Este sitio utiliza cookies para proporcionar características y funciones mejoradas. Al utilizar el sitio, usted está aceptando esto. Nosotros valoramos su privacidad y la seguridad de sus datos. Por favor revise nuestra Política de cookies y Política de privacidad, ya que ambas se han actualizado recientemente.

Regulación para la protección de datos de la UE (GDPR de la UE)

Fecha de aplicación: 25 de mayo de 2018 - en este momento aquellas organizaciones que no cumplan enfrentarán multas graves.

Un pequeño elemento para el GDPR, pero uno importante: Manténgase en cumplimiento con el USB cifrado de Kingston: Infografía GDPR Encriptado USB - PDF

Keep Compliant with Kingston

Gestione amenazas y maneje riesgos

Las opciones disponibles cubren cada necesidad desde personal, a corporativa, a gubernamental.

  • Almacenamiento de datos en USB encriptados que cumple 100%
  • Simple, fácil de usar, no se necesita software o drivers
  • Diseñado para un despliegue rápido y eficiente

Compliance logos

GDPR de la UE: Las 5 áreas principales para tener en cuenta:
  1. Cifrado - Seguridad de los estándares del procesamiento de datos (Artículo 32, Seguridad del procesamiento)
  2. Designar oficiales de protección de datos (OPDs)
  3. Establezca un programa de cíber-seguridad
  4. Responsabilidad documentada
  5. Entienda consentimiento

GDPR de la UE: Las 5 áreas principales para tener en cuenta:

¿Hay alguna penalidad por el no cumplimiento?

¿Hay alguna penalidad por el no cumplimiento?

  • En virtud de las GDPR, las organizaciones que no cumplan con las GDPR, pueden ser multadas por hasta el 4% de la facturación global anual o aproximadamente $21,952 millones de USD (20 millones de € - la que sea mayor).
  • La empresa puede ser multada un 2% por no tener sus registros en orden (artículo 28), sin notificar a la autoridad supervisora y al interesado acerca de una violación, o no llevar a cabo una evaluación de impacto.
  • Es importante señalar que estas reglas se aplican tanto a los controladores como a los procesadores - lo que quiere decir que las "nubes" no estarán exentas de la aplicación de las GDPR.
¿Qué necesito saber?
¿Cómo afecta esto a mi negocio?
  • Toda empresa que trabaje con información relacionada con ciudadanos de la UE deberá cumplirlas
  • Es importante señalar que estas reglas se aplican tanto a los controladores como a los procesadores - lo que quiere decir que las "nubes" no estarán exentas de la aplicación de las GDPR
  • Se aplica a todas las organizaciones ─ UE o no UE ─ que procesan datos de ciudadanos de la UE
  • Requiere que las organizaciones que procesen o mantengan información identificable personal implementen medidas de seguridad adecuadas para proteger contra la pérdida de datos personales.

¿Cómo afecta esto a mi negocio?

¿Qué debe hacer mi negocio para cumplir?
  • Auto-evalúese
    Se necesita un oficial de protección de datos para empresas que empleen 250 o más personas. Las organizaciones necesitan realizar una revisión interna del manejo de la información de identificación personal por parte de sus empleados y clientes
  • Identifique, registre y organice todos los productos internos y externos que almacenan datos.
    Registre y exija que el equipo usado por la empresa sea cubierto por su política de seguridad de datos, y asegúrese de que se utilice encriptación de datos. Artículos tales como, pero no limitados a: servidores, discos duros, SSDs, dispositivos Flash USB, computadores y otros dispositivos móviles
  • Análisis de inventario
    Evaluar la cantidad de datos personales en su totalidad
  • Purgar
    Eliminar archivos de información identificable personal (PII) innecesarios)
  • Controladores de información
    Verifique los riesgos a la privacidad y las evaluaciones de impacto
  • Contratos
    Proteja a futuro su negocio al establecer en este momento políticas que se convertirán en obligatorias después de la fecha efectiva de Mayo de 2018
  • Violación de datos
    Regulation requires notice within 72 hours

Solución - Implemente las salva guardas, los estándares técnicos y políticas apropiadas, tales cómo: encriptación de datos para datos personales / información identificable personal (PII), para mitigar el riesgo de no cumplimiento

(Más información – Mejores prácticas en estándares USB encriptados )

Encriptación de datos
  • Un dispositivo USB encriptado Kingston e Ironkey es una de las soluciones para estandarizar el cumplimiento del encriptado de datos
  • Implementar "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluido ... el cifrado de datos personales" (Artículo 32, Seguridad del procesamiento)
  • La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo.
  • Requiere que las organizaciones que procesen o mantengan información identificable personal de ciudadanos de la UE implementen medidas de seguridad adecuadas para proteger contra la pérdida de datos personales.
  • Se requerirá que las organizaciones incluyan estos estándares mejorados de procesamiento de datos en sus contratos con proveedores de servicios de terceros.

Encriptación de datos

Aumento del alcance territorial (aplicabilidad extraterritorial)

Posiblemente el mayor cambio en el ámbito regulatorio de la privacidad de los datos.

  • La jurisdicción ampliada de las GDPR se aplica a todas las empresas que procesan los datos personales de los interesados que residen en la Unión, independientemente de la ubicación de la empresa.

