GDPR. Otro desafío en Pandemia

Si bien en estos momentos las consecuencias sociales y económicas debido a la pandemia del SARS-CoV-2 acaparan toda la atención mediática en los medios, tampoco se puede bajar los brazos frente a otros desafíos que aún no se han despejado, y mucho menos solucionado. Una de estas temáticas es la que apunta a la protección de los datos personales, materia que por décadas ha propiciado la adhesión a diferentes estándares de seguridad de la información, así como la modificación a la reglamentación vigente de los países. Si hilamos incluso más fino, el actual escenario de crisis sanitaria ha venido a reforzar aún más esta problemática en las empresas u organizaciones.

Jorge Valenzuela

Con su gestación el año 2016 y posterior puesta en marcha el 2018, el actual Reglamento General de Protección de Datos (RGPD o GDPR) de la Comunidad Europea (UE),sigue generando entusiasmo y cambios en diversas legislaciones del otro lado del Atlántico. De hecho, el también llamado Reglamento 2016/679 empujó en Chile una modificación a la Ley 19.628 sobre Protección de la Vida Privada, dicha mejora en Abril del 2018 incluyo por parte del Senado nada menos que la creación de una Agencia de Protección de Datos Personales. Actualmente no hay certeza si dicha agencia funcionará como una entidad autónoma, o bien será el actual Consejo para la Transparencia (CPLT) la entidad que asumirá dicho rol. Si bien en Chile sigue vigente la promesa de contar este año 2020 con una nueva Ley de Protección de Datos Personales, el objetivo de dicha regulación sigue teniendo el mismo leit motiv de hace dos años: replicar el modelo GDPR europeo.

No hay texto alternativo para esta imagen

Agenda Digital 2020 http://www.agendadigital.gob.cl/

Tal como indica el primer párrafo, las consecuencias del Covid-19 también se han hecho sentir en la protección de los datos individuales. En Chile la Ley 20.584 que regula los derechos y deberes de los pacientes, indica claramente que ningún tercero que no esté directamente relacionado con la atención de salud de una persona debiese tener acceso a su información clínica. Pues bien, tal como informó el medio de investigación Ciper Chile el pasado 25 de Marzo (“Pandemia y Datos Sensibles”), la amenaza de divulgación de datos privados se vio materializada mediante un incidente que puso en duda toda la estrategia de contingencia del gobierno frente a la situación actual del coronavirus:

“Un ejemplo de lo anterior es la reciente filtración de datos de contagiados con el virus COVID-19, en el marco de la emergencia sanitaria, lo que revela la fragilidad del ecosistema normativo que protege la información personal en nuestro país. Bajo normas más estrictas, situaciones como estas deberían ser de más difícil ocurrencia.”

Las cartas están echadas entonces. La actual pandemia revela otra brecha imposible de seguir ocultando bajo la alfombra dentro de la legislación chilena, y me atrevería a decir que en todo el continente. Sin embargo, una cosa es el trabajo legislativo, que por tal o cual razón aún no logra despachar esta ley para su promulgación por parte del ejecutivo, y otra bastante diferente es el trabajo interno que las empresas u organizaciones puedan comenzar a implementar desde ya para la protección de la información sensible de los usuarios. Es aquí donde un plan de recolección, procesamiento y análisis de información sensible se vuelve prioritario, más aún si no existiesen estándares de seguridad dentro de la cultura de la organización.

No hay texto alternativo para esta imagen

Comencemos por la premisa básica, GDPR está dirigido a todas las empresas o entidades de los países miembros de la UE y al resto de organizaciones que, aunque estén fuera de la Unión Europea, establezcan relaciones con personas que allí están establecidas. Ahora bien, cómo entender el modelo propuesto por GPDR desde un punto de vista que permita acomodarlo a lo que la organización realmente necesita, y tan importante como eso, cómo abordar cada punto de este reglamento. Es decir, cómo comenzar con este reglamento.

