SECURITY3 mayo, 201711 min de lectura

¿Qué es el GDPR y cómo te ayudan Softeng y Microsoft a cumplirlo?

¿Está tu empresa preparada para en nuevo reglamento general de protección de datos (GDPR)?

El próximo 25 de mayo del 2018, la legislación de datos se actualiza significativamente por primera vez en 20 años, y para la mayoría de empresas significa realizar cambios sustanciales en la forma en que se recogen y almacenan los datos.

El nuevo reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD), es de aplicación obligatoria para todos los países miembros de la Unión Europea y pretende garantizar que los datos personales estén protegidos con independencia de dónde se envíen, traten o almacenen. Esta ley actualiza la legislación europea de privacidad, para que esté más en consonancia con las tecnologías actuales, y aumenta la uniformidad de los reglamentos de privacidad en los distintos estados miembros de la UE.

Los aspectos más relevantes del nuevo reglamento

El GDPR es una normativa compleja que puede requerir grandes cambios en la forma de recoger y tratar los datos personales, esto no solo se refiere a cómo identificar y proteger los datos personales contenidos en tus sistemas, sino también la forma de satisfacer los nuevos requisitos de transparencia, detectar y notificar los incidentes de seguridad con los datos personales.

Desde Softeng hemos elaborado este artículo que te ayudará a entender el nuevo reglamento, cuantificar los requisitos y ofrecerte soluciones:

Definición estricta de los datos personales

Con la entrada del GDPR se ha remarcado de forma clara los tipos de datos que se consideran datos personales, puesto que en anteriores regulaciones cabían interpretaciones. Se consideran datos personales toda aquella información que permita identificar directa o indirectamente a un individuo, sea tanto en su rol privado, público como profesional.

Los datos privados pueden incluir:

  • Nombre
  • Dirección de correo electrónico
  • Publicaciones en redes sociales
  • Información física, fisiológica o genética
  • Información médica
  • Datos fiscales o bancarios
  • Cookies
  • Identidad cultural o religiosa

El nuevo marco territorial

Con la aplicación del Reglamento, cualquier entidad (empresa, organización, etc.) con sede en la UE debe cumplir con el Reglamento europeo, aunque procese los datos personales en otra parte del mundo. Así como cualquier entidad del mundo debe cumplir con el Reglamento europeo si procesa datos personales de ciudadanos de la UE.

Penalizaciones más estrictas

Las multas para las entidades que incumplan el Reglamento europeo pueden llegar hasta un 4% de la facturación anual o 20 millones de euros (el máximo de ambos), dependiendo de la gravedad del caso.

Mejoras en los contratos de consentimiento 

Hasta el momento, cuando un usuario daba el consentimiento legal de la cesión de sus datos personales a las entidades encargadas de almacenarlos y procesarlos, en algunos casos el texto es incomprensible o demasiado técnico para aquellas personas que no sean expertas en terminología legal. Con el nuevo reglamento los textos de consentimiento legal para la cesión de datos personales deberán ser inteligibles, claros y concisos respecto a los motivos por los cuales se solicitan los datos personales y sobre qué uso se les dará. Además, el consentimiento no será viable para menores de 16 años si no lo da alguno de sus tutores legales.

Notificación de brechas de seguridad

Cualquier entidad que tenga almacenados o se dedique a procesar datos personales, en el caso de ser víctima de un ciberataque debe comunicarlo a las autoridades competentes y a todos los usuarios afectados en menos de 72 horas. No se permitirá ningún tipo de demora en la comunicación de este tipo de incidentes.

Derecho al acceso de los datos personales propios

Cualquier ciudadano de la UE puede solicitar una copia en formato digital de los datos personales que una entidad tenga de uno mismo, así como recibir una justificación de para qué y como se usan sus datos.

Derecho al olvido 

Cualquier ciudadano de la UE puede solicitar el borrado completo de sus datos a cualquier entidad, incluyendo el cese del procesamiento de estos, así como notificar a terceras partes con las que hayan compartido esta información; siempre y cuando esta solicitud no vulnere el derecho de la entidad a publicar dicha información en interés y beneficio del público en general.

