Header Ads Widget

Ticker

6/recent/ticker-posts

Actúe ahora antes de la fecha límite de GDPR


 Cualquier proveedor de datos que se precie debe conocer las consideraciones legales y normativas de su zona de operaciones. La forma en que se almacenan y procesan los datos del usuario está controlada por una amplia gama de regulaciones, y comprender estas regulaciones es clave para ejecutar una operación compatible. El RGPD de la UE  es quizás el reglamento más amplio sobre privacidad que haya visto la industria.

El Reglamento general de protección de datos ( GDPR ) está diseñado principalmente para hacer cumplir la privacidad de los datos de la UE . Aunque los datos protegidos pueden ser específicos de la UE, la UE no es de ninguna manera el único grupo afectado por dicha legislación: el GDPR es efectivamente una regulación global , y el incumplimiento de estas regulaciones GDPR puede ser costoso, por no mencionar peligroso.

En consecuencia, con una fecha de cumplimiento que se acerca rápidamente, debe actuar ahora. Hoy, describiremos las complejidades de GDPR, luego profundizaremos en 5 pasos para el cumplimiento de GDPR que cualquier organización, independientemente de su tamaño, propósito o historial, puede incorporar a su esquema de protección de datos.

Dado que las API web están en el centro de la transferencia y el almacenamiento de datos, muchos de ellos personales, es imperativo que todos los proveedores comprendan las implicaciones de GDPR. Por un lado, es posible que esté almacenando demasiados datos de los que necesita ...

¿Qué es el RGPD?

El GDPR, o Reglamento general de protección de datos, es un reglamento de amplio alcance del Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea. El RGPD fue diseñado para reemplazar la directiva de protección de datos, conocida oficialmente como Directiva 95/46 / EC , que era una directiva de protección de datos más antigua y algo obsoleta de 1995.

El GDPR es aplicable a partir del 25 de mayo de 2018 y revisa los métodos sobre cómo se recopilan y protegen los datos. La intención del GDPR es establecer un conjunto único y unificado de reglas en toda la UE para armonizar las regulaciones sobre seguridad y establecer un ecosistema de datos más seguro.

Lea también: Cumplimiento de las nuevas y estrictas normas de la UE sobre protección de datos

¿Qué leyes de protección son parte del GDPR?

La principal preocupación del GDPR es proteger los datos personales. El RGPD define los datos personales como información relacionada con una persona que puede ser identificada , directa o indirectamente, por dichos datos. Estos datos pueden incluir una amplia gama de tipos y valores, que van desde números de identificación hasta datos de ubicación, datos económicos, datos financieros , identidades sociales y más. Estos datos pueden ser tan específicos como la información de seguridad social y tan generales como direcciones IP y cookies.

Controladores y procesadores

El reglamento GDPR separa las responsabilidades entre dos partes principales: controladores de datos y procesadores de datos. Tanto los controladores como los procesadores deben "implementar las medidas técnicas y organizativas adecuadas" y tener en cuenta "el estado del arte y los costos de implementación".

En última instancia, los controladores y procesadores deben tratar sus datos como de suma importancia , como puntos finales extremadamente seguros. De hecho, el GDPR requiere que tanto los Controladores como los Procesadores consideren " la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de variabilidad y severidad de los derechos y libertades de las personas ". fuente ).

Delegados de protección de datos

Las entidades de mayor escala, especialmente aquellas que pueden tratar con cantidades masivas de datos , como empresas de investigación o procesadores de pagos , deben designar un Oficial de Protección de Datos según el GDPR. Se requiere que estos oficiales tengan un conocimiento experto tanto del reglamento de protección de datos GDPR como de las prácticas generales de protección de datos, y se les considera la "entidad responsable" de la seguridad de los datos en general.

El nivel real de experiencia requerido por el GDPR debe ser, de acuerdo con la regulación, apropiado y particular para las operaciones de procesamiento de datos que lleva a cabo la organización, y debe respaldar los métodos y estándares de protección requeridos para los datos personales procesados ​​y administrados por el Controlador o Procesador.

Cabe señalar que la existencia de un funcionario de este tipo es un mandato en gran medida para las organizaciones que se ocupan de datos a gran escala y, debido a esto, es probable que las organizaciones más grandes ya tengan un funcionario de este tipo en su equipo ejecutivo que cumpla con este requisito. Es probable que las organizaciones más pequeñas y sus API no se encuentren con este requisito debido a su alcance mucho más limitado y aislado del rango de recopilación de datos.

Privacidad y consentimiento

El GDPR se ocupa principalmente de un enfoque basado en el riesgo para mantener la privacidad de los datos . Todas las medidas y evaluaciones de riesgo ordenadas por el RGPD se realizan con el concepto de mantener intactos los derechos de los interesados; este ha sido el enfoque completo del RGPD desde el primer día y también se conoce como " Privacidad por diseño ".

