GCCVIEWS

Etiqueta: protección de datos

  • La relevancia del Responsable de la  Seguridad de la Información

    La relevancia del Responsable de la  Seguridad de la Información (CISO por sus siglas en inglés de Chief Information Security Officer).

    El Foro Económico Mundial en su Informe Global de Riesgos del 2018, identifica que dentro de los riesgos más preocupantes a nivel mundial por su probabilidad de ocurrencia e impacto, son los ciberataques y al robo o uso fraudulento de los DATOS. Siendo por ello, una de las grandes preocupaciones a nivel global tanto en el entorno público como privado. La dependencia de las redes y de los sistemas de información para el bienestar, la estabilidad y el crecimiento naciones es un hecho. Como también lo es la interdependencia de tecnologías e infraestructuras.

    Para las empresas, los nuevos paradigmas como son la Transformación Digital, el uso de soluciones basadas en la Nube o Cloud Computing, la incorporación de dispositivos IoT, el Big Data, suponen un cambio en la forma de entender cómo la tecnología facilita el negocio.

    Por otro lado, la tendencia Fast, Cheap & Easy en la gestión de Sistemas de Información para reducir el tiempo y los costos  de la provisión de nuevas soluciones y que se apoya en metodologías ágiles (Lean, DevOps, Agile) supone tanto un reto en la elaboración de los Análisis de Riesgos, como en el control del desarrollo y hace más importante la necesidad de tener en cuenta la Seguridad de la Información desde el diseño y durante todo el ciclo de vida de cualquier Producto o Servicio.

    Todos los actores están preparándose a este nuevo escenario. La Administración pública y la privada a nivel global están centrando sus esfuerzos en la definición de distintos marcos regulatorios: La Estrategia de Ciberseguridad, el Reglamento General de Protección de Datos Personales, la Seguridad de las Redes y los Sistemas de información, la normativa sobre protección de infraestructuras críticas y la normativa de seguridad privada. Todas ellas con un factor común, establecer un conjunto de criterios o medidas de seguridad a aplicar. No debería sorprendernos que Panamá inicie este camino también.

    Es por todo ello, por lo que el papel del Responsable de Seguridad de la Información (CISO por sus siglas en inglés de Chief Information Security Officer) cobra un papel trascendental en las organizaciones del siglo XXI. La seguridad por defecto, desde el diseño y la debida gestión de los riesgos de seguridad son elementos clave para garantizar la supervivencia de las organizaciones del futuro, y en general de la sociedad. Debe ser capaz de poder cohesionar la estrategia en materia de Seguridad de la Información de las organizaciones.

    No obstante, dependiendo de cada entidad estas funciones del CISO pueden ser asignadas a otros roles (o junto con otros roles) dentro de la estructura organizativa.

    Algunos de estos roles son: el del CRO (Chief Risk Officer), el COO (Chief Operating Officer), CIO (Chief Information Officer) DPO (Data Protection Officer), CDO (Chief Data Officer), CTSO (Chief Technology Security Officer) o CSO (Chief Security Officer). En todo caso, será cada entidad quien deba definir el modelo organizativo y de relación en materia de seguridad dentro de su organización prevaleciendo el principio de segregación de funciones. En función de la madurez de las entidades y su sensibilidad ante la seguridad de la información el rol del CISO se encontrará jerárquicamente enmarcado: en la alta dirección (formando parte de los comités de dirección), en la Dirección de IT – Tecnologías de la Información, en la Dirección de Riesgos o en Seguridad Corporativa.

    Esté donde esté, sin lugar a dudas el CISO es una figura clave dentro de las organizaciones debiendo definirse claramente sus atribuciones y su perfil. Desde Goethals Consulting lo asesoramos cómo hacerlo.

  • Extraterritorialidad del Reglamento General de Protección de Datos de la Unión Europea

    El 25 de mayo de 2016, entró en vigor el Reglamento General de Protección de Datos (RGPD) en la Unión Europea (UE) que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este Reglamento busca armonizar el marco jurídico fragmentado de la protección de datos en el Espacio Económico Europeo (EEE), pero también ganar la confianza y garantizar que el derecho a la vida privada del consumidor sea respetado por las empresas en la economía digital mundial. Esta es la razón por la cual la jurisdicción del RGPD no tiene la intención de detenerse en las fronteras de la UE, lo que plantea la cuestión de la extraterritorialidad.

