Skip to content

    Servnet Data Center

    Datacenter con infraestructura de precisión para misiones críticas. Diseñado para la máxima robustez y eficiencia. 100% redundante para poder albergar más de 100 Racks de alta densidad.

    Conoce más

    Internet Empresarial

    Ofrecemos enlaces dedicados, con el más alto SLA del mercado, soporte y la confianza de la mejor experiencia de conectividad para tus aplicaciones de misión crítica que requiere tu empresa. Nuestra tecnología e infraestructura propia nos permite ofrecer diferentes soluciones de conectividad

    Conoce más

    GDPR: qué es y cómo incide en la privacidad de datos y ciberseguridad

    GDPR: qué es y cómo incide en la privacidad de datos y ciberseguridad

    El siglo XXI demanda normas estrictas en materia de protección de datos personales, pues con el almacenamiento en línea, resulta que todo se encuentra más a la mano de los ladrones de la información.

    Es por eso que GDPR (General Data Protection Regulation) llegó oportunamente para las necesidades de privacidad de las empresas y los individuos.

    El Reglamento General de Protección de Datos Europeo (RGPD por sus siglas en español) entró en vigor desde el 2018 y sus normas están diseñadas para proteger a las personas de los 28 estados de la Unión Europea. 

    Entonces seguro te estarás preguntando: ¿Cómo esto podría influir en mi negocio si me encuentro en México o Latinoamérica?

    A continuación ahondaremos en la definición de GDPR y su influencia en la protección de datos personales, su relación con la ciberseguridad, así como la implementación de sus principios.

    ¿Qué es GDPR?

    Que-es-GDPR

    GDPR es el reglamento encargado de regular las medidas de protección para el tratamiento de datos personales de las personas físicas en la Unión Europea.

    Este reglamento, además de aplicarse en los estados miembros de la UE, también se extiende a aquellas empresas que recaban datos de las personas habitantes de Europa.

    Por ejemplo, si Servnet poseyera datos de una mujer parisina a la que le ofrece sus servicios, ella estaría protegida por el GDPR.

    El objetivo principal de esta protección es tener control sobre los datos personales y determinar quién los administra. 

    El GDPR se encarga de que las organizaciones cumplan con los principios de legalidad, transparencia, integridad y confidencialidad. Pretende que éstas adquieran responsabilidad sobre los datos tratados y sigan una ley unificada, independientemente de su tamaño o nicho.

    En América Latina esta ley no es aplicable, en México, por ejemplo, contamos con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). 

    Sin embargo, sí que es reproducible y, de hecho, su utilización es bastante recomendable para las empresas que estén interesadas en una mejor protección de datos de sus clientes y colaboradores.

    Los datos personales según la GDPR

    Los datos personales son la información que se vincula directamente con una persona. De acuerdo con la GDPR estos se clasifican de la siguiente manera:

    • Información identificable
      • Nombre, dirección, fotografía, fecha de nacimiento, estado civil.
      • Comportamiento digital, cookies, publicaciones en redes sociales y la web.
      • ID de dispositivo móvil, dirección IP, número de teléfono y dirección de correo electrónico.
      • CV: Cualificaciones y experiencia laboral
    • Categorías especiales (es preferible no recopilar este tipo de datos si no tienen un motivo legítimo)
      • Información del hogar
      • Comportamiento y actitudes
      • Información y expediente médico: estado de salud, datos biométricos, datos genéticos, registros sanitarios
      • Origen étnico y racial
      • Religión, creencias filosóficas y preferencias culturales
      • Afiliación sindical, tendencias y opiniones políticas
      • Orientación sexual
      • Lista de condenas penales

    Derechos de la privacidad en GDPR

    Derechos-de-la-privacidad-en-GDPR

    Si una empresa dispone de los datos personales de clientes, ex-clientes, empleados, colaboradores, usuarios de terceros e incluso postulantes a vacantes, es imprescindible que elabore una declaración de privacidad. Esta servirá para clarificar el consentimiento de los usuarios y que tenga vislumbrados los derechos de los dueños de los datos.

    Respecto a la declaración de privacidad, inicialmente las empresas deben identificarse con los usuarios. Esto pueden realizarlo compartiendo su nombre oficial, domicilio social, número de teléfono y dirección de correo electrónico. A través de ellos será posible ponerse en contacto para asuntos de protección de datos.

    Posteriormente, es muy importante que exista claridad y minucia al momento de expresar los pormenores de la privacidad, incluyendo detalles de:

    • Quién tendrá acceso a la información.
    • A quién se transmitirá.
    • Medidas de seguridad a las que está sometida
    • Confidencialidad de la integridad de los datos 

    Una vez que al usuario le ha quedado claro cómo se tratará su privacidad, el siguiente paso es obtener su consentimiento, el cual, como mencionamos, debe ser informado, claro, específico, voluntario y revocable. Y adicionalmente contar con dos características esenciales que promueve el RGPD, ser inequívoco y explícito.

