ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 3 min de lectura · Intermedio

GDPR: Otro desafío en pandemia

Análisis sobre los desafíos del cumplimiento del GDPR durante la pandemia y los pasos para la adhesión a este reglamento europeo.

Si bien en estos momentos las consecuencias sociales y económicas debido a la pandemia del SARS-CoV-2 acaparan toda la atención mediática en los medios, tampoco se puede bajar los brazos frente a otros desafíos que aún no se han despejado, y mucho menos solucionado. Una de estas temáticas es la que apunta a la protección de los datos personales, materia que por décadas ha propiciado la adhesión a diferentes estándares de seguridad de la información, así como la modificación a la reglamentación vigente de los países. Si hilamos incluso más fino, el actual escenario de crisis sanitaria ha venido a reforzar aún más esta problemática en las empresas u organizaciones.

El Reglamento General de Protección de Datos de la Unión Europea (en inglés GDPR), el cual entró en vigencia en mayo del 2018, ha sido la norma que ha puesto la más alta vara hasta el momento con respecto a la protección de datos personales. Vino a generar un punto de inflexión al convertirse en la referencia para la legislación de protección de datos a nivel mundial.

Para aquellas organizaciones que procesan datos personales, ya sea en calidad de controlador, procesador o a través de un tercero, puede resultar tentador dejar de lado los proyectos de cumplimiento de GDPR cuando se trabaja con recursos de TI potencialmente reducidos. Sin embargo, los recientes fallos multados y la declaración del Comité Europeo de Protección de Datos (EDPB) sugieren fuertemente que las empresas y los gobiernos deben seguir esforzándose por respetar el reglamento.

Al enfocarse este reglamento en la protección de los datos personales, dando además garantías a las empresas que pueden seguir efectuando negocios seguros bajo una legislación robusta, debemos tener presente también cuáles son sus principios.

Los 7 principios de GDPR

  1. Legalidad, Equidad y Transparencia: Recopilar todos los datos personales de manera legal, informando al usuario y manteniendo la promesa de que sus datos serán protegidos.

  2. Limitación de propósito: Procesar los datos solo para los propósitos informados al usuario al momento de recopilar su información.

  3. Minimización de datos: Recopilar y procesar solo la cantidad de datos absolutamente necesaria.

  4. Precisión: Mantener los datos personales precisos y actualizados.

  5. Limitación de almacenamiento: Almacenar los datos de identificación personal solo durante el tiempo necesario.

  6. Integridad y confidencialidad: Procesar los datos de manera que se garantice la seguridad, integridad y confidencialidad adecuada.

  7. Responsabilidad: El controlador de datos es responsable de poder demostrar el cumplimiento de GDPR con todos estos principios.

Pasos para la adhesión a GDPR

  1. Política de Gestión de Datos: Documento rector que tendrá como objetivo orientar los lineamientos a nivel de la organización en esta materia.

  2. Evaluación de impacto en la Protección de Datos (DPIA): Evaluar los activos de información y definir cómo se gestionarán estos activos frente a riesgos.

  3. Oficial de Protección de la Información (DPO): Establecer las funciones y responsabilidades que tendrá la figura del DPO.

  4. Inventario de Información a Proteger: Levantamiento exhaustivo de toda la información que permita descubrir y clasificar cuál es la información sensible relacionada a datos personales.

  5. Notificación de incumplimiento: Establecer un canal de gestión de incidentes orientado a la protección de datos personales, con un procedimiento que contemple la notificación al ente regulador dentro de las 72 horas.

Medidas técnicas mínimas bajo el GDPR

  • Retiro puntual y borrado seguro de software y hardware antiguos
  • Protección antivirus, antimalware y antispyware en tiempo real
  • Encriptación de todos los dispositivos portátiles
  • Encriptación de datos personales en tránsito mediante SSL, IPsec VPN o PGP
  • Implementar configuración segura en todos los dispositivos
  • Poner en marcha sistemas de detección y prevención de intrusiones (IPS)
  • Realizar copias de seguridad (backup)

Medidas organizativas mínimas bajo el GDPR

  • Evaluar y capacitar al personal, contratistas, proveedores de manera continua
  • Insistir en los acuerdos de no divulgación
  • Proporcionar información sobre procedimientos disciplinarios a nuevos empleados
  • Asegurar de que las áreas de trabajo tengan una política de escritorios limpios
  • Implantar una política de destrucción segura de documentos

Autor: Jorge Valenzuela

Fuentes: GDPR, EDPB

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo