MarcosNehme_PressPicture

Día de la Seguridad de Protección de Datos: ¡Celebrar! ¿Pero cuáles son nuestras obligaciones?

A medida que nos acercamos a la celebración del Día de Seguridad de Protección de Datos el próximo 28 de enero, pensé que sería genial compartir algunas de las importantes obligaciones que trae este tema, y cómo podemos usar este requisito en la estrategia de ciberseguridad.

El enfoque está creciendo para el “Reglamento general de protección de datos” de la Unión Europea o GDPR (General Data Protection Regulation), y las organizaciones están empezando a comprender la magnitud del cambio que generará esta importante regulación.

No son sólo las organizaciones de la UE las que están sujetas a los requisitos de GDPR. Si su empresa almacena o maneja cualquier información de identificación personal tan sencilla como nombres, direcciones de correo electrónico, entre otros,  entonces está obligada a cumplir con las normas y, si no lo hace, puede incurrir en sanciones.

¿Y que son esas sanciones por incumplimiento? Digamos que no desea ser una de las organizaciones que siente el dolor de ser juzgada por incumplir regulaciones. El GDPR autoriza multas de hasta 20 millones de euros, o el 4% de las ventas mundiales totales de una empresa, cualquiera que sea mayor. Esos son números impactantes para el negocio, sin mencionar el daño a la reputación que se sufre si rompe esta nueva ley.

Definitivamente usted podrá estar en conformidad con esta ley, pero eso no será ni sencillo ni barato. El principio de conducción detrás del GDPR es que los datos que se relacionan específicamente con una persona pertenecen a esa persona, no a la organización que la crea, la retiene o la procesa. Entonces, en efecto, usted se convierte en custodio de los datos de todos los usuarios, con todas las responsabilidades que esperaría de alguien que tenga algo muy valioso suyo.

Para las organizaciones, esto significa obtener un permiso explícito para retener la información personal de alguien; limitando su uso al contexto en el que se otorgó ese permiso; dejar que el propietario de los datos lo revise, lo corrija o incluso lo exporte y elimine en el momento que lo desee; y asegurarse de que se mantenga a salvo y protegido del uso indebido, por parte de sus empleados o de terceros.

En términos prácticos, el GDPR requiere una reconsideración completa de sus procesos de manejo de datos. Esta revisión implica ubicar cada lugar donde se recopilan y almacenan los datos personales, y los procesos involucrados. Tendrá que diseñar un sistema para que todos los procesos comerciales futuros cumplan con los requisitos de diseño de privacidad del GDPR.

Como puede ver, estas actividades tocarán prácticamente todas las partes de la organización, consumiendo mucha atención y recursos a medida que se acerque la fecha límite de mayo de 2018. Hay otro componente igualmente crítico del GDPR que también debe abordarse: el requisito de protección de datos.

Es notable que la protección de datos, no la privacidad de los datos, es lo que representa el “DP” en GDPR. Esto se debe a que, sin importar qué tan bien implementado estén sus procesos para manejar la información personal, si se pierde en una violación de datos, nada más importa. El GDPR entiende esto, y ha enmarcado los requisitos en consecuencia.

El mayor cambio, en términos de protección de datos, es un nuevo requisito de divulgación de violación de datos. La mayoría de las empresas deberán nombrar un Oficial de Protección de Datos (DPO), cuya función será supervisar la implementación de los procesos de manejo de datos, pero también para interactuar con el régimen regulatorio de la UE. Un nuevo requisito: en el caso de una violación de datos, el DPO debe informar formalmente dentro de las 72 horas posteriores al descubrimiento o tener una muy buena explicación de por qué no lo hizo.

Las penas más duras se reservan para violaciones repetidas, o en casos donde la protección de los datos del usuario es insuficiente. Las penas máximas para los primeros delincuentes son normalmente la mitad del máximo del GDPR (hasta 10 millones de euros frente a 20 millones de euros, o el 2% frente al 4% de los ingresos).

A la luz de estos requisitos, y de los riesgos que asumen, las organizaciones deben usar este tiempo para revisar su estrategia y herramientas para la detección y respuesta de amenazas. Si bien siempre es un buen negocio proteger contra la creciente sofisticación y el impacto del cambiante panorama de amenazas, el GDPR cambia la ecuación de riesgo de manera significativa.

RSA Security, una empresa del grupo Dell Technologies puede ayudarlo a cumplir con sus responsabilidades de protección de datos bajo GDPR.  RSA NetWitness® Suite es un conjunto de herramientas de detección y respuesta a amenazas, mientras que nuestras unidades RSA® Incident Response y RSA® Advanced Cyber ​​Defense ofrecen servicios de planificación e implementación de primer nivel. Mientras se prepara para el GDPR, un proceso de protección de datos de clase mundial es la base.

La sugerencia es, sin duda, aprovechemos el día para celebrar ya, empezar a diseñar e implementar un programa de Protección de Datos basado en un una estrategia con enfoque en su negocio.