nov. 2018

Reglamento General de Protección de Datos de la Unión Europea (RGPD UE)

Un pequeño, pero importante, elemento del RGPD: Cumpla la normativa con las unidades USB cifradas de Kingston

Gestiona las amenazas y reduce los riesgos

Las opciones disponibles cubren todas las necesidades, tanto personales como corporativas y de la administración pública.

Almacenamiento de datos en USB con cifrado 100% compatible
Sencillo y fácil de usar; no requiere software ni controladores
Diseñado para una implementación rápida y eficiente

RGPD UE: 5 áreas fundamentales a tener en cuenta

Cifrado: Normas de seguridad del procesamiento de datos (Artículo 32, Seguridad del tratamiento)
Designación de Delegados de protección de datos (DPD)
Establecimiento de un programa de ciberseguridad
Responsabilidad documentada
Comprensión del consentimiento

¿Existen sanciones por incumplimiento?

Are there any penalties for non-compliance?

En virtud del RGPD, las organizaciones que lo vulneren pueden ser multadas con hasta el 4% de su facturación global, o 20 millones de € (unos 21,952 millones de dólares).
La empresa podrá ser multada con hasta el 2% por no tener sus registros en orden (artículo 28) y no notificar a la autoridad supervisora los datos objeto de una vulneración, o no realizar una evaluación de impacto.
Es importante destacar que estas normas son de aplicación tanto para los controladores como para los procesadores. Es decir, las 'nubes' no estarán exentas de la implementación del RGPD.

¿Qué tengo que hacer ahora?

¿Cómo afecta esto a mi organización?

El RGPD será de obligatorio cumplimiento para toda entidad que trabaje con datos relacionados con ciudadanos de la UE
Es importante destacar que estas normas son de aplicación tanto para los controladores como para los procesadores. Es decir, las 'nubes' no estarán exentas de la implementación del RGPD.
Será de aplicación a todas las organizaciones, tanto dentro como fuera de la UE, que procesen datos de ciudadanos de la UE
Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a los titulares implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos personales.

¿Qué tiene que hacer mi empresa para cumplir?

Autoevaluarse - Las entidades que empleen a más de 250 personas deberán designar un Delegado de protección de datos. Las organizaciones deberán realizar una auditoría interna del procesamiento de los datos personales de sus empleados y clientes
Definir los productos/dispositivos internos y externos que almacenan datos - Deben registrarse los equipos de la entidad utilizados que estarán cubiertos por la política de protección de datos, y asegurarse de que se utilice el cifrado de los datos. Se trata de, entre otros: servidores, discos duros, SSD, unidades USB Flash, ordenadores y dispositivos móviles
Análisis de inventario - Evaluación del volumen total de datos personales
Purgado - Eliminación de archivos de información personalmente identificable (IPI) innecesarios
Controladores de información - Revisión de los riesgos de privacidad y evaluaciones de impacto
Contratos - Adapte su empresa a los futuros requisitos implementando ahora políticas que serán obligatorias a partir de mayo de 2018
Vulneraciones de la privacidad de los datos - El Reglamento exige notificarlas en un plazo máximo de 72 horas

Solución - Implementar los sistemas de protección, normas técnicas y políticas adecuadas, tales como: cifrado de los datos personales/información personalmente identificable (IPI) para mitigar los riesgos de incumplimiento (Más información – Buenas prácticas de normas de cifrado de unidades USB)

Cifrado de datos

Una unidad USB cifrada de Kingston y IronKey es una de las soluciones para la normalización del cumplimiento del cifrado de datos
Implementación de las “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya… el cifrado de datos personales" (Artículo 32, Seguridad del tratamiento)
La propuesta exige a las organizaciones cifrar los datos, tanto los que están en tránsito como los almacenados.
Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a residentes de la UE implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos.
Las organizaciones vendrán obligadas a incluir estas normas mejoradas de procesamiento de datos en sus contratos con prestadores de servicios externos.