Hoy en día en cualquier sitio de Internet es posible descargarlo de manera gratuita, por ende una breve descripción de lo que busca implementar GDPR en materia de protección de información sensible se resume a continuación:

  • Fuerza la Responsabilidad y Accountability (responsabilidad auditable) de quienes gestionan información sensible sobre usuarios o clientes.
  • El dato a partir de ahora pasa a ser propiedad del ciudadano, y no de la organización o empresa, pudiendo también caducar o dejar de tener validez. Esto último conlleva la aparición o refuerzo de términos como “derecho al olvido” y “portabilidad”.
  • Nace la figura de un DPO (Data Protection Officer), es decir, un oficial o delegado para la protección de los datos y derechos personales.
  • Se vuelve imperativo contar desde ahora con una Política de Gestión de Datos.
  • A partir de Mayo del 2018 en Europa, o bien desde la fecha en que entre en vigor la ley basada en GDPR en determinados países, las organizaciones quedan reguladas a nivel gubernamental por este reglamento de protección de información, pudiendo sufrir severas multas en caso de incumplimiento.

Al enfocarse este reglamento en la protección de los datos personales, dando además garantías a las empresas que pueden seguir efectuando negocios seguros bajo una legislación robusta, debemos tener presente también cuáles son sus principios, ya que de otra forma es posible que se comience una adhesión a GDPR sin tener total claridad respecto a su naturaleza y objetivo final. 

Los 7 principios de GDPR:

No hay texto alternativo para esta imagen

1.      Legalidad, Equidad y Transparencia

a)      Legalidad: Recopilar todos los datos personales de los clientes o usuarios que podrían verse afectados por el desarrollo de una nueva solución tecnológica, pero de una manera legal, informando al usuario y manteniendo la palabra que sus datos serán protegidos y que se usarán exclusivamente para lo informado. Todos los procesos de alguna manera relacionado a datos personales de ciudadanos europeos, y a futuro de cualquier otro continente, deben cumplir con los requisitos descritos en GDPR. Ante este escenario se vuelve mandatorio contar con la Política de Gestión de Datos a nivel corporativo, la cual indique claramente la adhesión a GDPR y las consecuencias por incumplimiento.

b)     Equidad: Cualquier acción iniciada por la organización en términos de oferta hacia el cliente, ya sea por un controlador o procesador de datos, debe coincidir exactamente con la información que recibió originalmente el sujeto dueño de sus datos personales. La promesa debe ser clara desde un principio en términos de resguardo y manipulación de los datos, los cuales serán usados en base a la ley vigente, y solo durante el período de tiempo indicado.

c)      Transparencia: Siguiendo el principio de equidad, el dueño de los datos personales debe estar informado en forma clara y precisa sobre:

  • propósitos del uso de sus datos
  • uso mismo de estos datos
  • período total del uso y procesamiento de los datos.

A raíz de este primer principio de GDPR, el cliente siempre sabrá qué se va a hacer con sus datos, así como quiénes tendrán acceso a estos.

2.      Limitación del Propósito

Se debe ser lo suficientemente específico al momento de informar al cliente cuál es el propósito de la recopilación de datos personales que se le está informando. El cliente debe percibir esta información sobre el período de tiempo utilizado de la manera más específica, explícita y legítima.

3.      Minimización de los Datos

La recopilación de los datos del cliente debe reducirse al mínimo posible, es decir, obtener solo los datos más relevantes y limitados posibles del cliente, garantizando además que ese límite de información es la necesaria para los fines que se necesitan. Esta cantidad de datos necesaria para ser procesada debe estar debidamente justificada, tal como lo contempla la Política de Gestión de Datos. 

4.      Exactitud

Se trata de almacenar los datos precisos y actualizados. Para ello es necesario estar seguro de no retener los datos de contactos antiguos y desactualizados, garantizando el borrado de aquellos datos inexactos a la brevedad posible.

5.      Limitaciones de Almacenamiento

Otra forma de “minimización de datos”. Esto significa mantener los datos recopilados de tal forma que permitan ser identificados por la parte interesada durante un período no superior al necesario. Se vuelve necesario entonces establecer y documentar el período de retención para los datos personales que sean recopilados y justificar dicho período.

