7 pasos para cumplir con el GDPR o la Guía del Usuario del Reglamento de Protección de Datos

Hay muchos artículos sobre la GDPR, pero la mayoría de ellos sólo resume y revisa la reglamentación. Después de leer algunos de estos artículos, probablemente se quedó aún más desconcertado que antes de empezar a sumergirse en la GDPR. Entonces, ¿qué dice la GDPR y qué hay que hacer?

Sólo una rápida recapitulación:

El Reglamento General de Protección de Datos de la UE (GDPR) sustituye a la Directiva de Protección de Datos 95/46/CE y fue diseñado para armonizar las leyes de privacidad de datos en toda Europa, para proteger y potenciar la privacidad de los datos de todos los ciudadanos de la UE y para remodelar la forma en que las organizaciones de toda la región abordan la privacidad de los datos.

Fecha de aplicación: 25 de mayo de 2018

Objetivos de GDPR:

  • Establecer el derecho fundamental a la privacidad de los datos
  • Aclarar las responsabilidades de las partes
  • Definir la línea de base para la protección de datos
  • Elaborar los principios de protección de datos
  • Aumentar los poderes de aplicación
 
No vamos a describir lo que es el GDPR, pues ya hay muchos artículos sobre este tema. Por ejemplo, vea una infografía explicativa diseñada por la oficina oficial del Reglamento General de Protección de Datos.
 

Después de encontrar algunas definiciones y dar sentido a lo que es la GDPR, vamos a pasar a un manual paso a paso sobre cómo establecer el cumplimiento de la GDPR por parte de su empresa o «Lista de lo que hay que hacer».

Dividamos este manual de la GDPR en 3 partes, Evaluación, Valoración y Auditoría.  Estas 3 partes se dividen a su vez en 7 pasos que pueden ayudarle a dar sentido a esa normativa.

 

Nota: Esta es una Planificación de Alto Nivel para dar una idea general del alcance del trabajo. Se deben establecer más investigaciones y procesos. Los pasos separados pueden variar dependiendo de la naturaleza de su negocio. Asegúrese de consultarr con su abogado de negocios y el responsable de seguridad interna sobre el plan de acción preciso.

 

EVALUACIÓN

1.    Alcance extraterritorial

En primer lugar, hay una gran posibilidad de que su compañía caiga bajo las regulaciones de la GDPR. Si su empresa tiene una oficina en la UE, hace negocios con ciudadanos de la UE o almacena cualquier IIP (Información de Identificación Personal) de un ciudadano de la UE, necesita adaptar su empresa a la GDPR para evitar altas penalizaciones para su negocio. Si este es el caso, por favor, lea a continuación.

 

2.    Auditoría de datos

Artículo 35 del PBIR: Evaluación del impacto de la protección de datos: «… el responsable del tratamiento llevará a cabo, antes del mismo, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales. Una sola evaluación podrá referirse a un conjunto de operaciones de tratamiento similares que presenten riesgos elevados similares».
El reglamento de la GDPR obliga a las empresas a hacer una auditoría resumida de los sistemas, bases de datos y almacenamiento de datos actuales, el nivel de acceso de los usuarios y el propósito del almacenamiento de datos. Una vez que haya esbozado todo el entorno, las bases de datos y la ubicación de la IIP en sus bases de datos internas, justificando el propósito de cada almacenamiento de IIP y enumerado los usuarios que tienen acceso a esa IIP, puede proceder al siguiente paso.
 

3.    Evaluación del riesgo

Sobre la base de su auditoría de datos, es importante elaborar un documento de evaluación de riesgos en el que se identifiquen todos los puntos débiles de su sistema actual en los que puede producirse la filtración de datos. Basándose en la auditoría de evaluación de riesgos, es necesario identificar los puntos de mejora. ¿Qué se puede hacer mejor? ¿Dónde cree usted que carece de seguridad jurídica o digital? ¿Quién tiene acceso al IIP y por qué? Restringir a los empleados que no necesitan tener acceso allí y restablecer los procesos en la organización con respecto a la evaluación de riesgos y la IIP.
 

