Nuevo Reglamento General de Protección de Datos Europeo. Una nueva era en Privacidad
En mayo de 2018 entrará en vigor una ley europea de privacidad que requerirá grandes cambios, y posiblemente grandes inversiones por parte de organizaciones de todo el mundo, incluida Microsoft y todos los clientes.
Esta ley, conocida como el Reglamento General de Protección de Datos (GDPR), o RGPD en sus siglas castellanizadas, impone nuevas condiciones a empresas, organismos gubernamentales, organizaciones sin ánimo de lucro y otras organizaciones que ofrecen bienes y servicios en la Unión Europea (UE), o que recojan y traten datos vinculados a residentes en de la UE. El GDPR aplicará con independencia de su ubicación.
Microsoft considera que el GDPR representa un avance significativo en los derechos fundamentales de privacidad. Ofrece a los residentes en la UE un mayor control sobre sus “datos personales” (que se definen claramente en el GDPR). Asimismo, el GDPR pretende garantizar que los datos personales estén protegidos con independencia de dónde se envíen, traten o almacenen. Esta ley actualiza la legislación europea de privacidad por primera vez en más de dos décadas, para que estén más en consonancia con las tecnologías actuales, y aumenta la uniformidad de los reglamentos de privacidad en los distintos estados miembros de la UE.
El GDPR es también una normativa compleja que puede requerir grandes cambios en la forma de recoger y tratar los datos personales. Microsoft tiene una larga tradición de ayudar a sus clientes a cumplir con legislaciones complejas. Cuando se trate de prepararse para el GDPR, estaremos ahí para ayudarle.
Ayuda para el cumplimiento del GDPR ¿Por dónde empiezo? Compromiso de Microsoft con el GDPR Productos y servicios empresariales de Microsoft y el GDPR Preguntas frecuentes
Ayuda para el cumplimiento del GDPR
Queremos ayudarle a enfocarse en su negocio principal al tiempo que se prepara para el GDPR. Nuestro objetivo es facilitar el cumplimiento del GDPR mediante el uso de tecnología inteligente, innovación y colaboración.
En la actualidad existen productos y servicios de Microsoft que le ayudan a cumplir los requisitos del GDPR, y estamos invirtiendo en otras características y funcionalidades adicionales. Gracias a nuestros servicios en la nube y soluciones locales le ayudaremos a ubicar y categorizar los datos personales existentes en sus sistemas, crear un entorno más seguro, simplificar la administración y supervisión de los datos personales, y ofrecerle las herramientas y los recursos necesarios para cumplir con los requisitos de presentación de informes y evaluación del GDPR.
Compartiremos lo que aprendamos durante nuestro proceso de adaptación para facilitar el suyo. Le mostraremos cómo nuestros productos y servicios para empresas, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10, pueden agilizar ese proceso hoy mismo.
¿Por dónde empiezo?
El GDPR contiene muchos requisitos sobre la forma de recoger, almacenar y usar los datos personales. Esto no solo se refiere a cómo identificar y proteger los datos personales contenidos en sus sistemas, sino también la forma de satisfacer los nuevos requisitos de transparencia, detectar y notificar los incidentes de seguridad con los datos personales, y entrenar al personal y a los empleados sobre la privacidad.
Por todo lo que esto conlleva, no debe esperar hasta la entrada en vigor del Reglamento en mayo de 2018 para prepararse. Debe empezar a revisar ahora sus prácticas de privacidad y administración de datos. El incumplimiento del GDPR puede salir muy caro, ya que las empresas que no cumplan sus requisitos y obligaciones pueden tener que afrontar fuertes multas y daños en su reputación.
Se recomienda que comience el proceso de cumplimiento del GDPR centrándose en cinco pasos clave:
Los productos y servicios de Microsoft proporcionan soluciones eficaces para abordar estos pasos en su proceso hacia el cumplimiento del GDPR. Para obtener más información sobre cómo los productos y servicios de Microsoft pueden ayudarle a prepararse para cumplir con el GDPR, consulte las secciones relativas a Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10.
Compromiso de Microsoft con el GDPR
Los objetivos del GDPR están en consonancia con el compromiso que Microsoft ha asumido desde hace tiempo con la seguridad, privacidad y transparencia.
