Select Page
Configuración > Normativas > GDPR > Activar

Configuración > Normativas > GDPR > Activar

Y llegó el día. Después de tantos anuncios, polémicas e interpretaciones, el pasado viernes 25 de mayo entró en vigencia la famosa regulación General de Protección de Datos, o GDPR, para toda la Unión Europea. No pasaron unas horas de su entrada en vigencia, y ya cuatro gigantes tecnológicos fueron acusados de quebrantar esa norma.

El grupo NOYB (None Of Your Business o “No es asunto tuyo”) acusó a Google, Facebook, Instagram y WhastApp de incumplir la norma y les reclama varios miles de millones de Euros en concepto de multas. NOYB fue fundada por el conocido activista Max Schrems, que lucha a favor de la privacidad de los datos en Internet y que se volvió conocido por haber presentado 22 denuncias por diferentes violaciones en ese sentido a Facebook.

Si bien GDPR es una ley aprobada por el Parlamento Europeo y cuyo propósito es el de proteger los datos personales de los miembros de la UE, su espectro de acción sobrepasa las fronteras de la Unión. Por este motivo intentaremos explicar brevemente los aspectos más significativos de esta ley que ya está entre nosotros:

Datos que se protegen:

Si bien la ley efectúa 26 definiciones en su Artículo 4, cabe destacar que extiende el concepto de “datos personales” respecto a legislaciones anteriores, incluyendo los siguientes parámetros:

Identificadores:

– nombre,

– número de identificación,

– datos de localización,

– identificador en línea

Uno o varios elementos propios de:

– la identidad física,

– fisiológica,

– genética,

– psíquica,

– económica,

– cultural o

– social

Pero además, va más allá aún. Dado que hoy en día, con los sistemas de inteligencia artificial, es posible analizar enormes cantidades de datos relacionados con las actividades de las personas y generar perfiles de comportamiento, la ley prevé que asimismo se deben proteger dichos perfiles relacionados particularmente con:

– rendimiento profesional,

– situación económica,

– salud,

– preferencias personales,

– intereses,

– fiabilidad,

– comportamiento,

– ubicación

– movimientos de dicha persona física

De hecho la ley genera una delgada línea entre el registro de los eventos de seguridad y la privacidad de dichos datos. En cualquier organización de cierta magnitud, se cuentan con sistemas de monitoreo que analizan y alertan en función de actividades sospechosas en sus sistemas tanto desde el exterior de la organización como en su interior. Si bien estos datos son fundamentales para prevenir ataques o incidentes de seguridad, un abuso en el manejo de dichos datos podría estar violando la GDPR. Es por esto que a los responsables actuales de ciber seguridad de las empresas les aguarda un enorme desafío en determinar la forma de tratar esos datos definiendo qué datos se almacenan, por cuánto tiempo, en qué condiciones, qué se hace con ellos luego, entre otras.

Ámbito de aplicación:

La ley se aplica a las empresas o entidades que manejen datos personales como parte de las actividades de una de sus oficinas establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o si la empresa está establecida fuera de la UE y ofrece productos o servicios (tanto pagos como gratuitos) u observa el comportamiento de las personas en la UE.

Actores:

Existen dos actores definidos quienes son responsables de aplicar todas las medidas de protección que se definen más adelante. Estos actores son los “responsables de tratamiento” (en inglés “controller”) cuya responsabilidad es la de determinar los propósitos y medios para el tratamiento de los datos; y los “encargados de tratamiento” (en inglés: “processors”) que efectivamente efectúen el tratamiento  de los datos personales por cuenta del responsable del tratamiento. Las actividades de los responsables se encuentran reglamentadas en el Artículo 24 y las de los encargados en el Artículo 28.

En el caso de empresas que manejen datos de gran cantidad de personas, la GDPR sugiere la incorporación de un tercer actor denominado “delegado de protección de datos” (en inglés: DPO ó Data Protection Officer) cuyas responsabilidades y atribuciones se detallan en los artículos 37, 38 y 39.

