Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Un vistazo a los requisitos clave del RGPD y cómo cumplirlos

Muchas organizaciones que hacen negocios en la Unión Europea están luchando con cómo apropiadamente y razonablemente …

Cumplir con los requisitos de seguridad y privacidad de datos del Reglamento general de protección de datos de la Unión Europea antes del 25 de mayo de 2018.

El Reglamento General de Protección de Datos (GDPR) se aplica a todas las empresas que procesan y mantienen los datos personales de personas que residen en la Unión Europea (UE), independientemente de la ubicación de la empresa.

Las consecuencias del incumplimiento de los requisitos del RGPD pueden ser muy costosas. Las organizaciones pueden recibir una multa de hasta el 4% de sus ingresos globales anuales o 20 millones de euros, lo que sea mayor.

Las empresas deben familiarizarse con algunos de los requisitos clave del RGPD, así como con las formas prácticas de cumplirlos.

Defina cómo se aplica el RGPD a su organización

Primero, identifique cómo se aplica el RGPD a su organización. Dos tipos de organizaciones están sujetas a GDPR: controladores de datos y procesadores de datos.

Un controlador de datos es una organización que determina el propósito y los métodos para procesar datos personales, como un minorista que recopila datos personales mientras vende productos a sujetos de datos de la UE. Un procesador de datos es una organización que procesa datos personales en nombre de un controlador de datos, como una empresa de marketing que envía correos electrónicos a los interesados ​​de la UE en nombre de un minorista.

Se espera que GDPR se aplique a todos los interesados ​​en la UE, incluidos los ciudadanos de la UE, los no ciudadanos residentes e incluso los turistas que visitan la UE.

CONTENIDO RELACIONADO  ¿Qué es el liderazgo de servicio? - Definición de Krypton Solid

Los requisitos de GDPR también se aplican a organizaciones fuera de la UE que procesan o monitorean los datos personales de los interesados ​​de la UE, como un desarrollador con sede en los EE. UU. Que crea una aplicación que, mientras la utilizan los interesados ​​de la UE, recopila datos personales sobre ellos.

Identificar si su organización es un controlador de datos o un procesador de datos es un primer paso fundamental para comprender las obligaciones de GDPR de la organización e implementar los controles adecuados para cumplirlas.

Crea un mapa de datos personales

Para muchas organizaciones, una de las partes más desafiantes del cumplimiento de los requisitos clave del RGPD es la definición de datos personales de la regulación. GDPR define ampliamente los datos personales como cualquier información relacionada con una persona que se puede utilizar para identificar directa o indirectamente a la persona. Dichos datos pueden incluir, entre otros:

  • Nombre
  • Foto
  • Dirección de correo electrónico
  • Detalles de la cuenta financiera
  • Publicaciones en redes sociales
  • Información médica
  • dirección IP
  • número de identificación

Con el fin de implementar controles y procesos adecuados para proteger los datos personales, las organizaciones deben identificar y mapear minuciosamente cómo se recopila, administra y almacena dicha información, así como cómo fluye dentro, a través y fuera de la organización. Será difícil para una organización lograr el cumplimiento de GDPR si no identifica y comprende los datos personales que posee y los procesos de manejo de datos relacionados que debe proteger.

Un mapa de datos personales también ayudará a identificar oportunidades para seudonimizar y, por lo tanto, despersonalizar los datos personales, algo que fomenta el GDPR.

CONTENIDO RELACIONADO  Por qué las organizaciones financieras necesitan una sólida estrategia de seguridad en la nube

Las organizaciones más pequeñas pueden mapear manualmente sus datos personales, pero las organizaciones más grandes probablemente necesitarán usar una herramienta de mapeo de datos de un proveedor como Integris o OneTrust.

Implementar las mejores prácticas de ciberseguridad

El cumplimiento de GDPR requiere que los controladores de datos y los procesadores de datos implementen controles de seguridad técnicos y organizacionales apropiados para proteger los datos personales. La idoneidad de los controles variará entre las organizaciones según el tipo y la cantidad de datos personales que recopilen y los métodos que utilicen para manejar los datos. Las organizaciones deben utilizar un enfoque basado en el riesgo que proteja adecuadamente los datos personales al tiempo que permite el procesamiento comercial importante y el almacenamiento de dichos datos.

