El Reglamento General de Protección de Datos (GDPR)

El Reglamento General de Protección de Datos (GDPR), de obligado cumplimiento a partir de mayo de 2018, va a suponer un cambio significativo respecto a la anterior normativa sobre la protección de datos personales. Este nuevo reglamento, sustituye la directiva de 1995, desarrollada en nuestra LOPD.

 

 

Aprobado el pasado 26 de abril de 2016 por el parlamento europeo, Este nuevo reglamento supone la derogación de la directiva vigente hasta ahora, la Directiva 95/46/CE (Reglamento general de protección de datos).

El régimen sancionador de este reglamento contempla multas de hasta el 4% de la facturación global de las empresas en caso de infracción, con un límite máximo de 20 millones de € un dato que puede ser determinante a la hora de que las empresas velen por el adecuado cumplimiento.

Entre otros aspectos, supone una mayor claridad y concreción de responsabilidades de quien tiene y hace uso de estos datos. El impacto en el aspecto de la ciberseguridad es uno de los elementos que más destacan en el GDPR. Así se abren nuevas posibilidades para un avance en la ciberseguridad de toda la infraestructura tecnológica.

Como figura nueva, se establece un nuevo principio de responsabilidad creando controladores de la información. Éstos van a ser los responsables de todos los datos tratados y por tanto el principal identificado en todo el proceso de datos.

Asimismo, el reglamento incorpora nuevas características a las de los reglamentos anteriores como la obligada transparencia del proceso de toma de datos, la limitación clara del propósito de estos, el almacenamiento de los datos, que ahora juega un papel preponderante dado que siempre debe estar accesibles y ser capaces de identificarse individualmente.

Ahora la privacidad juega un papel primordial en todo el diseño de cualquier aplicación, campaña o proceso. La llamada Evaluación del impacto de la privacidad (PIA), está pensada para poder identificar y reducir cualquier riesgo de incumplimiento en este tratamiento de datos.

 

Nuevas medidas y requisitos

Ahora, son obligatorias la asunción de medidas que garanticen el cumplimento del GDPR. entre estas destacamos la obligatoriedad de realizar Evaluaciones obligatorias del impacto de la privacidad (EIPD), hacer Auditorías revisables y Revisiones de las políticas. También se deben mantener una serie de registros de actividad permanente de cualquier acceso o modificación y en caso de ser necesario, nombrar a un responsable de protección de la información (DPO).

Asimismo, se recoge el derecho al “olvido”, mediante un mecanismo clara para la rectificación o supresión de datos personales, la necesidad de “consentimiento claro y afirmativo” de la persona cuyos   datos personales son tratados.

Otro aspecto relevante es la llamada “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios.

Entre los aspectos que conciernen más directamente a la ciberseguridad, se regula al fin la información en caso de vulneración, exfiltración o acceso indeseado a nuestros datos. De este modo, se contempla   el derecho a ser informado si los datos personales han sido accedidos de forma ilegal.

Todo ello se apunta con la indicación expresa de que se emplee un lenguaje claro y comprensible sobre las cláusulas de privacidad a la hora de realizar el consentimiento.

 

Obligando al cifrado de datos

Uno de los aspectos más destacados en lo que se refiere a la ciberseguridad es el de la obligatoriedad de cifrar los datos. Con ello se trata de adecuar el riesgo de exposición de los datos a su naturaleza y obliga a una medida superior en la protección de estos.

El reglamento fija tres niveles de cifrado de los datos

(más…)

El reglamento de protección de datos de la UE de 2016 como oportunidad para la extensión de la ciberseguridad

Con la nueva redacción y puesta en funcionamiento del reciente reglamento de protección de datos, aprobado el pasado 26 de abril de 2016 por el parlamento europeo, que supone la derogación de la directiva vigente hasta ahora, la Directiva 95/46/CE (Reglamento general de protección de datos) se abren nuevas posiblidades para un avance en la ciberseguridad de toda la infraestructura tecnológica.

El impacto de esta medida tanto para la ciudadanía como su implicación para los profesionales de la seguridad informática es algo sujeto a análisis estos días.

Con este reglamento, se sustituye la directiva de 1995, desarrollada en nuestra LOPD, y cuya entrada en vigor tiene una moratoria de dos años. 

privacidad

Entre sus cambios más notables, destacamos que al tratarse de un reglamento y no una directiva   su entrada en vigor será directamente aplicable en los estados miembros y en la legislación nacional de cada país. También fija una serie de estándares en lo que respecta a la forma de intercambiar este tipo de contenidos, lo que facilitará el intercambio de ficheros a escala europea.

En lo que respecta a la reglamentación de protección de datos, se incluyen disposiciones respecto al conocido como el derecho al “olvido”, ahora parte de los conocidos como derechos ARCO (Acceso, rectificación, cancelación y oposición), la obligación de un “consentimiento claro y afirmativo” por parte de la persona que cede sus datos personales, la posibilidad de que estos datos sean “portables”, es decir que se puedan trasladar  estos datos a otro proveedor de servicios;  el derecho a ser informado si los datos personales han sido vulnerados de alguna forma. También obliga a que las cláusulas de privacidad sean redactadas e un lenguaje claro y comprensible y contempla multas que llegan hasta el 4% de la facturación global de las empresas, caso de infracción en la gestión de estos derechos.

Como vemos, con ello se concretan muchas de las cuestiones y polémicas que han sido noticia en tiempos recientes en lo concerniente a los datos personales y se sistematiza en todo el entorno europeo un contexto legal más homogéneo, especialmente dentro de una UE cada vez más interrelacionada y con empresas que operan en todo su ámbito.  Los países tendrán un plazo de dos años para trasladar los cambios de la directiva a la legislación nacional, lo que significa que contamos con un periodo de adecuación cuyo plazo conocemos.

binary-69996_640

En lo que respecta a los profesionales de la ciberseguridad, la necesidad de un sistema de seguridad de la información, todavía no concretado pero que se espera que vaya en consonancia con estándares reconocidos como el Esquema Nacional de Seguridad (ENS), en lo que respecta al sector público y estándares como el ISO 27001 y siguientes en lo que respecta a certificación privada, será una de las grandes novedades del nuevo reglamento. Para los profesionales de la seguridad, esta es una gran oportunidad para poder comenzar a extender sistemas de gestión de la seguridad de la información a una mayor escala, lo que redundará en unas infraestructuras empresariales con mayores garantías.

Una de las cuestiones más polémicas que viene de la mano del reglamento es la del registro europeo de datos de los pasajeros de transporte aéreo (PNR), dado que permite un amplio rango de intervención, bajo el punto de partida inicial de un control en prevención de entrada de elementos potencialmente terroristas en territorio europeo. Este registro, ha sido cuestionado en sucesivas ocasiones ante las posibilidades de auditoría ciudadana indiscriminada que puede permitir un espionaje fuera de garantías por parte de los gestores del PNR.

 

 

Para saber más: