Nueva normativa GDPR (Reglamento General de Protección de Datos)

Qué es GDPR, en qué afecta a las pymes y cómo cumplir con la normativa 

El próximo 25 de mayo de 2018 entrará en vigor en toda la Unión Europea la nueva normativa GDPR sobre protección de datos. Esta normativa obligará a todas las empresas y organizaciones que recopilen, usen, almacenen e intercambien datos de ciudadanos residentes en la UE a fijar un protocolo para salvaguardar la privacidad de dichos datos. Su objetivo es otorgar a los ciudadanos residentes en la Unión Europea un mayor control sobre sus datos personales.
 
Para ello, todas las empresas y organizaciones están obligadas a adaptar la gestión de los datos personales (listados de clientes, de correos electrónicos, fotos, grabaciones de cámaras de seguridad, bases de datos de programas de fidelización…) siguiendo los siguientes criterios:
  • Tiene que haber un sistema que garantice que el usuario ha dado su consentimiento explícito (declaración) para que sus datos sean gestionados por la empresa y para qué fines concretos. 
  • Los usuarios deben tener claro cómo se están usando sus datos: máxima transparencia, garantizando la seguridad y confidencialidad de los mismos.
  • Los datos solo pueden ser usados para los fines especificados originalmente, minimizando en los posible su recopilación y el tiempo de almacenamiento.
  • El usuario tiene que tener la posibilidad de modificar o eliminar sus datos con facilidad.
  • La responsabilidad principal del cumplimiento de la normativa es del director general (CEO) de la compañía, aunque puede delegarla. En caso de incumplimiento, están previstas sanciones que pueden llegar a los 20 millones de euros o el 4% del volumen de negocio global anual de la empresa.

Descargue el dossier: "6 Mandamientos de GDPR"


GDPR: ¿Cómo empezar?


¿Qué pasos tengo que dar para cumplir con la normativa GDPR?

Son cuatro las etapas que debe recorrer la organización para adaptarse a la nueva normativa:

Primera etapa: Detectar y evaluar
El primer paso hacia el cumplimiento del GDPR es evaluar en qué medida afecta a su organización. En esta etapa es primordial tener un control sobre qué datos atesora su compañía, cómo han sido recopilados a lo largo del tiempo, dónde se encuentran alojados, quién tiene acceso a los mismos, si se han compartido con otras entidades, si son propios o de terceros, etc.
Hay que inventariar los almacenes de datos y sus ubicaciones, que dependen de la infraestructura de cada organización y de la tecnología que esté implementada.
Por lo general, éstos residirán en varias ubicaciones, tanto centralizadas (servidores locales, nube pública, nube privada o entornos híbridos) como descentralizadas (los usuarios finales pueden almacenar datos en sus equipos personales y/o mantenerlos sincronizados con una ubicación centralizada); en dispositivos extraíbles (llaves USB o discos duros externos) y, por supuesto, en las soluciones de backup (copia de seguridad) que tengamos implementadas. Tampoco deben olvidarse los datos registrado por dispositivos multimedia de seguridad,  como son los circuitos de CCTV (cámaras de seguridad).

Segunda etapa: Gestionar
Una vez realizado el inventario de los datos el objetivo debe ser definir e implementar un plan de gobernanza de datos. El GDPR proporciona a los ciudadanos un mayor control sobre sus datos personales y esto implica la obligatoriedad, por parte de las organizaciones, de facilitar a dichos usuarios ese derecho. El plan o política de gestión de datos de su compañía deberá establecer los protocolos precisos a seguir para facilitar el derecho al olvido, la rectificación o eliminación de los datos de aquellos usuarios que así lo soliciten, la definición de las políticas de restricción de tratamiento de ciertos datos, etcétera.

Tercera etapa: Proteger
La seguridad de los datos es clave. Las organizaciones están obligadas a disponer de sistemas que garanticen la confidencialidad de los datos que almacenan (tanto en instalaciones locales, como en la nube pública o privada) y eviten la fuga de información ante los crecientes riesgos, que van desde los ciberataques hasta la pérdida accidental, pasando por empleados deshonestos o los hackers.
La creación de planes de gestión de riesgos y la adopción de medidas de mitigación de los mismos, como la protección con contraseña, los registros de auditoría y el cifrado le ayudarán a garantizar el cumplimiento normativo.

Cuarta etapa: Informar
El GDPR establece nuevos estándares en transparencia, rendición de cuentas y mantenimiento de registros. Las organizaciones deberán mantener registros sobre los fines para los cuales los recaban y procesan; las categorías de datos personales que acumulan; la identidad de terceros con quienes se comparten datos; a qué y a quienes se transmiten los datos personales y la base legal de tales transferencias; las medidas de seguridad organizativas y técnicas, y los tiempos de retención aplicables a diversos conjuntos de datos. 
 

