Cumplimiento de GDPR en la nube

Seguridad y privacidad en la nube en el marco de la GDPR

¿Qué es el Reglamento General de Protección de Datos (GDPR)?

Según la legislación de la Unión Europea (UE), los datos personales sólo pueden recogerse legalmente bajo condiciones estrictas y con un propósito legítimo. Las personas u organizaciones que recopilan y gestionan información personal deben protegerla contra el uso indebido y deben respetar determinados derechos de los propietarios de los datos, que están garantizados por la legislación de la UE. La anterior Directiva de protección de datos (95/46/CE) había causado una variedad inaceptable entre las legislaciones nacionales de protección de datos, creando así barreras en el mercado digital interior de la UE, y no abordaba adecuadamente los avances de la tecnología de la información, como el cloud computing y los medios sociales. La GDPR se promulgó para abordar la recopilación de datos que se había multiplicado con el cloud computing, a menudo sin el consentimiento de los ciudadanos de la UE a la recopilación de sus datos personales.

Uno de los principios centrales del GDPR es su Principio de Responsabilidad: las organizaciones deben demostrarque cumplen con el GDPR y que han tomado las medidas apropiadas para asegurar su cumplimiento. Si se añade el nuevo "derecho al olvido" y los nuevos principios de privacidad de la protección de datos por diseño y de la protección de datos por defecto, se puede concluir que la gestión del cumplimiento del GDPR será un reto. Las sanciones por incumplimiento pueden alcanzar los 20 millones de euros o el 4% del volumen de negocios anual, lo que sea mayor.

¿A quién se aplica?

  • Los gobiernos y las empresas de la UE, independientemente de que procesen o no datos personales de ciudadanos de la UE.
  • Empresas no pertenecientes a la UE que prestan servicios a los consumidores de la UE o que controlan el comportamiento de los ciudadanos de la UE.

¿Qué datos están protegidos?

  • Los datos personales son cualquier información relativa a una persona. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, los datos bancarios de una persona, información médica, desempeño laboral, número de impuestos, educación o competencias, etc. La GDPR se aplica cuando una persona puede ser identificada directa o indirectamente por tales datos, o cuando una persona puede ser identificada de manera única en un grupo de individuos.

¿Cuáles son los derechos del interesado?

  • Derecho a ver y entender el procesamiento de su información personal
  • Derecho a restringir u oponerse al tratamiento de datos personales
  • Derecho de rectificación de datos personales inexactos
  • Derecho de cancelación de datos personales
  • Derecho a recibir sus datos personales

Requisitos

Consentimiento

El responsable del tratamiento debe disponer de una base jurídica suficiente para el tratamiento de datos personales. El interesado debe dar su consentimiento expreso para que sus datos personales sean controlados o tratados. Por consentimiento del interesado se entenderá cualquier indicación libre, específica, informada e inequívoca de su voluntad, mediante la cual el interesado, mediante una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de los datos personales que le conciernen.

Legalidad, equidad y transparencia

Los principios de un tratamiento justo y transparente exigen que el interesado sea informado de la existencia del tratamiento y de sus finalidades. Además, el interesado debe ser informado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. El procesamiento de datos también debe cumplir con las pruebas legales descritas en el reglamento GDPR.

Limitación de la finalidad

Los datos personales sólo pueden ser recogidos para fines determinados, explícitos y legítimos y no para su tratamiento posterior de forma incompatible con dichos fines.

Minimización de datos

Los datos personales serán adecuados, pertinentes y se limitarán a lo necesario en relación con los fines para los que se traten.

Integridad y confidencialidad

Se establecerán medidas adecuadas de seguridad y protección de la intimidad para garantizar la integridad y confidencialidad de los datos personales. Esto implicará la protección de datos por diseño y por defecto.

Precisión

Deben adoptarse medidas razonables para garantizar que todos los datos personales sean exactos y estén actualizados en consecuencia, y que cualquier dato inexacto se borre o rectifique a su debido tiempo.

Limitaciones de almacenamiento

Los datos personales sólo se conservarán durante el tiempo necesario para el tratamiento de los mismos. Sólo en determinadas circunstancias se conservarán los datos personales durante períodos más largos.

Responsabilidad

Las organizaciones deben demostrar que cumplen con el GDPR y que han tomado las medidas apropiadas para asegurar su cumplimiento. Este principio subyace a la importancia de mantener registros detallados de todas las actividades relacionadas con el tratamiento de datos personales.

Notificación de infracciones

En el caso de que se haya producido una violación de datos personales, el responsable del tratamiento deberá notificarla a la autoridad de control en un plazo máximo de 72 horas a partir del momento en que tenga conocimiento de la violación. Cuando la violación pueda suponer un riesgo elevado para los derechos y libertades de un interesado, el responsable del tratamiento informará de ello sin demora a éste. El Reglamento describe la información que debe comunicarse además de la notificación de la infracción.

Lista de verificación preliminar para el cumplimiento

Consentimiento y derechos del interesado

Asegurar el consentimiento explícito del interesado. Asegurar que la organización pueda ejercer los derechos del interesado, incluyendo el derecho a ser olvidado, el derecho a ser borrado, etc.

Localización y transferencia de datos

Sepa dónde se almacenan los datos y dónde almacenan sus datos todos los socios y proveedores. Asegúrese de que si los datos de la organización van a ser transferidos fuera de la UE, existan los procedimientos adecuados para cumplir con el GDPR.

Organización y formación

Garantizar el establecimiento de una estructura organizativa suficiente y nombrar un Órgano de Vigilancia en la UE si fuera necesario. Capacite al personal de seguridad de su organización sobre el GDPR y las nuevas normas y reglamentos.

Responsabilidad y cumplimiento

Establezca procedimientos para supervisar y registrar todo el procesamiento y almacenamiento de datos para demostrar el cumplimiento de GDPR.

Proceso de notificación de infracciones

Establezca procedimientos para informar a tiempo de las infracciones en caso de infracción y considere la posibilidad de cifrarlas.

Managing the Challenges of the Cloud under the EU GDPR – whitepaper

Escrito conjuntamente con un abogado de privacidad de la UE, este whitepaper describe el GDPR y sus implicaciones para las organizaciones que utilizan la nube. Lea este whitepaper para obtener una perspectiva en profundidad sobre el GDPR y la conformidad con la nube.

Más información

Centro de Recursos GDPR

Descubra cómo Netskope puede ayudar a su organización con el cumplimiento de la GDPR en la nube.

Más información

¿Quiere ver Netskope en acción?

Solicitar una demostración