¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es un cambio histórico en la protección de los datos y la privacidad de los consumidores. El objetivo del RGPD es simple: aumentar el control de los ciudadanos de la UE respecto a los datos que las empresas poseen sobre ellos. Aunque el objetivo es simple, lograr su cumplimiento no es tan fácil para la mayoría de las empresas.

Después de cuatro años de deliberaciones, la versión actual del RGPD se aprobó en abril de 2016 y entró en vigor el 25 de mayo de 2018. Sin embargo, según un estudio realizado por Crowd Research Partners, es poco probable que el 60 % de las empresas cumplan con el plazo de cumplimiento de la nueva legislación del RGPD.

Aunque algunas organizaciones han tomado medidas para implementar los procesos y procedimientos necesarios diseñados para lograr, mantener y demostrar su cumplimiento con el RGPD, muchas organizaciones subestiman dicha tarea y lo que se necesita para mantener su cumplimiento. Esto requiere revisar de forma integral quién tiene acceso a qué datos y dónde se encuentran los datos cubiertos por el reglamento, junto con la capacidad de realizar las auditorías de seguridad necesarias e implementar controles continuos.

85%

del riesgo en la empresa puede relacionarse
solamente con el 5 % de los usuarios

Más de 20 m de €

de multa mínima por
incumplimiento del RGPD

¿A quién afecta el RGPD?

Aunque el reglamento solo se aplica a los datos de los ciudadanos de la UE, deben cumplir con él todas las empresas de cualquier lugar del mundo que operen en la UE o que tengan sitios web a los que se pueda acceder desde la UE, lo que realmente tiene influencia en todo el mundo. Este nuevo reglamento forzará a realizar cambios materiales relacionados con la forma y el lugar en que las organizaciones almacenan los datos de su clientes y, lo que es más importante, cómo conceden acceso a esos datos a sus empleados, contratistas y socios comerciales.

Obligaciones clave del RGPD y sanciones por incumplimiento

Aunque muchas normativas de los sectores industriales y del gobierno, como la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (Health Insurance Portability and Accountability Act, HIPPA), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard, PCI DSS) y las leyes de prevención de violaciones de datos tienen como objetivo proteger la información personal identificable de los consumidores, el RGPD va mucho más lejos. El reglamento fue diseñado para armonizar las leyes de privacidad de los datos en toda Europa con el fin de proteger y fortalecer la privacidad de los datos de todos los ciudadanos de la UE y cambiar la forma en que las organizaciones que operan en la UE tratan la privacidad de datos.

Exige que los ciudadanos de la UE puedan acceder y controlar aspectos de sus datos, además de cómo se procesan, utilizan, eliminan y transfieren. Algunas de las obligaciones del RGPD son:

  • Normas estrictas para la protección, gestión y control de cualquier información personal identificable de los ciudadanos de la UE;
  • Cambios materiales en el modo y el lugar en que las organizaciones almacenan los datos de los clientes;
  • Obligación de informar sobre las violaciones de datos antes de las 72 horas posteriores a su descubrimiento y
  • Aumento en las obligaciones de gestión de los datos para las organizaciones a medida que crecen las posibilidades de estar en riesgo.

 

La sanciones económicas por violaciones de datos, que estén relacionadas con la información personal identificable de ciudadanos de la UE, pueden ascender al 4 % de los ingresos anuales globales de la organización o a 20 millones de euros, el importe que sea más elevado. Esto significa que los fallos en la cobertura del RGPD y las violaciones de seguridad pueden tener consecuencias extremadamente importantes para la cuenta de resultados de las organizaciones. Esté preparado. Descargue el libro electrónico de preparación frente al RGPD de SailPoint o el resumen de la solución que ofrece una guía paso a paso para el cumplimiento con el RGPD.

Get Your Organization Ready for GDPR

OBTENGA EL LIBRO ELECTRÓNICO

Guía paso a paso: Cumplimiento con el RGPD

OBTENGA EL RESUMEN DE LA SOLUCIÓN

Otros temas a tener en cuenta respecto al RGPD

El RGPD no solo requiere que las organizaciones incorporen permisos con menos privilegios para los datos personales de los ciudadanos de la UE, sino también que sean capaces de detectar y poner remedio inmediatamente a las violaciones de esa política. Las organizaciones ahora tendrán un máximo de 72 horas, tras tener conocimiento de la violación de datos, para informar de cualquier violación relacionada con datos de clientes y notificar a las personas en caso de que se establezca que ha habido un impacto adverso. Además, el encargado del procesamiento de los datos de la empresa debe notificar al responsable de este procesamiento de forma inmediata tras conocer el hecho, acerca de las violaciones de datos personales. Debido a estos cambios, es esencial poder identificar y cerrar cualquier vulnerabilidad de seguridad de la empresa.

