Si tiene un correo electrónico (y es muy probable que, si está leyendo esto, lo tenga), habrá recibido en los últimos días una oleada de emails advirtiendo de cambios: el Reglamento General de Protección de Datos, el GDPR, ya está aquí. Los dos años de plazo para que individuos, organismos y empresas se adaptasen tocan a su fin, y a partir del 25 de mayo se aplicará la nueva norma europea para todas las organizaciones que recolecten datos de usuarios en territorio comunitario.
La normativa plantea una serie de cambios en cómo se considera esta información y cómo debe asegurarse, por lo que las compañías o grupos que trabajen con ella han tenido (y tienen) que afrontar importantes desafíos, tanto a nivel organizativo como de ciberseguridad.
El Reglamento 2016/679 de la Unión Europea, de fecha 27 de abril de 2016, establece “las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”, en base a la protección de derechos y libertades del individuo. Así reza el Reglamento General de Protección de Datos o GPDR, por sus siglas en inglés, que modifica las legislaciones nacionales sobre el tema, convirtiéndose en el reglamento imperante dentro de la Unión, aunque reservando a los países la facultad de legislar sobre aspectos muy concretos.
Fundamentalmente, la nueva normativa supone un refuerzo del usuario y de la privacidad de sus datos, y un esfuerzo para las empresas y organismos a la hora de limitar el uso, garantizar su cobertura y su correcto guardado y de clarificar la información al individuo. Además, se aplica a todas las empresas que trabajen con la información de ciudadanos de la UE, independientemente de si tienen su base en territorio comunitario o no.
Entrando en aspectos concretos del GDPR, se le reconocen una serie de derechos al individuo o interesado, como se le denomina en la directiva. Entre estos está el que le sean comunicados de forma clara los usos que se va a hacer de sus datos, quién los guarda y cuáles se van a recopilar. Además, la norma reconoce determinados derechos del usuario, como el tan conocido derecho al olvido, a la rectificación de sus datos, portabilidad o limitación de su uso.
Las empresas y organismos son divididos entre responsables o encargados del tratamiento, definiendo a estos segundos como los que tratan los datos por cuenta de los responsables, que son los que determinan los fines y medios de las operaciones realizadas con la información personal. A los dos agentes se les imponen una serie de obligaciones, algunas muy vinculadas a la ciberseguridad, como la de realizar una evaluación del nivel de protección a la hora de trabajar con los datos del usuario, lo que se entiende como un análisis de riesgo. Además, para casos que se traten un volumen a gran escala de datos, establece una suerte de vigilante de los mismos, el Delegado de Protección de Datos.
EL GDPR contempla que se deben notificar las violaciones en seguridad en un plazo de 72 horas máximo tras detectarlas, excepto en casos en que no haya riesgo para la información almacenada u otras excepciones, siempre justificadas. También se les pide garantizar la seguridad del tratamiento, con técnicas y medidas organizativas como cifrado y seudonomización de datos. Además, como se explicaba, se les obliga a explicar claramente al interesado qué datos recopilarán, para qué, durante cuánto tiempo, la identidad de responsable y otras cuestiones, siempre de forma “concisa, transparente, inteligible y de fácil acceso”.
Todas estas exigencias, que antes no estaban contempladas, se traducen, cómo no, en cambios que deben asumir empresas y organismos, ya que si no se exponen a sanciones económicas de hasta 20 millones de euros o el 4% de la facturación anual de la empresa. Un estudio de Deloitte de noviembre de 2017, realizado entre una muestra de organizaciones e industrias en la región EMEA, cifra en un 15% el porcentaje de encuestados que estimaban que cumplirían todos los requisitos de la nueva ley en el momento de su aplicación. La gran mayoría, el 62%, opta por lo que se denomina “una posición defendible basada en el riesgo”. Los restantes mostraban unas perspectivas de cumplimiento aún más bajas.
La consultora Gartner no maneja unas previsiones mucho más positivas. Para esta compañía, a finales de 2018 más de la mitad de las empresas afectadas por el cambio no se habrá puesto al día de todas las obligaciones que implica la normativa. Ante este panorama, los organismos oficiales están intentando facilitar la puesta al día de los responsables y encargados del tratamiento. Por ejemplo, en España la Agencia Española de Protección de Datos ha habilitado distintos recursos para ayudar en el proceso.
Y es que el GDPR supone cambios de importancia para las organizaciones, aunque no todos son ni se perciben como igual de importantes. Según el informe de Deloitte, los requisitos que los encuestados enfocan como un mayor desafío son el cambio a una política de consentimiento clara y transparente, el derecho al olvido, el registro de las actividades de tratamiento de los datos, la parte de responsabilidad que conlleva mantener registros y demostrar el cumplimiento; y facilitar la portabilidad de datos.
En relación al requerimiento de notificar las violaciones de seguridad en el plazo de 72 horas tras su detección, un 35% contaba ya con las medidas necesarias para hacerlo, en tanto el 62% esperaba tenerlas a punto para el 25 de mayo. Sobre las evaluaciones de riesgo, aunque el 44% aún tenía que actualizarse para cumplir con la normativa, el 48% tenía a finales de 2017 estos procedimientos en marcha.
Pese a que en un primer momento el GDPR se pueda contemplar como un incremento de los procesos o un trabajo añadido a las empresas, la normativa europea también puede suponer distintas ventajas. Deloitte, por ejemplo, habla en su estudio de la “privacidad como propiciadora”. Un 61% de los participantes en el informe decían considerar beneficios adicionales en los trabajos para adaptarse al GPDR más allá de únicamente cumplir con él. Uno de cada cinco, incluso, creía que el cambio supondría mejoras como “ventaja competitiva, reputación mejorada y habilitación comercial”. Pone como ejemplos la identificación de posibles redundancias del sistema o de esfuerzos duplicados, lo que llevaría a un potencial ahorro en el gasto, o la mejora en la transparencia a la hora de mejorar la confianza del cliente en la marca.
También desde el Instituto Nacional de Ciberseguridad apuntan a una mejora en la competitividad basada en el cumplimiento de las normas, tanto a nivel de responsabilidad activa como proactiva. “La ciberseguridad en general, y la protección de datos personales en particular, adquieren cada día más importancia para la mejora de la competitividad en el mundo de los negocios arrastrado por las ventajas en conectividad, inmediatez y ubicuidad a la inevitable transformación digital”.
En este escenario de necesidad de cambio, con unas pautas que adoptar en el paso al GDPR, el momento se perfila como idóneo para optar por soluciones de ciberseguridad que faciliten la cobertura ante amenazas y su rápida detección. Limitarse al cumplimiento garantiza que no habrá problemas con las autoridades europeas, pero aprovechar para mejorar la infraestructura y las protecciones puede convertirse en un respaldo importante a la hora de diferenciar la empresa frente a las de los competidores.
Fuente: seguridadti.cso.computerworld.es
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |