Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Alicia Camanchez escriba una noticia?

Consultoría normativa GDPR

20/09/2017 18:40 0 Comentarios Lectura: ( palabras)

La primera Directiva de protección de datos de la UE fue escrita en 1995, pero se ha elaborado una nueva reglamentación más estricta para tener en cuenta los enormes cambios tecnológicos de los últimos 20 años

Esta nueva normativa ya se encuentra vigente en este 2017. A continuación se presentan 10 de los elementos más importantes que las organizaciones europeas han eliminado del borrador actual, para poder aprobar la nueva normativa 2017.

Los términos regulación y directiva suelen utilizarse indistintamente, pero son muy diferentes. Una directiva es implementada y aplicada por países individuales, pero las regulaciones se convierten en ley sin cambios cuando se aprueban. La actual directiva de protección de datos de la UE se asemeja a un mosaico de leyes ligeramente diferentes en toda Europa, pero la nueva regulación se aplicará en los 28 países. Podemos canalizar todas las dudas a través de nuestro servicio de Consultoría Normativa Europea Protección Datos.

En virtud de la Directiva, cualquier dato "por el cual un individuo pueda ser identificado" era responsabilidad exclusiva del responsable del tratamiento, es decir, del titular de estos datos. Sin embargo, de acuerdo con las nuevas regulaciones, cualquier compañía o individuo que procese estos datos también será responsable de su protección, incluyendo a terceros como proveedores de la nube. En pocas palabras, cualquier persona que toque o tenga acceso a sus datos, dondequiera que estén basados, es responsable en el caso de una violación de datos. Las ramificaciones de esto son bastante amplias. Los terceros tendrán que ser más vigilantes cuando se trata de asegurar los datos de otros, y los propietarios de datos querrán examinar a fondo a sus socios. Desde nuestra Consultoría sobre Normativa Europea Protección Datos podemos ayudarle a despejar todas las incógnitas de este nuevo reglamento.

Con la nueva normativa en mente, las organizaciones deberían pensar en revisar sus contratos con terceros ahora. En el caso de los proveedores de la nube considerar seriamente tener, como parte de su contrato, la capacidad de revisar cuidadosamente sus procedimientos e incluso instalaciones para asegurarse de que están a la altura. Muchos proveedores de servicios en la nube, especialmente aquellos basados ​​fuera de la UE, pueden no creer que la reglamentación se les aplica, es evidente que lo harán.

No deje que los términos "UE" o "Europa" le engañen, la nueva regulación afecta a toda organización mundial que pueda tener datos sobre ciudadanos y residentes de la UE. El daño a la reputación es también un elemento clave de una violación de datos y es probable que la nueva reglamentación armonice las políticas de "nomenclatura y vergüenza" en cada país. Por ejemplo, en el Reino Unido, la Oficina del Comisario de Información emite comunicados de prensa cuando las organizaciones son sancionadas en este momento, mientras que algunos otros países son actualmente bastante "tacto ligero.

El reglamento permitirá a los usuarios reclamar daños y perjuicios en caso de pérdida de datos como resultado de un procesamiento ilegal, incluyendo la reparación colectiva, equivalente a una demanda colectiva de estilo estadounidense. Esta es otra de las características en donde podemos aplicar nuestra Consultoría sobre Normativa Europea Protección Datos. La alta dirección necesitará una buena comprensión de qué tipo de impacto tendría en su negocio. No sólo los daños legales pueden ser increíblemente costosos desde una perspectiva financiera, sino que también representan daños de reputación como los casos pueden llevar a cabo durante años y mantener la historia en el ojo público durante todo este tiempo. Sony, por ejemplo, enfrenta actualmente siete demandas colectivas después del hack del año pasado. El público será recordado de las fallas de seguridad de Sony una y otra vez.

Incluso si se permite compartir (por más legítimo que se considere que sea el responsable del tratamiento de datos), actualmente la Directiva prohíbe transferir datos personales fuera del Espacio Económico Europeo (EEE) a menos que el controlador garantice un nivel adecuado de protección de la privacidad.

