¿Qué es la GDPR?

La GDPR (General Data Protection Regulation) es una normativa europea que pretende regular el tratamiento de la información en toda la Unión Europea con el fin de otorgar a los usuarios el control sobre su propia información. Para ello se han definido una serie de obligaciones que deben ser cubiertas por las empresas antes del 25 de Mayo de 2018.

Si algún curioso desea consultar el texto completo de la normativa lo puede encontrar aquí.

Como supongo que a la mayoría no os apetecerá demasiado leer 88 páginas de minúscula letra y constantes términos legales voy a intentar resumiros los aspectos más interesante sobre esta normativa que tanto está dando que hablar durante los últimos meses.

¿A quién aplica?

La GDPR aplica sobre cualquier empresa de la Unión Europea o que aún no perteneciendo a la misma gestione datos de personas residentes en Europa. En definitiva cualquier empresa que procese datos de ciudadanos de la Unión Europea está sujeta al cumplimiento de esta normativa.

¿Cómo afecta a los usuarios?

Gracias a esta normativa los usuarios dispondrán de varios derechos relacionados con la gestión de la información que han facilitado a las empresas:

  • Consentimiento informado: El derecho a ser informado claramente por qué los datos son necesarios y cómo se utilizarán. El consentimiento debe ser concedido explícitamente y puede ser retirado en cualquier momento.
  • Acceso: El derecho de acceder, de manera gratuita, a todos los datos recopilados, y de obtener la confirmación de cómo se está procesando.
  • Corrección: El derecho a corregir los datos si son inexactos
  • Borrado y el derecho a ser olvidado (RTBF): El derecho a solicitar la eliminación de los datos personales
  • Portabilidad de datos: El derecho a recuperar y reutilizar datos personales, para propósitos propios, a través de diferentes servicios.

¿Cómo afectará a las empresas?

Desde la perspectiva de las empresas son varias las obligaciones definidas en la normativa. A modo de resumen las siguientes son las más importantes:

  • Seudonimización y/o cifrado de la información: la información almacenada debe ser cifrada o seudonimizada, es decir aplicar los mecanismos necesarios para evitar que extrayendo cierta información podamos vincular la misma con una determinada persona.
  • Procesos de gobierno y cumplimiento: las empresas estarán obligadas a la definición y cumplimiento de diferentes procesos que permitan asegurar la adecuada gestión de la información. Para ello será necesaria la realización de Assessments, la definición de protocolos de actuación, políticas de ciberseguridad,...
  • Notificación de incidentes: un aspecto fundamental dentro de la normativa es el hecho de que cualquier empresa que haya sufrido una brecha de seguridad estará obligada a notificar la misma a las autoridades competentes en un plazo máximo de 72 horas desde la detección de la brecha. Y no sólo eso si no que en el caso de que los datos sustraídos sean considerados de alto riesgo (datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) la empresa estará obligada a notificar al propio usuario dicha fuga de información. En este aspecto el cifrado de la información juega un papel fundamental dado que en el caso de disponer de algún mecanismo de este tipo las organizaciones están exentas de la necesidad de notificar este tipo de situaciones a los individuos particulares.
  • Designación del DPO: otro elemento clave dentro de la normativa es la aparición de un nuevo rol en el ámbito de la protección de datos, el Data Protection Officer o DPO. Este Delegado de Protección de Datos como se ha decidido traducir al castellano es el responsable final de la adecuada gestión de la información dentro de la empresa. La designación de un DPO no es una obligación de la normativa y su necesidad queda bajo mi punto de vista bastante en el aire ya que sólo queda claro que es necesario para situaciones donde la gestión de la información es llevada a cabo por una Administración Pública. Para el resto de casos os recomiendo que consultéis el siguiente documento que me parece muy gráfico para determinar si una empresa requiere de un DPO para estar alineado con la normativa (Árbol de decisión DPO - GDPR)

¿Qué sanciones puede conllevar?

La normativa contempla sanciones que pueden llegar hasta un 4% del volumen de negocio de la empresa o hasta 20 Millones de euros, la mayor de las dos.

