El Reglamento General de Protección de Datos (GDPR) se introdujo el 25 de mayo de 2018. Su propósito es mejorar los derechos de datos de las personas y hacer cumplir varias obligaciones a las instituciones que gestionan y procesan datos. El cumplimiento de GDPR tiene un alcance de gran alcance que probablemente afecte a muchas empresas en todo el mundo.
El alcance de GDPR incluye todas las organizaciones de la Unión Europea (UE) que recopilan, almacenan o procesan datos personales de cualquier persona que resida dentro de la UE (sin importar su nacionalidad), así como cualquier organización fuera de la UE que ofrezca bienes y servicios a residentes europeos. u organizaciones fuera de la UE que procesan información de identificación personal.
Si se descubre que alguna organización infringe el RGPD, puede recibir una multa de hasta 20 millones de euros o el 4 % de sus ingresos anuales globales. La UE ya ha comenzado a multar a las organizaciones que incumplen el RGPD; pesos pesados como Google enfrentando multas (una multa de 44 millones de euros en el caso de Google), con Amazon, Apple, Netflix y Spotify también en riesgo de multas por protección de datos.
La Unión Europea espera que los proveedores de servicios gestionados (MSP) de todo el mundo cumplan con la legislación GDPR. Una gran mayoría de los MSP procesan información de identificación personal para clientes europeos o clientes europeos. A menudo, el MSP puede no estar al tanto de qué datos se están procesando, ya que anteriormente era responsabilidad del propietario de los datos seguir las reglas de protección de datos. Dado que los MSP se clasifican como procesadores de datos, los servicios técnicos que se ofrecen a los clientes finales entran en el ámbito del RGPD; esencialmente, el RGPD exige que los MSP conozcan el tipo de datos que se procesan.
Por ejemplo, considere un MSP que proporciona infraestructura como servicio para un cliente y su departamento de recursos humanos utilizando servidores de archivos para procesar las posibles solicitudes de empleo de los empleados; estos contienen información de identificación personal. Como estos datos están alojados en la infraestructura de almacenamiento del MSP, el MSP y el cliente comparten la responsabilidad de cumplir con el RGPD.
Según las pautas de GDPR, los MSP tienen el deber de proteger los datos de una manera que garantice la seguridad de todos los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal, así como contra pérdidas y daños accidentales. Deben establecerse salvaguardas administrativas, físicas y técnicas, ya que la legislación de la UE impone la misma responsabilidad a los controladores y procesadores de datos. Esto requiere un modelo de responsabilidad compartida entre todas las partes.
El tipo de datos en el ámbito de GDPR es cualquier información de identificación personal que puede incluir:
- Información biográfica personal – como nombre, dirección y números de seguridad social, fecha de nacimiento, número de teléfono y direcciones de correo electrónico, así como detalles de la apariencia de una persona, como peso, color de ojos u otras características
- Información financiera – como salario, códigos de impuestos o información de préstamos estudiantiles
- Datos web – como dirección IP, datos de retención de cookies
- Datos de salud, biométricos o genéticos – como historial médico, información sobre enfermedades a largo plazo, reclamos de seguro médico
- Información privada – como orientación sexual, opiniones políticas, creencias religiosas o afiliación sindical. Esto también puede incluir información de seguimiento geográfico, como los rastreadores de Fitbit o Google Maps.
(Fuente:https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data)
Los detalles anteriores solo arañan la superficie de los tipos de datos que están dentro del alcance de GDPR. En verdad, la cantidad de datos que probablemente estén sujetos al cumplimiento de GDPR es extensa y puede incluir casi cualquier contenido de software, datos, texto, audio o video. Este enfoque puede presionar a los procesadores y manejadores de datos dentro de la división de servicios administrados para garantizar que los datos se manejen correctamente. Para añadir más complejidad, los datos deben ser proporcionados por clientes que hayan optado explícitamente. al tratamiento de sus datos personales.
