El nuevo Reglamento Europeo de Protección de Datos y el cifrado como contramedida

Publicado el 13-09-2016      Notícia sobre: Artículos

 


Jorge Laredo    

Iberia PMO Lead.

HPE SecureData ayuda a cumplir el Reglamento facilitando el negocio.

Implicaciones del nuevo Reglamento

El 25 de mayo de 2018 el nuevo Reglamento Europeo de Protección de Datos entrará de forma plena en vigor y, a diferencia de la Directiva Europea 95/46 de Protección de Datos a la que sustituye, será de aplicación inmediata en toda la Unión Europea. Este Reglamento es el cambio más significativo en la protección de datos, cabe decir que en la protección de la información, en los últimos 25 años. Incluye una ampliación del ámbito territorial, refuerza los derechos de los individuos e incrementa las obligaciones de los responsables de fichero y de los encargados del tratamiento. Todo ello con un incremento de las sanciones económicas de gran magnitud, pudiendo llegar a un máximo de 20 millones de euros o el 4% de la facturación anual si es superior.

La legislación impacta en los responsables de los ficheros, aquellos que determinan la finalidad y cómo se tratan los datos, y en los encargados del tratamiento que lo realicen en nombre del responsable. De hecho, con el Reglamento estos últimos pasan a tener una responsabilidad directa.

Los cambios principales del nuevo Reglamento Europeo de Protección de Datos se dan en las áreas de:

  • Cambio en las condiciones del consentimiento: son más estrictas.
  • Portabilidad de datos.
  • Derecho al olvido.
  • Privacidad por diseño y por defecto.
  • Figura del Responsable de Protección de Datos.
  • Registro de las actividades de tratamiento.
  • Evaluación de impacto en la protección de datos.
  • Notificación de fugas de datos.
  • Cifrado y pseudoanonimización de datos.
  • Revisión independiente.

Algunos de los cambios más significativos se han de abordar desde los aspectos organizativos y de proceso, pero en otros la tecnología tiene un papel importante para facilitar su cumplimiento. Dentro de las tecnologías el cifrado es una de las que tiene un papel clave en tanto y cuando:

  • Sirve para aminorar las posibles sanciones (art. 83, 2, d) al haber demostrado la debida diligencia en la aplicación de medidas técnicas y organizativas.
  • Permite no tener que notificar una fuga de datos a la autoridad de control.

Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control.

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. (…)

  • Permite no tener que notificar una fuga de datos al interesado.

Artículo 34 Comunicación de una violación de la seguridad de los datos personales al interesado

(…)

3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

(…)

Y quizás lo que es más importante; sirve para mejorar la protección de datos en el diseño y para que sea el estado por defecto, protegiendo de esta manera el negocio y la reputación corporativa ante casos de fuga de datos por causas intencionadas (hacking) y/o involuntarias (i.e. envio de un correo electrónico).Claramente el cifrado es una de las claves para poder cumplir el Reglamento y reducir significativamente los riesgo de sanción. Sin embargo, el uso del cifrado frecuentemente no es fácil de implementar de forma que no incremente significativamente el tratamiento de los datos sin disminuir el nivel de seguridad. Es aquí donde el conjunto de soluciones que incluye HPE Secure Data tienen su papel: proteger los datos mediante cifrado sin dificultar el tratamiento de los datos que requiere la organización.

HPE Secure Data

HPE Secure Data proporciona mecanismos de ‘anonimización’ y protección de la privacidad en los entornos productivos y no productivos de toda la organización, proporcionando un seguridad centrada en el dato de extremo a extremo y manteniendo el dato cifrado allí donde esté (en uso, en tránsito o en almacenamiento) solo accesible bajo el principio de “necesidad de conocer”. Su cifrado preservador del formato (Hyper FPE) proporciona un cifrado fuerte y flexible para proteger los datos personales conforme a la guía sobre pseudoanonimización que proporciona el nuevo Reglamento Europeo.

Entrando en un mayor nivel de detalle se pueden destacar tres de las tecnologías incluidas en HPE Secure Data:

  • Hyper FPE: Cifrado y enmascaramiento.
  • HPE Stateless Key Management: gestión de claves sin archivo central.
  • Hyper SST (Secure Stateless Tokenization): gestión de tokens sin base de datos central.

Hyper FPE, cumple el estándar definido por el NIST, y permite cifrar los datos a proteger, manteniendo el formato y sin debilitar el cifrado aplicado. Esto permite cifrar datos estructurados sin alternar la propia estructura con lo que los cambios a realizar en las aplicaciones se minimizan. Todo ello permite cifrar y proteger grandes volúmenes de datos de forma rápida. Una utilidad es la capacidad de proporcionar datos de prueba para los entornos de desarrollo y pre-producción completamente anonimizados, de forma que la exposición de los datos personales se reduce enormemente, siendo solo accesibles en los casos estrictamente necesarios. Una fuga de datos cifrados es de escaso o nulo valor para el atacante.

HPE Stateless Key Management cubre otro aspecto importante en el cifrado como es el de la gestión de claves. Proporciona las claves a las aplicaciones en tiempo de ejecución, una vez que se han autenticado y tienen la autorización requerida, sin necesidad de tener una base de datos de claves central. El eliminar este repositorio central, además de reducir el riesgo de acceso indebido a la misma, reduce las necesidades de hardware, software y procesos para su mantenimiento y gestión.

Hyper SST es una solución de seguridad patentada orientada a las organizaciones que han de manejar sistemas de pago que elimina la necesidad de una base de datos de tokens y facilita la gestión de los números de tarjeta en forma de tokens sin relación con los mismos. Al eliminar la base de datos de tokens se evita el tener que almacenar datos sensibles como los números de tarjeta que son objetivo de un ataque.

Conclusiones

El nuevo Reglamento Europeo eleva el listón de lo que las organizaciones han de cumplir en materia de protección de datos personales, pero existen tecnologías, como HPE Secure Data, que facilitan su cumplimiento en aquellos aspectos relacionados con la protección tecnológica de los datos. La seguridad tecnológica es uno de los aspectos que refuerza el Reglamento, tanto el Responsable del tratamiento como su posible encargado, deben recordar que ese es un aspecto importante pero no el único de los que se deben cumplir y que muchos de ellos no tienen una base tecnológica (por ejemplo el tener consentimiento para el tratamiento).

HPE Secure Data permite hacer un tratamiento transparente con el debido equilibrio entre protección de datos y flexibilidad.

 

Global Gold Sponsor