Estamos trabajando para que nuestros productos y servicios se adapten al GDPR antes de mayo de 2018. Estamos actualizando las características y funcionalidades de todos nuestros servicios para satisfacer los requisitos del GDPR, y estamos actualizando la documentación y los contratos con los clientes para que reflejen los requisitos del GDPR.
Microsoft cuenta con el conjunto de funciones de cumplimiento más completo de los proveedores de servicios en la nube. Asimismo, somos líderes de la industria en la colaboración con clientes, organismos reguladores y comités de normas para acelerar el cumplimiento y atender las necesidades de los clientes. Seguiremos colaborando estrechamente con usted mientras nos preparamos juntos para la entrada en vigor del GDPR.
Productos y servicios empresariales de Microsoft y el GDPR
Microsoft Azure y el GDPR
Al diseñar Azure, Microsoft incorporó directrices de privacidad y medidas de seguridad líderes de la industria para proteger los datos en la nube, incluidas las categorías de datos personales identificadas por el GDPR. Azure puede ayudarle en el proceso de reducir riesgos y asegurar el cumplimiento del GDPR.
Un requisito fundamental del GDPR es identificar los datos que tiene y controlar quién tiene acceso a ellos. Azure le permite administrar las identidades y credenciales de los usuarios, así como controlar el acceso a los datos, de varias maneras:
- Azure Active Directory (Azure AD) le ayuda a garantizar que únicamente los usuarios autorizados pueden tener acceso a sus entornos informáticos, datos y aplicaciones. Ofrece herramientas como Multi-Factor Authentication para lograr inicios de sesión de alta seguridad. Además, Azure AD Privileged Identity Management le ayuda a reducir los riesgos que entrañan los privilegios administrativos mediante control, administración y notificación de accesos.
- Microsoft Azure Information Protection ayuda a garantizar que los datos son identificables y están protegidos, un requisito fundamental del GDPR, independientemente de dónde se almacenen o de cómo se compartan. Puede clasificar, etiquetar y proteger datos nuevos o ya existentes, compartirlos de forma segura con personas de su organización o ajenas a ella, realizar un seguimiento de su uso e incluso revocar el acceso de forma remota. Azure Information Protection incluye también innumerables funciones de registro y generación de informes para supervisar la distribución de los datos, además de opciones para administrar y controlar las claves de cifrado.
La protección de los datos personales contenidos en sus sistemas, así como la generación de informes y la revisión del cumplimiento, son requisitos fundamentales del GDPR. Los siguientes servicios y herramientas de Azure le ayudarán al cumplimiento de estas obligaciones del GDPR:
- Azure Security Center le permite tener visibilidad y control sobre la seguridad de sus recursos de Azure. Supervisa continuamente los recursos, ofrece recomendaciones de seguridad útiles, y le ayuda a impedir amenazas, detectarlas y responder a ellas. Las funciones avanzadas de análisis integradas de Azure Security Center le ayudan a identificar ataques que de otro modo podrían no detectarse.
- Cifrado de datos en Azure Storage protege tanto los datos en reposo como los datos en tránsito. Por ejemplo, puede cifrar automáticamente los datos mediante Storage Service Encryption cuando se escriben en Azure Storage. También puede usar Azure Disk Encryption para cifrar los discos de datos y sistemas operativos usados por las máquinas virtuales. Los datos están protegidos en el tránsito entre una aplicación y Azure, por lo que siguen siendo seguros en todo momento.
- Azure Key Vault le permite proteger las claves criptográficas, los certificados y las contraseñas que contribuyen a la protección de los datos. Key Vault emplea módulos de seguridad de hardware (HSM, por sus siglas en inglés) y está diseñado para que pueda mantener el control de las claves y, por tanto, de los datos, incluida la garantía de que Microsoft no puede ver ni extraer sus claves. Puede supervisar y auditar el uso de las claves almacenadas con el registro que hace Azure, así como importar los registros en Azure HDInsight o en su SIEM para realizar análisis y detección de amenazas adicionales.
