1
Guía para Chief Data Officers
GDPR: Seguridad y cumplimiento normativo
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Data Officers. 2
El Reglamento General de Protección de Datos (GDPR por
sus siglas en inglés), que empezará a aplicarse el 25 de
mayo de 2018, supone el mayor cambio legislativo en
materia de protección de datos en los últimos 20 años a
nivel europeo. Las organizaciones que a partir de esa
fecha cometan una infracción severa se arriesgan a una
sanción que puede suponer hasta el 4% de su facturación
global o 20 millones de euros. La cifra que resulte mayor
de ambas.
A un perfil como el CDO (Chief Data Officer), o en su
defecto al CEO, le conviene saber que el GDPR exige a
todas las organizaciones del sector público y muchas
organizaciones del sector privado la designación de un
Delegado de Protección de Datos (DPO, Data
Protection Officer), que se encargará de la gestión de
datos y garantizará el cumplimiento del GDPR dentro de
la organización. Concretamente, debe designarse este
cargo si se cumple alguno de los supuestos del artículo 37
del reglamento:
a. El tratamiento lo lleve a cabo una autoridad u
organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial.
b. Las actividades principales del responsable o del
encargado consistan en operaciones de
tratamiento que, en virtud de su naturaleza, alcance
y/o fines, requieran una observación a gran escala
habitual y sistemática de interesados.
c. Las actividades principales del responsable o del
encargado consistan en el tratamiento a gran
escala de categorías especiales de datos
personales (etnia, raza, opiniones políticas,
convicciones religiosas o filosóficas, afiliación
sindical, datos genéticos, biométricos, de salud,
vida sexual / orientación sexual) y de datos
relativos a condenas e infracciones penales.
Pero según se indica también en el mismo artículo, el DPO
será designado atendiendo a sus cualidades profesionales
y, en particular, a sus conocimientos especializados del
Derecho y la práctica en materia de protección de datos y
a su capacidad para desempeñar las funciones indicadas
en el propio reglamento. Si el actual CDO de la
organización va a asumir el rol requerido por el
reglamento, tendrá que formarse adecuadamente para el
puesto.
Funciones del DPO según el reglamento GDPR
En primer lugar, deberá tener en cuenta la naturaleza, el
alcance, el contexto y fines del tratamiento de los datos
que su organización recopila. Y, como mínimo, tendrá las
siguientes funciones:
• Informar y asesorar sobre las obligaciones que
implica la aplicación del reglamento tanto al
responsable o al encargado del tratamiento como al
resto de empleados.
• Supervisar el cumplimiento del reglamento y de otras
disposiciones de los estados miembros, además de
asignar responsabilidades, concienciación y
formación del personal, así como auditorías.
• Ofrecer asesoramiento sobre la evaluación del
impacto relativa a la protección de datos.
• Cooperar con la autoridad de control y actuar como
punto de contacto con ésta.
Para llevar a cabo todas estas actividades, el CDO
necesitará recursos humanos y técnicos para cumplir sus
funciones (la organización estará legalmente obligada a
brindar el apoyo que necesiten), y deberá disponer de
acceso a las personas y operaciones vinculadas a los
procesos de datos personales, operar con suficiente
independencia con respecto al resto de cuadros directivos
e informar directamente a la alta dirección.
El papel del CDO ante la exigencia regulatoria
de GDPR. Las cuatro áreas vitales para
asegurar el cumplimiento
IDC Research España, en su reciente estudio sobre el impacto del GDPR en las empresas españolas, indica que mientras el 60% de las organizaciones nombrará a un individuo como DPO dentro de las mismas, el 11% subcontratará el puesto y otro 15% lo nombrará fuera de la organización.
La no designación puede también acarrear sanciones. Aun así, el 7% de los encuestados en ese mismo estudio indica que no nombrará un DPO.
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Data Officers. 3
Según IDC Research España, el 36% de las empresas
españolas considera la nueva regulación como una
ventaja competitiva o una oportunidad para mejorar la
eficiencia del gobierno de la información y su seguridad.
Puede considerarse pues para todos como una
oportunidad de revisar profundamente los procesos
vinculados al tratamiento de datos, así como los roles y
responsabilidades dentro de la organización.
