El siglo XXI demanda normas estrictas en materia de protección de datos personales, pues con el almacenamiento en línea, resulta que todo se encuentra más a la mano de los ladrones de la información.
Es por eso que GDPR (General Data Protection Regulation) llegó oportunamente para las necesidades de privacidad de las empresas y los individuos.
El Reglamento General de Protección de Datos Europeo (RGPD por sus siglas en español) entró en vigor desde el 2018 y sus normas están diseñadas para proteger a las personas de los 28 estados de la Unión Europea.
Entonces seguro te estarás preguntando: ¿Cómo esto podría influir en mi negocio si me encuentro en México o Latinoamérica?
A continuación ahondaremos en la definición de GDPR y su influencia en la protección de datos personales, su relación con la ciberseguridad, así como la implementación de sus principios.
GDPR es el reglamento encargado de regular las medidas de protección para el tratamiento de datos personales de las personas físicas en la Unión Europea.
Este reglamento, además de aplicarse en los estados miembros de la UE, también se extiende a aquellas empresas que recaban datos de las personas habitantes de Europa.
Por ejemplo, si Servnet poseyera datos de una mujer parisina a la que le ofrece sus servicios, ella estaría protegida por el GDPR.
El objetivo principal de esta protección es tener control sobre los datos personales y determinar quién los administra.
El GDPR se encarga de que las organizaciones cumplan con los principios de legalidad, transparencia, integridad y confidencialidad. Pretende que éstas adquieran responsabilidad sobre los datos tratados y sigan una ley unificada, independientemente de su tamaño o nicho.
En América Latina esta ley no es aplicable, en México, por ejemplo, contamos con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Sin embargo, sí que es reproducible y, de hecho, su utilización es bastante recomendable para las empresas que estén interesadas en una mejor protección de datos de sus clientes y colaboradores.
Los datos personales son la información que se vincula directamente con una persona. De acuerdo con la GDPR estos se clasifican de la siguiente manera:
Si una empresa dispone de los datos personales de clientes, ex-clientes, empleados, colaboradores, usuarios de terceros e incluso postulantes a vacantes, es imprescindible que elabore una declaración de privacidad. Esta servirá para clarificar el consentimiento de los usuarios y que tenga vislumbrados los derechos de los dueños de los datos.
Respecto a la declaración de privacidad, inicialmente las empresas deben identificarse con los usuarios. Esto pueden realizarlo compartiendo su nombre oficial, domicilio social, número de teléfono y dirección de correo electrónico. A través de ellos será posible ponerse en contacto para asuntos de protección de datos.
Posteriormente, es muy importante que exista claridad y minucia al momento de expresar los pormenores de la privacidad, incluyendo detalles de:
Una vez que al usuario le ha quedado claro cómo se tratará su privacidad, el siguiente paso es obtener su consentimiento, el cual, como mencionamos, debe ser informado, claro, específico, voluntario y revocable. Y adicionalmente contar con dos características esenciales que promueve el RGPD, ser inequívoco y explícito.
El consentimiento inequívoco significa que el usuario debe manifestar su autorización mediante una declaración oral o escrita, marcando una casilla o activando un parámetro de navegador o aplicación.
El explícito, por su parte, se refiere a que los usuarios deben estar de acuerdo con el tratamiento de sus datos sensibles, la adopción de decisiones automatizadas y, en caso de ser necesario, transferencias internacionales de su información.
Considerando lo anterior, GDPR se enfoca en el derecho a la transparencia, el cual revisaremos enseguida, prosiguiendo después con el resto de los derechos.
Los usuarios tienen derecho a ser informados de las intenciones del uso de sus datos, así como de los posibles riesgos a los que esta se encuentre expuesta al dejarla en posesión de la empresa.
Las organizaciones tienen la obligación de explicar los detalles acerca de la conservación y utilización de datos. En este aspecto pueden anteponer los beneficios sobre las desventajas.
