Otro día, otra violación de datos y desafortunadamente no parece que las cosas vayan a cambiar pronto. A pesar de que las empresas refuerzan sus esfuerzos de seguridad cibernética, los delincuentes cibernéticos descubren constantemente nuevas vulnerabilidades para explotar y emplean nuevas tácticas para obtener acceso a valiosos datos de empresas y consumidores. En el primer día del (ISC)² Secure Summit LATAM 2019 Juan Carrillo, Armando Becerra y Pablo Corona nos hablaron de las legislaciones sobre privacidad de datos y los nuevos retos e impactos en el manejo de la privacidad de los usuarios en línea.
¿Qué es el GDPR?
El Reglamento General de Protección de Datos (GDPR) se aplica automáticamente a los 28 estados miembros de la Unión Europea, a diferencia de una directiva, que exige que los estados miembros redacten sus propias leyes nacionales para hacer cumplir sus normas.
Su objetivo es armonizar los flujos de datos entre todos los estados miembros y reforzar los derechos que los ciudadanos de la UE tienen sobre sus datos almacenados y procesados por las organizaciones.
La regulación tiene como objetivo dar a las personas un mayor poder sobre sus datos y hacer que las empresas sean más transparentes en la forma en que manejan la información confidencial.
Casi todas las empresas deben cumplir con las leyes de datos de la UE, incluso si están ubicadas en los America. Esto se debe a que la mayoría de las empresas tienen al menos algunos datos pertenecientes a ciudadanos de la UE almacenados en sus servidores. Para procesar esos datos, la organización debe cumplir con los principios de GDPR.
Las multinacionales que hacen negocios en Europa están viendo 5 requisitos GDPR en particular, causan el mayor impacto en sus planes de negocio futuro:
- Inventario Obligatorio: de datos y mantenimiento de registros de todo el pensamiento interno y de terceros de datos personales europeos
- Notificación Obligatoria: de violación de datos a los reguladores ya los individuos cuya información se ve comprometida tras fallas en la seguridad de la información
- Derechos individuales ARCO: para acceder, corregir portar, borrar y oponerse al procesamiento de sus datos
- Evaluación rutinaria del impacto de la protección: de datos para la tecnología y el cambio de negocio
- Funcionarios de protección de datos obligatorios: y un replanteamiento general de la estrategia de privacidad, la gobernanza y la gestión de riesgos
El tratamiento de datos es legitimo si se cumple con al menos de una de las siguientes razones:
- Necesidad contractual
- Obligaciones legales
- Interés vitales
- Interés público
- Interés legitimo
- Consentimiento
Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
- Derecho de Acceso: El derecho de acceso es el derecho del afectado a obtener información sobre sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
- Derecho de Rectificación: Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
- Derecho de Cancelación: Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos.
- Derecho de Oposición: Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, se trate de prospección comerciales o tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.
Las organizaciones han comenzado a entender qué datos adquieren, conservan y procesan y la base legal para ello. La privacidad debe diseñarse en sistemas y procesos y el respeto de los derechos de los sujetos de datos debe intensificarse. Deben existir políticas y procedimientos para manejar cualquier violación de seguridad. Sin embargo, en el fondo, la protección de datos tiene que ver con los mismos problemas: comprender qué datos tiene y por qué. Las empresas deben revisar sus políticas y tecnología de protección de datos para verificar que cumplan con los requisitos, y no deben tener reparos en comunicarse con su organismo regulador local o con un consultor de confianza para obtener asesoramiento para asegurarse de que lo hacen bien.
Entonces, ¿qué pueden hacer los consumidores para proteger sus datos personales?
- Identificar ¿qué datos tengo en línea? ¿donde y quiénes tienen acceso?
- ¿Dónde tengo la mayor cantidad de datos y cuáles son los más sensibles?
- Análisis de brecha, ¿a dónde voy a parar?
- Reportarlo, tenemos una brecha de “este tamaño” y exponerlo.
- Control y regulación de datos
- Buscar los medios para proteger esos datos
- Desecha de forma segura la información personal
- Ser prudente sobre el uso de las conexiones wifi abiertas
- Siempre leer las políticas de privacidad
Se proactivo y protege los datos que posees, encripta y mantente siempre actualizado con las soluciones de seguridad. Las violaciones de datos ocurren todos los días, y las legislaciones acaban de aumentar las consecuencias de un manejo inadecuado de los datos.