3/5/2017 publicat per: Softeng

¿Está tu empresa preparada para en nuevo reglamento general de protección de datos (GDPR)?

El proper 25 de maig del 2018, la legislació de dades s'actualitza significativament per primera vegada en 20 anys, i per a la majoria d'empreses significa realitzar canvis substancials en la forma en què es recullen i emmagatzemen les dades.

El nou reglament General de Protecció de Dades (GDPR, per les sigles en anglès) que substituirà l'actual Llei Orgànica de Protecció de Dades (LOPD), és d'aplicació obligatòria per a tots els països membres de la Unió Europea i pretén garantir que els dades personals estiguin protegits amb independència d'on s'enviïn, tracten o emmagatzemen. Aquesta llei actualitza la legislació europea de privacitat, perquè estigui més d'acord amb les tecnologies actuals, i augmenta la uniformitat dels reglaments de privacitat en els diferents estats membres de la UE.

Els aspectes més rellevants del nou reglament

El GDPR és una normativa complexa que pot requerir grans canvis en la forma de recollir i tractar les dades personals, això no només es refereix a com identificar i protegir les dades personals contingudes en els teus sistemes, sinó també la forma de satisfer els nous requisits de transparència, detectar i notificar els incidents de seguretat amb les dades personals.

Des Softeng hem elaborat aquest article que t'ajudarà a entendre el nou reglament, quantificar els requisits i oferir solucions:

Definició estricta de les dades personals

Amb l'entrada del GDPR s'ha remarcat de forma clara els tipus de dades que es consideren dades personals, ja que en anteriors regulacions cabien interpretacions. Es consideren dades personals tota aquella informació que permeti identificar directament o indirectament a un individu, sigui tant en el seu rol privat, públic com a professional.

Les dades privats poden incloure:

  • nom
  • Adreça de correu electrònic
  • Publicacions en xarxes socials
  • Informació física, fisiològica o genètica
  • informació mèdica
  • Dades fiscals o bancàries
  • galetes
  • Identitat cultural o religiosa

El nou marc territorial

Amb l'aplicació del Reglament, qualsevol entitat (empresa, organització, etc.) amb seu a la UE ha de complir amb el Reglament europeu, tot i que processi les dades personals en una altra part del món. Així com qualsevol entitat del món ha de complir amb el Reglament europeu si processa dades personals de ciutadans de la UE.

Penalitzacions més estrictes

Les multes per a les entitats que incompleixin el Reglament europeu poden arribar fins a un 4% de la facturació anual o 20 milions d'euros (el màxim de tots dos), depenent de la gravetat del cas.

Millores en els contractes de consentiment

Fins al moment, quan un usuari donava el consentiment legal de la cessió de les seves dades personals a les entitats encarregades d'emmagatzemar-los i processar-los, en alguns casos el text és incomprensible o massa tècnic per a aquelles persones que no siguin expertes en terminologia legal. Amb el nou reglament els textos de consentiment legal per a la cessió de dades personals han de ser intel·ligibles, clars i concisos respecte als motius pels quals es sol·liciten les dades personals i sobre quin ús se'ls donarà. A més, el consentiment no serà viable per a menors de 16 anys si no el dóna algun dels seus tutors legals.

Notificació de bretxes de seguretat

Qualsevol entitat que tingui emmagatzemats o es dediqui a processar dades personals, en el cas de ser víctima d'un ciberatac ha de comunicar a les autoritats competents i a tots els usuaris afectats en menys de 72 hores. No es permetrà cap tipus de demora en la comunicació d'aquest tipus d'incidents.

Dret a l'accés de les dades personals pròpies

Qualsevol ciutadà de la UE pot sol·licitar una còpia en format digital de les dades personals que una entitat tingui d'un mateix, així com rebre una justificació de per què i com es fan servir les seves dades.

Dret a l'oblit

Qualsevol ciutadà de la UE pot sol·licitar l'esborrat complet de les seves dades a qualsevol entitat, incloent el cessament del processament d'aquests, així com notificar a terceres parts amb les que hagin compartit aquesta informació; sempre que aquesta sol·licitud no vulneri el dret de l'entitat a publicar aquesta informació en interès i benefici del públic en general.

