Informe Especial: Microsoft frente al RGPD en #HablandoDeSeguridad

Este reglamento impacta a las empresas de todas partes del mundo que interactúen con organizaciones europeas. Microsoft comenzó a trabajar en este tema desde hace un par de años, entendiendo la importancia que tiene en aspectos que van desde la infraestructura de protección de datos a la implementación de tecnologías como Cloud.

Microsoft dedicó mucho tiempo y recursos al estudio del RGPD, pero siempre recomienda trabajar con un profesional legal calificado a fin de precisar su alcance, su aplicación específica en cada organización, y la mejor manera de asegurar su cumplimiento.

Introducción

El Reglamento General de Protección de Datos, o RGPD, establece un nuevo estándar global en materia de la protección de datos, seguridad y cumplimiento normativo.

¿Qué es el RGPD?

El RGPD es la nueva ley de protección de datos de la Unión Europea, la cual sustituye a la Directiva de Protección de Datos vigente desde 1995.

Si bien mantiene muchos de los principios establecidos en la anterior Directiva, es una ley mucho más ambiciosa. Entre sus cambios más notables, el RGPD otorga a los individuos un mayor control sobre sus datos personales e impone muchas nuevas obligaciones en las organizaciones que recolectan, manejan, o analizan datos personales. También da a las autoridades de protección de datos personales facultades para imponer multas significativas a las organizaciones que lo incumplan.

¿Cuándo entró en vigencia?

El RGPD entró en vigor el 25 de mayo de 2018. Realmente se convirtió en ley en abril de 2016, pero debido a los cambios significativos que algunas organizaciones tuvieron que hacer para alinearse con este reglamento, se concedió un período de gracia de dos años para su aplicación.

Actualmente no existe ninguna prórroga para su cumplimiento y algunos reguladores de los Estados miembros de la Unión Europea ya han declarado que no habrá excepciones para las organizaciones que no cumplan.

¿Cuáles son los principales requisitos del RGPD?

El RGPD impone una amplia gama de requisitos a las organizaciones que recolectan o procesan datos personales, incluyendo un requisito para cumplir con seis principios clave:

1) Transparencia, equidad y legalidad en el manejo y uso de datos personales. Las organizaciones tendrán que ser claras en la comunicación con los individuos sobre cómo están utilizando los datos personales y se requerirá un “base legal” para procesar esos datos.

2) Limitación del tratamiento de datos personales a propósitos especificados, explícitos y legítimos. No se podrá reutilizar o revelar datos personales para fines que no sean “compatibles” con la finalidad para la que se recopilaron los datos originalmente.

3) Minimizar la recopilación y almacenamiento de datos personales a lo que sea adecuado y pertinente para el propósito previsto.

4) Garantizar la precisión de los datos personales permitiendo que sean borrados o rectificados. Deberán tomarse las medidas necesarias para asegurarse de que los datos personales que se tiene son correctos y que pueden corregirse si se producen errores.

5) Limitación al almacenamiento de datos personales. Las organizaciones tendrán que asegurarse que conservan los datos personales sólo durante el tiempo que sea necesario para lograr los propósitos para los cuales declararon que los datos fueron recolectados.

6) Garantizar la seguridad, integridad y confidencialidad de los datos personales. Cada organización debe tomar medidas para mantener los datos personales seguros mediante medidas de seguridad técnicas y organizacionales.

¿Son los seis principios descritos en el punto anterior los únicos requisitos establecidos?

No. Hay muchos más. Por ejemplo, el RGPD da a las personas una serie de derechos sobre sus datos personales, tales como el derecho de acceso o corrección o su eliminación. Cada organización deberá contar con planes para atender y responder las solicitudes de las personas que quieran ejercer estos derechos.

