Día Europeo de la Protección de datos ¿Cómo mejorar la protección de datos sensibles en una PYME?
Hoy se celebra el Día Europeo de la Protección de datos. Una iniciativa promovida por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos nacionales, que tiene el objetivo de promover el conocimiento entre ciudadanos y empresas sobre los derechos y responsabilidades en materia de protección de datos.
La creación del Día Europeo de la Protección de Datos se remonta a 2006, cuando el Comité de Ministros del Consejo de Europa estableció el 28 de enero como la jornada anual dedicada a este derecho en conmemoración del aniversario de la firma del Convenio 108, piedra angular de la protección de datos en Europa en la búsqueda de reforzar el control de las personas sobre sus datos y facilitar a las empresas el salto a la economía digital armonizando el nivel de protección en toda la UE.
La edición de este año es la primera que se celebra bajo el paraguas del GDPR, las siglas del General Data Protection Regulation, o en español, el Reglamento General de Protección de Datos que también verás escrito como RGPD. Se trata de una nueva normativa de la Unión Europea, que desde el pasado 25 de mayo es de obligada aplicación en todos los estados miembros, afectando a todo tipo de empresas, grandes o pequeñas, organizaciones de cualquier índole o instituciones gubernamentales públicas de todos los niveles de administración.
Si el objetivo principal del GDPR es dotar de un mayor control de sus datos personales a los ciudadanos de la UE, también beneficia a las empresas al ofrecer un entorno más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación dentro de la UE.
La nueva normativa afecta a todas las empresas e instituciones que manejen y utilicen datos de cualquier persona física de la Unión Europea. El reglamento de protección de datos amplía el ámbito de su aplicación a empresas no europeas que tengan su residencia en cualquier parte del mundo, siempre que procesen datos de residentes de la UE. Es decir, la norma afecta por igual a una pequeña empresa española que a un gigante como Facebook o Google en cuanto al tratamiento de datos de personas físicas de la UE.
Debes saber que GDPR te otorga derechos digitales como el consentimiento expreso si una empresa quiere recopilar o manejar tus datos personales. El consentimiento debe ser explícito para los datos recopilados y los fines para los que se utilizan los datos. Los controladores de datos deben poder probar el “consentimiento”. Además, te deberán informar de sus usos y si son varios, que lo autorices expresamente en cada caso.
El concepto de “datos” también ha sido ampliado y no solo refiere a nombre o domicilio, sino a fotos, audios, orientación sexual o hasta una dirección IP que te identifique. La autorización de uso de datos podrá ser retirada en cualquier momento y también se contempla el conocido como “derecho al olvido” sin los trámites (pegas) actuales.
Otros derechos son los de portabilidad, ya que podrás pedir la transferencia de tus datos de una entidad a otra, y la limitación, suspensión temporal del uso de los datos. En cuanto al tratamiento de menores, el consentimiento debido no podrán realizarlo menores de 16 años (en España menores de 14), tendrán que hacerlo padres y tutores.
Para muchas empresas será complicado de implementar pero es una normativa obligada para devolver el control de los datos a los usuarios. Usuarios que -como hemos hablado otras veces- también tienen mucho que decir en estos casos. Por un lado exigiendo la protección de sus datos y por otro, responsabilizándose de no regalar compulsivamente su intimidad.
Más información:
- GDPR
- Normas para empresas y organizaciones
- Derechos de los ciudadanos
- Reforma de 2018 de las normas de protección de datos de la UE
Cómo mejorar la protección de datos sensibles en una PYME
La protección de datos sensibles es una obligación ética y legal que no es sencilla de llevar a cabo ante la limitada percepción del riesgo, los requisitos exigidos para salvaguardar completamente los datos de clientes y empleados, y la dificultad de cumplir con normativa tan exigente como el mencionado Reglamento General de Protección de Datos europeo de obligada aplicación desde el pasado 25 de mayo.
Aumentar la seguridad respetando el derecho a la privacidad de los ciudadanos es sin duda un gran reto que exige proporción y equilibrio. Te dejamos cocho consejos generales que pueden ayudar a proteger los datos y minimizar la probabilidad de incumplimiento de las normativas:
- Bloquear y proteger datos confidenciales de clientes, pacientes o empleados, especialmente datos sensibles e información personal identificable (PII) como números de seguridad social, registros médicos o datos de tarjetas de crédito.
- Restringir el acceso de los empleados a los datos sensibles con bloqueo de red especialmente en máquinas ubicadas en espacios públicos como áreas de recepción.
- Reciclar y destruir datos de clientes, pacientes o empleados cuando no sean necesarios, contenido en medios físicos y también virtuales como ordenadores o unidades de almacenamiento de segunda mano vendidas o desechadas.
- Implementar políticas de privacidad revisadas al menos anualmente y con capacitación del personal.
- Usar contraseñas. Toda la plantilla debe contar con nombre de usuario y contraseña cambiada al menos cada tres meses para evitar accesos no autorizados a los equipos informáticos. Conviene realizar auditorías de seguridad. También son recomendables los cortafuegos.
- Utilizar cifrado de datos ayuda a proteger la privacidad y seguridad de los equipos, especialmente en pendrives, portátiles, dispositivos móviles y unidades de copias de seguridad.
- Asegurar el acceso remoto a la red empresarial con redes privadas virtuales debidamente habilitadas y con autenticación múltiple.
- Actualizar sistemas y software de forma regular, en especial suites de seguridad con antivirus y cortafuegos, y software para resolver vulnerabilidades en sistemas operativos y aplicaciones.
Via: www.muyseguridad.net