GDPR: ocho consejos para mejorar la protección de datos

2 marzo 2018

2 min read

GDPR, la nueva normativa de la Unión Europea sobre protección de datos entrará en vigor el próximo 28 de mayo después de un periodo de transición de dos años. Se trata del mayor cambio de la regulación de la privacidad promovida por la Unión en los últimos veinte años desde la publicación de la Directiva de Protección de Datos 95/46/EC de 1995, a la que reemplaza, con el objetivo de fortalecer y unificar la protección de datos dentro de todos los países y las transferencias de los mismos fuera del territorio.

GDPR: ocho consejos para mejorar la protección de datos (Desktop)

A diferencia de las directivas, el Reglamento General de Protección de Datos será directamente aplicable en todos los territorios de la Unión sin requerir cambios en las legislaciones nacionales y contempla grandes sanciones por incumplimiento, hasta 20 millones de euros o el 4 por ciento de la facturación anual.

GDPR afecta a empresas grandes y pequeñas y obligar a ponerse al día en protección de datos independientemente del conocimiento de los mismos que posean; con exigencia de informar en 72 horas ante datos comprometidos; con un responsable (o servicio externo contratado) que actúe como punto de contacto con los auditores de la UE en caso de ser necesario, y en definitiva, con la necesaria implicación de todo el equipo al afectar a toda la estructura y ante los cambios que supondrá en la relación con los clientes.

La protección de datos es una obligación ética y legal que no es sencilla de llevar a cabo ante la hasta ahora limitada percepción del riesgo, la dificultad de cumplir con la normativa y los requisitos exigidos para salvaguardar completamente los datos de clientes y también empleados. Todo un reto en la era de la movilidad, el fenómeno BYOD y la Internet de las Cosas, que están incrementando de manera exponencial el número de dispositivos a proteger en las empresas para evitar fugas de información y datos sensibles en un entorno de acumulación masiva de datos o Big Data.

Además, las previsiones de expertos que alertaban del robo de datos se han quedado cortos. Los cibercriminales han mejorado la estrategia y técnicas para rastrear y recoger datos valiosos en ataques dirigidos especialmente contra dispositivos móviles y la Internet de las Cosas. Datos como los registros médicos son una mina de oro para la ciberdelincuencia y el sector de la salud es el que más ataques cibernéticos recibe en países como Estados Unidos.

Ocho consejos para proteger los datos más sensibles

Aumentar la seguridad respetando el derecho a la privacidad de los ciudadanos como exigirá la normativa GDPR es sin duda un gran reto. Te dejamos con algunos consejos (aspectos básicos porque la nueva legislación exigirá gran atención y medios) que pueden ayudar a proteger los datos y minimizar la probabilidad de incumplimiento del reglamento:

  1. Bloquear y proteger datos confidenciales de clientes, pacientes o empleados, especialmente datos sensibles e información personal identificable (PII) como números de seguridad social, registros médicos o datos de tarjetas de crédito.
  2. Restringir el acceso de los empleados a los datos sensibles con bloqueo de red especialmente en máquinas ubicadas en espacios públicos como áreas de recepción.
  3. Reciclar y destruir datos de clientes, pacientes o empleados cuando no sean necesarios, contenido en medios físicos y también virtuales como ordenadores o unidades de almacenamiento de segunda mano vendidas o desechadas.
  4. Implementar políticas de privacidad revisadas al menos anualmente y con capacitación del personal.
  5. Usar contraseñas. Toda la plantilla debe contar con nombre de usuario y contraseña cambiada al menos cada tres meses para evitar accesos no autorizados a los equipos informáticos. Conviene realizar auditorías de seguridad. También son recomendables los cortafuegos.
  6. Utilizar cifrado de datos ayuda a proteger la privacidad y seguridad de los equipos, especialmente en pendrives, portátiles, dispositivos móviles y unidades de copias de seguridad.
  7. Asegurar el acceso remoto a la red empresarial con redes privadas virtuales debidamente habilitadas y con autenticación múltiple.
  8. Actualizar sistemas y software de forma regular, en especial suites de seguridad con antivirus y cortafuegos, y software para resolver vulnerabilidades en sistemas operativos y aplicaciones.