- Log Analytics: Azure proporciona opciones configurables de registro y auditoría de seguridad que pueden ayudarle a identificar y subsanar vacíos en las directrices de seguridad para evitar incidentes de seguridad. Además, Log Analytics le ayuda a recoger y analizar los datos generados por los recursos en sus entornos locales o en la nube. Proporciona información en tiempo real mediante paneles de búsqueda y personalizados integrados para que pueda analizar inmediatamente millones de registros en todas las cargas de trabajo y los servidores con independencia de su ubicación física.
Para obtener más información, visite nuestra información general sobre Servicios y tecnologías de seguridad de Azure.
Microsoft Dynamics 365 y el GDPR
Al diseñar Dynamics 365, Microsoft incorporó directrices de privacidad y medidas de seguridad líderes de la industria para proteger los datos en la nube, incluidas las categorías de datos personales identificadas por el GDPR. Dynamics 365 puede ayudarle en el proceso de reducir riesgos y garantizar el cumplimiento del GDPR.
El control de quién tiene acceso a los datos personales es un factor clave para proteger esos datos, y la seguridad de los datos es un requisito fundamental del GDPR. Dynamics 365 le permite administrar y controlar el acceso a los datos de varias maneras:
- La seguridad basada en roles de Microsoft Dynamics 365 le permite agrupar conjuntos de privilegios que limitan las tareas que un usuario determinado puede realizar. Se trata de una función importante, sobre todo cuando las personas asumen distintos roles dentro de una organización.
- La seguridad basada en registros de Dynamics 365 le permite restringir el acceso a determinados registros.
- La seguridad en el nivel de campo de Dynamics 365 le permite restringir el acceso a determinados campos que tienen un gran impacto para el negocio, como la información de identificación personal.
- Azure Active Directory (Azure AD) ayuda a proteger Dynamics 365 contra accesos no autorizados al simplificar la administración de usuarios y grupos, y permitirle asignar y revocar privilegios fácilmente. Azure AD incluye herramientas como Multi-Factor Authentication para conseguir inicios de sesión de alta seguridad. Además, Azure AD Privileged Identity Management le ayuda a reducir los riesgos que entrañan los privilegios administrativos mediante control, administración y notificación de accesos.
Otro requisito esencial del GDPR es la protección de los datos personales que usted controla o trata. Dynamics 365 se ha diseñado para optimizar la seguridad de los datos:
- Ciclo de vida de desarrollo de software es un proceso obligatorio de Microsoft que incluye requisitos de seguridad en cada fase del proceso de desarrollo. Dynamics 365 se ha diseñado usando el ciclo de vida de desarrollo de seguridad.
- El cifrado de los datos cuando están en tránsito entre los dispositivos de sus usuarios y nuestros centros de datos, así como cuando están en reposo en una base de datos de Microsoft, ayuda a proteger sus datos de Dynamics 365 en todo momento.
Para obtener más información, visite nuestro Centro de confianza de Dynamics 365.
Microsoft Enterprise Mobility + Security y el GDPR
La protección y tratamiento de los datos personales son esenciales para usted, para sus clientes y para el cumplimiento de los futuros requisitos del GDPR. Al diseñar Enterprise Mobility + Security, Microsoft incorporó funciones de seguridad líderes de la industria para proteger los datos de los clientes, tanto en la nube como en los sistemas locales. Esto incluye todos los datos personales con independencia de su recorrido entre sus usuarios, dispositivos y aplicaciones. Enterprise Mobility + Security ofrece tecnologías y soluciones innovadoras que pueden ayudarle en el proceso de reducir riesgos y asegurar el cumplimiento del GDPR.
Al diseñar Enterprise Mobility + Security, Microsoft incorporó funciones de seguridad líderes de la industria para proteger los datos en la nube, incluidas las categorías de datos personales identificadas por el GDPR. Enterprise Mobility + Security puede ayudarle en el proceso de reducir riesgos y garantizar el cumplimiento del GDPR.
Entre las obligaciones del GDPR se incluyen detectar qué datos personales mantiene y dónde residen, controlar el acceso y el uso que hacen sus usuarios de los datos personales, establecer controles de seguridad para impedir, detectar y responder a las vulnerabilidades y a los incidentes de seguridad de los datos.