Desde Microsoft proponemos tanto a nuestros socios
como a nuestros clientes abordar la regulación
centrándose en un conjunto general de controles y
capacidades clave. Estos pueden resumirse en cuatro
áreas vitales: Detectar, Gestionar, Proteger e Informar.
Primera fase: detectar y evaluar
El primer paso hacia el cumplimiento del GDPR es evaluar
si aplica a mi organización y, de ser así, en qué medida.
Este análisis incluye la comprensión de los datos que la
organización procesa y dónde residen, porque el GDPR
regula la recopilación, el almacenamiento, el uso y el
intercambio de datos personales, entendiendo como tales
aquellos que se relacionan con una persona física
identificada o identificable, tanto de forma directa como
indirecta. Es preciso entender por qué se recopilaron,
cómo se procesan y se comparten, y cuánto tiempo se
conservan para el fin con el que fueron cedidos.
El camino: seguridad, transparencia y gestión
simplificada
Explotar y
desarrollar los
datos como un
activo de toda
la organización
para crear valor
Definir la
estrategia y
gestión de
datos y
gobernanza
Responsable de
la
confidencialidad,
protección, ciclo
de vida y garantía
de calidad de los
datos
Equilibrar y
garantizar la
facilidad de
uso de los
datos desde
todas las
perspectivas
Apoyarse en la
tecnología
adecuada para
la gestión,
integración,
modelado,
informes y
análisis
Determinar qué
inversión
tecnológica es
la que más
conviene a la
organización
en cada
momento
Garantizar la
seguridad y
confidencialidad
de los datos
personales
Mantener el
registro
completo de
actividades de
procesamiento
de datos
Dirigir y adoptar
una cultura ética
en el manejo de
los datos
Estar al tanto
de las
tecnologías
utilizadas
(perfilado, big
data…) para
anticiparse a
las crisis
Colaborar en la
gestión del
cumplimiento
regulatorio,
reduciendo el
riesgo ante
sanciones
Cooperar con
los reguladores,
siendo el
contacto ante
éstos
El CDO no es necesariamente el DPO
En esta guerra de siglas, no debemos olvidar que el CDO no es necesariamente el DPO de una organización. Mientras que
en el CDO recae la responsabilidad de la gobernanza de los datos, la explotación y la seguridad (siendo la ciberseguridad
una de sus prioridades), las del DPO son el cumplimiento, la cooperación con los reguladores y la comunicación, educando
a la empresa y a los empleados que participan en el procesamiento de datos para que cumplan los nuevos requisitos
reglamentarios.
CD
O
DP
O
PRINCIPALES FUNCIONES
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Data Officers. 4
Hay que inventariar los almacenes de datos, y las
ubicaciones dependen de la infraestructura de cada
organización y de la tecnología que esté implementada.
Por lo general, éstos residirán en varias ubicaciones, tanto
centralizadas (on-premise, nube pública, nube privada o
híbrida), como descentralizadas (los usuarios finales
pueden almacenar datos en sus equipos personales,
existiendo solo como una instancia en el dispositivo del
usuario final o sincronizados con una ubicación
centralizada), en dispositivos removibles (llaves USB o
discos duros externos) y, por supuesto, en las soluciones
de backup que tengamos en marcha. Y no olvidemos
tampoco lo registrado por dispositivos multimedia, como
los circuitos de CCTV.
Segunda fase: gestionar
Una vez que se ha completado el inventario, es necesario
desarrollar e implementar un plan de gobierno de datos
(algo que el CDO ya asume como su responsabilidad), y
por ello la entrada en vigor del GDPR es buen momento
para instaurar o reforzar una cultura ética y de
cumplimiento de la ley. Porque en su artículo 24
incorpora el principio de accountability o “responsabilidad
del responsable”, a través del cual queda claro que
debemos garantizar y poder acreditar que tratamos y
custodiamos los datos aplicando las medidas técnicas y
organizativas apropiadas para nuestra organización.
El reglamento europeo proporciona a las personas con las
que se relacionan los datos un mayor control sobre
cómo se captura y utiliza su información personal. Como
consecuencia, éstas pueden, por ejemplo, solicitar que su
organización proporcione información sobre el
procesamiento de sus datos personales, la eventual
transferencia de sus datos a terceros, los mecanismos para
la corrección de errores o la restricción en el
procesamiento posterior. Todas estas solicitudes deben
abordarse y resolverse dentro de períodos de tiempo
limitados.
