Noticias

seguridad medidas novedades

Conoce las medidas de seguridad del Reglamento General de Protección de Datos (GDPR)

Uno de los temas de actualidad dentro del sector tecnológico es el GDPR (General Data Protection Regulation). El nuevo Reglamento General de Protección de Datos de la UE supone un dolor de cabeza a nivel organizacional y sobre todo informático de todas las empresas o compañías que tengan presencia física en la UE o manejen datos de sus residentes.

Las PYMES y medianas empresas son las que se verán más afectadas en su intento de cumplir satisfactoriamente con el reglamento, de tal forma que eviten las altas sanciones o multas que suponen una mala gestión de los datos de los usuarios. Debido a que cuentan con menos recursos a nivel económico y de personal se verán obligadas a asumir por si mismas las medidas y cambios que presenta la nueva regulación, que entrará en vigor a partir de mayo del 2018.

De cualquier forma, el fin común es el de garantizar la privacidad de los datos que los usuarios comparten con las empresas, el cual suele ser mal empleado por las mismas. El reglamento busca, principalmente, proteger a los usuarios de los intereses comerciales que muchas veces termina siendo desmesurado. En este apartado es cuando entra en juego la proactividad de las empresas.

Desde TUYÚ Technology contamos con gran experiencia en la ejecución de planes basados en las necesidades de seguridad de las empresas de distintos sectores, combinados con proyectos eficientes y proactivos de adecuación al nuevo reglamento.

Solicita nuestros servicios en seguridad y protección de información

Contacta con nosotros

En los siguientes fragmentos desarrollaremos las nuevas medidas de seguridad que deberán seguir las empresas para lograr un buen cumplimiento del GDPR.

Realizar un análisis de riesgos

Se deben realizar análisis de riesgos que generen medidas de seguridad a nivel jurídico, técnico y organizativo, haciendo énfasis en la redacción de nuevas cláusulas que velen por el consentimiento de la información. Estos análisis irán en función del tratamiento de los datos y las consecuencias que conllevan su destrucción o pérdida, el uso ilícito o alteración de los mismos y el acceso o comunicación no autorizada de dichos datos.

Principio de responsabilidad proactiva

Las empresas deben trabajar en el diseño de políticas de seguridad, en el registro de eventos y en la documentación. Se debe verificar mediante un análisis de riesgos si las acciones definidas garantizan el cumplimiento de la seguridad. Además, se debe fijar un método de evaluación en el que se mida el estado de cumplimiento de la planificación y se adopte nuevas medidas o se redefinan las existentes.

Adoptar políticas internas

Una medida de suma importancia que demanda el nuevo reglamento es la proactividad por parte de las empresas. Se deberán generar nuevas obligaciones y figuras dentro de la organización, como, por ejemplo, la figura del DPO (Data Protection Officer), quien será el encargado de coordinar la política de seguridad de los datos y a su vez el enlace con las autoridades, ya que deben realizarse comunicaciones de posibles fallos en un plazo de 72 horas.

gdpr reglamento general proteccion datos

Auditoría de datos

Es importante conocer la tipología de los datos que se recaban y la finalidad para los que se destinan, de esta forma será mucho más fácil abordar las obligaciones que presentan su tratamiento. Llevar a cabo un inventario de datos es primordial para poder asumir y aplicar las medidas que los protejan. Algunas empresas caen en el error de desconocer qué tipo de datos son los más críticos al momento de su protección.

Portabilidad y seudonimización de los datos

Es necesario que se haga especial énfasis en el consentimiento explícito de los datos y en el consentimiento revocable, es decir, que los usuarios pueden cancelar en cualquier momento el uso de los datos por parte de la empresa. Por otra parte, la portabilidad de los datos también es un factor a tener en cuenta, ya que los usuarios tendrán la posibilidad de exigir a las empresas que se les devuelvan sus datos o bien que los transfieran a otra empresa indicada por ellos.

De igual forma, la seudonimización es otra medida relativa a la seguridad en el tratamiento de los datos, la cual consiste en la sustitución del nombre de una persona o de otro componente que la identifique por un código. Dicho código no puede atribuirse a ninguna persona, salvo que se tenga información adicional que lo permita.

Servicios alineados al objetivo “accountability

Se deben revisar las relaciones que se tienen con los distintos proveedores o prestadores de servicios debido a que muchas veces estos asumen la gestión del backup de datos de determinada compañía. Las empresas deberán velar cuidadosamente los servicios que subcontrata a terceros, ya que los primeros serán los únicos responsables de la seguridad de los datos. Es fundamental tener muy claro el estado actual de la organización a nivel de procesos y de sistemas tecnológicos.

Asignación de presupuesto

Es necesario asignar un presupuesto para lograr el cumplimiento del reglamento. Una vez analizada la situación de la organización y emitido un informe o auditoría que refleje la seguridad de la empresa y el impacto que puede causar el GDPR en la misma se deben tomar medidas tanto legales como tecnológicas, dando paso así a la compra o adquisición de herramientas adecuadas para el cifrado, borrado o backup de los datos.

Finalmente, podemos deducir que la preparación y documentación acerca del GDPR es fundamental para cualquier empresa que desee librarse de amonestaciones o sanciones que, muchas veces podrían llevar a la ruina a una determinada organización. Tomando las previsiones correspondientes y necesarias se puede llevar el tema del nuevo reglamento con mayor calma, pero sobre todo de forma consciente.

Conoce las medidas de seguridad del Reglamento General de Protección de Datos (GDPR) Modificado en: enero 8th, 2018 Autor: marketing