6.      Integridad y Confidencialidad

Mantener una apropiada seguridad de los datos, es decir, garantizar protección contra el procesamiento ilegal de los datos, así como la pérdida accidental de estos, o bien destrucción o daño. En términos de confidencialidad de los datos personales, se debe buscar alguna forma de anonimato, o incluso el uso de pseudónimos para proteger la identidad real de los clientes. Bajo este principio se vuelve fundamental la adhesión a estándares de seguridad mundialmente validados, como por ejemplo ISO 27001 para Seguridad de la Información o ISO 27032 para Ciberseguridad.

7.      Responsabilidad

Bajo este principio, la entidad que ocupará GDPR documentará exhaustivamente todas sus políticas y procedimientos para la recopilación y procesamiento de datos, demostrando de esta manera su cumplimiento con el reglamento europeo de protección de datos personales.

No hay texto alternativo para esta imagen

Para llevar a cabo entonces una adhesión o aproximación a GDPR, buscando garantizar con éxito su puesta en marcha, los pasos a seguir dentro de la organización pueden tener el siguiente itinerario:

1. GAP Analysis GDPR/RGPD: Diagnóstico inicial tras un chequeo de toda la documentación y estructura organizacional relacionada a protección de los datos. Esta información debe estar vigente y validada, incluyendo políticas y procedimientos, así como los roles asignados. Se debe revisar e informar sobre cómo se opera actualmente con los datos sensibles de clientes o usuarios.

2. Adhesión a GDPR/RGDP: Según los resultados del gap inicial se planifica la adhesión al modelo propuesto por este reglamento europeo, traduciéndose además en la creación o mejora del documento eje, la Política de Gestión de Datos. Esta etapa debe contener además una capacitación y entrenamiento en GDPR dentro de la organización, específicamente entre las áreas que manejan, protegen y se hacen responsables de la información sensible.

3. Oficial de Protección de la Información: Establecer las funciones y responsabilidades que tendrá la figura del DPO. Este rol tiene que quedar claramente establecido en la Política de Gestión de Datos, acompañado idealmente por una matriz RACI.

4. Inventario de Información a Proteger: Levantamiento exhaustivo de toda la información que permita descubrir y clasificar cuál es la información sensible relacionada a datos personales que debe gestionarse. Detectar los puntos de alto riesgo para comenzar a planificar desde ahí:

¿Existen políticas de control de acceso?

 ¿Quién tiene acceso a esa información sensible?

¿Esos accesos se realizan de manera adecuada?

¿Quiénes son los propietarios de esa información sensible?

¿Se monitorean los accesos otorgados?

 ¿Cómo se gestiona la información de todas las personas o usuarios?

¿Existe consentimiento de los usuarios en relación a sus datos personales?

¿Existe un almacenamiento de dichos consentimientos de usuarios?

¿Existe un levantamiento de riesgos?

¿Se monitorean los escenarios de riesgo levantados?

¿Cómo se gestionan estos derechos de acceso mediante aplicativos y tecnologías?

5. Procedimientos de Protección de Información: Creación de un conjunto de políticas y procedimientos que indiquen las reglas a seguir en el tratamiento de toda esta información sensible, como por ejemplo promulgar derechos de los usuarios como el del consentimiento y el derecho al olvido. Este trabajo debe ser mancomunado y coordinado entre las áreas de seguridad de la información, tecnología, negocios, servicio al cliente, contraloría y marketing. El cumplimiento de requerimientos legales significará cambios en las operaciones comerciales de la empresa, de ahí la importancia que las áreas de negocios estén alineadas con las áreas técnicas y de cumplimiento en la adhesión a GDPR.

En este punto, se hacen evidentes las ventajas de tener implementado dentro de la organización un estándar de seguridad de la información como ISO 27001, ya que una implementación previa de esta norma aliviará la adhesión a GDPR al contar ya con políticas de seguridad establecidas y validadas, como por ejemplo la Política de Control de Acceso y la Política de Borrado Seguro. Si no existiese un SGSI (Sistema de Gestión de Seguridad de la Información) previamente establecido, es perfectamente posible implementar ambos, ISO 27001 y GDPR, en forma paralela.

6. Revisión de Procedimientos y Mejoras: La mejora continua, como en toda implementación de sistemas de gestión, permite chequear y corregir cualquier falla o deficiencia que haya sido detectado mediante pruebas y reportes. 

No hay texto alternativo para esta imagen

ISO 27001 y GDPR

Los elementos claves en la implementación de un SGSI que van en directo apoyo a una adhesión de GDPR/RGPD son:

  1. Controles de la norma ISO 27001: En su versión 2013 establece una lista recomendada de 114 controles de seguridad a través de su Anexo A, o ISO 27002. Se trata de 14 dominios o secciones diferentes que abarcan una amplia lista de ítems relacionados a seguridad de la información, desde aquellos que están relacionados con un proveedor de servicios y recursos humanos, hasta otros enfocados en gestión de respuestas ante incidentes de seguridad, continuidad de negocio, seguridad física, criptografía, y políticas de seguridad.
  2. Análisis y Gestión de Riesgos: Un análisis y gestión de riesgos debe estar en el centro de un SGSI. Asimismo, GDPR requiere una evaluación de riesgos específica para garantizar que una organización haya identificado los riesgos que puedan afectar a los datos personales. Bajo esta lógica, debe realizarse un exhaustivo análisis de cada uno de los escenarios de riesgo (amenaza/vulnerabilidad) que comprometan la seguridad, específicamente en términos de confidencialidad con los datos personales de los clientes, y que pudiesen no haber sido abordados de manera previa.
  3. Adhesión o Certificación de la norma ISO 27001: La seguridad de la información y el cumplimiento son procesos en curso que deben comprobarse, mantenerse y actualizarse con regularidad. Un error a la hora de aplicar y mantener las prácticas de la seguridad esenciales, así como la desidia al no querer implementar un SGSI dentro de la empresa, puede reducir significativamente la defensa legal de la organización en el caso de una violación de datos. Por estas razones, obtener la certificación de ISO 27001 por parte de un ente independiente proporciona:
  • Una evaluación experta y externa de la eficacia de la seguridad de la organización.
  • Pruebas de que se han tomado medidas razonables y eficaces para reducir los riesgos de seguridad de los datos.

ISO 27032 y GDPR

ISO 27032 se enfoca en ciberseguridad y facilita la colaboración segura y fiable para proteger la privacidad de las personas en todo el mundo. De esta manera, puede ayudar a preparar, detectar, monitorizar y responder a los ataques cibernéticos que comprometen la confidencialidad y fiabilidad de los datos en tránsito. Así entonces, este estándar permite luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.

Medidas técnicas mínimas bajo el GDPR

  • Firewalls que están correctamente configurados y que sean utilizados como el último software.
  • Gestión de control de acceso de usuarios mediante, por ejemplo, la funcionalidad UAC en Windows. Se recomienda que la cuenta de usuario normal del administrador de la red y su cuenta con privilegios de administrador se separen y solo se usen cuando sea apropiado. Esto permite que la auditoría y el control de las acciones del administrador sean mucho más simples.
  • Passwords o contraseñas únicas de suficiente complejidad y caducidad regular (pero no demasiado frecuente) en todos los dispositivos (incluidos los teléfonos móviles), para defenderse contra ataques como el de “diccionario”.
  • Actualizaciones regulares de software si corresponde, mediante el uso de software de administración de parches.
  • Retiro puntual y borrado seguro (que hace que los datos no puedan recuperarse) de software y hardware antiguos
  • Protección antivirus, antimalware y antispyware en tiempo real.
  • Encriptación de todos los dispositivos portátiles que garantiza la protección adecuada de la clave.
  • Encriptación de datos personales en tránsito mediante el uso de soluciones de cifrado adecuadas. Esto puede incluir conexiones SSL e IPsec VPN, las cuales son apropiadas para las conexiones de máquina a máquina, o PGP que generalmente se usa para mensajes, como correo electrónico.
  • Implementar la configuración segura en todos los dispositivos (incluidos los teléfonos móviles)
  • Poner en marcha sistemas de detección y prevención de intrusiones (IPS).
  • Realizar copias de seguridad (backup)