A la hora de abordar la gestión responsable del
tratamiento de datos personales y las amenazas de
seguridad de los sistemas en cada organización, el papel
del CDO resulta fundamental. Como responsables de la
estrategia y gestión de datos y gobernanza, el GDPR nos
obliga a revisar los procesos actuales con el fin de
asegurar la conformidad, definiendo políticas, roles y
responsabilidades para el acceso, con el fin de, por
ejemplo, brindar a la organización la seguridad de que
efectivamente se respeta la demanda de una determinada
persona a la hora de eliminar o transferir sus datos.
Tercera fase: proteger
Lamentablemente y con relativa frecuencia nos llegan
noticias de brechas de seguridad que afectan a miles y
millones de cuentas de usuarios o datos personales
cedidos para la prestación de un determinado servicio, lo
que coloca a la seguridad cibernética como prioridad
en la agenda de cualquier organización. Aunque la
responsabilidad final de la seguridad de TI puede no
corresponder al CDO, es crucial que éstos conozcan las
medidas que se están tomando y que confíen en que la
protección es más que adecuada.
Hay que identificar y considerar muchos tipos de riesgos,
que van desde la intrusión física hasta la pérdida
accidental, los empleados deshonestos o los ataques
externos de los hackers.
Hoy en día los datos residen tanto en instalaciones
locales, como en la nube pública o privada. Al final, las
infraestructuras de TI de las organizaciones están
formadas por entornos híbridos, en los que los servicios
cloud adquieren un papel fundamental. En este contexto,
la nube de Microsoft está específicamente diseñada para
ayudarle a comprender los riesgos y defenderse de ellos, y
con frecuencia es más segura en muchos aspectos que los
tradicionales entornos on-premise.
Por ejemplo, nuestros centros de datos, que dan
cobertura a los servicios de Azure y Office 365, cumplen
con el más amplio conjunto de estándares internacionales
y específicos de la industria, como ENISA IAF, ISO/IEC
27001, 27018, FedRAMP, SOC 1 y SOC 2, HIPAA, Esquema
Nacional de Seguridad / ENS o la AEPD, incluyendo
vigilancia física las 24 horas y estrictos controles de
acceso.
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Data Officers. 5
Cuarta fase: informar
El GDPR establece nuevos estándares en transparencia, rendición de
cuentas y mantenimiento de registros. La organización tendrá que
ser más transparente no solo sobre cómo maneja los datos
personales, sino también sobre cómo se mantiene activamente la
documentación que define tanto los procesos como el uso de los
datos personales.
Por ello, las organizaciones que procesan datos personales deberán
mantener registros sobre:
• los fines para los cuales los recaban y procesan los datos
• las categorías de datos personales procesados
• la identidad de terceros con quienes se comparten datos
• a qué y a quienes de terceros países se transmiten los datos
personales y la base legal de tales transferencias
• las medidas de seguridad organizativas y técnicas
• los tiempos de retención aplicables a diversos conjuntos de
datos.
Una forma de mantener toda esta información al día y revisada pasa
por el empleo de herramientas de auditoría, que pueden ayudar a
asegurar que cualquier procesamiento de datos cuenta con un
seguimiento y un registro, en cualquiera de las fases de recopilación,
uso, custodia o intercambio.
Detectar Gestionar Proteger Informar
Utilice plantillas de eDiscovery para identificar tipos de datos personales.
Encuentre, clasifique, configure políticas y administre datos fácilmente con Advanced Data Governance.
Aproveche Advanced eDiscovery para exportar y/o eliminar datos personales de Exchange, SharePoint, etc.
Archive y preserve el contenido en sus sistemas Office 365.
Proteja automáticamente contra la divulgación accidental mediante la aplicación de políticas sobre datos confidenciales.
Proteja el correo electrónico de los sofisticados ataques de malware de hoy con Advanced Threat Protection.
Evite que registros confidenciales sean utilizados por usuarios no autorizados con Data Loss Protection.