Medidas:

Las empresas que trabajen con datos personales de personas residentes en la Unión Europea deberán efectuar una serie de tareas, cambios, rediseños, adaptaciones de sus sistemas de forma de cumplir con la ley y evitar las enormes multas que pueden llegar hasta los 20 millones de Euros. A continuación se efectúa una breve descripción las medidas más importantes:

1- Análisis de aplicabilidad

Inicialmente, la empresa que trabaje con datos que puedan caer dentro de la ley, debe efectuar un análisis de si los dueños de los datos y los tipos de datos son alcanzados por la norma. En el caso de que lo sea, deberán determinar su rol (responsable o encargado) y adecuar la organización de su empresa para incorporar los nuevos procesos de Tratamiento de la Información a los que los obliga la ley.

2- Evaluación de Riesgos

El Artículo 32 de la norma (Seguridad del Tratamiento) es absolutamente claro que las medidas de tratamiento deben efectuarse basado en el nivel de Riesgo. Es por esto que es fundamental efectuar una evaluación inicial del Riesgo que permita luego ser gestionado e ir aplicando las medidas de tratamiento basadas en el Riesgo obtenido.

3- Análisis de Impacto

La norma es muy estricta en su Artículo 35 respecto a que tanto responsables como encargados tienen la responsabilidad de efectuar análisis de impacto referidos a la privacidad de los datos. Estas evaluaciones son muy similares a la metodología BIA (Business Impact Analysis) pero enfocadas en la posible pérdida de privacidad de los datos. La información exigible y resultante de este análisis está perfectamente detallada en dicho artículo y la autoridad de aplicación de la ley tiene previsto publicar qué operaciones específicas deberán ser objeto de un análisis de impacto.

4- Rediseño de las medidas de protección de datos

El Artículo 25 (Protección de datos desde el diseño y por defecto) establece que el responsable del tratamiento deberá aplicar tanto las medidas técnicas como organizativas que permitan hacer foco en los datos personales que requieran de dicho tratamiento.

Por este motivo, se deberá revisar toda la infraestructura de seguridad de la empresa con el objetivo de corregir todas las medidas de tratamiento que no cumplan con la norma y efectuar una tarea de rediseño de la misma. A partir de dicho rediseño, se muestran las medidas específicas que nombra la ley en su Artículo 32 en los siguientes 3 puntos:

5- Pseudonimización y cifrado de los datos

Se deberán implementar medidas que efectúen el tratamiento de los datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional. Por otra parte, esa información adicional debe estar separada de la anterior y sujeta a medidas de seguridad específicas. Esto podrá realizarse a través de la pseudonimización o del cifrado de datos según sea más adecuado.

6- Recuperación ante desastres

Como extensión a los proyectos de BIA, se deberán también establecer planes de Recuperación ante Desastres (DRP) de modo de contar con la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidentes tanto físicos como técnicos.

7- Evaluaciones periódicas de seguridad

Una vez tomadas las medidas técnicas de tratamiento que correspondan, se deberá verificar, evaluar y valorar periódicamente la eficiencia de dichas medidas para garantizar la seguridad en el tratamiento de los datos. Esta tarea se suele denominar en inglés como Vulnerability Assessment.

Para mejorar, asegurar y mantener las medidas de seguridad efectivas a lo largo del tiempo, las autoridades de la UE promoverán su certificación mediante mecanismos y organismos específicamente designados para dicha función como se menciona en los artículos 42 y 43.

8- Concientización

Las empresas que administran datos personales, corren dos riesgos muy grandes a la hora de cumplir con GDPR. Uno de ellos es que no tengan las medidas de seguridad suficiente y que algún atacante externo pueda robar u obtener de algún modo esos datos. El otro gran riesgo es que el propio personal que no esté suficientemente compenetrado con la norma, pueda en su tarea diaria, tratar esos datos descuidadamente y estos puedan perderse o exfiltrarse. Es por esto que en varios artículos de la ley, se insta a las autoridades a promover tareas de concientización entre los empleados de las empresas responsables y encargadas de forma de minimizar este riesgo.