También es posible que se tengan que cumplir con otros requisitos, tales como:

  • Observar reglas especiales para la perfilación de individuos
  • Mantener registros detallados del tratamiento
  • Seguir principios de “privacidad por diseño” y “privacidad por defecto”. Se espera que las organizaciones incorporen características de privacidad y funcionalidad en sus productos y servicios, desde el momento en que son diseñados por primera vez. El RGPD no dicta las características específicas, pero exige desarrollar características basadas en factores como:
    • La naturaleza del tratamiento y los riesgos a la privacidad que dicho tratamiento plantea
    • La necesidad de implementar medidas de seguridad y el costo de su implementación
    • Las organizaciones deben también implementar medidas para asegurar que, de forma predeterminada, no se procesen más datos de los necesarios.
    • Nombrar un oficial de protección de datos
    • Reportar violaciones de seguridad de los datos personales
    • Realizar evaluaciones de impacto en la protección de datos
    • Limitar las transferencias de datos a determinados destinos fuera del espacio económico europeo.

¿Cuándo una organización está alcanzada?

El ámbito de aplicación del RGPD es más amplio de lo parece a primera vista. A diferencia de las leyes de privacidad en algunas otras jurisdicciones, el RGPD es aplicable a organizaciones de todos los tamaños y todas las industrias.

Tiene un efecto de alcance que guarda similitudes con la Sarbanes Oxley Act, que si bien es un Act estadounidense, alcanza a todas las operaciones globales de las empresas que cotizan en Wall Street; por lo que por ejemplo una PyME, de cualquier parte del mundo, que quiera venderle servicios informáticos a una sucursal local de una de estas empresas, debe cumplir con los principios de “Gobernabilidad de Sistemas” especificados en esta ley.

Específicamente, el RGPD aplica al:

  • Tratamiento de datos personales, si el tratamiento se realiza en el contexto de las actividades de una organización establecida en la Unión Europea (independientemente del lugar en que se realice el proceso);
  • Tratamiento de datos personales de personas que residen en la Unión Europea por una organización establecida fuera de la Unión Europea, cuando ese tratamiento se refiera a la oferta de bienes o servicios a esas personas o al monitoreo de su comportamiento.

A menudo se considera a la Unión Europea como un modelo a seguir en cuestiones de privacidad a nivel internacional, por lo que es esperable ver con el tiempo los conceptos del RGPD adoptados en otras partes del mundo.

¿Cómo sabemos si los datos que una organización está procesando, están abarcados por el RGPD?

El Reglamento regula la recolección, almacenamiento, uso y distribución de “datos personales”. El RGPD tiene un concepto amplio de datos personales definiéndolos como cualquier dato que se relacione con una persona natural identificada o identificable. Esto puede incluir datos como:

  • Identificadores online (por ejemplo, direcciones IP)
  • Información de empleados
  • Bases de datos de ventas
  • Información de servicios al cliente
  • Formularios de comentarios de clientes
  • Datos de ubicación
  • Datos biométricos
  • Registro de imágenes estáticas y de video de cualquier tipo
  • Registros de programas de fidelidad
  • Información financiera
  • Información de salud
  • Y todo tipo de datos que puedan ser asociados a un individuo

De hecho, el término es tan amplio que incluso puede incluir información que no parece ser personal, como por ejemplo una foto de un paisaje sin personas, cuando esa información esté vinculada por un número de cuenta o un código único a un individuo identificable.

Incluso los datos personales que has sido seudonimizados, pueden ser datos personales si la seudonimización está vinculada a un individuo en particular.

También se debe ser consciente de que el tratamiento de ciertas categorías “especiales” de datos personales, como los que revelen el origen racial o étnico, o que se refieran a la salud u orientación sexual, están sujetos a reglas más estrictas que el tratamiento de datos personales “ordinarios”.

¿Cuáles son los derechos de los individuos?

Los individuos tienen muchos derechos bajo el RGPD que las organizaciones deben respetar. Estos incluyen:

  • El derecho para acceder a los datos personales que una organización tiene sobre ellos; para que sus datos personales sean corregidos o eliminados (el “derecho a ser olvidado”)
  • Pedir que una organización deje de procesar sus datos personales
  • Objetar actividades de marketing directo
  • Revocar el consentimiento a ciertos usos de sus datos personales
  • Derecho a la portabilidad de los datos: significa que se debe proporcionar a los individuos acceso a sus datos personales, de manera que les sea fácil mover sus datos personales a otro lugar

Si una organización sólo está procesando datos en nombre de otros. ¿también tiene que cumplir con el RGPD?