Portabilitat de les dades personals

En qualsevol moment un ciutadà de la UE pot sol·licitar que les seves dades personals siguin extretes en format digital per poder traslladar-los d'una entitat a una altra, sense que aquesta pugui impedir ni emmagatzemar còpies d'aquesta informació sense el consentiment del subjecte.

Incorporació d'un Data Protection Officer (DPO)

Amb l'aparició del Reglament europeu sorgeix el requisit per a algunes entitats d'incorporar un nou perfil professional que s'encarregui de vetllar per la protecció de les dades personals dels seus treballadors, clients i proveïdors, anomenat Data Protection Officer. La presència d'aquest perfil és de caràcter obligatori dins d'una entitat quan aquesta realitzi processats intensius de dades personals, o s'encarregui de processar dades d'extrema sensibilitat, com dades mèdiques, financers, etc.

 

En Softeng t'ajudem a complir el GDPR amb les solucions en el núvol de Microsoft

Microsoft considera que l'GDPR representa un avenç significatiu en els drets fonamentals de privacitat i que els seus objectius són consistents amb el compromís que té la companyia des de fa temps amb la seguretat, la privacitat i la transparència.

Softeng t'ajuda a enfocar-te en el teu negoci principal al mateix temps que et prepares per al GDPR. El nostre objectiu és facilitar el compliment de la nova normativa mitjançant l'ús de tecnologia intel·ligent, innovació i col·laboració i per a això, t'ajudem a implantar i activar els productes en el núvol de Microsoft.

Com t'ajuden Office 365, Enterprise Mobility + Security i Azure?

Microsoft ofereix el conjunt més complet de capacitats de compliment del mercat, molt més ampli que el de qualsevol altre proveïdor de serveis en el núvol. En l'actualitat ja existeixen productes i serveis en el núvol de Microsoft que t'ajudaran a:

  • Ubicar i categoritzar les dades personals existents en els teus sistemes.
  • Crear un entorn més segur.
  • Simplificar l'administració i supervisió de les dades personals a través d'eines i recursos necessaris per complir amb els requisits de presentació d'informes i avaluació del GDPR.

Microsoft Office 365 i el GDPR
Existeixen diverses solucions de l'Office 365 que poden ajudar-te a identificar o administrar l'accés als ¿Está tu empresa preparada para en nuevo reglamento general de protección de datos (GDPR)? dades personals:

  • Prevenció de pèrdua de dades (DLP) de l'Office 365: Pots identificar més de 80 tipus de dades confidencials comuns, inclosa informació financera, mèdica i d'identificació personal. A més, DLP et permet configurar les mesures que s'adoptaran després de la identificació per protegir la informació confidencial i impedir la seva divulgació accidental.
  • Recerques de eDiscovery de l'Office 365: per trobar text i metadades en el contingut dels teus recursos de: SharePoint Online, onedrive for Business, Skype Empresarial Online i Exchange Online. A més, eDiscovery avançat de l'Office 365 empra tecnologies de machine learning i pot ajudar-te a identificar documents pertinents per a un tema concret (per exemple, una investigació de compliment normatiu) ràpidament i amb més precisió.
  • Customer Lockbox: Office 365 pot ajudar-te a satisfer les obligacions de compliment normatiu relatives a l'autorització expressa d'accés a les dades durant les operacions de servei.

Entre les característiques actuals de l'Office 365 que protegeixen les dades i identifiquen quan es produeix un incident de seguretat de les dades destaquem:

  • Advanced Threat Protection de l'Exchange Online Protection: Protegeix el correu electrònic contra nous atacs sofisticats de malware en temps real. També permet crear directrius que impedeixen l'accés dels usuaris a dades adjunts o llocs web malintencionats el vincle s'envia per correu electrònic. Així mateix, la Intel·ligència contra amenaces t'ajuda a detectar i protegir-te de manera proactiva davant amenaces avançades.
  • Administració de seguretat avançada: Et permet identificar usos anormals i d'alt risc, que et alertaran de possibles incidents de seguretat. També permet configurar directives d'activitat per fer un seguiment i respondre a les activitats d'alt risc.
  • Registres d'auditoria de l'Office 365: Pot supervisar i fer seguiment de les activitats dels administradors i usuaris en totes les càrregues de treball de l'Office 365, la qual cosa facilita la detecció i investigació primerenca de problemes de seguretat i compliment normatiu.

