Poco a poco se acerca la fecha en la que el nuevo GDPR (General Data Protection Regulation) sustituirá a la directiva de protección de datos de 1995 y, a medida que pasa el tiempo, su aplicación está tomando relevancia en las conversaciones de expertos en seguridad y responsables de todas las empresas. Recordemos que el GDPR ayudará a fortalecer la protección de los derechos fundamentales del usuario en el entorno online y les devolverá el control de su información personal. Por eso, las empresas deben de estar preparadas para adoptar las medidas de obligado cumplimiento.
Ya explicamos los cambios fundamentales en la normativa, haciendo hincapié en las diferencias esenciales que deberíamos tener en cuenta para adaptar nuestra empresa de la forma adecuada. También repasamos algunos de los mitos más extendidos en cuanto al GDPR: su ámbito de aplicación, el tiempo con el que debemos reportar los incidentes o el requerimiento relativo al cifrado de datos. Hoy vamos a analizar más mitos que rondan esta nueva regulación.
Mito número cuatro: “Los datos personales que ya tenemos en nuestra base de datos no están sujetos al GDPR”
Probablemente una de las cuestiones que más abruman a las empresas es la que concierne a la masiva cantidad de información que ya tienen en su poder. ¿Se aplica la nueva legislación a estas bases de datos recabadas antes de su entrada en vigor? Definitivamente, sí. Todos los datos personales de los usuarios han de cumplir con la regulación, independientemente de la fecha de recogida de dichos datos. La única excepción a esta regla es en el caso de personas fallecidas ya que en este caso la regulación no se aplicaría a sus datos personales.
Mito número cinco: “Los datos los almacena mi proveedor de cloud así que es responsabilidad suya cumplir con el GDPR”
Probablemente hayamos pensado que por el hecho de no ser nosotros los encargados de almacenar directamente los datos, no tenemos la responsabilidad de aplicar las medidas exigidas por el GDPR. Sin embargo, en el momento en el que trabajamos con la información de un usuario, lo más probable es que caigamos en la categoría de controlador o procesador. Si contratamos a una empresa externa para que almacene los datos, nuestra empresa pasaría a ser el controlador, o controlador y además procesador, mientras que el servicio de cloud constituiría un papel único de procesador. Pero ambos estamos dentro del ámbito de aplicación del nuevo reglamento. Aunque el controlador utilice un servicio de terceros para almacenar la información, seguirá siendo responsable de cumplir con el GDPR.
Mito número seis: “El GDPR se limita a la información de identificación personal”
Es conveniente ser especialmente cautelosos a la hora de considerar los cambios indicados por el GDPR. Y es que la definición de lo que hasta la fecha considerábamos como datos de identificación personal se ha quedado “corta”. Tal y como explica el GDPR, la UE ha ampliado sustancialmente dicha definición de datos personales para reflejar eficientemente los tipos de datos que normalmente se recopilan. Así, ahora deberemos aplicar la normativa adscrita a la regulación a la información recogida sobre personas, a los identificadores online o, incluso, a las direcciones IP, ya que ahora son considerados como datos personales. Otros datos, como la información económica, cultural, genética o de salud mental, también se consideran información de identificación personal. Por tanto, tendremos que seguir la nueva normativa en el caso de que recojamos alguno de estos tipos de información.
Panda Security ayuda a anticiparse al cambio
A pesar de los dos años otorgados para adaptarse a la regulación, lo cierto es que el GDPR implica una serie de cambios profundos en el funcionamiento de la empresa. Para ayudar en el proceso de adecuación y correcta protección de los datos personales, en Panda Security hemos elaborado esta “Guía de anticipación al Nuevo Reglamento General de Protección de Datos Europeo”. En él respondemos a importantes cuestiones relacionadas con el GDPR: ¿Cómo afecta a mi negocio? ¿Qué obligaciones exige esta normativa? ¿Qué ocurre si no cumplo con dichas obligaciones?
Pero, además, trabajamos en soluciones para que los datos y sistemas permanezcan completamente seguros, pudiendo cumplir completamente con el GDPR. Por ejemplo, Adaptive Defense te ayuda con las exigencias del nuevo reglamento a través de herramientas de protección de última generación (NG EPP) y tecnologías de detección y remediación (EDR). Es de vital importancia entender las implicaciones que tiene el GDPR y aplicar, desde ya, un plan de acción que asegure la protección y privacidad de los datos personales de los consumidores de los bienes y servicios de tu empresa.