Gorka Sainz   System Engineer Fortinet Iberia

El GDPR: Añadiendo dientes a la privacidad de datos Las violaciones de datos y el robo de identidades han alcanzado unas proporciones epidémicas. Según una encuesta global de KPMG Internacional, más de la mitad de los consumidores (55%) han abandonado las compras online por problemas de privacidad. Este estudio también detecta que solo el 10% de los encuestados tiene la sensación de controlar la forma en que las empresas procesan y utilizan su información personal.

Esta tendencia es sin duda una mala noticia para un mundo que avanza hacia la adopción de una economía digital. Las compras online, el acceso inmediato a la información financiera, y la capacidad de acceder y proteger los servicios electrónicamente está cambiando la vida de las personas y la forma en la que las empresas realizan sus negocios. No es el momento adecuado para que decaiga la confianza del consumidor.

El Reglamento General de Protección de Datos (GDPR) es la respuesta de la Unión Europea a los riesgos asociados con el papel que desempeña, cada vez más, la tecnología en la vida cotidiana. GDPR fue ratificado por los estados miembros en abril de 2016 y entrará en vigor el 25 de mayo de este año. Aunque se trata de una regulación de la UE, también se aplica a cualquier organización, independientemente de su ubicación física, si recopilan datos personales de consumidores de la UE.

El objetivo de la nueva regulación es garantizar que se incorpore una protección adecuada en el proceso de recogida de datos personales “por defecto y por diseño”. La normativa requiere que las organizaciones recopilen solo los datos mínimos necesarios para un propósito específico, y que sean eliminados por completo cuando ya no sean necesarios. La regulación también define a las personas como los únicos propietarios de sus datos personales, y no las instituciones y corporaciones. Como dueños, estas personas deben poder retirar su consentimiento para la recogida de datos con la misma facilidad que para otorgar su permiso.

Privado significa privado

El reto para muchas organizaciones radica en que el GDPR otorga a las personas el “Derecho a ser olvidado” (RTBF), lo que implica que cuando se acaba su relación con una organización pueden llevarse sus datos con ellos y se debe eliminar toda la información de identificación personal. Esto incluye cualquier dato que pueda identificar a una persona en concreto, que se pueda usar para distinguir a un individuo de otro, o que pueda utilizarse para que datos anónimos dejen de serlo.

Protección eficaz

En el caso de una violación de datos, el GDPR también establece las condiciones de cuándo debe hacerse la notificación y establece dos niveles de sanciones, según la gravedad de la infracción. Las infracciones menores acarrean penas de hasta el 2% de la facturación mundial o 10 millones de euros, la que sea mayor, y las infracciones mayores requieren penas de hasta el 4% de la facturación mundial o 20 millones de euros, quedándose también con la cifra mayor.

Debida a la rápida evolución de la tecnología, el GDPR también hace responsable de la “evaluación continua de riesgos” a la institución que controla los datos y requiere que cualquier organización externa que procese los datos también cumpla con GDPR. Como resultado, tanto el esfuerzo de lograr el cumplimiento como los riesgos asociados con el incumplimiento se incrementarán con el GDPR. De hecho, se estima que más del 50% de las organizaciones no cumplirán la normativa cuando el GDPR entre en vigor.

¿Quién está afectado?

El GDPR aplica a cualquier organización, independientemente del país, que recoja, almacene o procese datos personales de residentes de la UE. Esto incluye datos de empleados, socios, clientes actuales y potenciales. En terminología de regulación, estas organizaciones se definen como controladores, es decir, aquellos que determinan cómo y por qué se procesan los datos personales, o ‘procesadores’ que actúan en nombre del controlador. Ambos tienen mayores obligaciones con el GDPR, y ambos podrían enfrentarse a sanciones por incumplimiento de la normativa o en el caso de una violación de datos.

Las implicaciones van más allá de una regulación regional que solo afecte a las empresas u organizaciones de la UE que manejan datos personales de la Unión. Es posible que esto conduzca a una expectativa más amplia que afecte a personas de todo el mundo, ya que el nivel de protección requerido por el GDPR debe convertirse en la “nueva normalidad”, lo que significa que los clientes esperan que, si las compañías pueden ofrecer ese nivel de visibilidad y control de datos para los consumidores de la UE, ¿por qué no extenderlo al resto del mundo? Esto tiene tremendas implicaciones en lo que se refiere a “como de seguros son tus datos” y conducirá a que los consumidores exijan soluciones que cumplan sus expectativas en términos de seguridad y control de su información personal.

Para la mayoría de las organizaciones, especialmente empresas internacionales, cumplir con el GDPR será un desafío significativo y a largo plazo. Además del impacto en las tecnologías de información y seguridad, el cumplimiento del GDPR requerirá cambios en algunos procesos de negocio, incluidos los flujos de procedimientos de datos, las estructuras organizativas e incluso las políticas comerciales. A diferencia de regulaciones similares, el modelo de negocio digital actual, que está viviendo una rápida evolución, exigirá una evaluación continua de los riesgos asociada a la adopción de nuevas tecnologías.

Este proceso va a requerir una nueva revisión de las soluciones y estrategias de seguridad existentes. La seguridad en la red no solo debe evitar de forma activa las intrusiones que se producen desde cualquier punto de los sistemas de red distribuidos. También deberá minimizar el riesgo de violaciones graves, reduciendo el tiempo necesario para detectar y responder a nuevas amenazas. La solución para lograrlo pasa por un enfoque amplio, potente y automatizado de la seguridad.