Póngase en contacto con nosotros
Banner de la bandera de la UE: cumplimiento de GDPR

El cumplimiento de la UE evoluciona

La Reglamentación de protección de datos generales (GDPR) que propuso la Comisión Europea fortalecerá y unificará la protección de los datos para las personas dentro de la Unión Europea (UE), mientras se aborda la exportación de los datos personales fuera de la UE.

La noticia del tratado para finalizar la GDPR se llevó a cabo en diciembre de 2015 y después de la votación por parte del parlamento de la UE, la fecha límite del cumplimiento de la GDPR se fijó para mayo de 2018. Los requisitos de la GDPR, así como la cantidad de colaboración interna que será necesaria para llevarlos a cabo establece que las empresas necesitan planear el cumplimiento desde ahora.  

El objetivo primario de la GDPR es regresarles a los ciudadanos el control de los datos personales.  Una vez que la GDPR entre en vigor, adaptará las normas de protección de datos previas, así como otras, dentro de la UE.

Tecnologías de seguridad para el cumplimiento de la GDPR - Imagen de informe técnico GQM GRC

Los expertos en el cumplimiento de datos responden a las necesidades derivadas de la GDPR

Descargar el informe técnico

Requisitos de cumplimiento de la GDPR

La reglamentación de cumplimiento de la UE tendrá un impacto mayor para las empresas alrededor del mundo. 

Con la desaparición de Safe Harbor, las empresas estadounidenses que exporten y manejen datos personales de ciudadanos europeos también necesitarán cumplir con los nuevos requisitos propuestos o que estuvieron sujetos a las mismas consecuencias.

Si la empresa sufre una violación de datos, mediante el nuevo estándar de cumplimiento de la UE, las siguientes opciones pueden ejercerse de acuerdo a la gravedad de la violación:

  • La empresa debe notificar a la autoridad local de protección de datos y posiblemente a los dueños de los registros que se violaron

  • La empresa puede recibir una multa de hasta 4 % de la rotación mundial o 20 millones de euros

Estrellas de la UESin embargo, la GDPR ofrece excepciones que se basan en si los controles de seguridad adecuados se implementaron dentro de las empresas.  Por ejemplo, una empresa víctima de una violación de datos que mostró los mismos de manera incomprensible mediante el cifrado a personas sin autorización para acceder a los mismos, no tiene obligación de notificar a los propietarios de los registros afectados. 

Asimismo, las probabilidades de recibir multas disminuyen si la empresa puede demostrar que ocurrió un «fallo de seguridad».

Para abordar los requisitos de cumplimiento de la GDPR, es posible que las empresas deban implementar uno o más métodos de cifrado distintos dentro de los entornos de infraestructura en el sitio y en la nube:

  • Servidores, que incluye vía archivo, aplicación, bases de datos, y cifrado de máquinas virtuales de disco completo.

  • Almacenamiento, que incluye vía almacenamiento conectado a la red y cifrado de red de área de almacenamiento.

  • Multimedia, mediante cifrado de disco.

  • Redes; por ejemplo, vía cifrado de red de alta velocidad.

Además, se necesita de una gestión de cifrado sólida para proteger no unicamente los datos cifrados, sino para asegurar la eliminación de los archivos y cumplir con los derechos del usuario a no recuperarlos. 

Además, las empresas necesitan una manera de verificar la legitimidad de las identidades de los usuarios y de las transacciones, y de comprobar el cumplimiento. Es imprescindible que los controles de seguridad establecidos puedan demostrarse y auditarse.

Gemalto ofrece el único portafolio de protección de datos completo que trabaja en conjunto para brindar protección y gestión continua de datos confidenciales, que pueden rastrearse hasta el marco de la GDPR.

Ninguna solución individual hará que una organización cumpla los requisitos de la GDPR. La regulación es demasiado amplia, abarca todo desde la gobernanza hasta las obligaciones contractuales. Sin embargo, la cartera de soluciones SafeNet de Gemalto puede ayudar a las organizaciones a cumplir las obligaciones de seguridad de datos obligatorias.

