Como adaptarse para la nueva regulación europea de protección de datos

El 25 de mayo de 2018 entrará en vigor la nueva regulación europea de protección de datos, también conocida como GDPR.

El GDPR asigna importantes responsabilidades políticas y técnicas a cualquier organización que trate datos personales de ciudadanos de la Unión Europea, independientemente de si opera físicamente o no dentro de sus fronteras. Por lo tanto, esta ley tiene un gran impacto mundial y afectará directamente a la forma en la que las multinacionales operan en Europa. Las compañías que incumplan podrán enfrentarse a multas de hasta el 4% de sus ingresos, o de 20 millones de euros.

Esta legislación se centra sobre todo en minimizar los riesgos de las empresas para garantizar la privacidad y la seguridad de los datos de las personas. Concretamente, la ley obliga a las organizaciones a implementar procedimientos completamente nuevos en torno a la recopilación y al almacenamiento de información personal identificable (PII, por sus siglas en inglés). Afecta a cualquier dato relacionado con la vida privada, profesional o pública de un residente de la UE (dirección IP, información bancaria, direcciones de correo electrónico, usuarios de redes sociales, etc.). El objetivo de la GDPR es asegurar que la PII se almacena con el permiso del usuario y que se utiliza para el propósito especificado para el que se obtuvo y sólo durante un tiempo limitado.

Check Point, proveedor especializado en seguridad, explica cómo adaptar la estrategia de ciberseguridad para cumplirla.

Concienciar y educar

Es indispensable formar a los empleados en cuestiones cómo: ¿Qué requiere la ley y por qué es relevante para la compañía? ¿Cuáles son las sanciones? ¿Qué aplicaciones tienen probabilidades de incumplimiento?

La educación es vital, no sólo para concienciar sobre la nueva regulación, sino también para comenzar a pensar en cómo asignar personal y recursos financieros para tratarla, explican.

Monitorizar toda la información

Aún no se sabe cómo evolucionará y como se aplicará la GDPR. Los responsables del cumplimiento de la normativa deben leer sobre el tema todo lo posible, para conocer todas las novedades.

También es necesario saber que varios organismos de la UE están tratando de aclarar cómo se aplicará la ley, y publican periódicamente dichas explicaciones. Por lo tanto, es necesario reservar algo de tiempo para ver si hay actualizaciones.

Localizar los datos

Encontrar los datos alojados en los entornos TI es clave para evaluar el esfuerzo que se debe hacer con respecto a la normativa. Los sistemas de clasificación de datos pueden automatizar este proceso.

Establecer y verificar un sistema de identificación seguro

Todos los regímenes de cumplimiento establecen el registro como un sistema de control esencial, y la GDPR no será diferente. Por lo tanto, un primer paso lógico será revisar y verificar las actividades de logging. También se deben implementar controles automáticos o manuales que revisen periódicamente los historiales, y busquen actividades no autorizadas o maliciosas. Por último, debe incluir las actividades del administrador en la infraestructura crítica.