Portabilidad de los datos personales

En cualquier momento un ciudadano de la UE puede solicitar que sus datos personales sean extraídos en formato digital para poder trasladarlos de una entidad a otra, sin que ésta pueda impedirlo ni almacenar copias de dicha información sin el consentimiento del sujeto.

Incorporación de un Data Protection Officer (DPO)

Con la aparición del Reglamento europeo surge el requisito para algunas entidades de incorporar un nuevo perfil profesional que se encargue de velar por la protección de los datos personales de sus trabajadores, clientes y proveedores, llamado Data Protection Officer. La presencia de este perfil es de carácter obligatorio dentro de una entidad cuando ésta realice procesados intensivos de datos personales, o se encargue de procesar datos de extrema sensibilidad, como datos médicos, financieros, etc.

En Softeng te ayudamos a cumplir el GDPR con las soluciones en la nube de Microsoft 

Microsoft considera que el GDPR representa un avance significativo en los derechos fundamentales de privacidad y que sus objetivos son consistentes con el compromiso que tiene la compañía desde hace tiempo con la seguridad, la privacidad y la transparencia.

Softeng te ayuda a enfocarte en tu negocio principal a la vez que te preparas para el GDPR. Nuestro objetivo es facilitar el cumplimiento de la nueva normativa mediante el uso de tecnología inteligente, innovación y colaboración y para ello, te ayudamos a implantar y activar los productos en la nube de Microsoft.

¿Cómo te ayudan Office 365, Enterprise Mobility + Security y Azure?

Microsoft ofrece el conjunto más completo de capacidades de cumplimiento del mercado, mucho más amplio que el de cualquier otro proveedor de servicios en la nube. En la actualidad ya existen productos y servicios en la nube de Microsoft que te ayudarán a:

  • Ubicar y categorizar los datos personales existentes en tus sistemas.
  • Crear un entorno más seguro.
  • Simplificar la administración y supervisión de los datos personales a través de herramientas y recursos necesarios para cumplir con los requisitos de presentación de informes y evaluación del GDPR.

Microsoft Office 365 y el GDPR

Existen diversas soluciones de Office 365 que pueden ayudarte a identificar o administrar el acceso a los datos personales:

  • ¿Está tu empresa preparada para en nuevo reglamento general de protección de datos (GDPR)?Prevención de pérdida de datos (DLP) de Office 365: Puedes identificar más de 80 tipos de datos confidenciales comunes, incluida información financiera, médica y de identificación personal. Además, DLP te permite configurar las medidas que se adoptarán tras la identificación para proteger la información confidencial e impedir su divulgación accidental.
  • Búsquedas de eDiscovery de Office 365: para encontrar texto y metadatos en el contenido de tus recursos de: SharePoint Online, OneDrive for Business, Skype Empresarial Online y Exchange Online. Además, eDiscovery avanzado de Office 365 emplea tecnologías de machine learning y puede ayudarte a identificar documentos pertinentes para un tema concreto (por ejemplo, una investigación de cumplimiento normativo) rápidamente y con mayor precisión.
  • Customer Lockbox: Office 365 puede ayudarte a satisfacer las obligaciones de cumplimiento normativo relativas a la autorización expresa de acceso a los datos durante las operaciones de servicio.

Entre las características actuales de Office 365 que protegen los datos e identifican cuándo se produce un incidente de seguridad de los datos destacamos:

  • Advanced Threat Protection de Exchange Online Protection: Protege el correo electrónico contra nuevos ataques sofisticados de malware en tiempo real. También permite crear directrices que impiden el acceso de los usuarios a datos adjuntos o sitios web malintencionados cuyo vínculo se envía por correo electrónico. Asimismo, la Inteligencia contra amenazas te ayuda a detectar y protegerte de manera proactiva frente amenazas avanzadas.
  • Administración de seguridad avanzada: Te permite identificar usos anormales y de alto riesgo, que te alertarán de posibles incidentes de seguridad. También permite configurar directivas de actividad para hacer un seguimiento y responder a las actividades de alto riesgo.
  • Registros de auditoría de Office 365: Puede supervisar y hacer seguimiento de las actividades de los administradores y usuarios en todas las cargas de trabajo de Office 365, lo que facilita la detección e investigación temprana de problemas de seguridad y cumplimiento normativo.