¿Cómo nos puede ayudar la tecnología?

Como es lógico ni una sola frase del texto hace referencia a términos tecnológicos, por lo que creo que es interesante conocer en qué medida la tecnología puede ayudarnos a adaptarnos a la GDPR. Como es lógico cualquier solución colabora en mayor o menor medida a estar en línea con las indicaciones de la normativa pero sin duda alguna de ellas tiene una aplicación más directa sobre las necesidades definidas.

Teniendo en cuenta que el objetivo principal de la Normativa es regular la gestión de la información es importante analizar qué mecanismos de seguridad podemos aplicar para dotar de seguridad a dicha gestión.

  • Cifrado: o mucho me equivoco o de aquí a unos meses las soluciones de cifrado de la información van a experimentar un crecimiento de negocio más que notable. Este tipo de soluciones son aplicables de diversas maneras, desde el cifrado de unidades de disco completas a la protección de ficheros o registros de bases de datos. En cada caso habrá que decidir cuál aplica de mejor manera a las necesidades de cada empresa.
  • Protección frente a intrusiones (IPS): una de las principales barreras a tener en cuenta para evitar la fuga de información es controlar los diferentes intentos de acceso a nuestros sistemas aprovechando esos agujeros de seguridad que en ocasiones dejan abiertos las aplicaciones que usamos en nuestro día a día. Gracias a esto Wannacry fue portada en todo el mundo durante varios días.
  • Doble factor de autenticación (2FA): otro mecanismo para evitar el acceso no deseado a información es la implantación de mecanismos de doble factor de autenticación que permiten asegurar la legitimidad del usuario que está accediendo a la información a través del envío de un SMS, una llamada, un código PIN o un token.
  • Copias de seguridad: un aspecto que queda claramente recogido en la normativa es la necesidad de ser capaces de recuperar la información que haya podido ser borrada o manipulada. Para ello es completamente necesario disponer de alguna solución de backup que minimice el impacto de este tipo de situaciones.
  • Prevención de fuga de información (DLP): al margen de las brechas de seguridad que la mayoría podría tener en su cabeza (un friqui accediendo desde un cuarto oscuro a nuestros servidores) los propios usuarios de la empresa son un riesgo importantísimo para la gestión de la información. Si no se ponen los mecanismos necesarios los usuarios podrían compartir información comprometida y poner en riesgo el adecuado cumplimiento de la normativa.

Mi opinión

Tras haber dedicado varios días a leer, releer y sintetizar la normativa (algún párrafo me he saltado ;D) parece claro que la Unión Europea se ha dado cuenta de que la sociedad estaba cambiando mucho más rápido que las regulaciones en términos de protección de datos. Con la GDPR han quedado definidas una serie de directrices que sobre el papel parecen regular con cierto sentido el tratamiento de la información, pero ahora quedará por ver cómo reaccionan las empresas ante estos cambios.

Hay un enfoque dentro de la normativa que me parece muy interesante y es el hecho de que no sólo se amenaza a las empresas con importantes sanciones económicas si no con poner en riesgo su reputación. El hecho de que las empresas estén obligadas a notificar a las autoridades situaciones que hayan podido poner en riesgo sus datos es algo que me atrevería a asegurar tiene mucho mayor impacto que 20M € por ejemplo para una entidad bancaria. Si hay algo a lo que gigantes empresariales tienen pánico hoy en día es a aparecer en las portadas junto a nombres como Wannacry o Petya.

Bajo mi perspectiva en España seremos totalmente reactivos y las empresas esperarán en su gran mayoría a comprobar cómo de rigurosas van a ser las autoridades de control para ver si toman las medidas necesarias o no. En el momento que se lleven a cabo las primeras sanciones muchas empresas comenzarán a verse amenazadas y aplicarán los mecanismos necesarios con menor planificación y previsión de lo que seguramente fuera lo deseado. Veremos si el tiempo me da la razón o llegado el día 25 de Mayo de 2018 tengo que editar este post y cambiar de opinión.