El hecho de que existan tantas complejidades asociadas con la identidad de la empresa, el cumplimiento del RGPD y la protección de los datos significa que la forma más efectiva de avanzar es automatizar tantas herramientas de gestión de la identidad y del acceso, así como procesos de auditoría de seguridad, como sea posible. La automatización es vital cuando los procesos deben repetirse con regularidad y las respuestas deben producirse en tiempo real.

La concesión y la cancelación automática de acceso es una de las únicas formas en que las organizaciones pueden realmente intensificar los controles de seguridad, al mismo tiempo que posibilitan la eficiencia empresarial. Descargue el resumen de la solución que se muestra a continuación para obtener más información sobre nuestro enfoque integral, que se centra tanto en el proceso y la planificación como en la tecnología.

Cumplir con los desafíos del cumplimiento con el RGPD

DESCARGAR RESUMEN DE LA SOLUCIÓN

Caminar por el campo minado del cumplimiento: lo que no se ve puede resultar caro

LEER MÁS

Cómo cumplir con los requisitos del RGPD

Hay varios pasos que las organizaciones deben realizar para asegurarse de que cumplen con el RGPD. El primer paso, y el más importante, que deben emprender las organizaciones es llevar a cabo una auditoría de seguridad completa y una evaluación de los riesgos, así como asignar sus datos a propietarios para los mismos en todo su entorno. Cumplir acertadamente con el RGPD requiere que cada organización sepa quiénes son sus usuarios, dónde se encuentran los datos confidenciales bajo control normativo y cómo existen sus datos.

Una vez se recopilan los datos y los propietarios, las organizaciones deben reforzar los controles que determinan quién tiene acceso a datos específicos y quién no. El acceso a los datos debe estar controlado por el principio de «privilegio mínimo», de modo que solo se permita el acceso a los recursos mínimos y que el acceso a los datos sensibles esté altamente limitado. Los privilegios deben comprobarse periódicamente.

Al principio puede sentirse abrumado por los requisitos del RGPD, especialmente si tenemos en cuenta las consecuencias financieras del incumplimiento. Sin embargo, hacer uso del control de la identidad como parte principal de su estrategia de seguridad para proteger el acceso a los datos de los clientes en su organización puede contribuir en gran medida a reducir el riesgo de que se produzca una violación de datos y las sanciones resultantes en las que pueda incurrir.

A pie de calle: La cuenta atrás para el RGPD

LEER MÁS

No subestime los requisitos que el RGPD supondrá

LEER MÁS

Cómo el gobierno de la identidad ayuda a asegurar el cumplimiento con el RGPD

La manera más rentable de cumplir y mantener el cumplimiento con el RGPD es hacer que el gobierno de la identidad sea el centro de la estrategia de seguridad y cumplimiento. Específicamente, las herramientas de gobierno de la identidad permiten a las organizaciones evaluar con confianza sus riesgos, reforzar sus controles, sellar la vulnerabilidad de la empresa y automatizar sus procesos de detección y auditoría. Al garantizar que solo aquellos que deberían tener acceso a determinados datos puedan acceder a ellos, la gestión de la identidad aumenta la seguridad de las aplicaciones y de los datos.

En el caso del RGPD hay una serie de riesgos que las empresas deben evaluar para lograr su cumplimiento satisfactorio:

  • Descubra datos confidenciales en todo su entorno informático, incluidos los datos estructurados (como los datos de las aplicaciones y las bases de datos) y los datos no estructurados (como los documentos de Word, las hojas de cálculo y las presentaciones)
  • Sepa dónde se encuentran esos datos (de forma local o en varios servicios en la nube)
  • Identifique qué datos están expuestos y cuáles están obsoletos
  • Identifique quiénes son los propietarios de los datos y sus permisos de acceso (incluidos los permisos obsoletos y no utilizados)
  • Supervise la actividad de los usuarios en busca de solicitudes inusuales

 

Al poner primero los riesgos del gobierno de la identidad a la hora de realizar una evaluación, las organizaciones pueden crear su hoja de ruta para priorizar y dar solución a los vacíos normativos más urgentes y, de este modo, controlar y proteger eficazmente sus datos.

¿Cómo ayuda a su negocio nuestra plataforma de gobierno de la identidad en la nube abierta?

Hacemos posible que vea y controle el acceso a todas las aplicaciones y los datos para todos los usuarios, incluidos los no humanos, como los robots.

DESCUBRA MÁS