En este resumen quiero haceros partícipes de los principales aspectos a tener en cuenta tras la entrada en vigor el pasado mayo de 2016 del nuevo Reglamento General de Protección de Datos, aplicable tanto a empresas de España, como de Europa a partir de mayo de 2018 y aquellas empresas no residentes en Europa que presten servicios a residentes en Europa. Deberán cumplirlo tanto sociedades mercantiles, asociaciones, autónomos y administraciones públicas.
Principales aspectos a conocer sobre el nuevo RGPD
A partir de mayo de 2018 se deberán tener en cuenta las normativas de protección de datos simultáneamente siempre que no contravengan lo definido en el RGPD, por lo que se deben cumplir tanto la LOPD según la normativa de seguridad desarrollada en el Real Decreto 1720/2007, y todos aquellos requisitos exigidos por la legislación española, sentencias, informes de la Agencia de Protección de Datos, o recomendaciones de ésta. Son complementarias.
El principal objetivo de este nuevo reglamento es garantizar en toda la Unión Europea la aplicación de unas normas de protección de los derechos y libertades de los ciudadanos en materia de tratamiento de datos de carácter personal y que éstas sean homogéneas y coherentes.
Algunas cuestiones que ya tenemos en la LOPD es la legitimización de los datos o autorización expresa del mismo para el tratamiento de sus dato, así como la definición de los roles de encargado del tratamiento, responsable del fichero, pero aparecen ciertas matizaciones en la delegación de sus funciones.
En el documento de seguridad, será necesario ampliar el protocolo de lo que hasta ahora venimos llamando derechos ARCO (acceso, rectificación, cancelación u oposición), con aspectos como la transparencia, al origen de la información, la limitación del tratamiento, la portabilidad de datos y la elaboración de perfiles.
Debido al aspecto legal y tecnológico que tiene este reglamento nuestra recomendación es que el servicio lo preste un equipo con personas que tengan:
+ Conocimientos jurídicos en materia de protección de datos con experiencia en la LOPD, tanto en su definición como auditorías.
+ Técnicos informáticos con conocimientos avanzados en seguridad informática y redes de telecomunicaciones.
En toda mi trayectoria profesional he defendido que cualquier normativa o exigencia legal debe ser bienvenida por los CIOs y departamento IT para exigirle a la Dirección de su empresa recursos de seguridad, siendo además un momento ideal por requisito legal para realizar un análisis de gestión de riesgos, un inventario de todo el equipamiento IT, y racionalizar algunos aspectos que el día a día no nos permite en muchas ocasiones.
+ Cifrado de datos y su tratamiento en caso de ficheros de nivel alto – ahora especiales- y equipos portátiles cuando salgan de la oficina si van a realizar tratamiento de datos personales. Las empresas que llevan a cabo tratamiento de datos financieros de personas – Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo Articulo 2.1. Por otra parte las Administraciones Públicas también están obligadas a cifrar sus datos en sus comunicaciones con personas tal como adelantaba el Esquema Nacional de Seguridad.-fecha final de adaptación 4 de noviembre de 2017.
Los abogados, notarios y procuradores también deben aplicar normas de nivel alto por su deber de secreto, y en concreto todos aquellos que guarden información confidencial.
+ Protección de doble factor. Es toda aquella que utiliza dos niveles de autenticación para comprobar que realmente el usuario es quien dice que es. Por lo tante además de la contraseña, se requiere una segunda clave, pudiendo ser esta de carácter temporal. En este último caso es cuando se habla de claves OTP (one time password), o claves de un sólo uso. Es un nivel de protección adicional para evitar robo de información, y aumentar la fiabilidad humana.
+ Inventario de equipamiento informático. Esto es un reto, ya que cada vez los activos informáticos son más hibridos, cloud – on premise, distribuidos y descentralizados, y ello lleva consigo el control de determinadas vulnerablidades y evaluaciones periodicas que se deben aplicar en todos los equipos.
+ BYOD. Trae tu propio dispositivo. Es una filosofía de trabajo aplicable tanto en colegios como en empresas, por las que el usuario trae su dispositivo para realizar el trabajo (tablet, smartphone o portátil), conectándose a la red de la empresa. Al conectarse a la red de la empresa se puede producir un intercambio de ficheros en ambos sentidos, almacenando en el dispositivo móvil información confidencial, que en caso de pérdida del mismo, la información podría quedar comprometida. Estos dispositivos suelen tener acceso a la red corporativa de la empresa, por lo que es importante que se controle el dispositivo para no infectar la red de la empresa, y controlar desde dónde se conecta -wifi público-, cifrando la transmisión de datos en todo momento
+ Análsis de vulnerabilidades. Si se produce algún ataque que como resultado pone en peligro la información de las personas, hay que llevar a cabo dos actuaciones, notificar al afectado y notificar a la AEPD, aportando al menos la siguiente información:
– Describir las características de la brecha de seguridad y el alcance del mismo
– Comunicar los datos del delegado de protección de datos
– Indicar las posibles consecuencias
– Definir las medidas adoptadas.
En el caso de que se produzcan estas brechas de seguridad, y su comunicado a la AEPD implica un colapso en la empresa, por lo que es VITAL disponer de una serie de medidas de protección que garanticen que este tipo de vulnerabilidades no se producen, mediante sistemas de protección perimetral y un análisis de gestión de riesgos, conociendo toda la empresa de extremo a extremo.
+ Certificaciones de seguridad. No es una obligación, pero sí una recomendación que las empresas que vayan a realizar negocios con terceros en los que hay intercambio de información, cuenten con una certificación del tipo de las ISO 27000, para garantizar a ambas partes el cumplimiento de unos determinados procedimientos de seguridad.