Microsoft Enterprise Mobility + Security i el GDPR ¿Está tu empresa preparada para en nuevo reglamento general de protección de datos (GDPR)?

Enterprise Mobility + Security ofereix tecnologies de seguretat basades en identitats que t'ajuden a detectar, controlar i protegir les dades personals de què disposa la teva organització, desvetllar possibles punts cecs i detectar quan es produeixen incidents de seguretat de les dades:

  • Azure Active Directory (Azure AD): T'ajuda a garantir que únicament els usuaris autoritzats poden tenir accés als teus entorns informàtics, dades i aplicacions.
  • Intune: T'ajuda a protegir les dades que poden estar emmagatzemats en ordinadors i dispositius mòbils. Pots controlar l'accés, xifrar dispositius, eliminar dades de dispositius mòbils de forma selectiva, i controlar quines aplicacions s'emmagatzemen i comparteixen dades personals.
  • Azure Information Protection: Garanteix que les dades són identificables i estan protegits, un requisit fonamental del GDPR, independentment d'on s'emmagatzemin o de com es comparteixin. Pots classificar, etiquetar i protegir dades noves o ja existents, compartir-los de manera segura amb persones de la teva organització o alienes a ella, fer un seguiment del seu ús i fins i tot revocar l'accés de forma remota. Així mateix, inclou funcions de registre i generació d'informes per supervisar la distribució de les dades.
  • Advanced Threat Analytics: Contribueix a localitzar incidents de seguretat i identifica als atacants mitjançant tecnologies innovadores d'anàlisi del comportament i detecció d'anomalies.

Microsoft Azure i el GDPR
Un requisit fonamental de la nova normativa és identificar les dades que tens i per a això, Azure et permet administrar les identitats i credencials dels usuaris, així com controlar l'accés a les dades a través de diverses eines o serveis:

  • Azure Security Center: Supervisa contínuament els recursos, ofereix recomanacions de seguretat útils, i t'ajuda a impedir amenaces, detectar-les i respondre-hi. Les funcions avançades d'anàlisi integrades t'ajuden a identificar atacs que d'una altra manera podrien no detectar-se.
  • Xifrat de dades en Azure Storage: Protegeix tant les dades en repòs com les dades en trànsit, xifrant automàticament. També pots fer servir Azure Disk Encryption per xifrar els discos de dades i sistemes operatius usats per màquines virtuals.
  • Azure Key Vault: Et permet protegir les claus criptogràfiques, els certificats i les contrasenyes que contribueixen a la protecció de les dades.
  • Log Analytics: T'ajuda a recollir i analitzar les dades generades pels recursos en els teus entorns locals o en el núvol. Proporciona informació en temps real mitjançant panells de recerca i personalitzats integrats perquè puguis analitzar immediatament milions de registres en totes les càrregues de treball i els servidors amb independència de la seva ubicació física.

En línies generals, Microsoft lidera la indústria en el compromís amb els clients, els organismes reguladors i les juntes de normatives i estàndards per avançar en el compliment de les normatives més estrictes de privacitat i seguretat. No obstant això, la companyia està treballant en noves característiques i funcionalitats addicionals en conformitat amb el GDPR abans de maig de 2018.

La nostra recomanació és que no esperis fins a l'entrada en vigor del Reglament per a preparar-te. Has de començar a revisar les pràctiques de privacitat i administració de dades ja que l'incompliment del GDPR pot sortir molt car. Per a això, Softeng t'ofereix la seva experiència i qualitat per ajudar-te a traçar i consensuar l'estratègia més adequada perquè la teva empresa compleixi el GDPR ajudant-te altres a implementar i treure partit a totes les eines de seguretat que t'hem explicat en aquest post.

Vols saber més? Contacta amb nosaltres!

Sí, vull saber més!

 

<< tornar al bloc
FacebookTwitterLinkedInWhatsapp
Enviant...

Vols rebre els articles al teu correu?


Suscripciones al Blog Rss del Bloc