Base su programa de ciberseguridad en un conjunto de mejores prácticas de ciberseguridad ampliamente utilizado y aceptado, como el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología o los controles de seguridad críticos del Centro de Seguridad de Internet. Otra opción sería seguir un estándar de ciberseguridad de la industria, como PCI DSS o la Ley Gramm-Leach-Bliley. Si lo hace, su organización podrá demostrar que ha implementado controles adecuados y razonables para proteger los datos personales y que sigue las mejores prácticas.

Gestión de proveedores

Además de exigir a las organizaciones que protejan los datos personales que recopilan y procesan directamente, el RGPD también exige que las organizaciones gestionen los proveedores con los que comparten datos personales.

Antes de proporcionar datos personales a un proveedor, los controladores de datos deben evaluar si el proveedor protegerá adecuadamente los datos y deben exigir que el proveedor firme un contrato que incluya métodos específicos sobre cómo se protegerán los datos personales.

CONTENIDO RELACIONADO  ¿Qué es VSAT (terminal de apertura muy pequeña)?

Antes de proporcionar datos personales a un proveedor, los procesadores de datos deben obtener una autorización formal del controlador de datos y requerir que el proveedor firme un contrato que incluya métodos específicos para proteger los datos personales con los que trabajará el proveedor.

La gestión de proveedores del RGPD debe incorporarse al programa general de gestión de riesgos de proveedores de su organización. Como mínimo, dicho programa debería incluir:

  • apoyo de altos ejecutivos para la evaluación de riesgos obligatoria de los proveedores;
  • las cláusulas sobre prácticas de protección de datos y ciberseguridad sobre el derecho a auditar en los contratos con proveedores;
  • un breve cuestionario para evaluar rápidamente las prácticas de ciberseguridad y protección de datos de los proveedores; y
  • una herramienta de calificación de riesgos para priorizar los riesgos de los proveedores.

Desarrollar un proceso de notificación y respuesta a violaciones de datos personales

GDPR requiere que los controladores de datos informen el acceso no autorizado o el uso de datos personales a los reguladores dentro de las 72 horas posteriores al descubrimiento de una violación de datos, excepto cuando existe un bajo riesgo para los sujetos de datos afectados de la UE. Un controlador de datos también debe notificar a los interesados ​​de la UE afectados sobre la violación sin demoras indebidas.

Los procesadores de datos también deben notificar a los controladores de datos sobre una violación de datos personales sin demoras indebidas después de descubrir una violación de datos personales.

Prepárese ahora para una violación de datos personales.

Prepárese ahora para una violación de datos personales. Los procedimientos bien definidos y documentados que son específicos de su organización facilitarán mucho el lanzamiento de una respuesta rápida y bien coordinada que le permita a su organización cumplir con el plazo de 72 horas.

En un nivel alto, su proceso de violación de datos personales debe incluir:

  • un procedimiento detallado sobre cómo se notificará a los reguladores y controladores de datos, si su organización es un procesador de datos, el tipo de información que se proporcionará en la notificación y quién hará la notificación si se produce una violación de datos personales; y
  • un procedimiento detallado sobre cómo se notificará a los interesados ​​de la UE afectados por una violación de datos personales y con qué rapidez se producirá la notificación.

Tanto los responsables del tratamiento como los procesadores de datos deben definir de antemano qué sin dilaciones indebidas medio; Será estresante y llevará mucho tiempo resolver esto en medio de una infracción.

Asegúrese de probar su proceso de violación de datos personales al menos una vez al año. No querrás probarlo por primera vez durante una infracción.

