www.zonamovilidad.es
Por Firma invitada
x
infozonamovilidades/4/4/18
jueves 06 de julio de 2017, 14:27h

Escucha la noticia

El Reglamento General de Protección de Datos (GDPR, en inglés), que entró en vigor en abril de 2016 y será de obligado cumplimiento a partir del 25 de mayo de 2018, hará que toda Europa quede bajo un único régimen legal integral de seguridad y privacidad de los datos.

En contra de lo que muchos dicen, la normativa ya está vigente y se debe cumplir; otra cosa es que haya un periodo abierto para la adaptación porque con las campanadas de media noche del 24 al 25 de mayo próximo (2018), ni una semana más ni una menos, quien no se haya adaptado y tomado medidas será susceptible de verse en los tribunales. Cualquier persona puede exigir el cumplimiento del reglamento e iniciar un procedimiento que, antes que después, puede acabar en multa.

El Reglamento General de Protección de Datos (GDPR, en inglés), que entró en vigor en abril de 2016 y será de obligado cumplimiento a partir del 25 de mayo de 2018

El GDPR es aplicable a todos los denominados ‘controladores’ que operan dentro de la Unión Europea y, lo que es más importante, incluye a los que están ubicados fuera de la UE si la persona cuyos datos personales están siendo procesados dentro del perímetro de la Unión. Es decir, aunque trabaje para una multinacional americana si estoy destinado total o temporalmente en un país continental asociado (en cualquiera de los 28 estados miembros hasta que el Brexit culmine), estoy bajo el amparo y las obligaciones que determina esta Ley.



Por ‘controlador’ se entiende la organización o empresa que decide la finalidad y los medios de procesamiento de los datos personales. Por ejemplo, cuando hablamos de procesar datos personales de los empleados en lo concerniente a su trabajo, el controlador sería su empleador; en el caso de suscriptores a una publicación, el controlador sería la editorial.

Y es que hay preguntas básicas que pocas veces se ponen sobre la mesa y que se deben tener en cuenta ante la implantación de la GDPR y el lógico control sobre unos datos que pertenecen únicamente a los ‘generadores’ de los mismos, que se ceden en un momento determinado para una acción determinada y que, hasta ahora han estado viajando por la red, instalándose en la nube y a disposición de quien de veras los necesita, pero también de quien se ha inventado todo tipo de triquiñuelas para sustraer de forma gratuita el denominado petróleo del siglo XXI hasta ahora ‘sin legislación’. La cuestión es: ¿disponen sus empleados, sea cual sea el sector en el que desempeña su labor, de acceso a contactos de: empleados o compañeros, proveedores o distribuidores, clientes, etc. en sus teléfonos, tablets o portátiles? Podemos realizar una apuesta a que la respuesta es sí y, por tanto, toda compañía, sea PyMe o corporación, empresa familiar o grupo multinacional, hospital o universidad, taller o peluquería tiene un problema y debe tomar medidas.

Principios del GDPR

Aunque Europa es líder global en privacidad, las normas para procesar aquellos datos que se consideran personales, están basados en unos principios:

  • Procesamiento lícito, justo y transparente: los controladores deben tener motivos válidos para procesar los datos personales.
  • Objetivo: debe existir un motivo claro y explícito para procesarlos.
  • Minimización de los datos: los datos procesados deben limitarse a lo estrictamente necesario para el objetivo concreto. El acceso solo debe otorgarse a aquellas personas que los necesiten para dicho fin particular.
  • Precisión: los datos deben ser precisos y las imprecisiones deben poder rectificarse fácilmente.
  • Limitación de almacenamiento: los datos solamente deben retenerse durante el tiempo necesario para el objetivo concreto.
  • Integridad y confidencialidad: los datos se deben procesar de forma que se garantice la correcta seguridad de los datos personales, incluida la protección frente a un procesamiento no autorizado y perdida accidental, utilizando las medidas técnicas y organizativas adecuadas.
  • Responsabilidad: el controlador debe ser capaz de demostrar el cumplimiento de los principios anteriormente mencionados.

Al igual que con otros estándares de privacidad y seguridad de datos, el GDPR incluye el concepto de proporcionalidad, es decir, el controlador debe implementar medidas técnicas y organizativas adecuadas para garantizar y demostrar el cumplimiento. Las medidas que tome el controlador deben ser proporcionadas con respecto al procesamiento en cuestión.

