Mejores prácticas, procedimientos y cifrado: nuevos pasos hacia el objetivo GDPR de...

Mejores prácticas, procedimientos y cifrado: nuevos pasos hacia el objetivo GDPR de 2018

0 809 views
Carine Martins, Account Executive de Stormshield Iberia

Casi seis meses después de la aprobación del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) las empresas -firmas legales y consultoras- ya están trabajando en el tema, a fin de adecuar sus prácticas a este texto y con la vista puesta en mayo de 2018, fecha límite para poner en marcha las medidas impuestas por dicho reglamento.

GDPR propone una nueva normativa de protección de datos personales que es aplicable a todos los Estados miembros de la Unión Europea. A este respecto, el Supervisor Europeo de Protección de Datos (EDPS)1 Giovanni Buttarelli, define GDPR como “un monumento a los derechos humanos”. Pese a ello, y aunque se ha escrito mucho sobre el tema, la nueva regulación plantea de momento más preguntas de las que ha respondido. Tras la lectura y análisis del texto, y la publicación por parte de la AGPD2 de la “Guía sobre Privacidad y Seguridad en Internet”2 en octubre de 2016, se están uniendo sinergias y avanzando en un esfuerzo colectivo por integrar GDPR en las empresas de toda Europa.

Grupos de trabajo y mejores prácticas

Como se estipula en el nuevo reglamento Europeo, las partes implicadas en el tratamiento y almacenamiento de datos personales están llamadas a definir y a seguir códigos de conducta. Este paso (mencionado en el Artículo 40) especifica así que “la existencia de códigos de conducta puede utilizarse como un elemento para demostrar el cumplimiento de las obligaciones con el regulador”3. A dichas partes, también se les anima a pensar en crear mecanismos de certificación aprobados (Artículo 42).

A raíz de estas demandas, ya se han creado los primeros grupos de trabajo al respecto. Si bien muchas empresas ya están liderando su transformación digital y su migración hacia la Nube, estos grupos de trabajo serán al mismo tiempo instrumentos importantes para armonizar las mejores prácticas y asesorar a las empresas en su elección de infraestructura (estructura y alojamiento) ya sea en modalidad in-situ o a través de un proveedor externo (Cloud).

Desde el año 2000, la CNPD4 (Comisión Nacional de Protección de Datos de Portugal) y la AGPD se han reunido anualmente para debatir cuestiones relacionadas con la protección de datos personales. En un reciente comunicado de prensa, AGPD anunciaba lo siguiente: “la directora de la AEPD, Mar España, ha destacado la importancia de ofrecer herramientas prácticas para fomentar e impulsar la cultura de protección de datos entre los ciudadanos, mientras que el director general de INCIBE, Miguel Rego, insiste sobre la necesidad de que los ciudadanos adopten una actitud proactiva en cuanto al hábito de actualizar y ampliar sus conocimientos sobre seguridad, como medida preventiva para usar las nuevas tecnologías con confianza“.

En esencia, es necesario ofrecer una lectura simplificada del reglamento, para el cual, CNIL5, otra entidad nacional de ciberseguridad en Francia, define tres objetivos: reforzar los derechos de los individuos, empoderar a los actores que procesan los datos (recolectores y hosts) y otorgar credibilidad a la regulación mediante la aplicación de GDPR en todos los Estados miembros de la Unión Europea (UE). El incumplimiento de estos objetivos está sujeto a sanciones que pueden llegar a representar hasta el 4% del volumen de negocio total de una empresa.

Procedimientos de TI y marketing

El camino hacia el cumplimiento comienza con una meticulosa auditoría de los procedimientos actuales que afectan a los datos personales. En una segunda fase, trabajar para alcanzar la certificación ISO puede ayudar a las empresas a mejorar los procedimientos existentes, ya que las cuestiones planteadas por la nueva normativa Europea pueden resumirse en tres grandes temas, intrínsecamente vinculados: herramientas, procedimientos y la cuestión de Alojamiento en nube. No importa la forma, pero las compañías deben realizar un examen detallado de cómo procesan y almacenan sus datos para entender, completamente, los diversos procedimientos escritos e impuestos por la nueva regulación.

El primero se aborda en el Artículo 12, el cual define los procedimientos y mecanismos previstos para el ejercicio de los derechos de las personas a las que pertenecen los datos personales (rectificación, derecho a ser olvidados, etc.). Estos procedimientos implican -en primer lugar- a los puestos de trabajo e, indirectamente, a los servicios de Recursos Humanos y Marketing. Ellos gestionan los puntos de entrada de datos personales, el procesamiento, y el compromiso de los clientes y potenciales clientes con la empresa.

