémicas e interpretaciones, el pasado viernes 25 de mayo entró en vigencia la famosa regulación General de Protección de Datos, o GDPR, para toda la Unión Europea. No pasaron unas horas de su entrada en vigencia, y ya cuatro gigantes tecnológicos fueron acusados de quebrantar esa norma. 
El grupo NOYB (None Of Your Business o "No es asunto tuyo") acusó a Google, Facebook, Instagram y WhastApp de incumplir la norma y les reclama varios miles de millones de Euros en concepto de multas. NOYB fue fundada por el conocido activista Max Schrems, que lucha a favor de la privacidad de los datos en Internet y que se volvió conocido por haber presentado 22 denuncias por diferentes violaciones en ese sentido a Facebook.

Si bien GDPR es una ley aprobada por el Parlamento Europeo y cuyo propósito es el de proteger los datos personales de los miembros de la UE, su espectro de acción sobrepasa las fronteras de la Unión. Por este motivo intentaremos explicar brevemente los aspectos más significativos de esta ley que ya está entre nosotros:


Datos que se protegen:

Si bien la ley efectúa 26 definiciones en su Artículo 4, cabe destacar que extiende el concepto de “datos personales” respecto a legislaciones anteriores, incluyendo los siguientes parámetros:

Identificadores:
- nombre,
- número de identificación,
- datos de localización,
- identificador en línea

Uno o varios elementos propios de:
- la identidad física,
- fisiológica,
- genética,
- psíquica,
- económica,
- cultural o
- social

Pero además, va más allá aún. Dado que hoy en día, con los sistemas de inteligencia artificial, es posible analizar enormes cantidades de datos relacionados con las actividades de las personas y generar perfiles de comportamiento, la ley prevé que asimismo se deben proteger dichos perfiles relacionados particularmente con:

- rendimiento profesional,
- situación económica,
- salud,
- preferencias personales,
- intereses,
- fiabilidad,
- comportamiento,
- ubicación
- movimientos de dicha persona física

De hecho la ley genera una delgada línea entre el registro de los eventos de seguridad y la privacidad de dichos datos. En cualquier organización de cierta magnitud, se cuentan con sistemas de monitoreo que analizan y alertan en función de actividades sospechosas en sus sistemas tanto desde el exterior de la organización como en su interior. Si bien estos datos son fundamentales para prevenir ataques o incidentes de seguridad, un abuso en el manejo de dichos datos podría estar violando la GDPR. Es por esto que a los responsables actuales de ciber seguridad de las empresas les aguarda un enorme desafío en determinar la forma de tratar esos datos definiendo qué datos se almacenan, por cuánto tiempo, en qué condiciones, qué se hace con ellos luego, entre otras.


Ámbito de aplicación:

La ley se aplica a las empresas o entidades que manejendatos personales como parte de las actividades de una de sus oficinasestablecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o si la empresa está establecida fuera de la UE y ofrece productos o servicios (tanto pagos como gratuitos) u observa el comportamiento de las personas en la UE.


Actores:

Existen dos actores definidos quienes son responsables de aplicar todas las medidas de protección que se definen más adelante. Estos actores son los “responsables de tratamiento” (en inglés “controller”) cuya responsabilidad es la de determinar los propósitos y medios para el tratamiento de los datos; y los “encargados de tratamiento” (en inglés: “processors”) que efectivamente efectúen el tratamiento  de los datos personales por cuenta del responsable del tratamiento. Las actividades de los responsables se encuentran reglamentadas en el Artículo 24 y las de los encargados en el Artículo 28.
En el caso de empresas que manejen datos de gran cantidad de personas, la GDPR sugiere la incorporación de un tercer actor denominado “delegado de protección de datos” (en inglés: DPO ó Data Protection Officer) cuyas responsabilidades y atribuciones se detallan en los artículos 37, 38 y 39.


Medidas:

Las empresas que trabajen con datos personales de personas residentes en la Unión Europea deberán efectuar una serie de tareas, cambios, rediseños, adaptaciones de sus sistemas de forma de cumplir con la ley y evitar las enormes multas que pueden llegar hasta los 20 millones de Euros. A continuación se efectúa una breve descripción las medidas más importantes:

1- Análisis de aplicabilidad
Inicialmente, la empresa que trabaje con datos que puedan caer dentro de la ley, debe efectuar un análisis de si los dueños de los datos y los tipos de datos son alcanzados por la norma. En el caso de que lo sea, deberán determinar su rol (responsable o encargado) y adecuar la organización de su empresa para incorporar los nuevos procesos de Tratamiento de la Información a los que los obliga la ley.