Descubra y proteja proactivamente contra amenazas y riesgos avanzados con Threat Intelligence y Advanced Security Management.
Lleve a cabo evaluaciones de riesgos utilizando herramientas integradas con Service Assurance Dashboard.
Haga un seguimiento e informe de las actividades de los usuarios con registros de auditoría detallados.
¿Cómo puede ayudarle Office 365?
Microsoft 365
Estamos viviendo un momento de inflexión. La transformación digital supone el mayor cambio que cualquiera de nosotros haya visto a lo largo de su vida.
Las empresas invierten en tecnología para optimizar operaciones, transformar productos, atraer clientes y dar mayores capacidades a sus empleados.
El desafío consiste en encontrar la manera de empoderar a las personas para hacer mejor su trabajo. Y esto comienza con el fomento de una cultura del trabajo y de colaboración que sea inspiradora para todos.
Para proporcionar la tremenda oportunidad de crecimiento empresarial e innovación, simplificamos la experiencia del cliente combinando Office 365, Windows 10 y Enterprise Mobility + Security, formando juntos parte de Microsoft 365.
Una solución completa e inteligente que permite a las personas ser más creativas, trabajar juntas y de forma segura.
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Data Officers. 6
Encriptación de nube y correo electrónico
• Mediante gestión de amenazas, supervisión de
seguridad e integridad de archivos/datos,
aplicadas a detección de problemas y alteración
de datos.
• Con el cifrado de mensajes de Office 365,
incluido en Azure Rights Management.
• S/MIME proporciona acceso de correo
electrónico seguro basado en certificados.
Prevención de pérdida de datos
• Nuestras tecnologías de Machine Learning
(aprendizaje automático) y análisis
implementadas en Office 365 ayudan a mejorar
automáticamente la administración y
protección de datos.
• Office 365 proporciona una amplia gama de
funciones DLP en sus aplicaciones para evitar
que los datos sensibles se filtren dentro o fuera
de la organización.
• Office 365 ayuda a empoderar a los usuarios
finales a través de continuas políticas de
formación.
• Los administradores pueden rastrear la
efectividad de las políticas DLP con informes
integrados en Office 365.
Control de acceso
• Rights Management Services previene el acceso
a nivel de archivo sin las credenciales de
usuario correctas.
• Customer LockBox proporciona a los clientes un
control explícito ante la eventualidad de que un
ingeniero de Microsoft pueda necesitar acceso
para resolver un problema concreto.
Conformidad
• Office 365 cumple con los requisitos específicos
de ISO 27001, cláusulas de la UE, HIPAA BAAA,
FISMA y nivel Alto frente al Esquema nacional
de Seguridad y la LOPD.
• Nuestro acuerdo de procesamiento de datos
detalla la privacidad, la seguridad y el manejo
de los datos de los clientes, lo que le ayuda a
cumplir con las reglamentaciones locales.
• La retención legal y el eDiscovery
(descubrimiento electrónico) están integrados
en el servicio, lo que ayuda a encontrar,
preservar, analizar y empaquetar contenido
electrónico para una solicitud o investigación
legal.
• La API de actividad de administración de Office
365 facilita la monitorización de la seguridad y
cumplimiento.
Gestión de dispositivos
• Office 365 e Intune protegen los datos en
dispositivos móviles sin sacrificar la
productividad del usuario.
• Mediante la creación de políticas de acceso
condicional los gestores pueden administrar
políticas sobre cómo se accede a los datos y se
comparten entre aplicaciones y dispositivos.
• Nuestras tecnologías permiten eliminar
selectivamente datos corporativos y
aplicaciones de dispositivos.
