in

GDPR Parte III: La tecnología es tu amiga

1633450169 GDPR GDPR Parte III: La tecnología es tu amiga

Ahora es mayo de 2018. El período de gracia del Reglamento finaliza el 25th¿Está su empresa preparada para el RGPD? En esta serie de artículos, comencé tratando de aclarar la ambigüedad del Reglamento. El artículo del mes pasado discutió las asombrosas multas por incumplimiento. Durante este mes, la discusión será sobre el impacto en el negocio y cómo la tecnología puede ayudar a lograr el cumplimiento. Comencemos con un proceso importante que debe ser parte de toda empresa: el Control de Acceso y terminemos con otros tipos de tecnología que deben considerarse para satisfacer las necesidades del Reglamento.

Seguridad basada en roles

Como CIO, necesito asegurarme de que solo un cierto número de personas tengan acceso a varios conjuntos de datos. La seguridad basada en roles es una gran parte de la función de TI. Como administradores de los sistemas internos, es nuestra responsabilidad asegurarnos de que solo las personas que ‘necesitan saber’ tengan acceso a la información que pueden procesar. Este mismo escenario puede llevarse a cabo en cualquier organización, donde los recursos humanos tienen acceso a los datos de los empleados, los recursos financieros pueden ver la información financiera de la empresa, el marketing y las ventas tienen una vista de la información del cliente y el desarrollo de productos tiene una vista de todas las especificaciones del producto. El mismo principio se aplica cuando alguien cambia de trabajo y cambia de departamento. En su empresa, ¿existe una política para asegurarse de que una persona ya no tenga acceso a un conjunto anterior de sistemas que procesan PII? Para lograr el cumplimiento, deberá preguntar quién necesita saber y entender la información, entonces quien puede ver y acceder los datos, luego ir un paso más allá, y pregunta por qué deberían tener acceso a estos datos. Las respuestas a estas preguntas le dirán dónde reside una persona en su organización, cuál es su función en el procesamiento de la información y cuánto acceso debe tener a la información personal de otra persona.

Llevemos este ejemplo aún más lejos.

En el ejemplo anterior, se discutió el control de acceso. Ahora sigamos el camino de la minimización de datos, lo que significa que las personas pueden tener acceso al mismo conjunto de datos, pero con diferentes puntos de vista que minimizan la información que se puede procesar. Esta es otra forma de control de acceso dentro de una aplicación y la tecnología ayudará a segmentar y segregar la información, que se basará en la necesidad del individuo de ver y procesar la información.

El uso de la automatización

Al procesar un Derecho al olvido SAR (Solicitud de acceso del sujeto), el equipo de TI puede tener que ayudar en el procesamiento del SAR accediendo a una aplicación o dispositivo de almacenamiento para eliminar la información personal del sujeto de datos. En este ejemplo, digamos que un funcionario de la UE envía otra solicitud, solicitando información sobre el mismo sujeto de datos. La solicitud del funcionario de la UE prevalece sobre la solicitud del interesado, especialmente, si el motivo se basa en un tribunal, policía o entidad legal (para una investigación criminal y la prevención de amenazas a la seguridad pública). Los datos que se eliminaron anteriormente, ahora deben restaurarse. Fácil ¿verdad? Bueno, desde la perspectiva del archivo, es un proceso de copia de seguridad y recuperación. Pero desde una aplicación, es más difícil restaurar la base de datos y los archivos de registro. Ahora, para aumentar la complejidad de este ejemplo, el funcionario de la UE ha satisfecho su necesidad con la información personal del sujeto de los datos (el SAR original vuelve a entrar en juego) y deberá determinar dónde residen los datos nuevamente y continuar. y elimínelo una vez más. Si la solicitud fue una eliminación masiva, nuevamente la automatización sería clave. Para la información que se eliminó como parte de un SAR del derecho al olvido, a menos que el sujeto de los datos brinde su consentimiento (nuevamente) para procesar su información, sus sistemas deberán ser lo suficientemente inteligentes como para saber que la información del sujeto de datos ya no debe procesarse. de nuevo. Este escenario podría suceder si se produce una restauración después de que se eliminó la información del interesado.

Violaciones de seguridad y datos

Las violaciones de datos personales se definen en el artículo 55, como una brecha de seguridad que lleve a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales transmitidos, almacenados o procesados ​​de otro modo. Si su empresa no está empleando prácticas de seguridad sólidas como protección en tiempo real antivirus, software anti-malware y anti-spyware, firewalls con los últimos parches de software, seguridad física (cámaras, puertas cerradas, entrada de tarjetas y sistemas de alarma) y el desmantelamiento y limpieza de dispositivos de almacenamiento, entonces usted podría ser responsable en caso de una infracción que cause daños a un interesado.

Seudonimización

Seudonimizar un conjunto de datos es una técnica para mejorar la privacidad, donde la información de identificación directa se mantiene separada y segura de los datos procesados ​​para garantizar que no se pueda identificar al interesado. Esta es otra forma de anonimizar los datos y se logra cuando los datos no pueden asociarse con la persona original.

El considerando 28 reconoce que el uso de tecnología de seudonimización, puede reducir los riesgos a los interesados, pero no es solo una técnica suficiente eximir datos del ámbito de aplicación del Reglamento. El controlador aún necesita consentimiento para procesar y retener PII.

El considerando 26 establece que los datos personales que ha sido seudonimizado y todavía tiene información adicional que podría atribuirse a una persona física, todavía se considera PII.

Otros enfoques técnicos para anonimizar datos incluyen tokenización, donde los datos se dividen en partes más pequeñas y se reemplazan con un símbolo, que representa una palabra o frase. Enmascaramiento de datos, donde la información está codificada, codificada o borrosa y cifrado, donde los datos se vuelven ilegibles, hasta que se usa una clave para desbloquear o descifrar la información. Las bases de datos deben utilizar el cifrado como una forma de lograr el cumplimiento del Reglamento.

Las tecnologías de este artículo son algunas formas de ayudar a su empresa a lograr el cumplimiento, y la tecnología debe combinarse con el proceso y el procedimiento. El RGPD es una ley compleja y, en caso de duda, busque el asesoramiento de un asesor legal.

@ 2018 Todos los derechos reservados

Sue Bergamo es el CIO y CISO de Episerver, una empresa de comercio digital global. Puede ser contactada en sue.bergamo@episerver.com.

* El contenido de este artículo son opiniones exclusivas del autor.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

3908061848 73d85e00c1 z Seis pasos para detener la lucha contra incendios diaria y diseñar una cultura a prueba de fuego para su empresa

Seis pasos para detener la lucha contra incendios diaria y diseñar una cultura a prueba de fuego para su empresa

Wayne Gretzky Los 20 jugadores de la NHL más ricos de todos los tiempos

Los 20 jugadores de la NHL más ricos de todos los tiempos