Te explicamos qué es el GDPR, el nuevo reglamento de protección de datos de la UE
Hoy es 25 de mayo de 2018, esto quiere decir que ha entrado en vigor una de las normas sobre protección de datos más importantes y posiblemente una de las más restrictivas del mundo: El GDRP (Reglamento General de Protección de Datos/General Data Protection Regulation) de la Unión Europea.
Es importante tener en cuenta que el GDPR es un Reglamento, esto quiere decir que su aplicación es directa sobre todos los países miembros de la Unión Europea y se superpone a la legislación de los países, así que todas las instituciones con sede dentro del ente comunitario se ven obligados a acatarlo a partir de hoy, sin esperar a que los estados miembros adapten sus propias legislaciones para adaptarlas al GDPR. Hoy es la puesta efectiva de la ley, ya que en realidad entró en vigor el 25 de mayo de 2016, dando la Unión Europea dos años para que todas las instituciones se adaptasen a ella, sin embargo, parece que la mayoría han estado esperando hasta el último momento para mover ficha.
En los últimos tiempos se ha comentado batante sobre le GDPR, pero posiblemente muchos no sepan qué es exactamente, y eso es lo que resolveremos con este artículo en MuySeguridad.
¿Qué es el GDPR?
Desde los años 90 se han impulsado muchas normativas que regulan el tratamiento de los datos dentro de empresas e instituciones, con el objetivo de que los datos fuesen protegidos y se velara por la privacidad de las comunicaciones electrónicas. Muchas leyes se promulgaron antes de la llegada a Internet, y otras, como la LOPD española, se hicieron a finales de los 90, cuando Internet no era todavía la gigantesca red que es hoy en día, y a eso hay que sumar otros campos como el cloud computing. La rápida evolución de Internet y las tecnologías que se apoyan o derivan en él han hecho que las legislaciones vigentes hasta ayer se hayan quedado obsoletas, haciendo que no sean capaces de hacer frente a los desafíos actuales, cosa que se vio en el caso del escándalo de Facebook y Cambridge Analytica.
La Unión Europea aspira a tener una legislación única que se aplique sobre todos los estados miembros, así que además de armonizar en este sentido, el GDPR pretende reforzar la protección de datos para todos los individuos de la Unión Europea, regular la exportación de datos personales fuera de la UE y establecer un conjunto de “derechos digitales” para todas las personas físicas de su ámbito de actuación. La intención es que los residentes de la UE puedan tener un mayor control sobre sus datos, ofreciendo a las empresas un marco más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación. Se espera que cuando esté adaptado y en pleno funcionamiento se ahorre a las empresas 2.300 millones de euros anuales, sin embargo, todo apunta a que, al menos en los próximos meses, les va a costar un buen desembolso ajustarse al nuevo Reglamento.
A todo lo mencionado hasta aquí hay que añadir el hecho de que el GDPR también pretende reforzar la confianza en la economía digital, intentando despejar los miedos de usuarios y empresas sobre cómo tratan ciertas compañías los datos personales.
¿A quiénes afecta el GDPR?
Básicamente, a cualquier organización que opere dentro de la Unión Europea que maneje datos de una persona física residente en el ente comunitario, y no solo eso, sino que amplía su ámbito de su aplicación a organizaciones no europeas que tengan su residencia en cualquier parte del mundo, siempre que procesen datos de residentes de la UE. Esto quiere decir que se aplica si el controlador de datos (una organización que recolecta datos de residentes de la UE) o el procesador (una organización que procesa datos en nombre del controlador de datos como servicios en la nube) o el interesado (persona) tienen su sede en la UE, además de a cualquier organización con sede fuera de la Unión Europea si recopila o procesa datos personales de los residentes.
¿Cómo se cumple el GDPR?
Una de las características más destacadas del GDPR son sus fuertes sanciones, que pueden llegar hasta los 20 millones de euros o el 4% del volumen de ingresos anuales de la institución u organización infractora. Esto hace que su cumplimiento tenga que ser, sobre todo a partir de hoy, una prioridad absoluta. En MuySeguridad vamos a resumir los seis pasos a seguir para velar por su cumplimiento:
- Entender el marco legal del GDPR: Entender la legislación vigente es algo crítico para evitar problemas y sanciones. Para evitarlos, se puede recurrir a auditorías sobre su cumplimiento. Posiblemente sea necesario contratar a un técnico de protección de datos para que explique las regulaciones y cómo aplicarlas a la organización.