2- Evaluación de Riesgos
El Artículo 32 de la norma (Seguridad del Tratamiento) es absolutamente claro que las medidas de tratamiento deben efectuarse basado en el nivel de Riesgo. Es por esto que es fundamental efectuar una evaluación inicial del Riesgo que permita luego ser gestionado e ir aplicando las medidas de tratamiento basadas en el Riesgo obtenido.

3- Análisis de Impacto
La norma es muy estricta en su Artículo 35 respecto a que tanto responsables como encargados tienen la responsabilidad de efectuar análisis de impacto referidos a la privacidad de los datos. Estas evaluaciones son muy similares a la metodología BIA (Business Impact Analysis) pero enfocadas en la posible pérdida de privacidad de los datos. La información exigible y resultante de este análisis está perfectamente detallada en dicho artículo y la autoridad de aplicación de la ley tiene previsto publicar qué operaciones específicas deberán ser objeto de un análisis de impacto.

4- Rediseño de las medidas de protección de datos
El Artículo 25 (Protección de datos desde el diseño y por defecto) establece que el responsable del tratamiento deberá aplicar tanto las medidas técnicas como organizativas que permitan hacer foco en los datos personales que requieran de dicho tratamiento.
Por este motivo, se deberá revisar toda la infraestructura de seguridad de la empresa con el objetivo de corregir todas las medidas de tratamiento que no cumplan con la norma y efectuar una tarea de rediseño de la misma. A partir de dicho rediseño, se muestran las medidas específicas que nombra la ley en su Artículo 32 en los siguientes 3 puntos:

5- Pseudonimización y cifrado de los datos
Se deberán implementar medidas que efectúen el tratamiento de los datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional. Por otra parte, esa información adicional debe estar separada de la anterior y sujeta a medidas de seguridad específicas. Esto podrá realizarse a través de la pseudonimización o del cifrado de datos según sea más adecuado.

6- Recuperación ante desastres
Como extensión a los proyectos de BIA, se deberán también establecer planes de Recuperación ante Desastres (DRP) de modo de contar con la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidentes tanto físicos como técnicos.

7- Evaluaciones periódicas de seguridad
Una vez tomadas las medidas técnicas de tratamiento que correspondan, se deberá verificar, evaluar y valorar periódicamente la eficiencia de dichas medidas para garantizar la seguridad en el tratamiento de los datos. Esta tarea se suele denominar en inglés como Vulnerability Assessment.
Para mejorar, asegurar y mantener las medidas de seguridad efectivas a lo largo del tiempo, las autoridades de la UE promoverán su certificación mediante mecanismos y organismos específicamente designados para dicha función como se menciona en los artículos 42 y 43.

8- Concientización
Las empresas que administran datos personales, corren dos riesgos muy grandes a la hora de cumplir con GDPR. Uno de ellos es que no tengan las medidas de seguridad suficiente y que algún atacante externo pueda robar u obtener de algún modo esos datos. El otro gran riesgo es que el propio personal que no esté suficientemente compenetrado con la norma, pueda en su tarea diaria, tratar esos datos descuidadamente y estos puedan perderse o exfiltrarse. Es por esto que en varios artículos de la ley, se insta a las autoridades a promover tareas de concientización entre los empleados de las empresas responsables y encargadas de forma de minimizar este riesgo.

