A diferencia de las directivas, el Reglamento General de Protección de Datos será directamente aplicable en todos los territorios de la Unión sin requerir cambios en las legislaciones nacionales y contempla grandes sanciones por incumplimiento, hasta 20 millones de euros o el 4 por ciento de la facturación anual.
GDPR afecta a empresas grandes y pequeñas y obligar a ponerse al día en protección de datos independientemente del conocimiento de los mismos que posean; con exigencia de informar en 72 horas ante datos comprometidos; con un responsable (o servicio externo contratado) que actúe como punto de contacto con los auditores de la UE en caso de ser necesario, y en definitiva, con la necesaria implicación de todo el equipo al afectar a toda la estructura y ante los cambios que supondrá en la relación con los clientes.
La protección de datos es una obligación ética y legal que no es sencilla de llevar a cabo ante la hasta ahora limitada percepción del riesgo, la dificultad de cumplir con la normativa y los requisitos exigidos para salvaguardar completamente los datos de clientes y también empleados. Todo un reto en la era de la movilidad, el fenómeno BYOD y la Internet de las Cosas, que están incrementando de manera exponencial el número de dispositivos a proteger en las empresas para evitar fugas de información y datos sensibles en un entorno de acumulación masiva de datos o Big Data.
Además, las previsiones de expertos que alertaban del robo de datos se han quedado cortos. Los cibercriminales han mejorado la estrategia y técnicas para rastrear y recoger datos valiosos en ataques dirigidos especialmente contra dispositivos móviles y la Internet de las Cosas. Datos como los registros médicos son una mina de oro para la ciberdelincuencia y el sector de la salud es el que más ataques cibernéticos recibe en países como Estados Unidos.
Ocho consejos para proteger los datos más sensibles
Aumentar la seguridad respetando el derecho a la privacidad de los ciudadanos como exigirá la normativa GDPR es sin duda un gran reto. Te dejamos con algunos consejos (aspectos básicos porque la nueva legislación exigirá gran atención y medios) que pueden ayudar a proteger los datos y minimizar la probabilidad de incumplimiento del reglamento:
- Bloquear y proteger datos confidenciales de clientes, pacientes o empleados, especialmente datos sensibles e información personal identificable (PII) como números de seguridad social, registros médicos o datos de tarjetas de crédito.
- Restringir el acceso de los empleados a los datos sensibles con bloqueo de red especialmente en máquinas ubicadas en espacios públicos como áreas de recepción.
- Reciclar y destruir datos de clientes, pacientes o empleados cuando no sean necesarios, contenido en medios físicos y también virtuales como ordenadores o unidades de almacenamiento de segunda mano vendidas o desechadas.
- Implementar políticas de privacidad revisadas al menos anualmente y con capacitación del personal.
- Usar contraseñas. Toda la plantilla debe contar con nombre de usuario y contraseña cambiada al menos cada tres meses para evitar accesos no autorizados a los equipos informáticos. Conviene realizar auditorías de seguridad. También son recomendables los cortafuegos.
- Utilizar cifrado de datos ayuda a proteger la privacidad y seguridad de los equipos, especialmente en pendrives, portátiles, dispositivos móviles y unidades de copias de seguridad.
- Asegurar el acceso remoto a la red empresarial con redes privadas virtuales debidamente habilitadas y con autenticación múltiple.
- Actualizar sistemas y software de forma regular, en especial suites de seguridad con antivirus y cortafuegos, y software para resolver vulnerabilidades en sistemas operativos y aplicaciones.