RGPD: reptes tecnològics

Jose Velategui

S’ha acabat el compte enrere, el RGPD ja és d’obligat compliment. Ja no hi ha pròrrogues; cal avaluar què fem amb la informació d’identificació personal (PII) que manegen, tornar a dissenyar els nostres processos i comprometre’s amb el seu compliment a partir d’ara.

RGPD: tecnologia per protegir les dades.

La preocupació per la seguretat de les dades no és nova, i no farà més que augmentar atès que els riscos són cada vegada més alts. A més, la quantitat i varietat de les dades no para de créixer i es multipliquen els dispositius així com els tractaments i el magatzematge massiu de dades de caràcter personal (tant físiques com jurídiques).

Un exemple d’aquests riscos és la proliferació de dispositius IoT (Internet Of Things), o de les plataformes entre màquines (M2M), o les tècniques Big Data, entre molts d’altres.

“És imprescindible conèixer el tipus de dades que es manegen, perquè es fan servir i cóm es pot interactuar amb ells, tot mantenint estrictes mesures de seguretat.”

El nou RGPD no imposa ni prescriu cap tipus de procediments ni de mitjans tècnics per protegir les dades personals. En el seu lloc, estableix un model de regulació basat en la gestió de riscos (articles 25 i 32 de RGPD). Es tracta d’un enfocament que permet a les PIME adoptar aquelles mesures tècniques que consideri més adients per complir amb el nou reglament.

Malgrat això, RGPD estableix per primer cop la protecció de dades per disseny com una obligació legal per als responsables de les dades. El nou reglament esmenta de forma explícita tant la minimització de dades com l’ús de pseudònims. A més, introdueix l’obligació de protecció de dades per defecte, anant un pas més enllà a l’estipulació de la protecció de dades personals com a propietat predeterminada dels sistemes i serveis.

Entre les mesures de seguretat que és possible aplicar, cal destacar aquelles que milloren la privacitat (Privacy Enhancing Technologies o PETs), el xifrat i la anonimització de les dades. Altres mesures han de proporcionar capacitats per restaurar la disponibilitat i accés a dades després d’un incident; també cal comptar amb tecnologies per portar a terme la verificació i anàlisi continu de l’eficiència de les mesures (detectar esquerdes així com demostrar el compliment del reglament).

Seguretat, garanties i confiança.

És evident que la revolució digital presenta nous reptes per la seguretat de les dades. El món físic està migrant cap al virtual  i altres han nascut en el seu si. Uns i altres s’enfronten a un mateix problema de seguretat: els mecanismes d’autenticació i identificació que permetin una comunicació privada i segura amb els seus clients.

Per qualsevol PIME, amb presència a Internet, reforçar les garanties de les comunicacions a través de medis digitals esdevé quelcom fonamental.  Google així ho ha entès i el proper mes de juliol penalitzarà aquelles web que no facin servir el protocol https.

El protocol https té la missió, entre d’altres, de garantir que la informació enviada es mantingui confidencial i integra així com assegurar que la persona a la que s’envia la informació és qui realment diu ser. Aquest protocol es basa en el protocol criptogràfic SSL/TLS que xifra la informació.  Això evita que un tercer pugui accedir a la informació alhora que autentica la persona física o jurídica a la que pertany el lloc web.

“Més enllà de l’obligació legal, el certificat SSL/TLS ha esdevingut quelcom imprescindible si es vol generar confiança en els clients i usuaris vers la nostra marca.”

El nou reglament RGPD no imposa cap tipus de mesura; malgrat això, parla de l’adopció del xifrat com a mesura tècnica apropiada per a garantir un nivell de seguretat adequat al risc, tenint en compte factors com l’estat de la tècnica, els costos d’aplicació, i la naturalesa, l’abast, el context i les finalitats del tractament, així com riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques.

En aquest sentit, val la pena consultar l’estàndard internacional ISO 27001, sobre sistemes de gestió de seguretat de la informació.

En quins casos és exigible el xifrat de dades?

D’acord amb l’article 104 del Reglament 1720/2007, s’estableix que la informació ha de ser xifrada quan la transmissió de dades personals especialment protegides es porti a terme mitjançant xarxes públiques o xarxes sense fil de comunicacions electròniques.

Altres barreres que és possible incorporar és la protecció davant intrusions (IPS) per evitar fuites d’informació o intents d’accés als sistemes via forats de seguretat. Un altre mecanisme de seguretat és el doble factor d’autenticació que permet assegurar la legitimitat de l’usuari que accedeix a les dades gràcies a una doble comprovació ja sigui via SMS, trucada de veu, codi PIN o tòken.

Els responsables de les dades personals també han de tenir present l’obligació que el nou RGPD imposa de recuperar la informació que pugui ser esborrada o manipulada. Com a conseqüència, cal incorporar sistemes i solucions de back-up que redueixin l’impacte d’un atac o un accident.

 

El nou RGPD fa imprescindible comptar amb un partner tecnològic com EIO, que ajudi les PIME a adaptar-se al RGPD i assegurar les seves dades amb tecnología i serveis. Si tens cap dubte o necessites assessorament a EIO estarem encantats d’atendre’t, sense cap compromís.

En aquest web processem dades personals com, per exemple, les dades de navegació. Si segueix navegant pel nostre web, EIO i altres companyies seleccionades podran instal·lar cookies o accedir a informació no sensible del teu dispositiu amb l'objectiu de personalitzar continguts i elaborar estadístiques. Pots configurar les preferències de privacitat ara o en qualsevol moment accedint a la nostra política de privacitat. Més informació,

ACEPTAR
Aviso de cookies
Solucions RGPD Ready de Sage