Privacidad a medida y privacidad predeterminada – Artículo 25 del GDPR

La privacidad a medida no es un concepto nuevo, pero su inclusión en el GDPR demuestra que las medidas prácticas basadas en riesgos se están convirtiendo en requisitos legales. La privacidad a medida requiere que el controlador implemente las medidas técnicas y organizativas adecuadas desde la configuración inicial de las operaciones. En otras palabras, la privacidad no se puede improvisar; muy al contrario, los problemas de privacidad deben tenerse en cuenta y las medidas de seguridad basadas en los riesgos deben tomarse a lo largo del ciclo de vida del proceso, desde el diseño inicial hasta el borrado de datos.

La privacidad predeterminada significa que el controlador debe llevar a la práctica las medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, solo se obtengan y procesen la cantidad necesaria de datos personales. El usuario no tendría por qué facilitar información adicional a la estrictamente necesaria. El controlador no puede recopilar más información “por si acaso” deseara utilizarla después.

Por responsabilidad se entiende la supervisión y el cumplimiento; por tanto, los controladores deben ser capaces de demostrar que tienen instauradas medidas de seguridad adecuadas y que el cumplimiento esté supervisado. Las multas por no cumplimiento con el GDPR son considerables: las más altas ascienden a 20 millones de euros o el 4 % de los ingresos globales anuales de la empresa.

Importancia del EMM para el cumplimiento del GDPR europeo

La solución de gestión de movilidad empresarial (Enterprise Mobility Management, EMM) como la que ha desarrollado y comercializa empresas de gestión en movilidad, como por ejemplo MobileIron, es un componente imprescindible en cualquier plan desarrollado para el cumplimiento del GDPR: Permite al CIO o gestor de la plataforma móvil, establecer un límite claro entre los datos personales y profesionales que hay en el dispositivo móvil. El gestor no tiene acceso al contenido de las aplicaciones personales o cuentas de correo electrónico personales del dispositivo. Esto es fundamental para minimizar los datos, así como para el principio de integridad y confidencialidad del GDPR.

La solución de gestión de movilidad empresarial (Enterprise Mobility Management, EMM) de MobileIron, es un componente imprescindible en cualquier plan desarrollado para el cumplimiento del GDPR

Así mismo, ofrece al gestor la visibilidad sobre qué dispositivos y aplicaciones están accediendo a los servicios corporativos. En el caso de una infracción con los datos, el gestor puede demostrar con exactitud, mediante un registro de auditoria, qué medidas se tomaron hasta el momento de la infracción y qué medidas, si hubiera habido alguna, llevó a cabo el departamento informático posteriormente. Esto proporciona un registro claro de cualquier acceso no autorizado a los servicios corporativos y respalda el principio de integridad y confidencialidad del GDPR, además del de responsabilidad. Este tipo de soluciones permite al gestor de la plataforma móvil: gestionar el inventario (identificar los dispositivos y aplicaciones autorizados y no autorizados); poner aplicaciones en la lista blanca; proteger el acceso (permitir únicamente a los usuarios, dispositivos y aplicaciones autorizados que accedan a los servicios corporativos, ya sea de forma local o en la nube); proporcionar registros de auditorias y facilita al gestor de la plataforma móvil proteger el dispositivo de las amenazas contra la seguridad, algo importante para los principios de integridad y confidencialidad, además de para la responsabilidad.

De otra parte, el gestor de la plataforma móvil puede ejecutar el cumplimiento de la normativa y aplicar configuraciones y políticas de seguridad adecuadas en los dispositivos y aplicaciones; además de supervisar el cumplimiento de la seguridad de los mismos, incluidos los ataques a la integridad del sistema operativo como ‘jailbreaks’ o solicitudes no autorizadas para descifrar el dispositivo. También puede llevar a cabo medidas de rectificación si el dispositivo o una aplicación infringen alguna política o regla de uso establecida por la compañía.

Complejo o no, todo el mundo debe ponerse en marcha; tener las bases de datos en la nube no es suficiente; ni aunque ésta esté segurizada; ¿Quién no usa Drive, Dropbox, Office 365, SAP, Salesforce, etc? ¿Quién no se agota de poner claves y se descarga los contactos básicos para el trabajo cotidiano? Si usted no, enhorabuena; si usted sí, ATENCIÓN, la Ley General de Protección de Datos llama a su puerta como la policía de tráfico, la Guardia Civil de Carretera o los vigilantes del aparcamiento regul
¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios