Muchos clientes están actualmente preocupados por la puesta en marcha del GDPR
Por Hernán Porras CEO WEB24 IT SERVICES LLC
Reglamento General de Protección de Datos, mejor conocido por sus siglas en inglés (GDPR – General Data Protection Regulation) afecta tanto a instituciones públicas y privadas en todo el mundo. En Europa su entrada en vigencia es hoy 25 de mayo de 2018 lo cual trae muchas dudas sobre su implementación y sobre la violación de las mismas por pequeñas y medianas empresas que no tienen ni idea de su existencia.
Lo que más exige es un sistema de 2FA (Doble Certificado de Autenticación) de uso obligatorio sobre incluso aquellos datos personales que parezcan básicos (Nombre, Apellido) para que realmente la persona que suministra sus datos se sienta segura de haberlo hecho y si realmente es la persona que dice ser. Google usa este sistema cuando te comprueba tu email con tu teléfono o con el envío de una confirmación a otro email. Esto para evitar que las personas malintencionadas o delincuentes informáticos sustraigan tus datos personales con facilidad.
Con la nueva norma la implementación de un sistema de cifrado de datos es de carácter obligatorio. No importa si es muy básico o robusto, la normativa exige su implementación. La normativa es bien tajante y prohíbe el uso de protección con clave de documentos Word o PDF así como de compresión de archivos .ZIP como cifrado de datos, por lo que las empresas pueden verificar en un listado de sistemas de cifrados si el que está aplicando corresponde con alguno de los que ellos catalogan como básico o robusto. En realidad la norma exige que sea permitido cualquier sistema de cifrado siempre y cuando su herramienta de vulneración no se ofrezca gratis en Internet. Esto como toda norma necesita pulirse para evitar confusiones generales. En conclusión exige “herramientas profesionales de cifrado” y descarta cualquier herramienta gratuita disponible en Internet con la promesa de cifrar datos porque sugieren que en realidad están robando los datos de las personas que lo implementan y de los futuros usuarios de su sistema.
Uno de los más afectados con la norma son las empresas de origen estatal. Es decir, los gobiernos están obligados a respetar, proteger y cifrar los datos de las personas con un sistema de alto estándar de seguridad. Los datos considerados por la norma de nivel alto (religión, tendencia política, raza) deben ser cifrados en su totalidad y de manera obligatoria.
Todos los datos de Recursos Humanos de las empresas públicas y privadas deben ser cifrados y protegidos. Datos biométricos, personales nunca deberán ser expuestos por muy pequeña que sea la empresa. Si su empresa no cumple con una norma de cifrado usted está en la obligación de informar que los datos que está tomando del currículo de la persona, por ejemplo, estarán expuestos. Incluso usted como empresa está en la obligación de informar sobre las consecuencias que pudieran ocurrir si sufren ataques que roben los datos. Incluso la normativa tilda de ilegal cualquier intento de no cifrar datos personales.
Las imágenes tomadas con cámaras de seguridad exigen también un cifrado especial ya sean si fueron tomadas en espacios públicos o privados. Debe garantizarse el cifrado para proteger la identidad de las personas. Esto incluso lo someten como parte de los datos biométricos de las personas (imágenes, fotos) que deben ser cifrados.
Las compañías deben demostrar que cifran los datos de sus clientes, empleados, allegados, todos los datos que tengan en sus bases de datos o que intercambien por cualquier medio electrónico. En caso de no tener sistemas de cifrados la ley exige que se le informe a las personas sobre las brechas de seguridad que tienen para almacenar los datos.
Ahora las empresas deben incluso cifrar los datos de las portátiles, móviles, tablets o dispositivos electrónicos de sus empleados para garantizar que los datos que manejan dentro y fuera de su empresa están protegidos. La norma también exige que los datos al ser consultados dejen un registro expreso de quién lo consultó, cuando y para qué, de esta manera evitar el robo de datos por parte de personal de la empresa.
Las sociedades de inversión, seguros, abogados, bancos o todo lo que de alguna manera tengan que velar por la protección de la identidad de sus clientes, deben cifrar sus datos sin violar las normas expresas sobre la Ley de Prevención del Blanqueo de Capitales. Hay un listado expreso del tipo de actividad económico que obligatoriamente deben cifrar sus datos.
El cifrado de datos debe cubrir desde la transmisión de los mismos, las copias de respaldo y los equipos que accedan a esos datos. Los abogados, notarios y procuradores están obligados a tener cifrado robusto por la cantidad de información confidencial que manejan. Si este tipo de cifrado lo hubiese considerado Mozack Fonseca, los Panama Papers jamás hubiesen salido a la luz pública afectando la reputación de miles de clientes en todo el mundo.
Para todo el sector sanitario es de obligación extrema el cifrado robusto para mantener la confidencialidad de los datos de sus pacientes, tratamientos, drogas suministradas y toda la información de salud. Estos datos están protegidos por otras leyes pero ahora la GDPR obliga a que los mismos estén cifrados.
Las empresas del sector telecomunicaciones deberán informar a todos sus clientes sobre las brechas de seguridad, ataques informáticos que sufran y están obligadas a cifrar toda la data de sus clientes e intercambio de archivos. Antes si cifraban la data ya no tenían que notificar nada, ahora deben notificar igualmente sobre los ataques o sobre la exposición de los datos. Sin embargo aquí la norma se contradice y aclara que si las operadores del sector telecomunicaciones hicieron un cifrado robusto de los datos de sus clientes, no tienen necesidad de notificar sobre los ataques porque no suponen ningún riesgo en la información.
A los periodistas se les exige también cifrar todas sus fuentes, datos que haya usado en el ejercicio del periodismo para poder mantener la información a salvo y sin peligro de filtraciones. Prevenir la violación del secreto profesional que una fuente tuvo al acceder a un periodista es una de las cosas que debe proteger sistemáticamente con el cifrado de datos.
Para el sector entretenimiento, películas, obras o todo el sector creativo, se les exige un cifrado especial mientras la obra no sea pública para evitar que el material esté en manos de personas que irrespeten la Ley de Propiedad Intelectual.
Si la empresa permite que sus empleados usen sus equipos electrónicos personales dentro y fuera de las instalaciones del trabajo, entonces es deber del empleador contar con programas de cifrado que eviten el intercambio de información o la filtración de información de datos confidenciales. Incluso esto es tratado como una brecha de seguridad informática que la empresa debe notificar a sus clientes o a las personas o entidades que manejan sus datos.
En estos momentos hay muchas empresas mal interpretando el GDPR y están obligando a sus usuarios, clientes y allegados a firmar una renuncia o como en Estados Unidos se conoce como “waiver” para evitar que las personas puedan demandar en caso de la empresa haya comprometido los datos o no tenga un sistema de cifrado de datos instaurado. Esto traerá muchas consecuencias en el futuro inmediato cuando los clientes o allegados aleguen que fueron coaccionados para firmar una renuncia a algo que las empresas deben asegurar, el cifrado de sus datos personales.
Si la empresa no notifica sobre las brechas de seguridad deberá pagar multas que van desde los 300.000 hasta los 600.000 Euros. Y no sólo son las empresas las obligadas a notificar las brechas de seguridad, según la normativa, cualquier persona natural debe hacerlo en caso de haber puesto en riesgo los datos de sus clientes al no cifrarlos adecuadamente. Ahora bien, esta multa es solo por no notificar, existen otras sanciones según el artículo 83 del Reglamento General de Protección de Datos (UE) se podrían llegar a imponer multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.” Y si es recurrente, la sanción va hasta 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
En resumen un sistema 2FA (Doble Certificado de Autenticación) y un cifrado de datos son los que el GDPR persigue que se instaure en su totalidad en todas las empresas no importa el tamaño de las mismas. Y el si la empresa cifra los datos entonces no está en la obligación de informar sobre brechas de seguridad, pero si no está cifrando todos sus datos debe informar a todos los clientes, empleados, allegados sobre las brechas de seguridad existentes en su empresa.
Hernán Porras
CEO WEB24 IT SERVICES LLC
www.Smart-Reputation.com
@hernanporrasm