La nueva legislación europea de protección de datos, ¿cómo afecta a los negocios?

Ahora que el RGPD (Reglamento general de protección de datos) ha sido aprobado, los residentes en la UE van a contar en muy poco tiempo con un nivel de protección uniforme en toda la Unión y una mejor información de cómo sus datos son gestionados por organizaciones privadas. ¿Qué es lo que esas organizaciones deben cambiar para cumplir con la nueva normativa?

El RGPD, que define unos estándares mínimos para la manipulación, protección y compartición de datos personales, de los residentes en la UE, entrará en vigor el 25 de mayo de 2018. Con apenas dos años por delante, y teniendo en cuenta el número de personas afectadas, los procesos y los cambios tecnológicos que deben tener lugar, las empresas más previsoras han empezado a dar los pasos necesarios para cumplir con la legislación europea.

Tampoco el Brexit va a impedir que el RGPD evite la forma en la que los datos son controlados y protegidos por las organizaciones británicas, y esto es así porque la RGPD se preocupa por los datos personales de los ciudadanos, independientemente del lugar dónde se encuentre nuestra empresa. Esta cláusula de “extra territorialidad” significa que cualquier empresa que venda productos en un país de la Unión, debe preocuparse por cumplir con la nueva legislación, sin tener en cuenta su ubicación.

¿Qué cambios va a traer el RGPD?

El RGPD armoniza la normativa de protección de datos en toda la UE, relegando las legislaciones nacionales existentes a un segundo plano. Aunque los nuevos estándares van a ser para la mayoría de los países europeos mucho más estrictos que los existentes en estos momentos, y van a requerir a las empresas que implementen muchas novedades en la protección de datos, la uniformidad por toda la UE va a permitir hacer negocios de forma mucho más fácil. Actualmente, las empresas con presencia en toda la Unión tienen que conocer y aplicar 28 legislaciones nacionales diferentes. El RGPD simplificará este escenario drásticamente, al mismo tiempo que permitirá que cada país europeo pueda establecer su normativa local complementaria a la europea.

Dentro de las novedades de la nueva legislación nos encontramos con “el derecho a ser olvidado”, la obligatoriedad de informar de la existencia de fuga de datos, la obligatoriedad de contar en las organizaciones con un responsable de protección de datos (Data Protection Officer – DPO), el uso demostrable de procesos y tecnología para proteger los datos y, finalmente, un sistema de multas que pueden llegar a alcanzar hasta el 4% de la facturación, con un máximo de 20 millones de euros en caso de infracciones graves.

Según la consultora Ovum, el 70% de las empresas esperan un incremento en su gasto para poder cumplir con la protección y soberanía de los datos. Un “incentivo” para las empresas es que si, después de los dos años del periodo de transición, no se han adaptado a la normativa, las empresas pueden tener que hacer frente a importantes consecuencias, incluyendo periódicas auditorías de protección de datos.

¿Qué deben hacer las empresas para cumplir con la nueva normativa?

Para cumplir con el reglamento, las empresas y organizaciones necesitan disponer de procedimientos tecnológicos de vanguardia. Deben intentar construir arquitecturas flexibles capaces de incorporar las nuevas tecnologías que vayan apareciendo, ya que a medida que transcurra el tiempo, éstas irán evolucionando.

Tecnologías como el cifrado, es con seguridad una de las que se necesitarán para proteger los datos sensibles, aumentando el rápido crecimiento en el cifrado de las redes y del tráfico de Internet. Sin embargo, las empresas deben permanecer en alerta ante los cibercriminales que ocultan sus ataques dentro de un tráfico cifrado inofensivo.

Desafortunadamente, la mayoría de las herramientas de seguridad empresarial no pueden escanear los datos cifrados en busca de malware, o pistas de un ataque cifrado o de extracción de datos, convirtiendo el cifrado en un sencillo y eficaz modo para evadir controles de seguridad. La solución se encuentra en diseñar una política de cifrado que equilibre adecuadamente privacidad de datos y un dispositivo de seguridad más resistente. La tecnología de gestión de tráfico cifrado (Encrypted traffic management - ETM) está disponible para que las empresas puedan descifrar fragmentos seleccionados de tráfico cifrado y enviar el contenido para su procesamiento, mediante controles de seguridad, antes de volverlo a cifrar y mandarlo a su destino.

