RGPD: Los nuevos estándares en la seguridad de la información

En un anterior artículo escribí sobre la necesidad de tener nuestra información segura introduciendo al nuevo Reglamento General de Protección de datos. Hoy te hablaré en más detalle algunas características de esta nueva regulación.

Ajuste a la era digital

Un informe elaborado por IT Governance Ltd en 2016 estimaba que durante ese año había más de 3.000.000.000 de billones de datos filtrados. El informe incluía estimaciones sobre el daño de diversos ataques como el robo masivo que sufrió TalkTalk que supuso el robo de datos de casi 157.000 clientes.

En el Reino Unido se llevó a cabo una encuesta sobre la preparación en cuanto a a la nueva legislación entre profesionales del sector TIC. Solo el 47% estaban completamente al tanto de el nuevo RGPD, mientras que e 41% informaba de que sabían de su existencia pero necesitarían más formación al respecto. EL 9% no tenía idea de qué es el RGPD.

¿Cuál es el principal propósito del RGPD?

La nueva regulación en protección de datos pretende actualizar los estándares europeos en protección de datos a la era digital actual.

La importancia del RGPD se refleja en que la mayor parte de su contenido no está abierto a interpretación por parte de los gobiernos locales miembros de la Unión Europea y entrará en vigor en todos los Estados miembros a la vez.

El RGPD en esencia permite a los ciudadanos ejercer más control sobre el tratamiento que se le dan a su información personal, es decir, el uso que se hace de dicha información y si desea que esta siga en poder de la persona jurídica o física con la que esté tratando.

¿Qué es la información personal?

Si el objeto principal de protección son los datos personales, es necesario saber a qué se refiere el RGPD con datos personales ya que es un concepto bastante amplio.

Datos personales es cualquier información que puede ser asociada con un individuo concreto. Esto incluye no información sensible como transacciones o historial médico, pero también información básica que puede ser asociada con un ciudadano europeo.

La ley va destinada a todo aquel que maneje datos de terceros, desde administradores de bases de datos hasta la misma organización que los almacena.

El procesamiento de los datos

La nueva ley especifica que el procesamiento de datos es cualquier operación que se lleve a cabo sobre datos personales tanto de forma automatizada como no automatizada.

Los legisladores se refieren a acciones como la recopilación de estos datos, su almacenamiento, organización, alteración, consultarevelación, etc. Esto tiene como consecuencia que las organizaciones y empresas tendrán que considerar de qué acciones son totalmente responsables.

Brechas de seguridad

Otra novedad del RGPD es cómo se espera que las empresas gestionen y respondan ante incidentes de seguridad. Para ello, la ley ha demarcado el concepto de “brecha de seguridad”.

Una brecha de seguridad es un fallo en la seguridad que conlleve la destrucción accidental o ilegal, pérdida, alteración o revelación no autorizada de datos almacenados o procesados por una organización determinada.

EL RGPD decreta entonces la obligación de que el cargo al mando sea informado cuanto antes de cualquier brecha de seguridad tan pronto como el encargado de la motorización de la seguridad de la información advierta el incidente. Siempre que sea posible, esta comunicación debería producirse no más tarde de 72 horas tras el incidente.

De igual forma, tras detectarse el incidente, los sujetos de la información (los clientes o ciudadanos) tendrían que ser informados si la brecha supone un “alto riesgo” para sus datos. El requisito del “alto riesgo” se indica para que, en caso de haber medidas protectoras como encriptación de datos, no sea necesario informar a los clientes.

Cumplimiento y sanciones

El RGPD especifica también los principios por los que tendrá que guiarse las organizaciones en la protección de datos. Escribiré en más detalle sobre el cumplimiento del RGPD en las empresas en otro artículo pero, por ahora echemos un vistazo rápido.

Para empezar, sería recomendable que las empresas realizaran una auditoría de datos. De esta forma estarían dando un paso muy valioso puesto que tendrán una mayor comprensión del tipo de datos que tienen, dónde los almacenan, y con quién los están compartiendo.

Para muchas empresas se hará necesario (para algunas incluso obligatorio) implementar la figura del Data Protection Officer (oficial de protección de datos). Esta figura es muy relevante para toda organización que maneje cantidades considerables de datos personales de identificación, y es el responsable de velar por la seguridad de la información de los clientes.

El nuevo reglamento prevé que ante su incumplimiento puedan aplicarse sanciones de hasta 10 millones de euros para infracciones graves o 20 millones para infracciones muy graves. En el caso de una empresa, se le podrá aplicar una sanción equivalente al 2% o 4% de sus ganancias anuales del ejercicio financiero anterior.

Aparte de estas cifras, el RGPD especifica que los Estados europeos podrán establecer sus propias normas en cuanto a las sanciones penales en caso de infracción.

Los organismos públicos también podrán ser sancionados. Las autoridades encargadas del control del cumplimiento del RGPD podrán aplicar sanciones económicas a autoridades y organismos de los Estados dentro de la UE.

Y estas han sido las características principales del nuevo RGPD. Sé que me dejo muchas cosas en el tintero pero meter todo en un post y mantener un mínimos de detalle es imposible.

En próximos artículos escribiré en más detalle sobre cumplimiento normativo para empresas en relación al RGPD, el Data Protection Officer, el tratamiento de datos personales y temas relacionados.

Referencias

European Comission. (2016). How will the data protection reform help fight international crime?

MARTIN, D. G., & PALLADINO, S. (2017). What is GDPR, Why it is Needed & How to Prepare.

Parlamento Europeo. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Abril de 2016.

Vázquez, S., & de ECIJA, J. D. M. A. NUEVO RÉGIMEN SANCIONADOR DE PROTECCIÓN DE DATOS.

Westbrook International Ltd. GDPR AUDIT & COMPLIANCE CONSULTING.

imágenes

imagen por Janko Ferlic

Leave a Reply

Your email address will not be published.