Cuando los datos pueden convertirse en una pesadilla

Cuando los datos pueden convertirse en una pesadilla

Category : Blog

El nuevo Reglamento de Protección de datos de la UE (GDPR), que entrará en vigor en mayo del 2018, hay que tomárselo muy en serio. Muy serio porque puede acarrear la desaparición de muchas empresas. Cualquier descuido que ocasione brechas de seguridad y robo de datos en cualquier empresa puede acarrear multas de hasta 20 millones de euros o el 4% del volumen bruto anual. Da lo mismo el tamaño de la empresa.

El reglamento afecta a todas las compañías, que almacenen, procesen o analicen datos personales de ciudadanos europeos. Para ello, tienen que documentar su procedimiento de procesamiento de datos, examinar su nivel de riesgo y tomar las medidas necesarias para prevenir brechas de seguridad y mantener a sus clientes informados de cómo se están protegiendo sus datos.

Entre las novedades que contempla el nuevo el nuevo Reglamento se encuentra la información que se localice en la nube. Por primera vez se establece una corresponsabilidad entre el gestor cloud y la empresa propietaria de los datos. Si una empresa o un particular sube datos a un servicio de nube pública, y éste es hackeado, la responsabilidad primera ante las autoridades es de quien ha subido los datos. Más tarde, la compañía podrá iniciar acciones legales contra el proveedor del servicio.

A partir de ahora las organizaciones deberán reportar las brechas de seguridad a la Agencia de Protección de Datos, como máximo en 72 horas.  Este organismo podrá obligarlas a hacer públicos los detalles de los ataques. Igualmente, las compañías también tendrán que realizar las notificaciones oportunas a las personas afectadas.

Algunas medidas preventivas que se deberán adoptar para evitar la fuga de información: herramientas de reporting y auditoría; encriptación para asegurar la ilegibilidad de los datos; cifrado y control de accesos; monitorización; securización de dispositivos; protocolos de recuperación y validación de datos.

Novedades a las que hay que prestar especial atención:

El “consentimiento reforzado”. A partir de ahora tiene que haber de antemano un consentimiento expreso de los consumidores y clientes para el tratamiento de sus datos.

Portabilidad de los datos. El reglamento obliga a garantizar la portabilidad de los datos de los usuarios, lo que afectará mucho a la operativa de los proveedores de servicios.

Reporte de las brechas de seguridad. Hasta ahora sólo tenían que comunicarlas las telecos y los bancos, pero ahora este reporte va a ser obligatorio para todo el mundo. En sólo 72 horas, las compañías que tengan brechas deberán informar a la autoridad de control y a los clientes.

Se promueve la figura del DPO. La administración y las empresas con un alto volumen de datos sensibles deberán tener un data protection officer o DPO, que coordinará la política de protección de datos y que también actuará como enlace con la autoridad de control.

Análisis de riesgos. Las empresas deberán saber cómo están protegidos sus datos y, en función de ese análisis, implantar medidas efectivas de seguridad. Es una medida en línea con lo avanzado por normativas como la ISO 27001.

Uniway lleva ya 17 años trabajando para la seguridad de los datos en la nube y ha cumplido escrupulosamente la legislación española.