Una forma de mantener toda esta información al día y revisada pasa por el empleo de herramientas de auditoría, que aseguran que cualquier procesamiento de datos cuenta con un seguimiento y un registro, en cualquiera de las fases de recopilación, uso, custodia o intercambio.
El GDPR también obliga a las empresas a informar (de forma clara, sencilla y concisa), en sus avisos de privacidad, de la base legal que da cobertura al tratamiento de los datos; el período de retención de los mismos y los pasos que deben seguir los interesados para realizar cualquier reclamación.

10 Preguntas Frecuentes (FAQ's) sobre GDPR (Global Data Protection Regulation)

¿Qué infraestructura necesito para cumplir con garantías la normativa GDPR?

Antes de establecer qué necesidades humanas y técnicas se necesitan para abordar adecuadamente la normativa GDPR hay que realizar lo que se denomina un “estudio del arte”, es decir, un análisis detallado del punto en el que se encuentra cada organización en materia de seguridad y protección de datos. Normalmente se hace con una auditoría que determinará la necesidad de recursos.
 
En cualquier caso, la implantación requerirá probablemente incorporar mecanismos internos que quizá antes eran inexistentes, documentar procesos, registrar los tratamientos y velar por su cumplimiento. También será necesario establecer internamente códigos de conducta, porque se adquiere una responsabilidad activa sobre los datos. Las tareas a realizar incluyen:
  • La comprensión de las áreas afectadas.
  • Inventariar y clasificar los datos que se gestionan.
  • Encriptar / anonimizar los datos, teniendo en cuenta tanto los directos como los que nos ayuden a identificar de forma indirecta a los ciudadanos.
  • Evitar la pérdida de datos, con el reto siempre cambiante de la ciberseguridad.
  • La formación a los empleados para que conozcan sus funciones y responsabilidades. 
  • Asegurar una fácil portabilidad de los datos.
Además, la plataforma tecnológica de la compañía tiene que permitir:
  • Estar al día frente a las amenazas de seguridad.
  • Tener mayor visibilidad de los ataques.
  • Asegurar el cumplimiento con la normativa GDPR.
  • Confirmar que la nube pública que contiene los datos disponga de mecanismos apropiados de seguridad, actualizados en base al GDPR.
  • Proteger los dispositivos móviles de los usuarios.
  • Gestionar múltiples soluciones de seguridad de diferentes fabricantes.
Se necesita pues un entorno tecnológico que garantice alta seguridad, total flexibilidad, escalabilidad y una continua actualización. Una propuesta que hacemos desde Tipsa es actualizar convenientemente su software “on-premise” o, directamente, apostar por un modelo de suscripción en la nube. Se trataría de una transición a entornos híbridos apoyados en una administración basada en la nube, al ritmo que precise cada organización y manteniendo el control a través de una consola de administración unificada.

Dossier: Conozca las razones por las que las empresas se trasladan a la nube

Los productos y servicios de Microsoft cumplen los estándares de la nueva normativa y todos se han diseñado para que las organizaciones mejoren el control de toda la información corporativa.
"La nube de Microsoft (Azure) está soportada por un despliegue global de centros de datos que cuenta con la mayor oferta de certificaciones de cumplimiento normativo para los sectores más exigentes (sanidad, banca, industria…), como ENISA IAF, ISO/IEC 27001, 27018, FedRAMP, SOC 1 y SOC 2, HIPAA, y añade al escenario particular de nuestro país el Esquema Nacional de Seguridad (ENS) y la LOPD".

Productos destacados:
Azure: servicios empresariales en la nube pública de Microsoft orientados a la movilidad, seguridad e identidad, integración, almacenamiento, backup, Internet de las cosas, inteligencia empresarial, analítica de datos, herramientas para desarrolladores…
Office 365: la más amplia colección de herramientas y servicios orientados a la productividad, la comunicación y la colaboración.
Microsoft 365 (Office 365, Windows 10 y Enterprise Mobility + Security): permite una colaboración fluida entre empleados con la máxima flexibilidad y seguridad.
Windows 10 y Windows Server : sistemas operativos que incorporan tecnologías de seguridad por diseño y de privacidad de forma predeterminada.
Dynamics 365: nuestras soluciones de gestión empresarial (ERP y CRM) en la nube totalmente integradas entre sí.
 
En definitiva, una propuesta amplia, sólida y adaptable a todo tipo de organizaciones (de cualquier tamaño y sector) para que la transición al cumplimiento de la normativa GDPR sea más sencilla.
Suscríbete a nuestra newsletter
 
 

Entradas recientes


 

Síguenos en las redes