RGPD: retos tecnológicos para la PYME

Se acabó la cuenta atrás, el RGPD ya es de obligado cumplimiento. Ya no hay prórrogas; hay que evaluar qué hacemos con la información de identificación personal (PII) que manejamos, volver a diseñar nuestros procesos, aplicar tecnología y comprometerse con su cumplimiento de ahora en adelante.

RGPD: tecnología para proteger los datos.

La preocupación por la seguridad de los datos no es nueva, y no hará más que aumentar dado que los riesgos son cada vez mayores. Además, la cantidad y variedad de los datos no para de crecer y se multiplican los dispositivos así como los tratamientos y el almacenaje masivo de datos de carácter personal (tanto físicas como jurídicas).

Un exemplo de estos riesgos es la proliferación de dispositivos IoT (Internet Of Things), o de las plataformas entre máquinas (M2M), o las técnicas Big Data, entre muchas otras.

“Es imprescindible conocer el tipo de datos que se manejan, para qué se utilizan y cómo se puede interactuar con ellas, manteniendo estrictas medidas de seguridad.”

El nuevo RGPD no impone ni prescribe ningún tipo de procedimientos ni de medios técnicos para proteger los datos personales. En su lugar, establece un modelo de regulación basado en la gestión de riesgos (artículos 25 y 32 de RGPD). Se trata de un enfoque que permite a las PYME adoptar aquellas medidas técnicas que considere más adecuadas para cumplir con el nuevo reglamento.

A pesar de ello, RGPD establece por primera vez la protección de datos por diseño como una obligación legal para los responsables de los datos. El nuevo reglamento menciona de forma explícita tanto laa minimización de datos como el uso de pseudónimos. Además, introduce la obligación de protección de datos por defecto, yendo un paso más allá en la estipulación de la protección de datos personales como propiedad predeterminada de los sistemas y servicios.

Entre las medidas de seguridad que es posible aplicar, cabe destacar aquellas que mejoran la privacidad  (Privacy Enhancing Technologies o PETs), el cifrado y la anonimización de los datos. Otras medidas deben proporcionar capacidades para restaurar la disponibilidad y accesos a datos después de un incidente; también hay que contar con tecnologías para llevar a cabo la verificación y análisis continuo de la eficiencia de las medidas (detectar grietas así como demostrar el cumplimiento del reglamento).

Seguridad, garantías y confianza.

Es evidente que la revolución digital presenta nuevos retos para la seguridad de los datos. El mundo físico está migrando hacia el virtual y otros han nacido en su seno. Unos y otros se enfrentan a un mismo problema de seguridad: los mecanismos de autenticación e identificación que permitan una comunicación privada y segura con sus clientes.

Para cualquier PYME, con presencia en Internet, reforzar las garantías de las comunicaciones a través de medios digitales se convierte en algo fundamental. Google así lo ha entendido y a partir del mes de julio penalizará aquellas web que no utilicen el protocolo https.

El protocolo https tiene la misión, entre otras, de garantizar que la información enviada se mantenga confidencial e integra así como asegurar que la persona a la que se envía la información es quien realmente dice ser. Este protocolo se basa en el protocolo criptográfico SSL/TLS que cifra la información. Esto evita que un tercero pueda acceder a la información a la vez que autentica la persona física o jurídica a la que pertenece el sitio web.

“Más allá de de la obligación legal, el certificado SSL/TLS se ha convertido en algo imprescindible si se quiere generar confianza en los clientes y usuarios hacia nuestra marca.”

El nuevo reglamento RGPD no impone ningún tipo de medida; sin embargo, habla de la adopción del cifrado como medida técnica apropiada para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, la alcance, el contexto y las finalidades del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

En este sentido, vale la pena consultar el estándar internacional ISO 27001, sobre sistemas de gestión de seguridad de la información.

En qué casos es exigible el cifrado de datos?

De acuerdo con el artículo 104 del Reglamento 1720/2007, se establece que la información debe ser cifrada cuando la transmisión de datos personales especialmente protegidos se lleve a cabo mediante redes públicas o redes inalámbricas de comunicaciones electrónicas.

Otras barreras que es posible incorporar es la protección ante intrusiones (IPS) para evitar fugas de información o intentos de acceso a los sistemas vía agujeros de seguridad. Otro mecanismo de seguridad es el doble factor de autenticación que permite asegurar la legitimidad del usuario que accede a los datos gracias a una doble comprobación ya sea vía SMS, llamada de voz, código PIN o tokens.

Los responsables de los datos personales también deben tener presente la obligación que el nuevo RGPD impone de recuperar la información que pueda ser borrada o manipulada. Como consecuencia, hay que incorporar sistemas y soluciones de back-up que reduzcan el impacto de un ataque o un accidente.

 

El nuevo RGPD hace imprescindible contar con un partner tecnológico como EIO, que ayude a las PYME a adaptarse al RGPD y asegurar sus datos con tecnología y servicios. Si tienes alguna duda o necesitas asesoramiento en EIO estaremos encantados de atenderte, sin ningún compromiso.

En aquest web processem dades personals com, per exemple, les dades de navegació. Si segueix navegant pel nostre web, EIO i altres companyies seleccionades podran instal·lar cookies o accedir a informació no sensible del teu dispositiu amb l'objectiu de personalitzar continguts i elaborar estadístiques. Pots configurar les preferències de privacitat ara o en qualsevol moment accedint a la nostra política de privacitat. Més informació,

ACEPTAR
Aviso de cookies
Gestionar RGPD amb Sage