El segundo requisito de procedimiento relacionado con el procesamiento de datos personales en su contexto tecnológico (alojamiento, almacenamiento, migración o ciberseguridad) concierne al departamento de TI. De hecho, el Artículo 32.1.a establece que “el responsable del tratamiento y el encargado del tratamiento deberán aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otros, el uso de seudónimos y el cifrado de datos personales”.

Cifrado de los datos

En este contexto, ¿por qué el problema del cifrado se ha vuelto tan destacado? Principalmente, porque los datos están en movimiento, pasando de una infraestructura a otra, de un terminal a otro, sin restricciones geográficas y solo con un clic.

El Director de Ingeniería de Ventas de Google, Gabriele Carzaniga, entiende esto cuando explica que “Hoy en día, la transformación digital requiere que los datos estén disponibles, accesibles y compartibles en cualquier momento”. Por tanto, aunque las empresas pueden tener varios sistemas de seguridad dentro de su propio perímetro de TI, los datos ya no se limitan a este espacio, lo que los hace más vulnerables ante terceros no autorizados o malintencionados. El cifrado permite mantener la confidencialidad de los datos, aunque estos sean compartidos o enviados interna o externamente. GDPR incluye este aspecto en el citado Artículo 32.

Además, el cifrado en disco (aunque sigue siendo interesante como parte de un clásico plan de seguridad cibernética) no es una solución adecuada; los datos personales deben ser cifrados desde la estación de trabajo antes de que abandonen el perímetro de la empresa. De hecho, si los datos se cifran con una clave alojada en territorio de la UE, se puede almacenar en cualquier lugar sin dificultad alguna.

Stormshield ofrece soluciones innovadoras de seguridad de extremo a extremo para proteger datos con una herramienta de cifrado de sencillo uso, SDS (Stormshield Data Security). La aplicación es casi transparente para los usuarios, pero permite al administrador de TI mantener el control sobre los datos, asegurando que tanto los correos electrónicos como los archivos son cifrados -desde cada estación de trabajo, portátil o dispositivo móvil- antes de ser enviados, transferidos o almacenados en cualquier lugar fuera de la infraestructura de la empresa.

Los datos pueden almacenarse en cualquier nube, en cualquier parte del mundo. Además, los datos cifrados robados no se consideran como una violación de seguridad, siempre y cuando la clave de descifrado sea inaccesible.

A este respecto, y según el estudio Global Data Encryption Research5, durante los próximos seis años se espera que la tasa de crecimiento anual para el mercado de cifrado de datos aumente -de media- un 18%, alcanzando los 4.000 millones de dólares en los Estados Unidos en 2022. Según dicho informe, la migración a la Nube es lo que podría alimentar esta tendencia. Sin embargo, GDPR tampoco es ajeno a él.

En España, OSI (Oficina de Seguridad del Internauta) también recomienda el cifrado de datos personales en un reciente artículo6. Por tanto, es tiempo de asegurar que los datos estén protegidos y encriptados; no sólo porque es lo correcto, sino también porque las empresas que no lo tomen en serio podrían ser gravemente multadas a partir de mayo de 2018.

Para las organizaciones que busquen información sobre las expectativas concretas previstas para su entrada en vigor en mayo de 2018, el próximo paso será la esperada publicación por parte de la EDPS de las mejores prácticas.

Carine Martins, Account Executive de Stormshield Iberia

Referencias

1Newsletter, October 2016 from the EDPS: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Newsletters/Newsletter_49_EN.pdf

2 AGPD website : Privacidad y Seguridad en internet, Guía sobre Privacidad y seguridad en internet.  https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

3 GDPR article 40: http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=en

4 CNPD (Comissão Nacional Protecção de Dados) : https://www.cnpd.pt/index.asp

5CNIL (Commission National Informatique et Libertés): https://www.cnil.fr/professionnel

5 Global Data Encryption Research Report forecast 2022, in Market Research Future (MRFR): https://www.marketresearchfuture.com/reports/global-data-encryption-market-research-report-forecast-2022

6OSI (Oficina de Seguridad del Internauta)  Protege tu información, utiliza herramientas de cifrado: https://www.osi.es/es/actualidad/blog/2016/11/17/protege-tu-informacion-utiliza-herramientas-de-cifrado

B2B
gdata
Expo Chile 2017  700 x 110