Al negociar con un proveedor de la nube, plantea la cuestión de si se les permite mover datos entre países como parte del contrato, si tienen que informarle de tal movimiento o sólo pueden hacerlo a su solicitud. Obtener visibilidad en la sede de CSP y las instalaciones de almacenamiento de datos (no asumir que es el mismo) y también en los países donde emplean a personas que administran el servicio. Además, si bien la Directiva permite que un responsable del tratamiento de datos decida si un tercero proveedor está a salvo, en virtud del Reglamento, sólo la Comisión puede hacerlo.

Más sobre

Bajo la directiva, los usuarios ya tienen derecho a ver los datos recopilados sobre ellos. Sin embargo, actualmente cada país define la forma en que deben responder los controladores de datos (el Reino Unido permite 40 días) y en la nueva regulación el plazo se armonizará, probablemente hasta 20 días.

En la nueva regulación, los usuarios también pueden exigir que sus datos sean borrados. Esto puede sonar sencillo, pero no siempre es tan simple. Si una persona dijo que quería ser removido de una de sus bases de datos, ¿cómo lo haría? ¿Tendría que eliminar datos de varios sistemas? ¿Están los protocolos de sincronización en su lugar que harían difícil hacerlo? ¿Tiene procesos ahora para esto y cómo quitaría la información de contacto de bases de datos individuales o hojas de cálculo? Estas son preguntas que necesitan responder ahora, no después de que la regulación entre en juego. Podemos ayudar a su empresa a interpretar y sacar partido mediante nuestra Consultoría sobre Normativa Europea Protección Datos.

Conforme a las nuevas regulaciones, los controladores deben informar y recordar a los usuarios sus derechos, así como documentar el hecho de que les han recordado sus derechos. Además, los usuarios no deben tener que opt-out de sus datos que se utilizan, deben opt-in a sus sistemas. Esto es más estricto que la directiva actual y las empresas que caen en falta de estas medidas se enfrentarán a multas más grandes.

Este es el más grande. En caso de que hubiera dudas sobre la gravedad de los reguladores están tomando la cuestión de violación de datos, las sanciones se han hecho mucho, mucho más difícil. Las multas pueden alcanzar los 100 millones de euros, o el 5 por ciento de los ingresos globales (lo que sea más alto).

En la actualidad, diferentes países tienen normas diferentes sobre la información de pérdida de datos tanto para el regulador como para los usuarios. El reglamento tiene la intención de racionalizar el proceso, lo más probable es que los reguladores deben ser informados en 72 horas - a menos que, según el requisito de "expectativas razonables" (explicado brevemente), los datos sean cifrados o tokenizados.

Se puede argumentar que algo falta en esta nueva regla, es decir, cuánto tiempo las organizaciones tienen que informar a los usuarios. TalkTalk, por ejemplo, recientemente sufrió una violación de datos e informó a los reguladores dentro de las 72 horas requeridas. Sin embargo, los usuarios no fueron informados hasta varios meses más tarde, en cuyo tiempo los hackers habían utilizado la información de contacto robada a los clientes de TalkTalk por teléfono / correo electrónico, pretendiendo ser de la compañía en un intento de robar dinero. TalkTalk debería haberse movido más rápido para informar a sus clientes de la violación de datos.

No todas las malas noticias, hay una pieza en el reglamento que dice que los controladores deben satisfacer las "expectativas razonables" de los individuos de la privacidad de los datos. Este es un término interesante ya que las regulaciones estipulan que los datos tokenised, cifrados o pseudo-anonomised satisfacen realmente estas expectativas. Esta es una gran noticia, ya que permite a las organizaciones cifrar o cifrar datos antes de subir a la nube. Suponiendo que las compañías mantengan las claves de cifrado en sus propias premisas, en primer lugar la pérdida de datos es mucho menos probable y, si sucede, pueden mostrar a los reguladores que tomaron medidas para "satisfacer las expectativas razonables de los individuos de privacidad de datos".

Conclusión

Este es el momento ideal para que los equipos de TI, seguridad y cumplimiento revisen los nuevos requisitos, busquen orientación legal y establezcan procesos que permitan el cumplimiento. Hay muchos otros cambios aparte de estos diez, proporciona detalles adicionales sobre las áreas más importantes, especialmente cuando afecta el uso de servicios en la nube y los datos almacenados en la nube.

Más información: www.exevi.com


Sobre esta noticia

Autor:
Alicia Camanchez (171 noticias)
Visitas:
1393
Tipo:
Nota de prensa
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.