Enterprise Mobility + Security ofrece tecnologías de seguridad basadas en identidades que le ayudan a detectar, controlar y proteger los datos personales de los que disponga su organización, desvelar posibles puntos ciegos y detectar cuándo se producen incidentes de seguridad de los datos:
- Azure Active Directory (Azure AD) le ayuda a garantizar que únicamente los usuarios autorizados pueden tener acceso a sus entornos informáticos, datos y aplicaciones. Ofrece herramientas como Multi-Factor Authentication para conseguir inicios de sesión de alta seguridad. Además, Azure AD Privileged Identity Management le ayuda a reducir los riesgos que entrañan los privilegios de acceso de administrador mediante control, administración y notificación de estos roles administrativos fundamentales.
- Microsoft Cloud App Security le ayuda a detectar todas las aplicaciones en la nube de su entorno, identificar a los usuarios y el uso que hacen de ellas, y obtener una puntuación de riesgos de cada aplicación. Con esos datos, puede decidir si desea que sus usuarios tengan acceso o no a estas aplicaciones. Cloud App Security ofrece visibilidad, control y protección contra amenazas para los datos almacenados en esas aplicaciones en la nube. Puede determinar su concepto de seguridad en la nube definiendo directrices y empleándolas en las aplicaciones en la nube de Microsoft y de terceros. Por último, siempre que Cloud App Security detecta una anomalía, le envía una alerta.
- Microsoft Intune le ayuda a proteger los datos que pueden estar almacenados en ordenadores y dispositivos móviles. Puede controlar el acceso, cifrar dispositivos, eliminar datos de dispositivos móviles de forma selectiva, y controlar qué aplicaciones almacenan y comparten datos personales. Intune puede ayudarle a informar a los usuarios sobre sus decisiones de tratamiento publicando una declaración de privacidad y unos términos de uso personalizados. También le ofrece la posibilidad de cambiar el nombre o desconectar dispositivos.
- Microsoft Azure Information Protection ayuda a garantizar que los datos son identificables y están protegidos, un requisito fundamental del GDPR, independientemente de dónde se almacenen o de cómo se compartan. Puede clasificar, etiquetar y proteger datos nuevos o ya existentes, compartirlos de forma segura con personas de su organización o ajenas a ella, realizar un seguimiento de su uso e incluso revocar el acceso de forma remota. Azure Information Protection incluye también innumerables funciones de registro y generación de informes para supervisar la distribución de los datos, además de opciones para administrar y controlar las claves de cifrado.
- Microsoft Advanced Threat Analytics contribuye a localizar incidentes de seguridad e identifica a los atacantes mediante tecnologías innovadoras de análisis del comportamiento y detección de anomalías. Advanced Threat Analytics se implementa localmente y funciona con su implementación actual de Active Directory. Emplea machine learning y los últimos análisis del comportamiento de usuarios y entidades para ayudarle a encontrar amenazas avanzadas persistentes y detectar actividades sospechosas y ataques malintencionados realizados por delincuentes informáticos a fin de identificar incidentes de seguridad antes de que causen daños a su negocio.
Para obtener más información, visite nuestra página web de Microsoft Enterprise Mobility + Security.
Microsoft Office 365 y el GDPR
Al diseñar Office y Office 365, Microsoft incorporó directrices de privacidad y medidas de seguridad líderes de la industria para proteger los datos en la nube, incluidas las categorías de datos personales identificadas por el GDPR. Office y Office 365 pueden ayudarle en el proceso de reducir riesgos y garantizar el cumplimiento del GDPR.
Un paso esencial para poder satisfacer las obligaciones del GDPR es detectar y controlar qué datos personales mantiene y dónde residen. Existen diversas soluciones de Office 365 que pueden ayudarle a identificar o administrar el acceso a los datos personales:
- Prevención de pérdida de datos (DLP) de Office y Office 365 puede identificar más de 80 tipos de datos confidenciales comunes, incluida información financiera, médica y de identificación personal. Además, DLP permite a las organizaciones configurar las medidas que se adoptarán tras la identificación para proteger la información confidencial e impedir su divulgación accidental.
- Tratamiento avanzado de datos usa inteligencia e información asistida por máquinas para ayudarle a encontrar, clasificar, definir directivas y adoptar medidas para administrar el ciclo de vida de los datos más importantes para su organización.