Otro elemento a tener en cuenta es el de las notificaciones de las violaciones de datos. El RGPD exige que, en menos de 72 horas, las organizaciones que han sufrido una fuga de datos tengan que notificarlo a la autoridad supervisora de la UE. Las organizaciones deben evaluar su capacidad de respuesta inmediata para asegurarse que pueden ofrecer una imagen completa de lo que ha sucedido, y cómo.

Pero no todo es tan sencillo como parece. Según un estudio de Ponemon Institute, la fuga de datos puede tardar de promedio más de 250 días en ser detectada y otros 80 días adicionales en ser resuelta. Estos retrasos se ven aumentados cuando los equipos de respuesta a incidentes necesitan analizar manualmente grandes cantidades de datos para identificar lo que ha pasado, a quién ha afectado, y cómo puede solucionarse.

La información generada automáticamente es importante para mejorar la capacidad de las organizaciones de notificar a las partes interesadas en el caso de una fuga de datos, y demostrar a las autoridades que se han tomado las acciones necesarias para su detección y solución. Soluciones como el sistema de gestión de la información y de los eventos de seguridad (Security Information Event Management - SIEM) y el análisis forense de redes, permiten a las empresas capturar automáticamente toda la información de la red en un único lugar, identificar cómo se produjo la brecha, qué recursos fueron afectados y que datos se perdieron.

Control de los datos en la nube

Para muchas organizaciones, la nube es vista como un importante agujero en su estrategia de protección de datos. A medida que la dependencia en las aplicaciones en la nube crece, las empresas tienen que hacer frente a un mayor número de problemas relacionados con la privacidad de los datos, el cumplimiento normativo y la seguridad. Con la nube, los datos de los usuarios están más expuestos si lo comparamos con la situación anterior, cuando estaban confinados en los sistemas locales, aumentando el riesgo para violaciones potenciales del RGPD en el caso de una fuga de datos.

El resultado es que pocas organizaciones tienen una visibilidad y un control completo de sus datos, empezando por el hecho de que no son propietarias de la infraestructura en la que las aplicaciones corren. Podemos ver así la belleza y el horror de las aplicaciones en la nube.

Tecnologías como Cloud Access Security Broker (CASB) tienen como misión ayudar ante estos problemas de protección y ubicación de datos. CASB ofrece visibilidad sobre el uso de las aplicaciones en la nube y sobre los datos que viajan en esas aplicaciones, al mismo tiempo que nos permite controlar quiénes usan esas aplicaciones, ver qué tipos de datos y qué aplicaciones intercambian datos privados.

Otra tecnología que ayudará a las organizaciones en lo relativo a la ubicación de los datos es la tokenización, que permite el uso de las aplicaciones en la nube de modo seguro, sustituyendo los datos privados por tokens seguros a medida que el tráfico abandona la red corporativa y, vía Internet, se dirigen hacia los servidores en la nube de las aplicaciones. De esta manera, los datos privados nunca salen de la sede de la empresa, permitiendo cumplir así con las obligaciones del RGPD sobre ubicación de la información y sobre la debida protección de datos en el caso de que una brecha de información llegara a producirse, y también con los requisitos del acuerdo Escudo de privacidad UE-EE.UU.

Con el RGPD de la UE previsto que entre en vigor en 2018, no podremos obviar la importancia de la protección de datos y las consecuencias que puede tener no cumplir con la normativa. Independientemente de que el RGPD sea el elemento que justifique o explique una mejor gestión de la información en nuestra empresa, lo que si es cierto es que vamos a ver más empresas preocupándose de verdad por proteger sus datos en un mundo en rápida evolución adoptando soluciones cloud.

Miguel Ángel Martos, director general de Blue Coat para el sur de Europa, ahora parte de Symantec.