 Medidas organizativas mínimas bajo el GDPR

  • Evaluar y capacitar al personal, contratistas, proveedores y proveedores de manera continua
  • Insistir en los acuerdos de no divulgación antes de entrar en acuerdos formalizados
  • Proporcionar capacitación al personal sobre las obligaciones de procesamiento de datos, identificación de violaciones y riesgos. Incluso con el software de seguridad líder en el mercado, es posible que no se pueda evitar algunas infracciones sin tener el personal debidamente capacitado.
  • Restringir el acceso del personal a los datos personales solo a aquellos que necesitan conocer esta información.
  • Garantice la seguridad física en las instalaciones, incluida la política para que el personal guarde sus documentos durante la noche en gabinetes seguros y elimine cualquier impresión confidencial que ya no sea necesaria, colocándolos en un contenedor confidencial o bien eliminándolo través de una trituradora de papel.
  • Implementar una prohibición estricta sobre el uso del correo electrónico personal con fines laborales.

Qué podemos concluir entonces respecto a los beneficios de adherirse lo más posible a los principios de GDPR:

  • Nuevas aristas en medio del escenario de pandemia por coronavirus, demostraron que en cualquier momento, sea la causa que sea, los riesgos de no resguardar los datos personales de los individuos pueden acarrear consecuencias nefastas en la población. El riesgo de estigmatización de los contagiados por el virus del Covid-19 se sumó ahora a los posibles ilícitos que desde siempre han alertado sobre el mal uso de información confidencial.
  • Se vuelve indispensable para Chile, así como para el resto de América Latina, actualizar su legislación vigente en términos de protección de los datos personales, ya que la actual situación de emergencia sanitaria solo vino a reforzar la precariedad que reina en algunas sociedades respecto a la exposición y divulgación de información sensible.
  • La empresas u organizaciones que se basan en las reglas de GDPR reducen las posibilidades de sufrir brechas respecto a la protección y disponibilidad de datos sensibles, ya que a partir de la adhesión al reglamento europeo se pude seguir operando, pero ahora con procesos más eficientes y seguros, previniendo retrasos y evitando costos innecesarios. 
  • Las empresas que garantizan la seguridad, protección y un buen manejo de los datos a través de un entorno de alta disponibilidad, son vistas como organizaciones altamente confiables, puesto que con ellas no hay peligro de compartir la información personal más allá de la estrictamente necesaria. Esto último redunda en una mejor reputación y mayores ingresos, variables claves en una matriz de riesgos.
  • Actualmente los datos están dispersos en diferentes nubes y sistemas, por esta razón se vuelve imprescindible contar con un alto nivel de control y visibilidad de estos datos, para saber dónde residen y monitorear la seguridad con que se mueven dentro de la infraestructura interna y externa. Esto no sólo se alinea con GDPR, sino que además aumenta el valor de la información del negocio.
  • Al existir un respeto a la privacidad de los usuarios o clientes, así como una estructura robusta del gobierno de dato (data governance), GDPR facilita la entrada de las organizaciones a la era de la transparencia.
  • Una planificación con etapas claramente establecidas, y validada además con las diferentes áreas que interactúan con los datos, permitirá a la empresa una adhesión al modelo propuesto por GDPR con total garantía de éxito, tanto en términos prácticos como de cultura organizacional.
No hay texto alternativo para esta imagen

Autor:

Jorge Valenzuela Trina

Consultor GRC (Gestión de Continuidad de Negocio, Gestión de Seguridad de la Información, Gestión de Servicios

https://www.linkedin.com/pulse/gdpr-otro-desaf%C3%ADo-en-pandemia-jorge-valenzuela-trina/

Deja un comentario