    El campo de aplicación cubrirá no solo a entidades que traten datos de carácter personal que se encuentren dentro del territorio europeo, sino también a empresas o entidades del mundo entero que traten datos personales como parte de las actividades de una de sus sucursales establecidas en la UE, independientemente del lugar donde sean tratados los datos; o empresas establecidas fuera de la UE que ofrecen productos o servicios (de pago o gratuitos), u observan el comportamiento de los ciudadanos o residentes de la UE.

    Las pautas de RGPD definen la situación arriba citada cuando «las personas son seguidas en Internet». Esto incluye el uso potencial de técnicas de elaboración de perfiles para tomar decisiones sobre las personas involucradas o para analizar o predecir las preferencias de compras, comportamientos o actitudes de éstas. Un ejemplo sería el caso de una agencia de viajes u operador hotelero en Panamá que crea perfiles de sus clientes españoles, italianos, alemanes y polacos para ofrecerles ofertas para otros viajes o estancias.

    Asimismo, todos los organismos públicos y los prestatarios económicos tales como bancos y abogados deberán adecuarse a las obligaciones del RGPD, entre las que se destaca la designación de un Delegado de Protección de Datos (DPO, Data Protection Officer en inglés), quien deberá contar con conocimientos jurídicos y experiencia en la materia de protección de datos.

    El sector de marketing de las empresas se verá fuertemente impactado con esta normativa al tener que recabar el consentimiento “libre e inequívoco, prestado a través de una clara acción afirmativa” para cualquier acción que quiera llevar a cabo con los datos de sus clientes europeos (no más envío de mails “BtoC” en masa). El consentimiento, además, no podrá ser tácito, ni se podrá proporcionar a través de casillas pre marcadas. Los datos de carácter personal incluyen las cookies y las direcciones IP.

    Las empresas tendrán también la obligación de informar a sus clientes en un plazo máximo de 72 horas si se produce alguna brecha de seguridad que haya puesto en peligro la privacidad de sus datos. El RGPD establece igualmente el principio de responsabilidad activa, mejor conocido como “accountability”, a través de la cual se pretende que las empresas se responsabilicen de adoptar las medidas pertinentes que minimicen el posible impacto negativo de sus actuaciones y puedan demostrarlo.

    Por otra parte, el RGPD otorga a los clientes o consumidores europeos el “Derecho al Olvido”, que permite a cualquier persona reclamar la supresión de sus datos de los motores de la búsqueda de internet, o el “derecho a la portabilidad”, que faculta al interesado recuperar una copia de sus datos personales para transmitirla a otra empresa.

    La violación al RGPD contempla un régimen sancionador para la empresa con multas que varían según su propio incumplimiento y que pueden alcanzar cuantías de hasta 20 millones de euros o el 4 por ciento del volumen de negocio total anual global del ejercicio financiero anterior, además de las graves consecuencias en la confianza de sus clientes y conllevar efectos negativos para su reputación.

    El principio de “Privacy by Design” es otra novedad para referirse a la obligación para las empresas de abordar los aspectos técnicos y jurídicos a fin de tomar en cuenta las leyes de privacidad en el momento del diseño de la app o software, no después.

    En lo que respecta a la transferencia de datos personales a Estados miembros no pertenecientes a la UE, el RGPD confirma el principio de que el responsable del tratamiento solo puede transferir datos personales a un tercer Estado si éste proporciona un nivel de protección adecuado, derechos y libertades de las personas afectadas. La regulación también enfatiza la «decisión de adecuación» que puede hacer la Comisión Europea a través de la cual cualquier transferencia transnacional puede hacerse sin autorización específica. A este respecto, en la región latinoamericana, la Comisión Europea solo reconoce a Argentina y Uruguay como países que garantizan un nivel de protección adecuado y confiable para hacer negocios. A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantías adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas.

    En conclusión, toda entidad o empresa ubicada fuera del territorio de la UE que reciba tráfico web de portales ubicados en la UE, proporcione servicios a personas u otras empresas localizadas en la UE, tendrá que implementar las medidas técnicas y organizativas necesarias para el cumplimiento de lo establecido en el RGPD. En consecuencia, la primera pregunta que deben formularse las empresas que se basan fuera de UE es si actualmente están trabajando o planeando hacer negocios en Europa en un futuro cercano. Luego, será necesario analizar sus modelos de negocios para determinar si están administrando datos de ciudadanos europeos y, de ser así, qué tipo de datos. En esta era, en que todo está conectado, muchas empresas procesan datos de ciudadanos europeos de una manera u otra.