Una vez que se ha dado permiso al proveedor de datos, el proveedor de servicios gestionados es responsable de asegurarse de que cumple con el artículo 5 del RGPD, que establece que los datos personales serán:
- Procesado de manera legal, justa y transparente
- Procesados de manera que garanticen la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")
- Los datos, una vez procesados, deben destruirse legalmente en el momento acordado
(Fuente:http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.html)
Las clasificaciones del Artículo 5 sobre el procesamiento de datos dan como resultado que los MSP tengan que asegurarse de que el software y los servicios que brindan, incluido cualquier software en la nube, también cumplan con el RGPD. Esto incluye elementos como el software de virtualización, los proveedores de hardware y las capas de red, todos verificados por el MSP como compatibles. Si un MSP aprovecha un modelo de nube privada, pública o híbrida, debe basarse en un arquitecto seguro dentro de las pautas de GDPR.
Es fundamental que los MSP mantengan registros precisos sobre la copia de seguridad y el archivo de datos para todos los datos en el ámbito de GDPR. Los MSP deben poder identificar rápidamente los datos del usuario final, proporcionar registros de los datos (como registros de respaldo) y, si es necesario, eliminar o recuperar los datos. Todo esto está relacionado con el derecho reconocido por el RGPD de que las personas soliciten copias de los datos que se tienen sobre ellas.
GDPR también otorga propiedad a los MSP para crear políticas y procedimientos de seguridad para garantizar que todos los datos dentro del alcance estén protegidos. Las salvaguardas técnicas pueden variar, pero generalmente incluyen seudonimización y encriptación de datos en reposo y en tránsito, políticas estrictas de contraseñas y reglas sobre la retención de datos que garantizan la integridad y disponibilidad continuas de los datos.
Los MSP también tienen la responsabilidad de garantizar que toda la infraestructura del edificio físico sea segura y hacer cumplir políticas como listas de control de acceso, monitoreo de vigilancia, protección de activos físicos y puntos muertos, o incluso personal de seguridad en el sitio las 24 horas, los 7 días de la semana.
Los proveedores de la nube ofrecen cada vez más servicios empresariales que cumplen con el RGPD, como controles de acceso e identidad (IAM), servicios seguros de Active Directory, servicios de administración de claves de datos (KMS) y servicios de federación de datos SAML al enviar y extraer datos de forma pública o privada.
Otro elemento clave de GDPR es el requisito impuesto a los MSP de procesamiento de datos en caso de una violación de datos. Los MSP deben poder probar cuándo ocurrió una infracción e identificar exactamente a qué información se accedió o se modificó. Los MSP también deben notificar a las autoridades de protección de datos correspondientes e incluso a las personas afectadas por la infracción. Lo que es más importante, una infracción debe confirmarse dentro de las 72 horas posteriores al descubrimiento.
Los MSP a menudo implementan soluciones técnicas para garantizar el cumplimiento; los servicios antivirus como Trend Micro cuentan con una herramienta llamada borrado remoto. Por ejemplo, si una computadora portátil que contiene datos incluidos en el alcance se pierde o es robada, el dispositivo se puede borrar para proteger los datos y mitigar el riesgo de filtración de datos. También se pueden implementar otras herramientas, como el software de análisis de amenazas, que supervisa el acceso no autorizado de terceros a los sistemas de TI, y los firewalls de redes. El monitoreo detallado y la actividad de registro de los servicios también son esenciales.
Para concluir, el RGPD sigue siendo una legislación de la UE muy nueva que afecta a organizaciones de todo el mundo, y muchas organizaciones siguen luchando por lograr el cumplimiento del RGPD debido a las decisiones significativamente complejas y aún en desarrollo de la nueva ley. Además, los derechos de las personas a ver, editar y eliminar sus datos personales profundizan esta complejidad. La mayoría de los MSP deberán actualizar sus procesos y procedimientos de manejo de datos y aceptar un modelo de responsabilidad compartida con los manejadores de datos. Con el tiempo, la UE comenzará a aplicar las sanciones del RGPD con mayor regularidad para garantizar que el RGPD esté al frente de las agendas de todas las empresas globales.