Sí. Aunque las reglas difieren un poco, el RGPD se aplica a las organizaciones que recopilan y procesan datos para sus propios propósitos (“responsables”) como aquellas organizaciones que procesan los datos en nombre de otros (“encargados”). Este es un cambio frente a la vieja Directiva, la cual se aplicaba principalmente a los responsables del tratamiento.

¿Qué riesgos enfrenta una organización si no cumple?

Durante las últimas décadas, las leyes de protección de datos europeas generalmente no incluyen multas significativas por infracciones. Eso cambiará dramáticamente bajo el RGPD. La multa máxima por infracciones graves puede ascender a los €20 millones o el cuatro por ciento de las ventas anuales globales. Además, el RGPD faculta a los consumidores (y a las organizaciones que actúen en su nombre) a adelantar acciones civiles contra organizaciones que infrinjan el RGPD.

En este contexto ¿Qué significa en concepto de “Transparencia de una organización?

El RGPD incluye reglas detalladas acerca de lo que se le debe informar a los individuos acerca del tratamiento de sus datos personales. Esto incluye, entre otras cosas:

  • Información sobre por qué se están procesando los datos personales
  • Cuánto tiempo se almacenarán los datos (o, si no es posible, los criterios utilizados para determinar ese período)
  • Con quien se compartirán los datos personales
  • Si los datos personales serán transferidos fuera del espacio económico de la Unión Europea

Esta información debe ser presentada de una manera que sea clara y fácilmente accesible.

¿Qué significa que las organizaciones deben tener un “base legal” para procesar datos personales?

Bajo el RGPD, no se pueden procesar datos personales simplemente porque se quiera. Debe existir un sustento legal para dicho tratamiento. El RGPD proporciona varios motivos para el tratamiento, incluyendo:

  • Cuando el tratamiento es necesario para cumplir con un contrato
  • Cuando un individuo ha consentido el tratamiento de sus datos
  • Cuando el tratamiento se realiza en el “interés legítimo” de la organización (asumiendo que dicho interés no sea superado por el derecho del individuo)

¿Cuál es el glosario clave que utiliza el RGPD?

El artículo 4 del RGPD incluye una lista de términos definidos utilizados en el Reglamento. Los más importantes son los siguientes:

  • “Responsable” significa la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.
  • “Encargado” significa la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
  • “Datos personales”: toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo:
    • Un nombre
    • Un número de identificación
    • Datos de localización
    • Un identificador en línea
    • Uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
  • “Tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recopilación, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
  • “Seudonimización” significa el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

¿Qué aspectos de Seguridad Informática y de la Información deben tomarse en cuenta para el cumplimiento?

El RGPD requiere tomar medidas para mantener los datos personales seguros. Esto incluye “medidas organizacionales” tales como limitar el número de personas dentro de su organización que pueden acceder a los datos personales, y “medidas técnicas”, como el cifrado de los datos.

El RGPD no establece de manera exacta las medidas de seguridad que las organizaciones deben adoptar. En cambio, exige que las organizaciones por sí mismas determinen las medidas de seguridad a ser adoptadas, dependiendo de factores como la naturaleza de los datos personales, su sensibilidad y los riesgos involucrados en su tratamiento.

Hay muchos tipos de riesgos de seguridad a considerar, desde la intrusión física por terceros no autorizados, la deshonestidad de empleados, la pérdida accidental, y a los ataques de hackers en línea. La adopción de planes de gestión de riesgos y de medidas de mitigación de riesgos, tales como la protección de contraseñas, logs de auditoría y el cifrado de datos, pueden ayudar a asegurar el cumplimiento regulatorio.

¿Qué tipo de registros se deben mantener?

Las organizaciones deben mantener expedientes internos detallados de las actividades de tratamiento. Esto incluye:

  • Registros sobre los propósitos del tratamiento
  • Las categorías de datos personales procesados
  • Las transferencias de datos personales fuera del espacio económico europeo
  • Las medidas de seguridad empleadas para proteger los datos.

Las herramientas de auditoría pueden ayudar a asegurar que cualquier tratamiento de datos personales, ya sea recolección, uso, intercambio o cualquier otro tratamiento, que sea rastreado y registrado.

¿Es necesario llevar a cabo evaluaciones de impacto en la protección de datos y en qué consisten?