- Se puede usar la búsqueda de eDiscovery de Office 365 para encontrar texto y metadatos en el contenido de sus recursos de Office 365: SharePoint Online, OneDrive for Business, Skype Empresarial Online y Exchange Online. Además, eDiscovery avanzado de Office 365 emplea tecnologías de machine learning y puede ayudarle a identificar documentos pertinentes para un tema concreto (por ejemplo, una investigación de cumplimiento normativo) rápidamente y con mayor precisión que las búsquedas tradicionales por palabras clave o las revisiones manuales de enormes cantidades de documentos.
- Customer Lockbox para Office 365 puede ayudarle a satisfacer las obligaciones de cumplimiento normativo relativas a la autorización expresa de acceso a los datos durante las operaciones de servicio. Cuando un ingeniero de Microsoft necesita tener acceso a sus datos, el control de acceso se extiende a usted para que pueda aprobar dicho acceso. Las acciones emprendidas quedan registradas y tiene acceso a ellas para que se puedan auditar.
Otro requisito esencial del GDPR es la protección de los datos personales contra las amenazas de seguridad. Entre las características actuales de Office 365 que protegen los datos e identifican cuándo se produce un incidente de seguridad de los datos cabe citar:
- Advanced Threat Protection de Exchange Online Protection contribuye a proteger el correo electrónico contra nuevos ataques sofisticados de malware en tiempo real. También permite crear directrices que impiden el acceso de los usuarios a datos adjuntos o sitios web malintencionados cuyo vínculo se envía por correo electrónico.
- Inteligencia contra amenazas le ayuda a detectar y protegerse de manera proactiva frente a amenazas avanzadas en Office 365. La información detallada sobre las amenazas, obtenida gracias a la presencia global de Microsoft, el gráfico de la seguridad inteligente y las aportaciones de los buscadores de amenazas informáticas, le ayuda a habilitar rápida y eficazmente alertas, directivas dinámicas y soluciones de seguridad.
- Administración de seguridad avanzada le permite identificar usos anormales y de alto riesgo, que le alertarán de posibles incidentes de seguridad. También permite configurar directivas de actividad para hacer un seguimiento y responder a las actividades de alto riesgo.
- Por último, con los registros de auditoría de Office 365 puede supervisar y hacer seguimiento de las actividades de los administradores y usuarios en todas las cargas de trabajo de Office 365, lo que facilita la detección e investigación temprana de problemas de seguridad y cumplimiento normativo.
Para obtener más información, visite el Centro de confianza de Office 365.
Windows 10 y Windows Server 2016 y el GDPR
Al diseñar Windows 10 y Windows Server 2016, Microsoft incorporó directrices de privacidad y medidas de seguridad líderes de la industria para ayudar a proteger los datos en la nube, incluidas las categorías de datos personales identificadas por el GDPR.
Las funciones de seguridad disponibles actualmente en Windows 10 y Windows Server 2016 pueden ayudarle en el proceso de reducir riesgos y asegurar el cumplimiento del GDPR.
Un requisito fundamental del GDPR es la protección de los datos personales. Microsoft considera que una seguridad eficaz tiene que ser integral, desde los sistemas de escritorio hasta los servidores en los que residen los datos. Windows 10 y Windows Server 2016 incluyen cifrado, tecnologías antimalware y soluciones de identidad y acceso punteras que le permiten dejar de usar contraseñas y emplear formas de autenticación más seguras:
-
- Windows Hello es una alternativa cómoda de nivel empresarial a las contraseñas que emplea un método natural (biométrico) o familiar (PIN) para validar su identidad, por lo que brinda las ventajas de seguridad que ofrecen las tarjetas inteligentes sin necesidad de adquirir periféricos adicionales.
- Windows Defender es una sólida solución antimalware que funciona desde el primer momento para ayudarle a estar protegido. Windows Defender detecta y le protege rápidamente contra el malware que pueda surgir, y puede contribuir a proteger inmediatamente sus dispositivos en cuanto se observe una amenaza en cualquier parte de su entorno.
