GDPR: guía de cumplimiento

Tenga en cuenta que este artículo es solo para fines informativos. No está destinado a servir como asesoramiento legal. No debe actuar ni abstenerse a actuar en base a cualquier contenido de este artículo, sin buscar asesoramiento legal u otro consejo profesional.

Leer también:

• GDPR y copias de seguridad: mejores prácticas
• GDPR y cifrado

¿Qué es el GDPR?

El GDPR (Reglamento General de Protección de Datos) es una regulación general de la Unión Europea que entrará en vigor el 25 de mayo de 2018 y afectará a todas las empresas que operan en la UE o tratan con clientes de la UE.

El GDPR amplía la definición de lo que constituye la información personal y privada para incluir no solo registros financieros, gubernamentales y médicos, sino también información genética, cultural y social.

Las empresas ahora deben obtener el consentimiento explícito de una persona antes de usar sus datos personales, y también deben respetar su «derecho al olvido», para que todos los datos personales que tenga la empresa se eliminen a petición del usuario.

Definiciones y roles

El GDPR describe las siguientes definiciones y roles:

• Sujeto de datos: un ciudadano de la UE que es identificable por sus datos personales.
• Controlador: una empresa que opera dentro o fuera de la UE pero que trata con residentes de la UE, que captura datos confidenciales sobre residentes de la UE en el curso de sus operaciones
• Procesador: una empresa comercial que captura datos confidenciales sobre individuos de la UE que actúan como contratistas o controladores. Los ejemplos incluyen negocios que ofrecen servicios en la nube, almacenamiento o alojamiento de aplicaciones.
• Datos personales: toda la información sobre una persona identificable. La UE lo define de forma más amplia que otros gobiernos, e incluye el nombre del ciudadano de la UE, dirección de correo electrónico, publicaciones en redes sociales, información física, fisiológica o genética, información médica, de ubicación, datos bancarios, dirección IP, cookies, identidad cultural, etc.
• Violación de los datos personales: una violación en la seguridad de los datos personales conduce a la destrucción, pérdida, alteración, autorización, divulgación o acceso accidental o ilegal de los datos personales transmitidos, almacenados o procesados. Las empresas deben informar sobre cada incidente de violación de datos a la «autoridad de supervisión» en un plazo de 72 horas una vez tengan conocimiento de la misma.
• Derecho al olvido: el derecho de todo ciudadano de la UE a borrar sus datos personales y dejar de ser procesados. Los datos también se deben eliminar de las copias de seguridad.

Requisitos clave del GDPR

El GDPR requiere que los datos personales solo se puedan conservar durante el tiempo que sea necesario para el propósito inicial y se deben proteger de acuerdo con las nuevas reglas.

Según el artículo 32, tanto el controlador como el procesador deben implementar las medidas técnicas y organizativas apropiadas para garantizar la integridad y seguridad de los datos, la capacidad de recuperación de los sistemas y la capacidad de restaurar los datos rápidamente, incluido el cifrado o la pseudonimización. Los procedimientos y tecnologías de respaldo son claramente un requisito indirecto de la regulación.

El GDPR se centra en el concepto de responsabilidad por el cual las empresas tendrán que «demostrar» el cumplimiento de los principios relacionados con la protección de los datos personales. Esto implicará aplicar procesos más demostrables y mantener un enfoque proactivo.

Cumplimiento con el GDPR y copias de seguridad

Es hora de analizar cómo garantizar el cumplimiento del GDPR y hablar sobre el papel de las copias de seguridad en este marco. Sugerimos un modelo de 5 pasos para cumplir con el GDPR:

• Conozca sus datos y mapee su posición
  El primer paso es sobre el análisis y la identificación de todos los procesos de recopilación y procesamiento de datos personales, con el propósito de mapear dónde se guardan, en el almacenamiento de propiedad de la empresa o de terceros. Este mapa se incluirá en la documentación.
• Regular el acceso a los datos
  Una vez que se ha completado la asignación, es importante verificar quién tiene acceso a los datos y por qué razón. La auditoría le permitirá identificar puntos críticos y, también en este caso, la información recopilada será valiosa para la documentación. No olvide considerar a los administradores de TI y los socios externos.
• Proteja los datos
  La protección de datos debe garantizarse adoptando cualquier sistema disponible, como el software antimalware, firewalls, políticas de seguridad, capacitación y, por supuesto, mantenimiento de copias de seguridad. Uranium Backup le permite proteger todos los datos personales recopilados por su empresa, ya que puede realizar copias de seguridad de archivos y carpetas, bases de datos, máquinas virtuales, imágenes del sistema y buzones de intercambio. Consulte esta página para descubrir las mejores prácticas para una estrategia de respaldo compatible con el GDPR.
• Documentación
  El GDPR requiere que los controladores y los propietarios demuestran la aplicación de medidas adecuadas para proteger los datos personales, por lo que tener una documentación extensa sobre los procesos y medidas de seguridad es extremadamente importante. También debemos recordar informar de las infracciones de datos en un plazo de 72 después del descubrimiento y el derecho al olvido, que incluye las copias de seguridad.
• Mantenerse siempre al día
  Las empresas son organismos vivos, en constante evolución y para el mismo contexto donde compiten. Para protección una protección significativa de los datos personales se requiere tener un enfoque proactivo, uno pasivo no es suficiente. Conocer las nuevas tecnologías y amenazas es un requisito para reaccionar y adaptarse.