9- Requisitos legales 

Las empresas que manejen el tipo de datos personales que están contemplados en la ley, deberán adecuar sus procesos internos para cumplir con una gran cantidad de requisitos sobre los datos y los usuarios. La ley especifica gran cantidad de condiciones en los primeros artículos.

Por ejemplo, en el Artículo 5, se define que los datos personales deberán ser tratados de manera lícita, leal y transparente en relación con el interesado. El Artículo 6 enuncia las condiciones en las que el tratamiento de los datos personales será lícito. Fundamentalmente se basa en el consentimiento del usuario en que sus datos sean utilizados y cuyas condiciones define en los Artículos 7 y 8. Los Artículos 9, 10 y 11 definen condiciones especiales de los datos a ser tratados.

Finalmente, en los artículos 12 al 23 se detalla cuidadosamente la información que se debe proveer al interesado en caso de que no haya sido obtenida de forma directa, los derechos de éste en eliminarla, evitar que sea utilizada, sea esta información personal específica o creada mediante los mecanismos automáticos de perfilado.

Es por esto que las empresas deberán llevar a cabo proyectos de ajuste de sus procesos o más aún, la creación misma de procesos nuevos, que permitan contemplar todos estos requisitos.

10- Comunicación

Si a pesar de todas las medidas tomadas para evitar el mal uso de la información, se llegara a producir un incidente o violación de la privacidad de la misma, los responsables tienen la obligación de comunicar tanto al interesado como a las autoridades de la situación. Las condiciones, formas, plazos, descripción y detalles de dichas comunicaciones están establecidas en los artículos 31, 33 y 34. Las empresas deberán por lo tanto, establecer los procesos formales para llevar a cabo esta tarea ajustados para cumplir con la GDPR.

Nota por Carlos Benitez

Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

En una nota anterior, contamos cómo la Unión Europea está trabajando fuertemente desde hace 4 años en una nueva normativa de protección de datos personales, la hoy ya famosa GDPR o Reglamentación General de Protección de Datos de la Unión Europea. Esta iniciativa se crea dadas las enormes falencias que existen en las empresas de la Unión, en las que se fueron detectando faltas inaceptables en las capacidades de ciberprotección.
La norma será de aplicación obligatoria para todas las empresas de la UE a partir del 25 de mayo de este año. Sin embargo, el hecho de la obligatoriedad, no necesariamente implica que la curva de implementación de las contramedidas sea rápida o eficiente. La misma motivación que hace que las empresas a veces tengan áreas enteras dedicadas a analizar de qué forma pueden pagar menos impuestos, es probable que las hagan analizar de qué forma cumplir con GDPR con el menor esfuerzo e inversión posibles. 
¿Por qué se da esto? Por la misma razón por la que hoy en día sus medidas de ciberprotección son inaceptables: la falta de conciencia.
El convencimiento de que lo que uno está haciendo es importante o necesario es lo que dispara los procesos para que efectivamente se lleve a cabo. Y en este caso, muchas empresas de la UE no están convencidas ni creen que es importante – o por lo menos no lo estaban.
El vuelco que dio en la aceptación sobre la implementación de la nueva norma, se dio gracias al escándalo de Facebook y Cambridge Analytica. La comisionada por los asuntos de los consumidores de la UE, Vera Jourlova, quien se reunió con Mark Zuckerberg a raiz del escándalo, le dió a Zuckerberg las gracias públicamente por haber aceptado cumplir con GDPR ni bien esté en vigencia. Es difícil saber si la declaración del CEO de Facebookaceptando sin objeciones las nuevas contramedidas de seguridad para preservar la privacidad de los datos de los usuarios, hubiese sido la misma sin el escándalo de Cambridge Analytica. Pero la verdad es que a los promotores de la medida les vino como anillo al dedo, y justo antes de la entrada en vigencia de la medida.
Veremos el 26 de mayo cuáles habrán sido finalmente los resultados.
 
