NoticiasCiberseguridad

El GDPR como oportunidad

El nuevo Reglamento Europeo de Protección de Datos demanda a nivel tecnológico cosas que ya deberíamos estar haciendo, aprovechémoslo.

Jorge Laredo, Consulting Manager de Hewlett Packard Enterprise.

El 25 de mayo de 2018 el nuevo Reglamento Europeo de Protección de Datos entrará de forma plena en vigor y, a diferencia de la Directiva Europea 95/46 de Protección de Datos a la que sustituye, será de aplicación inmediata en toda la Unión Europea. Este Reglamento incluye una ampliación del ámbito territorial, refuerza los derechos de los individuos e incrementa las obligaciones de los responsables de fichero y de los encargados del tratamiento. Todo ello con un incremento de las sanciones económicas de gran magnitud, pudiendo llegar a un máximo de 20 millones de euros o al 4% de la facturación anual, si es superior.

Los cambios principales del nuevo Reglamento Europeo de Protección de Datos se dan en las áreas de:

  • Endurecimiento de las condiciones del consentimiento
  • Portabilidad de datos
  • Derecho al olvido
  • Privacidad por diseño y por defecto
  • Figura del Responsable de Protección de Datos
  • Registro de las actividades de tratamiento
  • Evaluación de impacto en la protección de datos
  • Notificación de fugas de datos
  • Cifrado y pseudoanonimización de datos
  • Revisión independiente
Las sanciones de GDPR pueden llegar a alcanzar el 4% de la facturación anual

Algunos de los cambios de más calado se han de abordar con organización y procesos, pero en otros la tecnología tiene un papel importante para facilitar su cumplimiento. Si revisamos el impacto en materia de seguridad, veremos que nos requiere hacer cosas que en su gran mayoría ya deberíamos estar haciendo, por no señalar que el actuar de forma apropiada sirve para aminorar posibles sanciones (art. 83, 2, d) al haber demostrado la debida diligencia.

En este breve espacio se puede destacar:

  • Se pide la protección de datos desde el diseño y por defecto (Art. 25) y la evaluación de impacto (Art. 35), usualmente conocido como Privacy Impact Assessment, para diseñar e implantar las medidas desde el principio. El considerar la seguridad desde el diseño es algo imprescindible para tener seguridad a un coste razonable.
  • Nos pide notificar las fugas de datos (Art. 33 y 34) pero si tenemos las adecuadas medidas para que los datos no sean accesibles, básicamente cifrado, no tendremos que notificar. El proteger nuestra información sensible, sean datos personales o no, es algo que ya deberíamos hacer.
  • Hemos de garantizar la disponibilidad de los datos, cosa la cual es un requisito de negocio.

De modo general, el Reglamento pide que se diseñen las medidas de seguridad en base a un análisis de riesgos, cosa la cual ya deberíamos estar haciendo.

En resumen, mucho de lo que nos pide el Reglamento puede ser costoso, si no lo estábamos haciendo, pero es una oportunidad para hacer lo que debemos (y nos acepten el presupuesto). Esto no significa que vaya a ser fácil, la seguridad nunca ha sido fácil y nunca termina de requerir esfuerzos. Desde Hewlett Packard Enterprise estaremos encantados de ayudar con tecnología y servicios.

Computing 763