9- Requisitos legales 
Las empresas que manejen el tipo de datos personales que están contemplados en la ley, deberán adecuar sus procesos internos para cumplir con una gran cantidad de requisitos sobre los datos y los usuarios. La ley especifica gran cantidad de condiciones en los primeros artículos.
Por ejemplo, en el Artículo 5, se define que los datos personales deberán ser tratados de manera lícita, leal y transparente en relación con el interesado. El Artículo 6 enuncia las condiciones en las que el tratamiento de los datos personales será lícito. Fundamentalmente se basa en el consentimiento del usuario en que sus datos sean utilizados y cuyas condiciones define en los Artículos 7 y 8. Los Artículos 9, 10 y 11 definen condiciones especiales de los datos a ser tratados.
Finalmente, en los artículos 12 al 23 se detalla cuidadosamente la información que se debe proveer al interesado en caso de que no haya sido obtenida de forma directa, los derechos de éste en eliminarla, evitar que sea utilizada, sea esta información personal específica o creada mediante los mecanismos automáticos de perfilado.
Es por esto que las empresas deberán llevar a cabo proyectos de ajuste de sus procesos o más aún, la creación misma de procesos nuevos, que permitan contemplar todos estos requisitos.

10- Comunicación
Si a pesar de todas las medidas tomadas para evitar el mal uso de la información, se llegara a producir un incidente o violación de la privacidad de la misma, los responsables tienen la obligación de comunicar tanto al interesado como a las autoridades de la situación. Las condiciones, formas, plazos, descripción y detalles de dichas comunicaciones están establecidas en los artículos 31, 33 y 34. Las empresas deberán por lo tanto, establecer los procesos formales para llevar a cabo esta tarea ajustados para cumplir con la GDPR.

Nota por Carlos Benitez



Comentarios

Publicar un comentario

Entradas populares de este blog

CEO Fraud, el ciberataque con el que se roba 5 veces más dinero que por ataques de Ransomware

De -
Imagen
En los últimos meses, han habido múltiples casos de ciberataques a empresas a nivel mundial ( WannaCry, Petya, NoPetya ), y conceptos como Ransomware y Phishing tuvieron amplia repercusión. Si bien causaron graves daños y avivaron el debate por las llamadas “ criptomonedas ”, un reporte publicado por la empresa Cisco muestra como el ciberataque conocido como “ CEO Fraud ” logró generar para los ciberdelincuentes cinco veces más dinero qué ataques por Ransomware en los últimos tres años. Este ataque consta de realizar llamadas y enviar correos electrónicos a personas con altos cargos en empresas, como gerentes, por parte de gente que se hace pasar por personal de administración para llevar a cabo grandes transferencias monetarias. En el reporte mencionado anteriormente , Cisco resalta que el cibercrimen obtuvo  5.3 mil millones de dólares únicamente con ataques de CEO Fraud, en comparación a la suma de 1 mil millones de dólares por ataques de Ransomware en este período.
Leer más

Internet Day, reflejo de la Seguridad.

De -
Imagen
Los días lunes 15 y martes 16 de mayo se llevó acabo el ¨Internet Day¨, evento organizado por diferentes cámaras del sector, en el Auditorio Buenos Aires donde tuvo como eje principal las redes de transporte de datos del país, las regulaciones de Gobierno en materia de comunicación e internet y las diferentes tecnologías que se involucran para la conectividad. Asistieron múltiples proveedores de internet de Capital y del interior del país, donde el negocio es más próspero para empresarios emergentes o aquellos que vienen de la televisión por cable, debido a la estructura que ya tienen desplegada en en sus ciudades. El último panel que se encontraba en la agenda, fiel reflejo de la realidad, fue el afectado a materia de seguridad, enfrentando a muy pocos asistentes y con pocos stands en pie. Estos sucesos ponen en evidencia la poca atención o poca información de los usuarios para resguardar sus activos de manera proactiva y la tendencia de hacerlo reactivamente por la gran
Leer más

Banco Hipotecario confía en R-Box, desarrollo de Khutech, para su Gestión de Seguridad Informática

De -
Imagen
R-Box es la solución de Khu Technologies (Khutech) para la Gestión de Seguridad de la Información y Cumplimiento de Estándares. Banco Hipotecario la implementó como solución para el análisis de riesgos, la administración de incidentes y el cumplimiento de normas. El Banco Hipotecario ha sido históricamente el proveedor de préstamos hipotecarios líder en la Argentina. Sin embargo, en los últimos añosha focalizado su estrategia de negocios en su consolidación como Banca Comercial. Apoyado en su reconocimiento histórico como prestador de Créditos Hipotecarios, apuesta hoy a crecer en esta reconversión a partir del lanzamiento de una amplia gama de productos y el fortalecimiento de su posicionamiento en el mercado.
Leer más