    El consentimiento inequívoco significa que el usuario debe manifestar su autorización mediante una declaración oral o escrita, marcando una casilla o activando un parámetro de navegador o aplicación.

    El explícito, por su parte, se refiere a que los usuarios deben estar de acuerdo con el tratamiento de sus datos sensibles, la adopción de decisiones automatizadas y, en caso de ser necesario, transferencias internacionales de su información.

    Considerando lo anterior, GDPR se enfoca en el derecho a la transparencia, el cual revisaremos enseguida, prosiguiendo después con el resto de los derechos.

    Derecho a la transparencia

    Los usuarios tienen derecho a ser informados de las intenciones del uso de sus datos, así como de los posibles riesgos a los que esta se encuentre expuesta al dejarla en posesión de la empresa.

    Las organizaciones tienen la obligación de explicar los detalles acerca de la conservación y utilización de datos. En este aspecto pueden anteponer los beneficios sobre las desventajas.

    La transparencia en GDPR consiste en la exposición explícita de la información acerca de la posesión de los datos personales y su protección. 

    La comunicación de los términos y condiciones debe ser sencilla de entender y accesible, expresada desde un lenguaje claro y directo.

    Las personas que concedan sus datos tienen derecho a recibir información sobre la forma en la que estos se procesarán, así como enterarse si se conservan, qué se hace con ellos y por qué son necesarias las acciones que se ejecutan con su información.

    Ahora bien, en el particular caso del tratamiento de datos personales de las personas menores de edad, el GDPR tiene una protección específica.

    Las niñas y niños menores de 16 años deben tener el consentimiento autorizado de un titular (tutor) para compartir sus datos. 

    En caso de que se soliciten datos a jóvenes de 16 o 17 años, el aviso de privacidad debe ser en un lenguaje sencillo, claro y fácil de entender para su rango de edad.

    Derecho de supresión

    GDPR declara que cualquier persona que haya otorgado sus datos personales a una empresa, puede revocar dicho permiso cuando lo desee. O bien, tiene derecho a limitar y suprimir su información si se opone a que sus datos sigan siendo tratados.

    Cuando el usuario realiza dicha solicitud, la organización está obligada a borrar los datos del proyecto y de los sistemas. 

    Para asegurar que este derecho se cumpla se recomienda que se entable un contrato que implique el borrado de información del procesador, según la demanda.

    Derecho a la portabilidad

    La portabilidad se refiere a la transferencia de datos de un lugar a otro.

    El GDPR apoya a los usuarios con el derecho a solicitar la recuperación y traslado o exportación de sus datos personales a un nuevo responsable.

    Incidentes de ciberseguridad

    Incidentes-de-ciberseguridad

    En el mundo cibernético, el robo de información está a la orden del día y la violación de datos confidenciales trae consigo la ruptura de la privacidad.

    Los infostealers, o ladrones de información, roban los datos personales y pueden llegar a hacerlos públicos y depositarlos en manos de personas con propósitos maliciosos.

    Las empresas deben tener un plan de alerta en caso de detección de intrusión informática, en donde examinen y analicen el problema para remediarlo lo más pronto posible, disminuyendo así la afectación.

    A menudo los ataques se dirigen a un sector desprotegido o vulnerable para después extenderse. Pero si se detecta de donde viene el problema, es posible frenarlo, aislando el dispositivo infectado o deteniendo las operaciones hasta que se tenga certeza de la infracción.

    Para detectar virus y malwares existen diversas herramientas. Estas tienen el objetivo de revelar comportamientos inusuales y evitar hackeos. Por otra parte, es sustancial contar con medidas de recuperación ante desastres si es que el ataque llega a consumarse.

    En seguida te ofrecemos una lista de tácticas para mantener seguros los datos personales de tus usuarios y consolidar para tu empresa un buen empleo del GDPR en relación con la ciberseguridad:

    1. Clasifica tus activos

    Lleva un registro de los medios donde se almacenan los datos, así como de las operaciones de su tratamiento y de la evaluación de riesgos.

    2. Limita los accesos

    Asegúrate que los permisos de acceso a los datos se limiten a los empleados para los que resultan esenciales en la realización de su trabajo.

    3. Utiliza cifrado de datos

    Protege los datos a través de la criptografía. En especial, si vas a almacenarlos por tiempo indefinido, es importante que permanezcan cifrados.

    4. Preserva la seguridad física

    Establece medidas de protección para los dispositivos. Puedes implementar cámaras de vigilancia o sistemas de alarma, por ejemplo.

    5. Vigila tu red

    Usa firewalls y antivirus para prevenir riesgos. Mantén un monitoreo constante y realiza auditorías.

    6. Establece una política de ciberseguridad de la información

    Crea un reglamento de transferencia de datos para asegurarte de que estos se mantengan seguros en el ciberespacio.

    7. Crea una copia de seguridad

    Asegura la continuidad de tu empresa con una copia de seguridad de los datos, con la que podrán recuperar sus operaciones de inmediato y sin fallos.

    Aun con estas medidas, los percances pueden ocurrir, por lo que resulta fundamental que conozcas cómo actuar si llega a suceder.