Microsoft Enterprise Mobility + Security y el GDPR¿Está tu empresa preparada para en nuevo reglamento general de protección de datos (GDPR)?

Enterprise Mobility + Security ofrece tecnologías de seguridad basadas en identidades que te ayudan a detectar, controlar y proteger los datos personales de los que dispone tu organización, desvelar posibles puntos ciegos y detectar cuándo se producen incidentes de seguridad de los datos:

  • Azure Active Directory (Azure AD): Te ayuda a garantizar que únicamente los usuarios autorizados pueden tener acceso a tus entornos informáticos, datos y aplicaciones.
  • Intune: Te ayuda a proteger los datos que pueden estar almacenados en ordenadores y dispositivos móviles. Puedes controlar el acceso, cifrar dispositivos, eliminar datos de dispositivos móviles de forma selectiva, y controlar qué aplicaciones almacenan y comparten datos personales.
  • Azure Information Protection: Garantiza que los datos son identificables y están protegidos, un requisito fundamental del GDPR, independientemente de dónde se almacenen o de cómo se compartan. Puedes clasificar, etiquetar y proteger datos nuevos o ya existentes, compartirlos de forma segura con personas de tu organización o ajenas a ella, realizar un seguimiento de su uso e incluso revocar el acceso de forma remota. Asimismo, incluye funciones de registro y generación de informes para supervisar la distribución de los datos.
  • Advanced Threat Analytics: Contribuye a localizar incidentes de seguridad e identifica a los atacantes mediante tecnologías innovadoras de análisis del comportamiento y detección de anomalías.

Microsoft Azure y el GDPR

Un requisito fundamental de la nueva normativa es identificar los datos que tienes y para ello, Azure te permite administrar las identidades y credenciales de los usuarios, así como controlar el acceso a los datos a través de varias herramientas o servicios:

  • Azure Security Center: Supervisa continuamente los recursos, ofrece recomendaciones de seguridad útiles, y te ayuda a impedir amenazas, detectarlas y responder a ellas. Las funciones avanzadas de análisis integradas te ayudan a identificar ataques que de otro modo podrían no detectarse.
  • Cifrado de datos en Azure Storage: Protege tanto los datos en reposo como los datos en tránsito, cifrándolos automáticamente. También puedes usar Azure Disk Encryption para cifrar los discos de datos y sistemas operativos usados por máquinas virtuales.
  • Azure Key Vault: Te permite proteger las claves criptográficas, los certificados y las contraseñas que contribuyen a la protección de los datos.
  • Log Analytics: Te ayuda a recoger y analizar los datos generados por los recursos en tus entornos locales o en la nube. Proporciona información en tiempo real mediante paneles de búsqueda y personalizados integrados para que puedas analizar inmediatamente millones de registros en todas las cargas de trabajo y los servidores con independencia de su ubicación física.

En líneas generales, Microsoft lidera la industria en el compromiso con los clientes, los organismos reguladores y las juntas de normativas y estándares para avanzar en el cumplimiento de las normativas más estrictas de privacidad y seguridad. No obstante, la compañía está trabajando en nuevas características y funcionalidades adicionales en conformidad con el GDPR antes de mayo de 2018.

Nuestra recomendación es que no esperes hasta la entrada en vigor del Reglamento para prepararte. Debes empezar a revisar tus prácticas de privacidad y administración de datos puesto que el incumplimiento del GDPR puede salir muy caro. Para ello, Softeng te ofrece su experiencia y calidad para ayudarte a trazar y consensuar la estrategia más adecuada para que tu empresa cumpla con el GDPR ayudándote demás a implementar y sacar partido a todas las herramientas de seguridad que te hemos explicado en este post.

¿Quieres saber más? Contacta con nosotros.

Artículos relacionados

POST

La IA generativa nos trae la próxima ola de la Hiperautomatización

Descubre más

POST

Crear recursos en Azure es muy fácil, pero… ¿Lo haces bien?

Descubre más

POST

Spain Central: Los 3 principales beneficios de migrar tus recursos cloud a España

Descubre más

POST

Spain Central: Por dónde empezar la migración de tu infraestructura al centro de datos de Microsoft en España

Descubre más