Nota por Carlos Benitez

 

¿Qué nos espera a nosotros?

¿Qué nos espera a nosotros?

 
En nuestra nota de la semana pasada, comentamos que había una buena y una mala noticia respecto a los ciber-incidentes de 2017. En ese caso, comentábamos que la mala noticia era que los esfuerzos que hacen las empresas hoy en día para ciber-protegerse son insuficientes. Esto se basó en varias encuestas y trabajos publicados. Y las encuestas y trabajos que refuerzan este resultado siguen.
Uno de ellos es el informe publicado por una importante aseguradora internacional, que afirma que el 75% de las empresas en Reino Unido, Estados Unidos, y Alemania no posee el conocimiento para defender sus empresas de ciber-ataques. El relevamiento fue realizado en un universo de más de 3000 entrevistados de empresas ubicadas en los mencionados países. El informe cita que solamente el 11% de las empresas se auto clasificaron como “expertas” en todos los aspectos de ciber-seguridad, mientras que el 16% se consideró experta en estrategia o en ejecución, pero no en ambos rubros.
En esta época, en las que las ciber-amenazas están cada vez más presentes y se materializan con cada vez peores efectos; en esta época en las que no sólo los jóvenes técnicos que operan los datacenters o que conforman los equipos de ciber-seguridad, sino aún el personal directivo pertenecen a la generación de “millenials” y además “hackers” (cuya filosofía es la de eat-sleep-patch-repeat)… es muy difícil creer que tantas empresas no cuenten con las mínimas medidas de seguridad para enfrentar estas amenazas. Pero es lo que realmente ocurre.
Será por eso que en particular la Unión Europea está desde hace 4 años trabajando denodadamente en una dura y completísima legislación que obligue a empresas y organismos públicos pertenecientes a la UE a adoptar un conjunto de medidas de seguridad necesarias para proteger los datos personales de sus ciudadanos. La norma, que se pondrá en vigencia el 25 de mayo de este año, se denomina EU GDPR (Reglamentación General de Protección de Datos de la Unión Europea) y fue desarrollada “con el objetivo de unificar y normalizar las leyes de protección de datos en toda la Unión, proteger y habilitar la privacidad de todos los ciudadanos de la UE y rediseñar la forma en que las organizaciones tratan la privacidad de los datos“.
Con esta nueva reglamentación, se pretende obligar a empresas y organizaciones a adoptar las medidas de seguridad que las mismas no han adoptado hasta el momento de forma voluntaria. Se espera que de esta forma, los niveles de ciber-seguridad en toda la Unión se incrementen considerablemente y que las pérdidas por ciber-ataques disminuyan en consecuencia.
En la otra mitad del hemisferio norte, también están preocupados por las consecuencias técnicas y legales que tendrá esta ley para sus negocios cuando intenten recolectar datos personales de potenciales clientes del otro lado del océano.
Ok, pero estamos hablando de países del primer mundo, ¿qué es lo que queda para nosotros pobres mortales de este lado alejado del planeta? ¿Estamos tan expuestos como ellos?
La respuesta a esta pregunta es: “¡SÍ!”. Internet es una sola, y todos estamos conectados. ¿Vamos a tomar en algún momento como ellos la decisión proactiva de considerar en serio la ciber-seguridad y dotar a nuestras organizaciones de las medidas mínimas necesarias para no sufrir daños irreparables en caso de un ciber-desastre?

Sólo el tiempo lo dirá, pero lo que es cierto es que estamos cada vez más conectados, cada vez más vulnerables, cada vez más expuestos pero además, cada vez menos protegidos.

Tal vez; puede ser que esta iniciativa de la UE nos toque de costado. Tal vez, gracias al ruido que seguramente provocará la GDPR en Europa y en las empresas que funcionan en estos lares pero con origen allí, generen una moda que muchos otros quieran copiar. Ojalá. Todos vamos a estar mucho más ciber-seguros si eso ocurre.
Nota por Carlos Benitez