El GDPR (General Data Protection Regulation) es un tema de moda entre los expertos en ciberseguridad y privacidad. Para los consumidores, el GDPR fortalecerá la protección de los derechos fundamentales del usuario en el entorno online y les devolverá el control de su información personal. ¿Y qué sucede con las empresas?
Ya que se acerca la fecha para su entrada en vigor, y habiendo explicado los principales cambios normativos vamos a analizar los mitos que circulan alrededor de este nuevo reglamento.
Mito número uno: “El GDPR solo afecta a empresas de la Unión Europea”
Lejos de ser una legislación que solo afecta a estados miembros de la Unión Europea, las normas del GDPR se aplicarán a todas las empresas que ofrezcan bienes o servicios a personas de la UE, independientemente de dónde se encuentren sus oficinas o servidores. Por lo tanto, el GDPR se aplica a todas las compañías que procesan información de ciudadanos de la UE, haciendo de esta la primera ley mundial de protección de datos. Por ejemplo, si un ciudadano de la UE utiliza una red social con sede en Estados Unidos, realiza una transacción en un comercio electrónico de Japón o recurre a una plataforma argentina para alquilar el alojamiento para sus vacaciones, todas esas empresas deben ajustarse al GDPR.
Mito número dos: “Todos los incidentes de seguridad deben ser reportados en menos de 72 horas”
Este es uno de los mitos más extendidos ya que se ha aceptado como regla general, sin detenerse en los matices. En primer lugar, solo las filtraciones de datos personales deben ser reportadas; pero no es obligatorio en el caso de incidentes de seguridad o filtraciones de datos que no sean de carácter personal. Esto quiere decir que cualquier filtración que afecte a la confidencialidad o integridad de la información personal sí deberá ser reportada.
Además, el plazo límite de 72 horas no empieza cuando ocurre el incidente, sino cuando la empresa es consciente de que ha sufrido una violación de datos personales. Si no es posible reportar a la autoridad responsable de la protección de datos en el plazo de 72 horas, el límite se puede extender, siempre y cuando la organización justifique el retraso.
Mito número tres: “Debemos cifrar todos los datos para cumplir con el GDPR”
Esto es falso por diversas razones. El GDPR a lo que obliga es a implementar medidas que provean de un nivel de seguridad apropiado, basado en una evaluación del riesgo que supone cualquier acción que requiera, por ejemplo, el procesamiento o el almacenamiento de datos personales.
Aunque el cifrado es una medida recomendada, no es imprescindible. Todo depende de los riesgos asociados a no cifrar dichos datos personales. De tal modo, en el caso de datos tan sensibles como la información médica de pacientes, el GDPR además de recomendar el cifrado, sugiere que se acompañe de medidas de seguridad más robustas como algoritmos más seguros.
Panda Security para facilitar la transición
Estos son solo tres de los grandes mitos en torno a un reglamento que marcará un antes y un después en la protección de datos personales. Para ayudar a todo tipo de empresas a adaptarse y cumplir con el GDPR, en Panda hemos elaborado esta “Guía de anticipación al Nuevo Reglamento General de Protección de Datos Europeo”. En él respondemos a grandes cuestiones relacionadas con el GDPR: ¿Cómo afecta a mi negocio? ¿Qué obligaciones exige esta normativa? ¿Qué ocurre si no cumplo con dichas obligaciones?
Con este White paper y mediante el uso de nuestra solución Adaptive Defense, Panda te ayuda a cumplir con las exigencias del nuevo reglamento a través de las herramientas necesarias. Aunque no será hasta 2018 cuando comience a aplicarse, es de vital importancia entender ya las implicaciones que tendrá el GDPR y poner en marcha un plan de acción que asegure la protección y privacidad de los datos personales de los consumidores de los bienes y servicios de tu empresa.