La transparencia en GDPR consiste en la exposición explícita de la información acerca de la posesión de los datos personales y su protección.
La comunicación de los términos y condiciones debe ser sencilla de entender y accesible, expresada desde un lenguaje claro y directo.
Las personas que concedan sus datos tienen derecho a recibir información sobre la forma en la que estos se procesarán, así como enterarse si se conservan, qué se hace con ellos y por qué son necesarias las acciones que se ejecutan con su información.
Ahora bien, en el particular caso del tratamiento de datos personales de las personas menores de edad, el GDPR tiene una protección específica.
Las niñas y niños menores de 16 años deben tener el consentimiento autorizado de un titular (tutor) para compartir sus datos.
En caso de que se soliciten datos a jóvenes de 16 o 17 años, el aviso de privacidad debe ser en un lenguaje sencillo, claro y fácil de entender para su rango de edad.
GDPR declara que cualquier persona que haya otorgado sus datos personales a una empresa, puede revocar dicho permiso cuando lo desee. O bien, tiene derecho a limitar y suprimir su información si se opone a que sus datos sigan siendo tratados.
Cuando el usuario realiza dicha solicitud, la organización está obligada a borrar los datos del proyecto y de los sistemas.
Para asegurar que este derecho se cumpla se recomienda que se entable un contrato que implique el borrado de información del procesador, según la demanda.
La portabilidad se refiere a la transferencia de datos de un lugar a otro.
El GDPR apoya a los usuarios con el derecho a solicitar la recuperación y traslado o exportación de sus datos personales a un nuevo responsable.
En el mundo cibernético, el robo de información está a la orden del día y la violación de datos confidenciales trae consigo la ruptura de la privacidad.
Los infostealers, o ladrones de información, roban los datos personales y pueden llegar a hacerlos públicos y depositarlos en manos de personas con propósitos maliciosos.
Las empresas deben tener un plan de alerta en caso de detección de intrusión informática, en donde examinen y analicen el problema para remediarlo lo más pronto posible, disminuyendo así la afectación.
A menudo los ataques se dirigen a un sector desprotegido o vulnerable para después extenderse. Pero si se detecta de donde viene el problema, es posible frenarlo, aislando el dispositivo infectado o deteniendo las operaciones hasta que se tenga certeza de la infracción.
Para detectar virus y malwares existen diversas herramientas. Estas tienen el objetivo de revelar comportamientos inusuales y evitar hackeos. Por otra parte, es sustancial contar con medidas de recuperación ante desastres si es que el ataque llega a consumarse.
En seguida te ofrecemos una lista de tácticas para mantener seguros los datos personales de tus usuarios y consolidar para tu empresa un buen empleo del GDPR en relación con la ciberseguridad:
Lleva un registro de los medios donde se almacenan los datos, así como de las operaciones de su tratamiento y de la evaluación de riesgos.
Asegúrate que los permisos de acceso a los datos se limiten a los empleados para los que resultan esenciales en la realización de su trabajo.
Protege los datos a través de la criptografía. En especial, si vas a almacenarlos por tiempo indefinido, es importante que permanezcan cifrados.
Establece medidas de protección para los dispositivos. Puedes implementar cámaras de vigilancia o sistemas de alarma, por ejemplo.
Usa firewalls y antivirus para prevenir riesgos. Mantén un monitoreo constante y realiza auditorías.
Crea un reglamento de transferencia de datos para asegurarte de que estos se mantengan seguros en el ciberespacio.
Asegura la continuidad de tu empresa con una copia de seguridad de los datos, con la que podrán recuperar sus operaciones de inmediato y sin fallos.
Aun con estas medidas, los percances pueden ocurrir, por lo que resulta fundamental que conozcas cómo actuar si llega a suceder.
Lo primero que hay que hacer, en caso de que se identifique un incidente, es notificar a las autoridades de protección de datos correspondientes.
El GDPR exige que las organizaciones de la UE realicen un informe de cualquier vulneración de datos que implique un riesgo dañino para los usuarios.
