Lista de comprobación de la GDPR

El 25 de mayo de 2018 entró en vigor el Reglamento de Protección de Datos de la Unión Europea (RGPD), que sustituye al resto de normativas de protección de datos en Europa. En este caso, las multas pueden ser elevadas: hasta 20 millones de euros o el 4% de la facturación total de la empresa, lo que sea más alto. El RGPD protege los derechos de los ciudadanos de la UE y su privacidad (como datos personales). Por ejemplo: los ciudadanos de la UE tendrán derecho a pedir a las empresas que eliminen todos los datos almacenados, incluidas todas las copias. Esto implicará necesariamente un mapa completo de qué datos se almacenan, dónde se almacenan y quién tendrá acceso a ellos.
Si su empresa sufre un ciberataque, debe proporcionar a la autoridad de control la información necesaria para realizar una evaluación inicial del alcance de la violación en un plazo de 24 horas y también notificar a cada usuario afectado en un plazo de 72 horas, a menos que los datos estén cifrados. ¿No sabes cómo hacerlo? Ofrecemos un servicio completo de encriptación y borrado seguro de datos. Estos son los requisitos del Escudo de Privacidad para las violaciones de datos.
Cualquier persona que tenga una empresa debe cumplir lo anterior, lo que incluye no sólo a todas las empresas europeas, sino también a las que trabajan con clientes de la Unión Europea. En este sentido, los Países Bajos ya han adoptado el GDPR como su ley de protección de datos el 1 de enero de 2016. La seguridad tendrá que lograrse a varios niveles, no basta con que los dispositivos y la red estén asegurados, sino que también habrá que formar a los usuarios sobre cómo utilizar el sistema de forma segura.

CONTROL DE ACCESO

  • Otro paso fundamental es saber quién tiene acceso a los datos de la empresa, hacer un seguimiento de quién tiene acceso y evitar las brechas que permiten el acceso a todo el sistema.
  • Gestionar el control de los privilegios administrativos. Debes asegurarte de que las acciones del administrador pueden ser realizadas por un pequeño círculo de personas para minimizar el riesgo de que otros tomen el control total de la red.
  • Acceso a los datos personales. Identificar con precisión los usuarios, los dispositivos y el origen de las solicitudes de acceso a sus datos.
    Ser capaz de reconocer quién ha copiado o modificado un archivo y cuándo.
  • Acceso remoto a tus dispositivos. Asegúrate de que tienes acceso remoto a tus dispositivos y de que puedes borrar todos los datos que contienen si se pierden.

INVERSIÓN EN CIBERSEGURIDAD

El último paso es aplicar una seguridad muy sólida y de varios niveles para detectar y responder a las infracciones. La prevención está en el centro de todo.

  • Antivirus obligatorio y escaneos regulares de las actualizaciones del software del sistema. Las defensas tradicionales, como el antivirus para puntos finales, el cortafuegos UTM y las políticas bien pensadas, son obligatorias pero no suficientes; las actualizaciones regulares del sistema y del software de seguridad son esenciales para mantener la seguridad de su infraestructura.
    Podemos comprobar y actualizar todo su sistema a través de nuestro software de gestión de parches.
  • Comprenda sus puntos débiles. Realice escaneos de seguridad de su sistema utilizando un software de exploración de vulnerabilidades para comprender dónde es posible que se produzcan infracciones, y luego invierta en nuevos dispositivos más seguros e implante sistemas de seguridad adecuados.
  • Organizar la formación de los empleados en materia de seguridad informática. Alrededor del 60% de los ataques se deben al mal comportamiento de los usuarios. Por lo tanto, se necesita formación para evitar que los usuarios cometan errores básicos, como abrir archivos adjuntos desconocidos, o ataques de ingeniería social más avanzados.

EL RESPONSABLE DE LA PROTECCIÓN DE DATOS EN EL GDPR: ¿CUÁNDO ES OBLIGATORIO?

El considerando 97 aclara que, en el sector privado, la «actividad principal» de una empresa se refiere a sus «actividades principales» y no incluye los casos en que el «tratamiento de datos personales» es sólo una «actividad auxiliar». Por lo tanto, por «actividad principal» se entienden las operaciones esenciales necesarias para alcanzar los fines que persigue la empresa.

El WP29 aclara, sin embargo, que el término «actividad principal» no debe interpretarse de manera que excluya los casos en que el tratamiento de datos, aunque no sea una actividad principal, sea sin embargo un componente inseparable de las actividades realizadas. Por ejemplo, la actividad principal de un hospital es la prestación de asistencia sanitaria, pero no sería posible llevar a cabo esta actividad sin el tratamiento de datos relacionados con la salud, como los contenidos en el expediente médico de un paciente. De ello se deduce que el tratamiento de dicha información debe ser una de las actividades principales de cualquier hospital.

Lo mismo ocurre con una empresa de seguridad privada que se encarga de la vigilancia de varios centros comerciales y espacios públicos. La actividad principal de la empresa es la vigilancia, pero ésta está inextricablemente ligada al tratamiento de datos personales. Esto implica que los hospitales y las empresas de vigilancia, como la descrita anteriormente en el WP29, están obligados a designar un DPO.
Actividades como la gestión de la remuneración del personal o la creación de estructuras estándar de apoyo informático (como la gestión administrativa y contable), aunque necesarias, no pueden considerarse «actividades principales» (tarea empresarial).

⬇️No te pierdas los últimos artículos⬇️

Seguridad PC

Seguridad en WordPress

Seguridad en WordPress El 28% de toda la red utiliza WordPress para crear sitios web o blogs personales. Como cualquier software popular, WordPress también es

Leer ahora
Esta web emplea cookies para mejorar la experiencia del usuario y ofrecer los mejores los mejores resultados a los visitantes.   
Privacidad