Como parte de este concepto, el consentimiento es una gran pieza del rompecabezas, que informa cada acción tomada por el proveedor de datos. Se requiere el consentimiento de todos los interesados ​​para garantizar que no solo sean conscientes de que se recopilan sus datos, sino que también se manejan y protegen de manera adecuada. También se debe informar a los sujetos por qué se recopilan sus datos, así como durante cuánto tiempo se guardan dichos datos; en última instancia, los sujetos deben ser los propietarios de sus propios datos y recibir controles sobre esos datos independientemente de quién los esté utilizando actualmente.

Los datos solo deben recopilarse, de acuerdo con el RGPD, en términos específicos, explícitos y legítimos. El consentimiento también debe recopilarse bajo estas estrictas pautas y debe ser demostrable : este consentimiento debe registrarse junto con la información sobre cómo se recopiló y debe almacenarse para probar este consentimiento en el futuro. El consentimiento debe otorgarse libremente ; los datos no requeridos para el contrato no pueden exigirse como parte de este consentimiento. Quizás lo más importante es que este consentimiento debe ser opcional y estar bajo el control del sujeto; debe poder rescindirse.

Relacionado: Leyes de privacidad e intercambio internacional de datos: comparación de los estándares de la UE y los EE. UU.

Infracciones, notificaciones y sanciones

El RGPD es una directiva, tiene fuerza en su aplicación. En primer lugar, el RGPD requiere un mecanismo para alertar a los usuarios cuando se ha producido una violación de datos y exige que dicha notificación se produzca sin "demoras indebidas" y, cuando sea posible, "a más tardar 72 horas" después de que el proveedor haya tenido conocimiento de tal brecha. Si el tiempo entre la infracción y la notificación es superior a 72 horas, el proveedor debe proporcionar una justificación razonable de por qué tomó tanto tiempo.

No cumplir con el RGPD es cuando entran en juego las multas. Hasta 20 millones de euros o el 4% de las ventas anuales en todo el mundo se mantienen como la pena máxima por infringir el RGPD; esto sin mencionar el hecho de que a los interesados ​​se les proporciona un mecanismo para las demandas civiles contra la organización responsable de la infracción y los datos expuestos.

Esto puede parecer excesivamente grande, pero debe contextualizarse con el hecho de que tales sanciones no se aplican a la ligera y no se aplican universalmente para todas las situaciones: la primera vez, es probable que las infracciones accidentales se traten mucho menos que aquellos que desafían deliberadamente las regulaciones. de codicia y negligencia deliberada.

En seguridad: protección de su flujo de datos con cifrado P2P

¿Tienen que cumplir las entidades de EE. UU. Y fuera de la UE?

Quizás una pregunta clave en toda esta conversación es: ¿las empresas de fuera de la UE tienen que cumplir con el GDPR? Debido a que la regulación tiene que ver con datos que conciernen específicamente a ciudadanos de la UE, muchos parecen pensar que el GDPR solo se ocupa de las operaciones de la UE. El simple hecho es, sin embargo, que es tan probable que las organizaciones internacionales utilicen datos de la UE como datos de EE. UU. O SEA; por lo tanto, si una organización hace algún negocio en la UE o utiliza datos de ciudadanos de la UE, se requiere su cumplimiento.

¿Cómo afecta el RGPD a las API y sus datos?

Todas estas emisiones reglamentarias se suman a un requisito específico: seguridad mejorada de los datos del usuario y recopilación limitada. Esta ha sido una sugerencia de seguridad común durante años, y vale la pena repetirla: recopile solo lo que necesita y bloquee lo que ha recopilado . Hasta ahora, eso ha sido simplemente una sugerencia: muchos proveedores a menudo han recopilado más datos de los que necesitaban, y las respuestas punitivas de los reguladores solo se discutían durante las violaciones de seguridad como parte de las demandas presentadas contra las organizaciones que exponen.

Ahora que la UE ha promulgado esto de manera más estricta, las limitaciones regulatorias relativamente laxas sobre la cobranza de las que han disfrutado las empresas estadounidenses ahora estarán sujetas a las regulaciones de la UE si esas organizaciones hacen negocios en la UE. En consecuencia, si su API utiliza datos de la UE en absoluto, ni nunca quiere expandirse más allá de sus tiendas locales de datos regionales, que SE necesitarán adaptarse a la GDPR y garantizar el cumplimiento.

Lea también: Una guía humana para redactar la política de la plataforma API

5 pasos para el cumplimiento de GDPR

Ahora que entendemos el RGPD, debemos garantizar el cumplimiento. Si bien puede parecer abrumador llegar a este nivel, el hecho es que, a través de unos simples pasos, incluso las API más grandes y complejas pueden garantizar el cumplimiento.

1 - Requisitos organizativos de auditoría

Antes que nada, la organización debe ser auditada para ver qué se recopila en términos de información del usuario . Si bien muchos de los datos recopilados en aplicaciones modernas se han considerado en general parte de la analítica , muchos de estos datos ahora están cubiertos en el GDPR y deben protegerse con un mayor enfoque en la seguridad o eliminarse de la recopilación por completo.

Los proveedores deben analizar qué datos se recopilan desde un punto de vista holístico y restringir dichas recopilaciones solo a lo que se necesita. Muchas API, especialmente las derivadas de otros proyectos de desarrollo, pueden recopilar de forma predeterminada mucho más de lo necesario.