Los requisitos de seguridad están intercalados a lo largo del texto de la ley. Estos pueden agruparse según los siguientes temas:

La GDPR espera que las organizaciones mantengan sus datos bajo control para asegurar que usuarios autorizados acceden a ellos y los procesan solo cuando procede. Los requisitos de control se tratan en los artículos, 5, 25 y 32.

Según la GDPR, la organización debe:

  • Solo procesar datos por motivos autorizados
  • Asegurar la exactitud e integridad delos datos
  • Minimizar la exposición de la identidad de los sujetos
  • Aplicar medidas de seguridad de datos

El cifrado mantiene los datos en un estado no legible a menos que un usuario o proceso presente la clave adecuada. De conformidad con la GDPR, este método de control sencillo puede restringir el procesamiento de datos solo al uso autorizado, así como restringir la cantidad de tiempo en el que las personas pueden ser identificadas por sus datos. El cifrado también evita la manipulación de datos no autorizada; la limitación del acceso de datos a usuarios autorizados y el seguimiento del uso de claves reduce en gran medida la posibilidad de que los datos cambien sin autorización. Las organizaciones que utilizan el cifrado y sus controles de acceso debidamente pueden demostrar la integridad de sus datos.

La autentificación de múltiples factores es la primera línea de defensa en cualquier situación. La autentificación robusta controla qué usuarios tienen acceso a la red y a los recursos que se encuentran en ella. Al asignar credenciales a las personas, las organizaciones pueden realizar el seguimiento del acceso a los recursos para realizar el seguimiento de los riesgos internos. La autentificación de múltiples factores también dificulta que usuarios no autorizados accedan a recursos confidenciales. Tanto para amenazas conocidas como no conocidas, la autentificación de múltiples factores levanta las barreras al acceso de datos, lo que facilita que la organización mantenga sus datos bajo control.

 
 

La GDPR pone la seguridad al servicio de la privacidad. Las obligaciones de seguridad se tratan en los artículos, 6, 25, 28 y 32. Para preservar la privacidad de las personas, las organizaciones deben implementar:

  • Protección de datos por diseño y por defecto
  • Seguridad como requisito contractual con sus socios y proveedores de servicios
  • Cifrado y utilización de seudónimos
  • Medidas de seguridad que responden a la evaluación de sus riesgos
  • Protecciones si van a guardar los datos para un procesamiento adicional

La GDPR propone específicamente el cifrado como requisito de seguridad. Además, las organizaciones tendrán que realizar evaluaciones de riesgos y, a continuación, adoptar medidas que reduzcan los riesgos que han encontrado. Dado que las organizaciones no pueden identificar todos los riesgos para sus datos, ni ningún enfoque de seguridad perimetral es infalible, las organizaciones deberían cifrar sus datos para «protegerse de fallos de seguridad». Con el cifrado, no importa si se produce un fallo de seguridad, los datos estarán protegidos a pesar de ello.

La autentificación de múltiples factores pueden controlar el acceso a recursos de red que se utilizan para procesar datos. Para salvaguardar los datos frente al procesamiento no autorizado, las organizaciones pueden asignar y cambiar los ajustes de autentificación para restringir el procesamiento adicional después de haberse completado en primera instancia. También puede mitigar los riesgos identificados en la evaluación de riesgos de la organización, o proteger el acceso a los datos cuando se comparten con socios externos.

 

Incluso después de haber recopilado los datos, las personas todavía pueden reclamar y tener cierto control sobre esos datos. El «Derecho de supresión» se trata en los artículos 17 y 28. La GDPR requiere que las organizaciones eliminen datos de todos los repositorios si:

  • Un interesado revoca su consentimiento («Derecho al olvido»)
  • Una organización asociada solicita la eliminación de datos
  • Finaliza un servicio o acuerdo

Si una persona revoca su consentimiento a sus datos, una organización recuerda los datos que han compartido o, al final del periodo de servicio, las organizaciones deben eliminar completamente los datos en cuestión. Es un requisito difícil porque con solo eliminar los datos, no se eliminan totalmente del disco. Para cumplir completamente, las organizaciones pueden cifrar los datos y, a continuación, eliminar la clave. Este método de eliminación de datos hace que los datos sean totalmente ilegibles de forma permanente.