- Device Guard le permite bloquear dispositivos y servidores para protegerlos contra variantes de malware nuevas y desconocidas, así como amenazas persistentes avanzadas. A diferencia de las soluciones que se basan en la detección, como los programas antivirus que necesitan actualizaciones constantes para detectar las amenazas más recientes, Device Guard bloquea los dispositivos para que solo puedan ejecutar las aplicaciones autorizadas que usted elija, lo que supone una forma eficaz de combatir el malware.
- Credential Guard es una funcionalidad que aísla información confidencial en un dispositivo, como los tokens de Inicio de sesión único, de los accesos aún en caso de que todo el sistema operativo Windows se vea comprometido. Básicamente, esta solución impide el uso de ataques difíciles de defender como “pass the hash”.
- Cifrado de unidad BitLocker de Windows 10 y Windows Server 2016 ofrece cifrado de nivel empresarial para ayudar a proteger los datos cuando se pierde o se roba un dispositivo. BitLocker cifra totalmente las unidades de disco y flash del ordenador para impedir el acceso a los datos por parte de usuarios no autorizados.
- Windows Information Protection continúa donde lo dejó BitLocker. Si bien BitLocker protege todo el disco de un dispositivo, Windows Information Protection protege sus datos frente a usuarios no autorizados y aplicaciones que se ejecutan en un sistema. También ayuda a impedir la filtración de datos de la empresa a documentos o ubicaciones de Internet que no pertenecen a su empresa.
- Máquinas virtuales blindadas le permite usar BitLocker para cifrar discos y máquinas virtuales (VM) que se ejecutan en Hyper-V para impedir que administradores en peligro o malintencionados ataquen el contenido de las VM protegidas.
- Gracias a Administración "Just Enough" y Administración "Just in Time", los administradores pueden realizar sus funciones y tareas habituales, pero usted puede limitar el ámbito de competencias y el tiempo de actuación de los administradores. Si una credencial con privilegios se ve comprometida, la magnitud de los daños es muy limitada. Esta técnica solo ofrece a los administradores el nivel de acceso que necesitan durante el tiempo en que trabajan en el proyecto.
Para obtener más información, visite nuestra información general sobre la seguridad de Windows 10 y la seguridad de Windows Server 2016.
Preguntas frecuentes
¿Cómo afectará el GDPR a mi compañía?
El GDPR contiene muchos requisitos sobre la forma de recoger, almacenar y usar la información personal. Esto no solo se refiere a cómo identificar y proteger los datos personales contenidos en sus sistemas, sino también la forma de satisfacer los nuevos requisitos de transparencia, detectar y notificar los incidentes de seguridad con los datos personales, y entrenar al personal y a los empleados sobre la privacidad.
Por todo lo que esto conlleva, no debe esperar hasta la entrada en vigor del Reglamento para prepararse. Debe empezar a revisar ahora sus prácticas de privacidad y administración de datos. El incumplimiento del GDPR puede salir muy caro, ya que las empresas que no cumplan sus requisitos y obligaciones pueden tener que afrontar fuertes multas y daños en su reputación.
¿Qué derechos deben permitir las compañías con arreglo al GDPR?
El GDPR ofrece a los residentes de la UE control sobre sus datos personales mediante una serie de “derechos de los interesados”. Esto incluye el derecho a:
- Tener acceso a la información en un lenguaje sencillo sobre cómo se usan sus datos personales
- Tener acceso a sus datos personales
- Solicitar la eliminación o corrección si sus datos personales son erróneos
- Solicitar la rectificación y eliminación de sus datos personales en determinadas circunstancias (lo que en ocasiones se denomina el “derecho al olvido”)
- Restringir u oponerse al tratamiento de sus datos personales
- Recibir una copia de sus datos personales
- Oponerse al tratamiento de sus datos para usos específicos, como marketing o generación de perfiles
¿A cuánto pueden ascender las multas a las empresas por incumplimiento?
Las empresas pueden ser sancionadas con multas de hasta 20 millones de euros o el 4% de su volumen anual de negocios global, lo que sea mayor, por el incumplimiento de ciertos condiciones del GDPR. Otros recursos individuales adicionales pueden aumentar el riesgo si deja de cumplir los requisitos del GDPR.
¿Qué son los datos personales?