4.    Derechos del sujeto de los datos

El titular de los datos o la persona cuya información personal se almacena en su organización tiene derecho a solicitar, eliminar y restringir a su organización la recopilación de más información sobre él o ella. Usted debe establecer nuevos procesos con respecto a estos derechos.
No lo olvide: ¿Almacena usted datos sobre ciudadanos de la UE menores de 16 años? Por ejemplo, los nombres y la edad de los hijos de sus empleados? En ese caso, también hay que abordarlo de otra manera.

VALORACIÓN

5. Seguridad de los datos

Artículo 25 GDPR: «… El responsable del tratamiento deberá, tanto en el momento de la determinación de los medios para el tratamiento como en el momento del propio tratamiento, aplicar medidas técnicas y organizativas adecuadas, como la seudonimización, destinadas a aplicar de forma eficaz los principios de protección de datos, como la minimización de datos, y a integrar en el tratamiento las garantías necesarias para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados».

El punto principal de GDPR es la seguridad de los datos para proteger la información personal almacenada en la empresa. Basándose en la auditoría de datos y la evaluación de riesgos, es hora de definir qué medidas de seguridad de datos son vitales para su organización a fin de evitar grandes fugas de datos y el uso no autorizado.

Oracle Advanced Security aborda esos desafíos mediante controles preventivos que son transparentes para la mayoría de las aplicaciones y con un impacto mínimo en el rendimiento y las operaciones informáticas en curso. Oracle proporciona un conjunto de controles preventivos de fácil aplicación que ayuda a las organizaciones a implementar las técnicas preventivas clave exigidas por GDPR, entre las que se incluyen el cifrado, la seudonimización, la anonimización, el control de usuarios privilegiados, el control de acceso detallado y la ocultación de datos.

 
Oracle Database Vault
Tradicionalmente ha sido difícil restringir a los usuarios privilegiados (por ejemplo, los DBA) el acceso a los datos personales. Esas restricciones pueden afectar a las operaciones cotidianas, como la aplicación de parches y el mantenimiento. Oracle Database Vault incorpora el control de acceso de usuarios privilegiados en la base de datos Oracle para limitar el acceso de los usuarios privilegiados a los Datos Personales, al tiempo que permite a las ABD realizar sus actividades operativas habituales, como la aplicación de parches, la importación, la exportación y la copia de seguridad, sin acceder a los Datos Personales.
La Bóveda de la base de datos Oracle se utiliza para definir el ámbito de los Datos Personales que debe protegerse no sólo de los usuarios privilegiados, sino también mediante el uso de comandos de la base de datos. Controla los mecanismos y factores que pueden utilizar los controladores, procesadores y terceros (usuarios autorizados) para acceder a los Datos Personales.

AUDITORÍA

Artículo 30 GDPR: «Cada controlador y, en su caso, su representante, llevará un registro de las actividades de procesamiento bajo su responsabilidad. “.

6.    Oficial de Protección de Datos (DPO)

Algunas organizaciones se verán obligadas a asignar un papel de RPD a uno de los empleados. En caso de que usted sea una entidad pública, procese información sensible (salud, antecedentes penales, etc.) o su organización se beneficie del procesamiento de datos, entonces debe pensar en quién es el mejor candidato a RPD, ya que está sujeto al artículo 37 de la RPI.
 

7.    Violación de datos

Artículo 33  «En caso de violación de los datos personales, el responsable del tratamiento deberá, sin demora injustificada y, cuando sea factible, en un plazo máximo de 72 horas a partir del momento en que tenga conocimiento de ello, notificar la violación de los datos personales a la autoridad de control …».
 
Establezca procesados con respecto al artículo 33, asegúrese de que conoce la información de contacto de su autoridad de GDPR en el país de la sede de su empresa.
 
Oracle Database Audit
Proporciona una plataforma de auditoría y protección centrada en los datos (DCAP) de próxima generación que ofrece una supervisión completa y flexible mediante la consolidación de los datos de auditoría de las bases de datos de Oracle y de otras fuentes, los sistemas operativos, los sistemas de archivos y los datos de auditoría específicos de las aplicaciones.

Como buen método de prevención, podría establecer las alertas y los registros con Oracle Database Vault para almacenar y supervisar de forma centralizada todos los registros y actividades.

 

¿Abrumado con toda la información? ¿Hablamos? Contáctenos

¿Tiene alguna duda? Nos pondremos en contacto con usted:

Consentimiento

13 + 10 =