Aumento del alcance territorial

Notificación de violaciones

Las notificaciones de violación de datos hacerse dentro de las 72 horas siguientes de saber de la violación, cuando sea posible, aunque la notificación no necesita ser hecha a la DPA si es poco posible que resulte en un riesgo para los derechos o las libertades de individuos.

Nuevos derechos del consumidor
Beneficios para el consumidor
  • Más protección bajo las GDPR y la habilidad de mantenerse anónimo
  • Da poder al consumidor al mejorar sus derechos si este no desea compartir datos
  • Nuevos y mejores derechos para el consumidor - ‘derecho de ser olvidado" - ‘un derecho de portabilidad de datos" exigiendo que las empresas finalicen con el uso de sus datos
  • Las empresas que no cumplen con estos derechos de los consumidores están sujetas a más demandas por parte de consumidores y personas jurídicas

Beneficios para el consumidor

Consentimiento

Las condiciones para el consentimiento se han reforzado, y las empresas ya no podrán utilizar términos ilegibles ni condiciones llenas de legalidades, ya que la solicitud de consentimiento debe darse en forma inteligible y fácilmente accesible, a propósito del procesamiento de datos que conlleva este consentimiento.

  • El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y fácilmente accesible, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como darlo.
El derecho a ser olvidado

También conocido como Borrado de Datos, el derecho a ser olvidado da derecho al interesado a que el controlador de datos borre sus datos personales, deje de difundir los datos y posiblemente evitar que terceros continúen el procesamiento de los datos. Las condiciones para el borrado, tal como se describen en el artículo 17, incluyen los datos que ya no son pertinentes a los fines originales de procesamiento, o a los interesados que retiran el consentimiento.

Cabe resaltar también, que este derecho exige que los controladores comparen los derechos de los interesados con "el interés público en la disponibilidad de los datos" al considerar tales solicitudes.

¿Cuál es la información identificable personal (PII)?

La información identificable personal (PII) se refiere los datos que se tengan de ciudadanos de la UE que, si se revelan, podrían resultar en daños para aquellos cuya información ha sido comprometida. La PII puede incluir registros médicos, datos biométricos, números de pasaporte e información financiera identificable personal (PIFI), tales como seguridad social y detalles de la tarjeta de crédito. La información que podría no ser considerada PII, como su nombre y apellido, puede convertirse en PII si está vinculada a otros datos.

  • Los activos de datos de una organización deben identificarse como parte de una evaluación de riesgos, incluyendo cómo se almacenan y se accede a los datos, a qué nivel de riesgo están expuestos, y si contienen PII. Los activos de datos pueden almacenarse en bases de datos de aplicaciones, en sistemas de archivos del servidor y en dispositivos de usuario final.

¿Cuál es la información identificable personal (PII)?

Segmentos destacados
  • Un único conjunto de normas a nivel de la UE — se estima que una sola ley de protección de datos en toda la UE ahorrará 2.3 mil millones de € al año
  • Un funcionario de protección de datos, responsable de la protección de datos, será designado por las autoridades públicas y las empresas que procesan datos a gran escala
  • Ventanilla única – las empresas solo tienen que tratar con una sola autoridad de supervisión (en el país de la UE en el que se encuentren principalmente)
  • Reglas de la UE para empresas que no están en la UE – las empresas con sede fuera de la UE deben aplicar las mismas reglas al ofrecer servicios o bienes, o controlar el comportamiento de las personas dentro de la UE
  • Reglas favorables a la innovación – una garantía de que las salva guardas de protección de datos están incorporadas en productos y servicios desde la etapa más temprana de desarrollo (protección de datos por diseño y por defecto)
  • Técnicas amigables con la privacidad tales como seudonimización (cuando los campos de identificación dentro de un registro de datos son reemplazados por uno o más identificadores artificiales) y encriptación (cuando los datos están codificados de tal manera que solo las partes autorizadas pueden leerlos)
  • Evaluaciones de impacto – las empresas deberán realizar evaluaciones de impacto cuando el procesamiento de datos pueda generar un alto riesgo para los derechos y libertades de las personas
  • Registro de archivos – las PyMES no están obligadas a llevar registros de las actividades de procesamiento, a menos que el procesamiento sea regular o pueda dar lugar a un riesgo para los derechos y libertades de la persona cuyos datos están siendo procesados.

Más

Fechas claves bajo la regulación para la protección de datos (GDPR)
  • 31 de enero, 2018 PCI-DSS v3.2
    Requisito de autenticación por múltiples factores(8.3.1) - Afecta a organizaciones globales
  • 30 de junio, 2018 PCI-DSS v3.2
    Requisitos para actualizar el encriptado SSL (2.2.3, 2.3, 4.1) - Afecta a organizaciones globales
  • Abril 2018 PSD2 – Directiva de servicios de pago 2 - Afecta a las empresas europeas
  • Mayo 2018 GDPR – Regulación para la protección de datos - Afecta a organizaciones globales

Esta información se proporciona solo con fines informativos. Kingston no proporciona consultoría ni asesoría legal con respecto al cumplimiento de la GDPR de la UE. Para obtener más información sobre la GDPR de la UE, visite su sitio web en: https://www.eugdpr.org

        Back To Top