Incremento del ámbito territorial (aplicación extraterritorial)

Sin duda, el cambio más importante en el panorama normativo de la privacidad de los datos.

La ampliación del ámbito del RGPD es de aplicación a todas las entidades que procesan datos personales de personas residentes en la UE, independientemente de dónde estén ubicadas.

Notificación de vulneraciones

Las notificaciones de vulneraciones de datos se efectuarán antes de que transcurran 72 horas desde el momento de tomar conocimiento de las mismas, si fuese posible, aunque no será necesario cursarla a la autoridad de control si existen pocas probabilidades de que conlleve un riesgo para los derechos o libertades de los particulares.

Nuevos derechos del consumidor

Ventajas para los consumidores

Consumer Benefits

El RGPD ofrece mayor protección y posibilita mantener el anonimato
Empodera al consumidor haciendo valer sus derechos si no desea compartir datos
Nuevos derechos para el consumidor —‘derecho al olvido’, ‘derecho a la portabilidad de los datos’—, que exigen a las empresas dejar de utilizar sus datos
Las entidades que incumplan estos derechos del consumidor estarán sujetas a más querellas por parte de los consumidores y organismos legales

Consentimiento

Se han hecho más estrictas las condiciones del consentimiento, y las entidades ya no podrán utilizar términos y condiciones ilegibles y engorrosos, plagados de jerigonza leguleya. Ahora, la solicitud de consentimiento de procesar los datos adjuntos al consentimiento deberá presentarse de manera inteligible y accesible.

El consentimiento deberá ser claro y estar diferenciado de otros asuntos. Se presentará de manera inteligible y fácilmente accesible, con un lenguaje claro y comprensible. Retirar el consentimiento deberá ser tan fácil como otorgarlo.

Derecho al olvido

También conocido como supresión de datos, el derecho al olvido faculta al titular de los datos a exigir al controlador de datos el borrado de sus datos personales, a cesar toda ulterior difusión de los mismos y a que eventuales terceros dejen de procesarlos. Las condiciones para la supresión, estipuladas en el Artículo 17, incluyen los datos que ya no sean relevantes para el propósito original del procesamiento, y los titulares de datos que retiren su consentimiento.

Asimismo, debe destacarse que este derecho exige a los controladores comparar los derechos del individuo con "el interés público en la disponibilidad de los datos" al considerar tales peticiones.

¿Qué es la información personalmente identificable (IPI)?

¿Qué es la información personalmente identificable (IPI)? Por Información personalmente identificable (IPI) se entienden los datos mantenidos acerca de ciudadanos de la UE que, en caso de ser divulgada, podría conllevar daños para aquellos cuyos datos han quedado comprometidos. La IPI puede incluir historiales médicos, datos biométricos, números de pasaporte e información financiera personalmente identificable (IFPI), como datos de la seguridad social y tarjetas de crédito. Los datos no considerados IPI, como nombres y apellidos, puede convertirse en tales si se vinculan con otra información.

Los activos de datos de una organización deben identificarse como parte de la evaluación de riesgos, lo que incluirá también cómo se almacenan y cómo se accede a los mismos, a qué grado de peligro están expuestos, y si contienen o no IPI. Los activos de datos deben almacenarse en bases de datos de aplicaciones, sistemas de archivos de servidores y dispositivos de usuarios finales.

What is Personal Identifiable Information (PII)?