 
 

Las organizaciones deben evaluar los riesgos para la privacidad y la seguridad, así como demostrar que están dando pasos adecuados para mantener la privacidad segura según sus resultados. Estas obligaciones se explican en los artículos, 2, 24 y 28. Para mitigar los riesgos y actuar con la diligencia debida, las organizaciones deben:

  • Realizar una evaluación de riesgos completa
  • Aplicar medidas para asegurar y demostrar el cumplimiento
  • Ayudar de forma proactiva a que los socios y los clientes cumplan
  • Demostrar el control total de los datos

Cuando una organización contrata un socio o un servicio externo, no está renunciando a su responsabilidad ante la seguridad de los datos. De hecho, las organizaciones estarán obligadas contractualmente a ayudarse mutuamente con la seguridad y a mitigar riesgos. Como el cifrado confiere la seguridad directamente a los datos, asegura la seguridad de los datos y mantiene la organización principal bajo control incluso después de estar fuera de la vista de la organización.

 
 

Cuando fallo de seguridad amenaza los derechos y la privacidad de un interesado, las organizaciones deben notificar a los clientes y a su autoridad supervisora. Estas obligaciones de notificación de fallo de seguridad se explican en los artículos 33 y 34. Conforme a la GDPR, las organizaciones están obligadas a:

  • Notificar a su autoridad supervisora en el plazo de 72 horas
  • Describir las consecuencias del fallo de seguridad
  • Comunicar el fallo de seguridad directamente a los interesados

Si una filtración expone datos no protegidos, las organizaciones deberán notificar a la autoridad supervisora de su región y a los clientes afectados. Sin embargo, si los datos están cifrados y se han seguido las prácticas recomendadas de gestión de claves, las organizaciones pueden evitar estas obligaciones de notificación. La notificación solo es un requisito cuando los derechos y las libertades del interesado están en riesgo.

 
 

Descargue el libro electrónico de la GDPR de Gemalto para descubrir cómo puede ayudarle Gemalto a identificar los aspectos clave de la GDPR y los pasos a seguir para cumplir sus requisitos.

Regulación de protección de datos general - Imagen de libro electrónico ampliado GDPR

Regulación de protección de datos general

Obtener el libro electrónico ampliado

Más información acerca de las reglamentaciones de la UE

Guía de inicio de la GDPR, privacidad y aplicación de controles de seguridad adecuados - Seminario web

Guía de inicio de la GDPR, privacidad y aplicación de controles de seguridad adecuados - Webinar

Únase a (ISC)² y Gemalto en este seminario web a petición para descubrir lo que debería saber acerca de la Regulación de protección de datos general (GDPR): antecedentes, lo que está cambiando, sanciones cuando se hace mal, implicaciones de seguridad y mucho más.

Vea nuestro popular seminario web
Miniatura de bandera de la UE: llamada a la acción del cumplimiento de la GDPR

Prepárese para la GDPR

Desde el centro de datos físico y virtual, hasta la nube, Gemalto ayuda a que las empresas permanezcan protegidas, en conformidad, y que tengan el control. Los productos de gestión de claves criptográficas y de cifrado de Gemalto permiten que las empresas protejan los datos confidenciales en bases de datos, aplicaciones, sistemas de almacenamiento, plataformas virtuales y entornos de nube.

Contáctenos para recibir ayuda acerca de la GDPR
Back to Top

Solicitud de información

Gracias por su interés en nuestros productos. Por favor complete y envíe el formulario para recibir más información acerca de SafeNet o para ser contactado por un especialista de SafeNet.

Su información

* Dirección de correo electrónico:  
* Nombre:  
* Apellido:  
* Empresa:  
* Teléfono:  
* País:  
* State (US Only):  
* Province (Canada/Australia Only):  
Comentarios:  
 


Al enviar este formulario acepto recibir información de Gemalto y sus afiliados, como está descrito en nuestra Declaración de privacidad.