93 729 90 39 bggroup@bggroup.es
www.bggroup.es

¿Cómo afecta el nuevo Reglamento General de Protección de Datos a mi empresa?

En mayo de 2018, entra en vigor el nuevo RGPD por parte de la UE que todas las empresas deben cumplir como requisito indispensable. La pregunta es, ¿Cómo me puede afectar esta nueva regulación de protección de datos en mi empresa?

Los estándares de seguridad razonables se están convirtiendo en leyes en muchas partes del mundo. En Europa, el Reglamento General de Protección de Datos (RGPD), aprobado en abril de 2016, será de obligado cumplimiento a partir del 25 de mayo de 2018. El RGPD hará que toda la Unión Europea quede bajo un solo sistema legal integral y armonizado de protección de datos y privacidad. Las multas económicas y los daños a la reputación por no cumplimiento con el RGPD son considerables: las multas máximas ascienden a 20 millones de euros o el 4 % del ingreso internacional de la empresa.

Los dispositivos móviles están sujetos a este nuevo reglamento y éstos, pueden ser portátiles, tablets y/o móviles, ¿Quien no tiene en su empresa dispositivos móviles en manos de sus empleados…?

Artículos y aspectos a tener en cuenta de este nuevo RGPD que afecta a mi empresa

Existen dos artículos del nuevo RGPD que nos arrojan un poco de luz acerca de los nuevos estándares en cuanto a la privacidad y a una nueva extensión de la responsabilidad corporativa en materia de protección de datos que las empresas van a tener que hacerle frente.

El artículo 25 del RGPD define el concepto de Protección de datos desde el diseño y por defecto.  el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. 

De especial interés es el artículo 32 del RGPD que destaca la importancia de utilizar tecnologías que estén actualizadas y sean las mejores de su categoría para respaldar la gestión de la información: «Teniendo en cuenta la vanguardia… el controlador y procesador deberán implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado para el riesgo». Aunque el RGPD no prescribe implementaciones técnicas específicas, el artículo 32 sí designa medidas de cifrado, integridad, disponibilidad y pruebas como ejemplos de medidas, entre otras, para las que la empresa debe evaluar soluciones de vanguardia.

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar.

Una empresa que no utiliza una solución de seguridad de Administración delegada de dispositivos móviles (VSDM) de forma efectiva podrá tener problemas para justificar ante la autoridad por qué no adoptó medidas técnicas de vanguardia

¿Cómo implementar en mi empresa una solución que me haga cumplir con el nuevo RGPD?

1. Poner todos los dispositivos móviles como administrados si tienen acceso a datos corporativos. Los dispositivos móviles no administrados no pueden ser compatibles con una estrategia de defensa en profundidad capaz de aplicar un nivel de seguridad razonable de los datos en dispositivos perdidos o afectados.

2. Aplicar perfiles de configuración actualizados. Aplicar políticas para contraseñas, cifrado, seguridad de dispositivos, conectividad y otras funciones relevantes de habilitación en la empresa.

3. Distribuir todas las aplicaciones corporativas como aplicaciones administradas a través de una app store corporativa, de modo que puedan funcionar dentro de un marco de seguridad controlado por la empresa.

4. Aplicar políticas de prevención de pérdida de datos adecuadas para la protección de datos de las aplicaciones en el dispositivo.

5. Aplicar un acceso de confianza para todos los servicios corporativos. Bloquear el acceso desde dispositivos, aplicaciones y usuarios no autorizados, no administrados o no cumplidores. No permitir que se almacenen datos confidenciales en un dispositivo fuera de la visibilidad y el control de la empresa.

6. Establecer y comunicar claramente las políticas de privacidad y seguridad a los empleados con regularidad.

7. Recopilar registros adecuados sobre el inventario, uso y auditoría para contribuir a un proceso de rápida respuesta en caso de infracción.

Una posible solución para mi empresa: VSDM

Esta solución de Vodafone Empresas permite ajustarse a las empresas a este nuevo reglamento general de protección de datos de manera efectiva, además de proporcionarnos herramientas de eficiencia y mejora de productividad, geolocalización, seguridad corporativa y cifrado de datos sensibles.

Veamos algunas de las características de esta potente herramienta:

  • La Solución VSDM permite a la empresa aplicar cifrado de datos en el dispositivo monitorizando los ajustes de cifrado para dicho dispositivo y proporcionando un cifrado secundario para las aplicaciones y datos corporativos.
  • La solución VSDM permite a la empresa establecer un límite claro entre los datos personales y profesionales que hay en el dispositivo. La empresa no tiene acceso al contenido de aplicaciones personales o cuentas de correo electrónico personales. Cada empresa debe evaluar además si el acceso a otro tipo de datos personales, como un inventario de aplicaciones o localización de los dispositivos, sirve para un fin operativo o de seguridad justificable.
  • La solución VSDM permite a la empresa aplicar un acceso de confianza a los servicios corporativos. Esta solución ofrece a la empresa visibilidad con respecto a los dispositivos móviles y aplicaciones que están intentando conectarse a los servicios «back-end». El acceso no autorizado podrá entonces bloquearse. VSDM protege el tráfico de los datos y también puede enrutarlo a través de puertas de enlace de seguridad e inspección adicionales, si fuera necesario.
  • La solución VSDM permite a la empresa emplear registros de auditoría para determinar qué acciones tuvieron lugar antes de una violación de los datos y qué medidas, si las hubiera, se tomaron. En algunas situaciones, el período de notificación obligatorio del RGPD es de sólo 72 horas y requiere una rápida respuesta.
  • La solución VSDM permite a la empresa reforzar los controles de prevención de pérdida de datos . Estos controles permiten a la empresa borrar datos confidenciales de forma remota en un dispositivo perdido y garantizar que todas las aplicaciones corporativas de dicho dispositivo no puedan compartir datos con aplicaciones no autorizadas.

Los dispositivos móviles no administrados no tienen la capacidad de respaldar una estrategia de defensa pormenorizada

Conclusiones a tener en cuenta ante esta nueva reglamentación

Una empresa no puede proporcionar la seguridad adecuada para los datos personales a menos que pueda demostrar que ha implementado correctamente los procedimientos de seguridad. Éstos deberían garantizar que los datos personales requeridos por la empresa están protegidos de amenazas externas y del uso o divulgación no autorizados.

Teniendo en cuenta el elevado coste que supone no cumplir con este nuevo reglamento, las empresas se encuentran a unos meses de aplicar algún sistema de seguridad, cifrado y control de sus dispositivos móviles, para cumplir con este nuevo reglamento.

La seguridad y administración delegada de dispositivos móviles VSDM proporciona una sólida solución para el cumplimiento de los principios del RGPD: minimización de datos, integridad, seguridad, confidencialidad y responsabilidad. Además de proporcionar un aumento de la productividad y eficiencia del trabajador para su empresa, y de la racionalización del consumo de datos y el roaming.

Si te has quedado con alguna duda o quieres saber más, no dudes en contactarme.

Daniel Pellicer Asesor en Soluciones Digitales en Bgmobile dpellicer@bgmobile.es

Puedes leer la entrada original en el siguiente enlace: https://www.linkedin.com/pulse/cómo-afecta-el-nuevo-reglamento-general-de-protección-daniel

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *