1. ¿Qué es el GDPR?

Nos referimos como GDPR al nuevo Reglamento General de Protección de Datos de la UE o (EU) 2016/679 adoptado en abril de 2016 y que entra en vigor el 25 de mayo de 2018, día a partir del cual si incumplimiento acarreará multas y posibles demandas.

La Norma 95/46/EC, en vigencia anteriormente, es mucho más laxa y flexible que la nueva, por lo que las empresas afrontarán importantes retos de seguridad en el trato de datos personales.

Todas las organizaciones que recopilen, almacenen y procesen información personal deben cumplir la norma si ofrecen bienes y servicios a ciudadanos de la UE que viven en la UE o monitorean su comportamiento. Esto incluye cualquier empresa sin presencia o sede en la UE o que tiene empleados pero no clientes en el territorio.

Todas las organizaciones deben demostrar el cumplimiento, aunque si estas poseen datos de más de 5000 personas en cualquier periodo de 12 meses, los requisitos aumentan.

La norma, además, distingue entre controladores (determinan los propósitos, condiciones y métodos de procesación de datos) y procesadores (aquellos que procesan en representación del controlador). Su empresa podría ajustarse a uno o ambas definiciones, y sus exigencias, por tanto, serían distintas.

2. ¿Qué podemos considerar como datos personales?

Cualquier dato que ayude a identificar de forma directa o indirecta a una persona: fotografía, nombre, email, teléfono, datos bancarios, DNI, publicaciones en redes sociales, información médica, IP, etc.

 

3. ¿Cuáles son sus principales novedades?

 

  • Notificaciones por pérdidas de datos: dentro de las 72 horas siguientes al conocimiento de una pérdida de información, controladores y procesadores están obligados a informar a las autoridades de supervisión y a los sujetos a los que pertenecen los datos. Los datos cifrados están excluidos de tal requisito de notificación.
  • Consentimiento explícito: el sujeto cuyos datos van a ser recopilados debe autorizar previamente su recolección. No serán válidos largos y complejos formularios. Deberá usarse lenguaje sencillo, la información será específica y el consentimiento debe ser explícito y el sujeto especificar que está deacuerdo en participar en esa recolección. El desestimiento, además, debe ser tan fácil como el consentimiento.
  • Transferencia de datos fuera de la UE: estará prohibida salvo autorización de la Autoridad de supervisión o del sujeto interesado tras informársele de los riesgos que conlleva.
  • Designación de un Oficial de Protección de Datos (DPO): si trabaja con los datos de más de 5000 personas en un periodo de 12 meses es obligatorio contratar o asignar un DPO para la representación de la empresa frente a las Autoridades de supervisión y para que sirva como destinatario de quejas y solicitudes de información de los sujetos con cuyos datos personales se trabaja. El DPO se encarga de diversas actividades destinadas al cumplimiento del GDPR, informa al gerente ejecutivo y su designación es a 2 años que pueden extenderse.
  • Sanciones por incumplimiento: hasta 20 millones de euros o el 4% de las ganancias mundiales. Las multas son escalonadas, se imponen incluso por primeras infracciones y pueden llegar al 2% de las ganancias mundiales solo por no tener requisitos en regla.

4. ¿Cómo cumplir con los requisitos?

Desde Altair Networks proponemos el uso de un dispositivo WatchGuard Firebox con Total Security Suite como modalidad de licenciamiento. Esto permitirá a su empresa abordar 16 de los 20 principales Controles de Seguridad Crítica de SANS (v6), lo cual supone un óptimo cumplimiento de los requisitos del GDPR.

 

 

5. ¿Qué herramientas incluye Total Security Suite?

 

  • Threat Detection & Response (TDR): brinda protección de datos, conocimiento situacional con ThreatSync y corrección automatizada de amenazas. Además, al ser un servicio basado en el cloud, puede optar por almacenar sus datos dentro de la UE para cumplir con el artículo de transferencia de datos.
  • WatchGuard Dimension: proporciona visualización e informes valiosos que ayudan a evaluar la efectividad de las políticas de seguridad al mismo tiempo que se anonimiza cualquier dato personal transformando Información de Identificación Personal o PII en texto de marcador de posición cifrado.
  • Data Loss Prevention (DLP): ayuda a prevenir pérdidas accidentales de datos mediante la detección y bloqueo de archivos de información personal para que no salgan de la red. Permite buscar información personal como datos bancarios deacuerdo a unas reglas que establecemos previamente.
  • Cifrado y VPN: cifrar los datos durante su almacenamiento y tránsito es una estrategia óptima para que, en el caso de pérdida de información, no estemos obligados a su notificación al tratarse de datos cifrados. Conviene también destacar que las soluciones UTM de WatchGuard incluyen la creación de VPN con «drag-and-drop» entre sucursales y la oficina central.

¿Quieres saber más sobre nuestros productos WatchGuard?