En consecuencia, determinar los requisitos organizativos de su API y, ya sea aumentar las metodologías de seguridad o limitar el alcance de la recopilación, es clave para cumplir con el GDPR y, en muchos sentidos, es la solución más rentable, considerando todos los aspectos.

2 - Entender el sistema

No toda la recopilación de datos procederá de una fuente conocida. Con el RGPD, no tener en cuenta estas fuentes adicionales y tratarlas adecuadamente es negligencia . Los proveedores de API a menudo usan versiones muy versionadas o mutadas de su base de código y, como tal, a menudo hay muchos puntos finales indocumentados, sistemas con errores y más que recopilan datos sin que el usuario o el proveedor estén al tanto de dicha recopilación.

Este proceso generalmente se considera " descubrimiento de datos " y es clave para garantizar el cumplimiento. Si bien limitar su recopilación desde un punto de vista organizativo es un primer paso, no significa nada si también recopila cantidades masivas de datos con poca comprensión de la mecánica detrás de dicha recopilación.

Realice el descubrimiento de datos y verifique cada punto final, cada componente interno y asegúrese de que los datos que está recopilando son los que cree que son. Con el primer paso, y ahora este segundo paso, su recopilación de datos debe entenderse y gestionarse bien, abordando los mayores obstáculos para el cumplimiento.

3 - Evaluar, documentar y resolver riesgos

Con una auditoría organizacional implementada y una mayor comprensión del sistema como un todo formado, se deben evaluar los riesgos y vulnerabilidades de los datos para determinar su posible daño y exposición. Luego, estos deben documentarse, tanto en términos de dónde está el riesgo, cómo se descubrió y qué se está haciendo para mitigarlos.

La razón para documentar vulnerabilidades es doble. En primer lugar, las multas y otras medidas punitivas se emiten en gran medida para aquellos que ignoran las regulaciones de manera maliciosa o negligente; tener pruebas de que la entidad es consciente de los riesgos y se esforzó por mitigarlos contribuirá en gran medida a demostrar que cualquier incumplimiento no fue debido. a negligencia, pero en lugar de circunstancias fuera del control de la entidad. Además, la mitigación debe estar guiada por un proceso auditable para garantizar el cumplimiento y la conformidad con el GDPR para garantizar que los riesgos se minimicen al menos, si no se eliminen.

En última instancia, la resolución de riesgos dentro del sistema contribuirá en gran medida a proteger el sistema en su conjunto, y GDPR o no, es probable que los proveedores de este proceso deban pasar independientemente.

4 - Procesos y datos críticos seguros

Este paso es importante, pero pensar que se aplica principalmente solo al GDPR no es cierto: asegurar los datos y procesos críticos es fundamental para las operaciones diarias de cualquier organización.

Los proveedores deben analizar todos los datos y procesos críticos y asegurarlos inmediatamente a los niveles apropiados más altos posibles. Un buen mantra para este paso es este: si cree que está siendo demasiado entusiasta con la seguridad, es probable que esté cumpliendo con los requisitos mínimos del GDPR.

Comience con sus activos principales : los datos financieros, la información federal, las direcciones, etc. deben protegerse de la manera más estricta y diligente posible, ya que son, en muchos sentidos, los datos más importantes que se recopilan. A partir de aquí, diversifique a datos menos importantes, pero aún críticos, como la dirección IP y la información de ubicación. Es posible que estos no necesiten los mismos controles de seguridad estrictos, pero aún deben estar fuertemente asegurados con los mecanismos adecuados.

Visite nuestra página API Security Insights para leer más sobre seguridad API

5 - Revisar, repetir, revisar

Una vez que haya completado los cuatro pasos iniciales, repita los procesos . Si introdujo soluciones externas o correcciones internas en el tercer y cuarto paso, podrían crear sus propios problemas o revelar problemas no descubiertos. Por lo tanto, se requiere una verificación reiterada.

Ejecutar el proceso nuevamente y finalizarlo con una simple auditoría para garantizar el cumplimiento, ayudará a detectar cualquier problema rezagado y brechas en la seguridad. Si bien esto puede parecer excesivo, muchos errores y problemas en implementaciones comunes no surgen porque fueron parte de la primera base de código, sino que son el resultado de correcciones urgentes , nuevas funciones y versiones adicionales . Lo mismo suena cierto en las API y, como tal, se requieren controles secundarios o incluso terciarios para garantizar el cumplimiento total.

Conclusión

En última instancia, si una organización realiza cualquier actividad comercial que depende de los clientes de la UE, adoptar las regulaciones y consideraciones de GDPR no es una opción , es una cuestión de requisito. La adopción de tales regulaciones será aún más importante a medida que los macrodatos se hagan más grandes y las prácticas de recolección centrales se vuelvan más prolíficas; en consecuencia, tomar algunos pasos simples ahora y asegurar los datos de acuerdo con las regulaciones de GDPR contribuirá en gran medida a mitigar cualquier costo adicional en tiempo y esfuerzo. por el camino.

Publicar un comentario

0 Comentarios