Conclusión

GDPR es una regulación importante que cualquier organización que haga negocios en la UE debe enfocarse en cumplir. Con un análisis, una planificación y un diseño cuidadosos, las organizaciones pueden cumplir de manera adecuada y razonable con los requisitos clave del RGPD.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Noticias, ayuda e investigación de SAP NetWeaver

SAP NetWeaver Empezar Ponte al día con nuestro contenido introductorio SAP NetWeaver SAP NetWeaver es una plataforma tecnológica que permite a las organizaciones integrar datos, procesos comerciales, elementos y más de una variedad de fuentes

El auge del dispositivo informático

Aparatos informáticos están ganando terreno en los sistemas de TI empresariales debido a su simplicidad, confiabilidad, facilidad de uso y menor costo en comparación con las computadoras de uso general. El dispositivo es básicamente un

¿Qué es la carta del proyecto (PC)?

Un estatuto de proyecto (PC) es un documento que establece que un proyecto existe y proporciona al director del proyecto la autoridad por escrito para comenzar a trabajar. El documento ayuda al gerente del proyecto

¿Qué agencias federales administran la Ley HITECH?

Bajo la Ley HITECH, aprobada como parte de la Ley Estadounidense de Recuperación y Reinversión de 2009, el Congreso estableció una serie de incentivos financieros y sanciones para obligar a los hospitales y profesionales de

La PC de producción se actualiza en 1903

OK, lo admito. Me cansé de esperar a que Microsoft ofreciera a mi PC de producción la actualización de mayo de 2019 (también conocida como actualización 1903). El viernes pasado, me descompuse y usé el

Consideraciones para desarrollar un plan

Cuando se le encomienda la asignación de direcciones IP para la red de un cliente, necesita un plan. Ese plan necesita una estrategia para … hacer el uso más eficiente del espacio, pero también necesita

¿Qué es AWS Auto Scaling?

AWS Auto Scaling es un servicio que supervisa y ajusta automáticamente los recursos informáticos para mantener el rendimiento de las aplicaciones alojadas en la nube pública de Amazon Web Services (AWS). AWS Auto Scaling descubre

Athenahealth lanza un nuevo servicio de telesalud

Cuando los reguladores federales relajaron las regulaciones sobre el uso de servicios de telesalud durante la pandemia de COVID-19, Dillon Miller, MD, comenzó a examinar rápidamente las herramientas tanto para su práctica como para el

¿Qué es Dell EMC VxRail?

Dell EMC VxRail es un dispositivo hiperconvergente. Al igual que VSPEX™ BLUE, el producto de Dell EMC al que reemplaza, y otros sistemas de infraestructura hiperconvergente, VxRail incluye recursos de cómputo, almacenamiento, redes y virtualización

Cómo blockchain se encuentra con IoT en los datos

La mejor lente a través de la cual ver las tecnologías emergentes y sus intersecciones son a menudo los datos. ¿De dónde provienen los datos? ¿Dónde se almacena? ¿Cómo se convierten los datos en acciones

¿Qué sabe sobre el desarrollo continuo de software?

Continuo se adjunta a un número cada vez mayor de procesos de desarrollo de software. La entrega continua, la integración continua y la implementación continua suenan similares y son difíciles de distinguir. Si su empresa

La importancia de probar los requisitos del software

SEl software que funciona bien es inútil si finalmente no cumple con los requisitos de los usuarios comerciales. Pero mientras que un estudio de investigación tras otro muestra que los errores de requisitos son la

¿Cuáles son los componentes centrales de SAP IBP?

Maksim Samasiuk – Fotolia SAP Integrated Business Planning, o SAP IBP, es la gestión de la cadena de suministro basada en la nube, de extremo a extremo, impulsada por HANA … software y plataforma destinados

¿Qué es una GPU?

Una unidad de procesamiento de gráficos (GPU) es un chip de computadora que genera gráficos e imágenes mediante la realización de cálculos matemáticos rápidos. Las GPU se utilizan tanto para la informática profesional como para

¿Qué es el estado de pérdidas y ganancias (P&L)?

Un estado de pérdidas y ganancias (P&L), también conocido como estado de resultados, es un informe financiero que muestra los ingresos y gastos de una empresa durante un período de tiempo determinado, generalmente un trimestre

¿Qué es el sistema de energía a granel (BPS)?

Un sistema de energía a granel (BPS) es un gran sistema eléctrico interconectado compuesto por instalaciones de generación y transmisión y sus sistemas de control. Un BPS no incluye las instalaciones utilizadas en la distribución

Deja un comentario