El GDPR (El Reglamento General de Protección de Datos) de la Unión Europea (UE) ha tenido éxito alineando a las empresas con el adecuado uso de la información personal de los ciudadanos. Este marco ofrece varias lecciones para América Latina.
El Reglamento General de Protección de Datos (GDPR en inglés) es una regulación de la Unión Europea (UE) que rige estrictamente las formas en que las organizaciones recopilan, gestionan y almacenan datos personales.
Tiene como objetivo dar a los ciudadanos de la UE el control sobre cómo y por qué se utilizan sus datos personales, y estandarizar las regulaciones de privacidad de datos en toda la UE.
Sin embargo, es importante tener en cuenta que si su organización maneja datos pertenecientes a interesados de la UE o del Espacio Económico Europeo (EEE), debe cumplir con el GDPR, independientemente de dónde se encuentre su empresa.
Algunos de los beneficios que el cumplimiento del GDPR traerá a su negocio son: la simplificación de procesos y aplicaciones, la posibilidad de obtener una ventaja competitiva y la re-orientación cultural de la empresa hacia la seguridad.
Pero hablando principalmente sobre nuestra área de trabajo, la pregunta puntual que muchos Ingenieros se hacen es: ¿Cómo TI puede ayudar a cumplir exitosamente el GDPR?
A continuación le presentamos algunas de las acciones que lo ayudarán a mantener a su organización en línea con las políticas de GDPR:
Respetar los principios del tratamiento de datos personales
-
Enviar notificaciones a las autoridades interesadas en caso de actividades anómalas.
-
Buscar y eliminar datos basura, incluidos archivos obsoletos, duplicados y huérfanos.
-
Analizar los navegadores activos para garantizar la protección de los datos personales.
-
Limitar el acceso a los datos al personal esencial y relevante en función de la autorización de seguridad y las necesidades específicas de la tarea.
Derecho de acceso del titular de los datos
-
Determinar la procedencia de los datos personales y la relación entre los datos y las fuentes, sistemas y usuarios correspondientes.
-
Escanear los endpoints dentro de su red para determinar la procedencia de todos los elementos confidenciales de cualquier titular de datos.
Derecho a la rectificación
-
Mantener su inventario de datos personales actualizado escaneando su sistema de archivos de Windows a intervalos regulares.
-
Escanear, descubrir y recuperar datos personales, lo que permite realizar cambios rápidos a petición de los interesados.
Derecho a borrar (“derecho a ser olvidado”)
-
Localizar los archivos que contienen la información del titular de los datos para procesos posteriores.
-
Recuperar la información sobre los titulares de los datos rápidamente para facilitar la eliminación de datos de forma oportuna.
Responsabilidad del controlador
-
Comprobar periódicamente si los activos de su organización siguen cumpliendo con las configuraciones corporativas.
-
Enviar informes por correo electrónico o exportarlos cuando sea necesario para evaluaciones e investigaciones de seguridad.
Protección de datos por diseño y por defecto
-
Mantener los datos personales y corporativos separados en los dispositivos móviles.
-
Eliminar los datos personales de los usuarios de sus servidores y revocar el acceso a esos datos.
-
Garantizar que solo los usuarios autorizados puedan acceder de forma remota a los datos confidenciales durante un período de tiempo específico.
Registros de las actividades de procesamiento
-
Descubrir los permisos del usuario sobre archivos que contienen datos personales confidenciales y auditar la actividad del usuario.
-
Obtener una pista de auditoría completa de todas las actividades relacionadas con los datos personales.
-
Mantener un registro de todas las actividades de procesamiento según lo establecido por el GDPR
Seguridad del procesamiento
-
Proteger los datos en tránsito y monitorear y gestionar fácilmente su infraestructura de clave pública.
-
Encriptar los datos personales almacenados en dispositivos móviles.
Notificación de una violación de la seguridad de los datos personales a la autoridad de control
-
Detectar cualquier violación de la seguridad de los datos en su red al instante.
-
Grabar las sesiones y el acceso a las cuentas privilegiadas.
-
Analizar la causa raíz y el alcance de una violación de la seguridad de los datos a través de logs de actividad.
Evaluación del impacto de la protección de datos
-
Calcular la puntuación de riesgo de los archivos que contienen datos personales.
-
Identificar archivos que son vulnerables debido a problemas de higiene de permisos.
Conclusión:
La mayoría de los países de la región están atravesando procesos de reforma a fin de actualizar sus leyes de privacidad de datos, todos siguiendo (en mayor o menor medida), los lineamientos del GDPR.
Por lo tanto, tomar como referencia a este marco garantiza el cumplimiento de las leyes no solo actuales sino futuras, sin necesidad de ir adaptando los procedimientos empresariales a los cambios normativos de cada país.
En ManageEngine consideramos que el cumplimiento de GDPR es un proceso de varios pasos, pero la realidad es que las herramientas de gestión de TI pueden ser de gran ayuda a la hora de cumplir los requisitos del GDPR.
Para más información sobre cómo su organización puede cumplir con el mandato de cumplimiento del GDPR visite el siguiente sitio web: https://www.manageengine.com/latam/cumplimiento-gdpr/