    Gestión de incidentes GDPR

    Gestion-de-incidentes-GDPR

    Notificación de incumplimiento

    Lo primero que hay que hacer, en caso de que se identifique un incidente, es notificar a las autoridades de protección de datos correspondientes.

    El GDPR exige que las organizaciones de la UE realicen un informe de cualquier vulneración de datos que implique un riesgo dañino para los usuarios.

    Dicho comunicado debe describir el origen del incidente, el número de personas perjudicadas, la descripción del impacto, las consecuencias y las medidas que se tomarán para remediarlo.

    Comunicación de fallos a los afectados

    Si el incidente no es reparable, es decir, si no se detiene el ataque a tiempo y los datos se divulgan o resultan afectados, el GDPR lo considerará de alto riesgo y se encargará de informar a las víctimas sobre los fallos, en especial si sus derechos están en peligro.

    En caso de ser una compañía que no pertenece a la UE, es a ustedes a quienes corresponde informar al usuario del contratiempo.

    Consecuencias

    Las empresas que sufran este tipo de incidentes se enfrentarán a desembolsos provocados por la suspensión de sus operaciones, daños en la reputación y deserción de usuarios.

    No obstante, cumpliendo la ley puede haber beneficios que ayuden a tu empresa a ganar clientes, confianza y buena reputación. 

    En el siguiente apartado, te compartimos una guía para implementar los principios del GDPR.

    Guía de implementación de los principios de GDPR

    Guia-de-implementacion-de-los-principios-de-GDPR

    Los datos personales son muy valiosos en los comercios, obtenerlos no es tarea sencilla, pues la confianza de que estos se cuiden y respeten no puede asegurarse con certeza.

    Es por eso que sea donde sea que estés ubicado en el planeta, el GDPR podrá ser de gran ayuda para transmitir a tus clientes esa sensación de seguridad que necesitan cuando del tratamiento de su información se trata.

    Sigue las siguientes recomendaciones. Te ayudarán a implementar un plan alineado a este aclamado reglamento occidental.

    A) Evaluación inicial

    Crea un método de clasificación del tipo y la cantidad de datos personales que vas a procesar.

    Después realiza un análisis detallado del grado de madurez de tu organización y tu informática para tratarlos.

    Para saber qué tan seguros están los datos que recopila tu empresa, debes tomar en cuenta el impacto y los riesgos que implica que la información de las personas sea procesada en tus sistemas.

    La Agencia Española de Protección de Datos, por ejemplo, cuenta con una guía de Evaluación de Impacto de Protección de Datos (EIPD). Esta permite a las organizaciones identificar, evaluar y gestionar los riesgos para implementar medidas, y así poder documentar la protección de datos que puede proveer.

    Te recomendamos consultarla.

    B) Establecimiento de roles

    GDPR plantea dos roles principales, facultados para la seguridad de la información.

    • Controlador de datos: Se encarga de recolectar los datos personales, establecer el objetivo de su tratamiento y garantizar su disponibilidad, seguridad e integridad.
    • Procesador de datos: Es el responsable del tratamiento de datos y coordina las medidas de seguridad.

    Contar con estas dos personas para el manejo de los datos personales es imprescindible, pero adicional y de manera opcional puedes designar a un DPD (Delegado de Protección de Datos).

    Un DPD es la persona a quien será encomendada la supervisión y gestión de los datos, además de la verificación del cumplimiento de las normativas de GDPR, evitando conflictos de interés.

    C) Evaluación del tratamiento de los datos personales

    Una vez que realices tu evaluación inicial y establezcas los roles de los responsables de la información personal, podrás comenzar a recolectar datos.

    Es tu obligación llevar un registro de qué datos personales se recogen, cómo se procesan, con quién se comparten y si existen flujos internacionales de la información, por lo que te aconsejamos crear un formulario para llevar ese control.

    También debes establecer medidas de protección como las que revisamos en el apartado de ciberseguridad y abarcar la eliminación segura de datos en desuso.

    Por último escribe tu declaración de privacidad e incluye instrucciones para el ejercicio de los derechos de los usuarios que compartan sus datos, recuerda que esta tiene que ser accesible y sencilla de comprender.

    D) Gestión de riesgos

    A nadie le gustaría escuchar que si te da sus datos personales, cabe la posibilidad de que estos sean vulnerados, pero ante el panorama es necesario aclararlo.

    Evidentemente en el contrato no enumerarás los riesgos, sino que deberás expresar los procedimientos en caso de incidentes. Procura especificar tu responsabilidad en el cuidado. Encárgate de inspirar confianza.

    Esta guía proporciona un enfoque estructurado para implementar los principios de GDPR. Aborda aspectos clave, desde la evaluación inicial hasta los procedimientos operativos y contratos con terceros. 

    Esperamos que sea de ayuda para tu empresa. No te olvides de complementar esta orientación con los derechos del GDPR y las tácticas de ciberseguridad de los apartados anteriores.

    Comentarios