Los datos personales son toda información sobre una persona física identificada o identificable. No se establece ninguna distinción entre los roles privado, público o profesional de una persona. Los datos personales pueden incluir:
- Nombre
- Dirección de correo electrónico
- Publicaciones en las redes sociales
- Información física, fisiológica o genética
- Información médica
- Ubicación
- Datos bancarios
- Dirección IP
- Cookies
- Identidad cultural
¿El GDPR se aplica tanto a los encargados como a los responsables del tratamiento de datos?
Sí, el GDPR se aplica tanto a los responsables como a los encargados del tratamiento de datos. Un responsable está a cargo de los datos, mientras que un encargado trata los datos a petición del responsable del tratamiento. Los responsables solo deben emplear encargados que adopten medidas para adecuarse a los requisitos del GDPR. Un responsable determina el por qué y cómo tratar los datos personales, mientras que el encargado realiza operaciones sobre los datos personales en nombre del responsable.
Según el GDPR, los encargados tienen que hacer frente a obligaciones y responsabilidades adicionales por incumplimiento, o por actuar al margen de las instrucciones proporcionadas por el responsable del tratamiento. Entre las funciones de los encargados del tratamiento se incluyen:
- Tratar los datos solo como se les ha indicado
- Adoptar las medidas técnicas y organizativas adecuadas para tratar datos personales
- Eliminar o devolver los datos personales al responsable
- Tener permiso para contratar a otros encargados
¿Mi negocio necesita nombrar un responsable de la protección de datos (DPO)?
Depende de varios factores identificados en la normativa. Si su empresa tiene que nombrar un responsable de la protección de datos (DPO), el DPO es responsable de informar a los empleados sobre sus obligaciones de cumplimiento normativo, además deberá realizar la supervisión, los cursos y las auditorías que el GDPR estipula.
¿Cómo cambia el GDPR la respuesta de una organización a los incidentes de seguridad de los datos personales?
El GDPR cambiará los requisitos de protección de datos y aplicará obligaciones más estrictas a los encargados y responsables del tratamiento de datos en cuanto a la notificación de incidentes de seguridad con los datos personales que supongan un riesgo para las libertades y los derechos individuales. Conforme al nuevo reglamento, el encargado del tratamiento debe notificar al responsable del tratamiento de cualquier incidente de seguridad con los datos personales inmediatamente después de conocerlo sin retrasos injustificados. Una vez que tenga conocimiento de un incidente de seguridad, el responsable del tratamiento debe notificarlo a la autoridad competente en materia de protección de datos dentro de las 72 horas siguientes. Si es probable que el incidente de seguridad suponga un riesgo para los derechos y las libertades de las personas, los responsables también tendrán que notificárselo a las personas afectadas sin demora. Los productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10, cuentan con soluciones que le ayudan a detectar y evaluar las amenazas y los incidentes de seguridad, y a cumplir las obligaciones de notificación de incidentes establecidas en el GDPR.
¿El GDPR aborda el cifrado?
En el GDPR, el cifrado se considera una medida de protección que convierte los datos personales en incomprensibles cuando se ven afectados por un incidente de seguridad. Por tanto, el uso o no del cifrado puede afectar los requisitos de notificación de un incidente de seguridad de los datos personales. El GDPR también señala el cifrado como una medida técnica u organizativa adecuada en algunos casos, en función del riesgo. Asimismo, el cifrado es un requisito de Payment Card Industry Data Security Standard y forma parte de las estrictas directrices de cumplimiento normativo específicas de la industria de los servicios financieros. Los productos y servicios de Microsoft como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10 ofrecen un cifrado sólido de los datos en tránsito y en reposo.
¿Cuánto costará el cumplimiento del GDPR?
El cumplimiento del GDPR costará tiempo y dinero a la mayoría de las organizaciones, si bien la transición puede ser más sencilla para aquellas que operen en un modelo de servicios en la nube bien diseñado y dispongan de un programa eficaz de gobernanza de los datos.
¿Dónde puedo obtener más información sobre el GDPR?
Para obtener más información sobre el Reglamento General de Protección de Datos (GDPR), visite https://ec.europa.eu/justice/data-protection/reform/index_en.htm.
Para obtener más información sobre cómo determinados productos de Microsoft pueden ayudarle a prepararse para cumplir con el GDPR, consulte las secciones relativas a Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10.