7 pasos para cumplir con el GDPR o la Guía del Usuario del Reglamento de Protección de Datos
Hay muchos artículos sobre la GDPR, pero la mayoría de ellos sólo resume y revisa la reglamentación. Después de leer algunos de estos artículos, probablemente se quedó aún más desconcertado que antes de empezar a sumergirse en la GDPR. Entonces, ¿qué dice la GDPR y qué hay que hacer?
Sólo una rápida recapitulación:
El Reglamento General de Protección de Datos de la UE (GDPR) sustituye a la Directiva de Protección de Datos 95/46/CE y fue diseñado para armonizar las leyes de privacidad de datos en toda Europa, para proteger y potenciar la privacidad de los datos de todos los ciudadanos de la UE y para remodelar la forma en que las organizaciones de toda la región abordan la privacidad de los datos.
Objetivos de GDPR:
- Establecer el derecho fundamental a la privacidad de los datos
- Aclarar las responsabilidades de las partes
- Definir la línea de base para la protección de datos
- Elaborar los principios de protección de datos
- Aumentar los poderes de aplicación
Después de encontrar algunas definiciones y dar sentido a lo que es la GDPR, vamos a pasar a un manual paso a paso sobre cómo establecer el cumplimiento de la GDPR por parte de su empresa o «Lista de lo que hay que hacer».
Dividamos este manual de la GDPR en 3 partes, Evaluación, Valoración y Auditoría. Estas 3 partes se dividen a su vez en 7 pasos que pueden ayudarle a dar sentido a esa normativa.
Nota: Esta es una Planificación de Alto Nivel para dar una idea general del alcance del trabajo. Se deben establecer más investigaciones y procesos. Los pasos separados pueden variar dependiendo de la naturaleza de su negocio. Asegúrese de consultarr con su abogado de negocios y el responsable de seguridad interna sobre el plan de acción preciso.
EVALUACIÓN
1. Alcance extraterritorial
En primer lugar, hay una gran posibilidad de que su compañía caiga bajo las regulaciones de la GDPR. Si su empresa tiene una oficina en la UE, hace negocios con ciudadanos de la UE o almacena cualquier IIP (Información de Identificación Personal) de un ciudadano de la UE, necesita adaptar su empresa a la GDPR para evitar altas penalizaciones para su negocio. Si este es el caso, por favor, lea a continuación.
2. Auditoría de datos
3. Evaluación del riesgo
4. Derechos del sujeto de los datos
El titular de los datos o la persona cuya información personal se almacena en su organización tiene derecho a solicitar, eliminar y restringir a su organización la recopilación de más información sobre él o ella. Usted debe establecer nuevos procesos con respecto a estos derechos.
No lo olvide: ¿Almacena usted datos sobre ciudadanos de la UE menores de 16 años? Por ejemplo, los nombres y la edad de los hijos de sus empleados? En ese caso, también hay que abordarlo de otra manera.
VALORACIÓN
5. Seguridad de los datos
Artículo 25 GDPR: «… El responsable del tratamiento deberá, tanto en el momento de la determinación de los medios para el tratamiento como en el momento del propio tratamiento, aplicar medidas técnicas y organizativas adecuadas, como la seudonimización, destinadas a aplicar de forma eficaz los principios de protección de datos, como la minimización de datos, y a integrar en el tratamiento las garantías necesarias para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados».
El punto principal de GDPR es la seguridad de los datos para proteger la información personal almacenada en la empresa. Basándose en la auditoría de datos y la evaluación de riesgos, es hora de definir qué medidas de seguridad de datos son vitales para su organización a fin de evitar grandes fugas de datos y el uso no autorizado.
Oracle Advanced Security aborda esos desafíos mediante controles preventivos que son transparentes para la mayoría de las aplicaciones y con un impacto mínimo en el rendimiento y las operaciones informáticas en curso. Oracle proporciona un conjunto de controles preventivos de fácil aplicación que ayuda a las organizaciones a implementar las técnicas preventivas clave exigidas por GDPR, entre las que se incluyen el cifrado, la seudonimización, la anonimización, el control de usuarios privilegiados, el control de acceso detallado y la ocultación de datos.
Tradicionalmente ha sido difícil restringir a los usuarios privilegiados (por ejemplo, los DBA) el acceso a los datos personales. Esas restricciones pueden afectar a las operaciones cotidianas, como la aplicación de parches y el mantenimiento. Oracle Database Vault incorpora el control de acceso de usuarios privilegiados en la base de datos Oracle para limitar el acceso de los usuarios privilegiados a los Datos Personales, al tiempo que permite a las ABD realizar sus actividades operativas habituales, como la aplicación de parches, la importación, la exportación y la copia de seguridad, sin acceder a los Datos Personales.
AUDITORÍA
Artículo 30 GDPR: «Cada controlador y, en su caso, su representante, llevará un registro de las actividades de procesamiento bajo su responsabilidad. “.
6. Oficial de Protección de Datos (DPO)
7. Violación de datos
Como buen método de prevención, podría establecer las alertas y los registros con Oracle Database Vault para almacenar y supervisar de forma centralizada todos los registros y actividades.
¿Abrumado con toda la información? ¿Hablamos? Contáctenos