Recursos
Herramienta de Evaluación de GDPR
Centro de Confianza
Centro de Confianza de Office 365
Microsoft 365
Microsoft para las Empresas
Proveedores de soluciones Microsoft
Office para profesionales de TI
Cómo puede ayudar la tecnología a resolver
las preocupaciones de los CDO
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Data Officers. 7
Detectar Gestionar Proteger Informar
Office y
Office 365
Prevención ante la pérdida de datos
Gobierno Avanzado de Datos
Office 365 eDiscovery
Gobierno avanzado de datos
Journaling (Exchange Online)
Advanced Thread Protection
Always encripted
Service Assurance
Logs de Auditoría de Office 365
Customer Lockbox
Windows Windows Search Windows Defender
Windows Hello
Devide Guard
Windows Defender
Advance Thread Protection
Enterprise
Mobility
Suite
Azure AD Application Catalog Cloud Application Security Azure Information Protection Microsoft Intune
Azure AD RBAC & Dynamic groups Azure AD Privileged identity management Azure Information Protection Cloud Application Security
Azure MFA Acceso Condicional Azure Identity Protection Azure Information Protection Microsoft Intune Cloud Application Security
Azure AD Advanced Reports Advanced Threat Analytics Azure Information Protection Microsoft Intune
Soluciones y tecnologías para el puesto de trabajo
Cumplir el Reglamento General de Protección de Datos
(GDPR) no es un proyecto puntual y acotado en el tiempo.
Exige un aprendizaje y esfuerzo continuos y establecer
alianzas con proveedores de máxima confianza.
En Microsoft estamos firmemente comprometidos con
nuestros clientes en el cumplimiento de GDPR, a los que
les ayudamos simplificando su viaje, aportando recursos,
reduciendo sus riesgos y proporcionando una amplia red
de expertos, en total coordinación con nuestros partners.
Puede contar con nuestro extenso ecosistema global de
partners para obtener el soporte experto que necesita a
medida que utiliza las tecnologías de Microsoft. Entre otros
servicios pueden:
• Ayudarle a realizar evaluaciones de seguridad y
riesgos, localizar datos personales relevantes y
desarrollar un plan para lograr y mantener el
cumplimiento.
• Ayudarle a desarrollar, implementar y administrar
su plan de cumplimiento diseñando, configurando
y monitorizando las políticas y controles
apropiados para sus datos y aplicaciones.
• Monitorizar, analizar y actuar tanto sobre las
amenazas externas como con información acerca
del comportamiento de los usuarios para
garantizar que las vulnerabilidades y las
infracciones se aborden de manera efectiva.
• Ofrecer servicios administrativos para garantizar
que cumple con los requisitos tanto a nivel de
documentación como de las obligaciones de
notificación, respondiendo así de manera oportuna
a las solicitudes de datos.
Nuestro objetivo conjunto es el de garantizar la seguridad
de las organizaciones, para facilitar su transformación
digital a través de una plataforma integral, una inteligencia
única y las mejores alianzas tecnológicas. Lo que nos
permite ofrecer soluciones de seguridad en áreas clave
como identidad, aplicaciones y datos, dispositivos e
infraestructura.
La seguridad es ahora un diferenciador clave
para las empresas digitales. GDPR representa
una gran oportunidad para instaurar una
cultura ética y de cumplimiento en la gestión
del dato.
El compromiso de Microsoft
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Data Officers. 8
Contacto
www.auraportal.com
AuraPortalAuraPortal es una empresa internacional proveedora de software, reconocida por firmas analistas líderes, incluyendo a Gartner y OVUM, gracias a su extrema facilidad de uso, rápidas implementaciones, integración con otros sistemas, escalabilidad y muchas otras características.
Nuestra empresa cuenta con más de 100 empleados.
Nuestra plantilla incluye ejecutivos de probada experiencia y un amplio equipo de ingenieros con las más altas cualificaciones técnicas.
Presencia en más de 40 países.
AuraPortal tiene presencia en más de 40 países con más de 900 instalaciones que se encuentran cubiertas por sus respectivos contratos de mantenimiento.
AuraPortal GDPR
La GDPR abarca 4 áreas dentro del ámbito empresarial. AuraPortal cubre el área más crítica, cubriendo todo lo relativo a las actividades que realizan los trabajadores sobre la recepción y procesamiento de los datos personales.
Hemos creado una solución tecnológica relativa a los procedimientos en la recepción y procesamiento de los datos personales, haciendo que el eje de la regulación recaiga sobre AuraPortal y no sobre los empleados.
Entre las principales problemáticas que solventamos se encuentran: la renovación y solicitud de los consentimientos de datos personales, el EIPD (Evaluación de Impacto de Protección de Datos) y la notificación, en menos de 72 horas, a la AGPD (Agencia General de Protección de Datos) en caso de tener una brecha de seguridad.