Se deben llevar a cabo evaluaciones de impacto en la protección de datos si las actividades de tratamiento presentan un alto riesgo para los derechos y libertades de los individuos. Estas evaluaciones generalmente implican identificar y documentar los riesgos de privacidad planteados por el tratamiento propuesto, y planificar medidas de mitigación para ayudar a controlar y minimizar esos riesgos.

En algunos casos, las organizaciones también deben consultar a las autoridades locales de protección de datos antes de emprender el tratamiento.

¿Cómo se debe actuar si se produce una violación de seguridad de los datos personales?

El RGPD define una “violación de seguridad de los datos personales” como “un incidente de seguridad que conduce a la destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizado de datos personales, transmitidos, almacenados o procesados de cualquier otra manera.” En caso de producirse una violación de seguridad de los datos personales, el RGPD exige reportar a las autoridades de protección de datos personales dentro de las 72 horas siguientes a detectar dicha violación. Es posible que también se tenga que notificar a las personas afectadas si existe un riesgo significativo de daño debido a la infracción.

¿Qué pasa si una organización transfiere datos a países fuera de la UE?

El RGPD regula de manera estricta las transferencias de datos personales de los residentes europeos a destinos fuera del espacio económico europeo. Es posible que tenga que establecer un mecanismo legal específico, como un contrato, o adherirse a un mecanismo de certificación con el fin de habilitar estas transferencias. Microsoft en particular detalla los mecanismos que usa en sus “Términos de Servicios en Línea”.

Si una organización utiliza un proveedor para procesar datos personales, ¿qué se debe saber?

El RGPD requiere que los responsables del tratamiento utilicen sólo encargados que garanticen que la “implementarán medidas técnicas y organizacionales ” que protejan los derechos de los titulares de los datos y se satisfagan los requisitos de tratamiento del RGPD. Por ejemplo, en el contexto de los servicios en línea empresariales como Office 365, Microsoft es un encargado del tratamiento y nuestros clientes con los responsables.

Microsoft ofrece a sus clientes de licenciamiento por volumen un compromiso contractual, conocido como los “Términos RGPD”, para cumplir con los requerimientos contractuales del RGPD con respecto a los servicios en línea empresariales de Microsoft. Entre otras cosas:

  • Los Términos RGPD establecen que Microsoft sólo procesará los datos de acuerdo con las instrucciones del responsable
  • Proporcionará a los responsables con suficiente antelación aviso y la oportunidad para objetar nuevos sub-procesadores
  • Apoyará a los responsables en la gestión de solicitudes de los titulares de datos
  • Cumplirá con los requerimientos de notificación de violaciones de seguridad de datos personales del RGPD
  • Ayudará a los responsables con evaluaciones de impacto de la protección de datos y consultas conexas; y velará por la seguridad del tratamiento de acuerdo con el RGPD.

El compromiso de Microsoft con el RGPD

Microsoft se ha comprometido a cumplir con el RGPD en todos sus servicios de nube y están en capacidad de ayudar a sus clientes y socios en la transición hacia el cumplimiento con dicho reglamento. Los servicios en la nube han sido construidos sobre sólidos principios de privacidad, seguridad y cumplimiento regulatorio, contando con un extenso portafolio de cumplimiento, como por ejemplo haber sido los primeros en adoptar el estándar de protección de datos en la nube ISO/IEC 27018 y en ofrecer las Cláusulas Modelo de la Unión Europea.


Qué debe hacer para prepararse

Empiece por revisar las prácticas de privacidad y de administración de datos personales implementadas en su organización. Luego de ello, recomendamos emprender los siguientes pasos tendientes a asegurarse que, para la fecha de entrada en vigencia del RGPD, su organización se encuentre en cumplimiento con los requerimientos establecidos en dicho reglamento. Los productos y servicios de Microsoft proporcionan soluciones robustas que pueden ayudarle a completar estos pasos.

Mayoristas autorizados

Etiquetas
Mostrar más
Gustavo Aldegani

Gustavo Aldegani

Consultor Independiente en Seguridad Informática, con 25 años de experiencia, especializado en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos, América Latina y Argentina. Profesor de la Materia Seguridad Informática en la Universidad de Belgrano.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close