Dicho comunicado debe describir el origen del incidente, el número de personas perjudicadas, la descripción del impacto, las consecuencias y las medidas que se tomarán para remediarlo.
Si el incidente no es reparable, es decir, si no se detiene el ataque a tiempo y los datos se divulgan o resultan afectados, el GDPR lo considerará de alto riesgo y se encargará de informar a las víctimas sobre los fallos, en especial si sus derechos están en peligro.
En caso de ser una compañía que no pertenece a la UE, es a ustedes a quienes corresponde informar al usuario del contratiempo.
Las empresas que sufran este tipo de incidentes se enfrentarán a desembolsos provocados por la suspensión de sus operaciones, daños en la reputación y deserción de usuarios.
No obstante, cumpliendo la ley puede haber beneficios que ayuden a tu empresa a ganar clientes, confianza y buena reputación.
En el siguiente apartado, te compartimos una guía para implementar los principios del GDPR.
Los datos personales son muy valiosos en los comercios, obtenerlos no es tarea sencilla, pues la confianza de que estos se cuiden y respeten no puede asegurarse con certeza.
Es por eso que sea donde sea que estés ubicado en el planeta, el GDPR podrá ser de gran ayuda para transmitir a tus clientes esa sensación de seguridad que necesitan cuando del tratamiento de su información se trata.
Sigue las siguientes recomendaciones. Te ayudarán a implementar un plan alineado a este aclamado reglamento occidental.
Crea un método de clasificación del tipo y la cantidad de datos personales que vas a procesar.
Después realiza un análisis detallado del grado de madurez de tu organización y tu informática para tratarlos.
Para saber qué tan seguros están los datos que recopila tu empresa, debes tomar en cuenta el impacto y los riesgos que implica que la información de las personas sea procesada en tus sistemas.
La Agencia Española de Protección de Datos, por ejemplo, cuenta con una guía de Evaluación de Impacto de Protección de Datos (EIPD). Esta permite a las organizaciones identificar, evaluar y gestionar los riesgos para implementar medidas, y así poder documentar la protección de datos que puede proveer.
Te recomendamos consultarla.
GDPR plantea dos roles principales, facultados para la seguridad de la información.
Contar con estas dos personas para el manejo de los datos personales es imprescindible, pero adicional y de manera opcional puedes designar a un DPD (Delegado de Protección de Datos).
Un DPD es la persona a quien será encomendada la supervisión y gestión de los datos, además de la verificación del cumplimiento de las normativas de GDPR, evitando conflictos de interés.
Una vez que realices tu evaluación inicial y establezcas los roles de los responsables de la información personal, podrás comenzar a recolectar datos.
Es tu obligación llevar un registro de qué datos personales se recogen, cómo se procesan, con quién se comparten y si existen flujos internacionales de la información, por lo que te aconsejamos crear un formulario para llevar ese control.
También debes establecer medidas de protección como las que revisamos en el apartado de ciberseguridad y abarcar la eliminación segura de datos en desuso.
Por último escribe tu declaración de privacidad e incluye instrucciones para el ejercicio de los derechos de los usuarios que compartan sus datos, recuerda que esta tiene que ser accesible y sencilla de comprender.
A nadie le gustaría escuchar que si te da sus datos personales, cabe la posibilidad de que estos sean vulnerados, pero ante el panorama es necesario aclararlo.
Evidentemente en el contrato no enumerarás los riesgos, sino que deberás expresar los procedimientos en caso de incidentes. Procura especificar tu responsabilidad en el cuidado. Encárgate de inspirar confianza.
Esta guía proporciona un enfoque estructurado para implementar los principios de GDPR. Aborda aspectos clave, desde la evaluación inicial hasta los procedimientos operativos y contratos con terceros.
Esperamos que sea de ayuda para tu empresa. No te olvides de complementar esta orientación con los derechos del GDPR y las tácticas de ciberseguridad de los apartados anteriores.