1. ¿Qué es el GDPR?

Nos referimos como GDPR al nuevo Reglamento General de Protección de Datos de la UE o (EU) 2016/679 adoptado en abril de 2016 y que entra en vigor el 25 de mayo de 2018, día a partir del cual si incumplimiento acarreará multas y posibles demandas.

La Norma 95/46/EC, en vigencia anteriormente, es mucho más laxa y flexible que la nueva, por lo que las empresas afrontarán importantes retos de seguridad en el trato de datos personales.

Todas las organizaciones que recopilen, almacenen y procesen información personal deben cumplir la norma si ofrecen bienes y servicios a ciudadanos de la UE que viven en la UE o monitorean su comportamiento. Esto incluye cualquier empresa sin presencia o sede en la UE o que tiene empleados pero no clientes en el territorio.

Todas las organizaciones deben demostrar el cumplimiento, aunque si estas poseen datos de más de 5000 personas en cualquier periodo de 12 meses, los requisitos aumentan.

La norma, además, distingue entre controladores (determinan los propósitos, condiciones y métodos de procesación de datos) y procesadores (aquellos que procesan en representación del controlador). Su empresa podría ajustarse a uno o ambas definiciones, y sus exigencias, por tanto, serían distintas.

2. ¿Qué podemos considerar como datos personales?

Cualquier dato que ayude a identificar de forma directa o indirecta a una persona: fotografía, nombre, email, teléfono, datos bancarios, DNI, publicaciones en redes sociales, información médica, IP, etc.

 

3. ¿Cuáles son sus principales novedades?

 

  • Notificaciones por pérdidas de datos: dentro de las 72 horas siguientes al conocimiento de una pérdida de información, controladores y procesadores están obligados a informar a las autoridades de supervisión y a los sujetos a los que pertenecen los datos. Los datos cifrados están excluidos de tal requisito de notificación.
  • Consentimiento explícito: el sujeto cuyos datos van a ser recopilados debe autorizar previamente su recolección. No serán válidos largos y complejos formularios. Deberá usarse lenguaje sencillo, la información será específica y el consentimiento debe ser explícito y el sujeto especificar que está deacuerdo en participar en esa recolección. El desestimiento, además, debe ser tan fácil como el consentimiento.
  • Transferencia de datos fuera de la UE: estará prohibida salvo autorización de la Autoridad de supervisión o del sujeto interesado tras informársele de los riesgos que conlleva.
  • Designación de un Oficial de Protección de Datos (DPO): si trabaja con los datos de más de 5000 personas en un periodo de 12 meses es obligatorio contratar o asignar un DPO para la representación de la empresa frente a las Autoridades de supervisión y para que sirva como destinatario de quejas y solicitudes de información de los sujetos con cuyos datos personales se trabaja. El DPO se encarga de diversas actividades destinadas al cumplimiento del GDPR, informa al gerente ejecutivo y su designación es a 2 años que pueden extenderse.
  • Sanciones por incumplimiento: hasta 20 millones de euros o el 4% de las ganancias mundiales. Las multas son escalonadas, se imponen incluso por primeras infracciones y pueden llegar al 2% de las ganancias mundiales solo por no tener requisitos en regla.

4. ¿Cómo cumplir con los requisitos?

Desde Altair Networks proponemos el uso de un dispositivo WatchGuard Firebox con Total Security Suite como modalidad de licenciamiento. Esto permitirá a su empresa abordar 16 de los 20 principales Controles de Seguridad Crítica de SANS (v6), lo cual supone un óptimo cumplimiento de los requisitos del GDPR.

 

 

5. ¿Qué herramientas incluye Total Security Suite?

 

  • Threat Detection & Response (TDR): brinda protección de datos, conocimiento situacional con ThreatSync y corrección automatizada de amenazas. Además, al ser un servicio basado en el cloud, puede optar por almacenar sus datos dentro de la UE para cumplir con el artículo de transferencia de datos.
  • WatchGuard Dimension: proporciona visualización e informes valiosos que ayudan a evaluar la efectividad de las políticas de seguridad al mismo tiempo que se anonimiza cualquier dato personal transformando Información de Identificación Personal o PII en texto de marcador de posición cifrado.
  • Data Loss Prevention (DLP): ayuda a prevenir pérdidas accidentales de datos mediante la detección y bloqueo de archivos de información personal para que no salgan de la red. Permite buscar información personal como datos bancarios deacuerdo a unas reglas que establecemos previamente.
  • Cifrado y VPN: cifrar los datos durante su almacenamiento y tránsito es una estrategia óptima para que, en el caso de pérdida de información, no estemos obligados a su notificación al tratarse de datos cifrados. Conviene también destacar que las soluciones UTM de WatchGuard incluyen la creación de VPN con «drag-and-drop» entre sucursales y la oficina central.

¿Quieres saber más sobre nuestros productos WatchGuard?