Segmentos destacados

Un único instrumento paneuropeo de normas: se prevé que el reglamento unificado de la UE para la protección de datos posibilitará un ahorro del orden de los 2.300 millones de € anuales
Las autoridades públicas y las empresas que procesen datos a gran escala designarán a un responsable de protección de datos, quien se hará cargo de todas las actividades en esta materia.
Ventanilla única: las entidades tendrán que tratar con una sola autoridad supervisora (en el país de la UE en la que tengan su base principal)
Normas europeas para empresas de fuera de la UE: las entidades de fuera de la UE deberán aplicar las mismas reglas cuando ofrezcan bienes o servicios, o realicen un seguimiento de las actividades de personas, dentro de la UE
Normativa propiciadora de la innovación: una garantía de que las medidas de protección de datos están integradas en productos y servicios desde la primera fase de desarrollo (protección de datos por diseño y de manera predeterminada)
Técnicas protectoras de la privacidad, como seudonimización (los campos identificativos dentro de un registro de datos son sustituidos por uno o más identificadores artificiales) y cifrado (los datos se codifican de tal manera que solamente las partes autorizadas pueden leerlos)
Evaluaciones de impacto: las empresas deberán realizar evaluaciones de impacto cuando el tratamiento de datos pueda conllevar un alto riesgo para los derechos y libertades de las personas
Mantenimiento de registros: las pymes no están obligadas a mantener registros de actividades de tratamiento, a menos que dicho tratamiento sea de rutina o sea susceptible de conllevar un riesgo para los derechos y libertades de la persona cuyos datos se procesan

Más

Fechas clave del Reglamento General de Protección de Datos (RGPD) de la UE

31 de enero de 2018, PCI-DSS v3.2 – Requisitos de la autenticación multifactor (8.3.1) - Afecta a las organizaciones globales
30 de junio de 2018, PCI-DSS v3.2 – Requisitos para la actualización del cifrado de SSL (2.2.3, 2.3, 4.1) - Afecta a las organizaciones globales
DSP2 de abril de 2018 – Directiva de Servicios de pago 2 - Afecta a las empresas europeas
RGPD de mayo de 2018 – Reglamento General de Protección de Datos - Afecta a las organizaciones globales

Más información

Conozca más acerca de Unidades Flash cifradas - Kingston Technology

Unidad Flash USB cifrada por hardware Kingston IronKey D500S
Protección de grado militar FIPS 140-3 de Nivel 3 (pendiente)

Cifrado por hardware XTS-AES de 256 bits

Disponible en modelo Administrado

USB 3.2 Gen 1

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Hasta 310 MB/s en lectura y 250 MB/s en escritura
Más información Comprar
Kingston IronKey Vault Privacy 50 Serie
Seguridad de grado empresarial

Cifrado por hardware XTS-AES de 256 bits

Disponibles en modelos Tipo A y Tipo C

USB 3.2 Gen 1

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Hasta 310 MB/s en lectura y 250 MB/s en escritura
Más información Comprar
Unidad Flash USB cifrada DT4000 G2
Cifrado XTS-AES de 256 bits

USB 3.1 Gen 1 (USB 3.0)

8 GB, 16 GB, 32 GB, 64 GB, 128 GB

Hasta 250MB/s en lectura y 85 MB/s en escritura
Más información Comprar
Unidad Flash USB cifrada Kingston IronKey S1000
Chip de cifrado en el dispositivo

USB 3.1 Gen 1 (USB 3.0)

4 GB, 8 GB, 16 GB, 32 GB, 64 GB y 128 GB

Hasta 230 MB/s en lectura y 240 MB/s en escritura

Protección mediante contraseña compleja o frase secreta
Más información Comprar
Unidad Flash USB cifrada Kingston IronKey D300S
Avanzado nivel de seguridad

Disponible en modelo administrado

4 GB, 8 GB, 16 GB, 32 GB, 64 GB y 128 GB

Velocidades USB 3.1 Gen 1
Más información Comprar
Serie Kingston IronKey Keypad 200
Protección de grado militar FIPS 140-3 de Nivel 3 (pendiente)

Cifrado por hardware XTS-AES de 256 bits

Disponibles en modelos Tipo A y Tipo C

Independiente de dispositivo y SO

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Hasta 280 MB/s en lectura y 200 MB/s en escritura
Más información Comprar