- Crear un registro de datos: Cuando la organización tenga más claro el marco legal y sus requisitos, deben mantener un registro del proceso. Esto debe hacerse a través del mantenimiento de un Registro de Datos, que es esencialmente un diario de GDPR. Cada país cuenta con una Asociación de Protección de Datos (DPA) que será responsable de hacer cumplir el GDPR. Es esta organización la que juzgará si una empresa ha sido compatible, con la determinación de posibles sanciones por incumplimiento.
- Clasificación de datos: Se trata de entender qué datos las empresas necesitan proteger y cómo se está haciendo. Primero las empresas deben encontrar Información Personal Identificable (PII) de ciudadanos de la Unión Europea. Es importante identificar dónde se almacenan esos datos, quién tiene acceso a ellos, con quién se comparte, etc.
- Empezar con lo que es prioritario: Una vez que los datos han sido identificados, lo importante es comenzar a evaluarlos, incluyendo cómo se están produciendo y protegiendo, siendo lo prioritario proteger la privacidad de usuarios y consumidores. Las organizaciones tienen deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción.
- Evaluar y documentos riesgos y procesos adicionales: No solo hay que proteger los datos sensibles, sino también evaluar y documentar otros riegos con el objetivo de averiguar dónde puede ser la organización más vulnerable en otros procesos. Es importante mantener una hoja de ruta plasmada en un documento para mostrar a la DPA correspondiente cómo y cuándo se va a abordar los riesgos pendientes para así mostrarle que la organización se está tomando el cumplimiento y la protección de datos seriamente.
- Revisar y repetir: Tras obtener los resultados de los pasos anteriores, hay que revisarlos y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario. Una vez que esto se haya completado, las empresas deben determinar sus próximas prioridades y repetir el proceso desde el cuarto paso.
Lejos de estar preparados
Según un informe de IDC, solo el 10% de las empresas españoles se habrían adelantado para estar preparadas para cumplir con el Reglamento a partir del día de hoy, mientra que solo el 25% aseguraba tener un plan sólido para cumplirlo y el 5% de los directivos reconocieron “no tener ni idea” de qué hacer para adaptarse.
Por su parte, la consultora Capgemini hizo otra encuesta entre 1.000 directivos de empresa y 6.000 consumidores de ocho grandes mercados, concluyendo que el 85% de las empresas europeas y estadounidenses no estaban preparadas para cumplir el Reglamento. Además, de este informe se puede apreciar cierto desinterés, ya que el 31% de los encuestados aseguraron tener programas en marchas para cumplir con al Reglamento, pero no para sacarle partido.
Las 72 horas que da la Unión Europea para informar sobre una brecha de seguridad es otro escollo difícil de salvar, ya que, según HPE Aruba, los sistemas de seguridad que emplean la mayoría de las empresas e instituciones raras veces permiten detectarlas dentro del plazo establecido. Por su parte, NetApp ha mostrado que el 67% de las organizaciones internacionales se mostraban preocupadas por no alcanzar el pleno cumplimiento de la normativa en los plazos estipulados.
¿Hay empresas que han pagado el precio de no adaptarse al GDPR? Pues al menos hay un caso conocido, el de Instapaper, que ha decidido suspender su servicio al no poder cumplir con el Reglamento. En un escueto comunicado explica que la nueva normativa europea no es clara en aspectos sobre qué información pueden reclamar los usuarios, en qué formato debe ser “empaquetada” y entregada o qué tipo de infraestructura debe ponerse en marcha para gestionar las peticiones de información.
Ante el pánico y las inseguridades generadas, al sector de las TIC no le ha quedado otra que sumar esfuerzos para ayudar en el cumplimiento del GDPR. De hecho, el ecosistema del canal TI ha respondido y desde distribuidores a fabricantes y proveedores de servicios cloud llevan tiempo adecuando sus negocios a la nueva normativa, informando y ayudando a las organizaciones a cumplir con lo que establece.
Fuente: MuyCanal
Via: www.muyseguridad.net