Cinco cosas que necesita saber sobre el RGPD

El RGPD requiere que las organizaciones se aseguren de que los datos de los usuarios estén bien protegidos, que no se utilicen de forma indebida, que los usuarios reciban su consentimiento informado y que el incumplimiento se imponga mediante grandes sanciones económicas.

Viene el invierno. los Reglamento general de protección de datos de la UE (GDPR) comenzará a aplicarse el 25 de mayo de 2018. De hecho, si visita la página web de GDPR, verá una cuenta regresiva para el reloj de aplicación allí. Es real y llegará pronto. Así que lo que is GDPR, ¿a quién se aplica y qué sucede si no cumple con sus regulaciones?

Puede leer las regulaciones oficiales e intentar comprender lo que significan, pero es difícil. Está lleno de pequeñas gemas como esta:

"Un grupo de empresas debe abarcar una empresa controladora y sus empresas controladas, por lo que la empresa controladora debe ser la empresa que puede ejercer una influencia dominante sobre las otras empresas" (artículo 37 del RGPD)

… ¡No puedes inventar estas cosas!

Así que pensé que sería útil desglosarlo, al menos desde la perspectiva del software, y ver cuáles son los problemas clave que debe comprender. Si ves que te va a afectar, definitivamente querrás profundizar más. GDPR terminará tocando muchas partes de su organización, y querrá hacerlo bien.

El RGPD requiere que las organizaciones se aseguren de que los datos de los usuarios estén bien protegidos, que no se utilicen de forma indebida, que los usuarios reciban su consentimiento informado y que el incumplimiento se imponga mediante grandes sanciones económicas. Para obtener más información, sigue leyendo.

¿Qué es GDPR?

GDPR se trata de proteger los datos de los ciudadanos. Esto significa proteger el acceso a los datos, no almacenar datos que no necesita, cifrar los datos personales y anonimizar los datos cuando sea posible. En otras palabras, todos los pasos que puede tomar para limitar la posibilidad de una violación de datos y el impacto cuando ocurre una violación. Además, la privacidad incluye usos no autorizados de datos, como rastrear usuarios sin su consentimiento y cualquier otro uso de datos sin consentimiento explícito.

Desde su propio sitio web, GDPR "fue diseñado para armonizar las leyes de privacidad de datos en toda Europa, para proteger y empoderar la privacidad de datos de todos los ciudadanos de la UE y para remodelar la forma en que las organizaciones de la región abordan la privacidad de datos".

El RGPD también tiene en cuenta el "derecho al olvido" general de la UE, lo que significa en este contexto que si alguien quiere que se eliminen sus datos de su sistema, debe hacerlo en un plazo de tiempo razonable. Además, existen requisitos estrictos de informes: no se puede tener una infracción y ocultarla, como ha sucedido varias veces recientemente en los EE. UU.

Echemos un vistazo a los 5 problemas principales a continuación.

1. ¿Quién debe seguir las regulaciones de GDPR?

Por supuesto, las empresas de la UE deben seguir el RGPD, pero resulta que, incluso si se encuentra en otro lugar, si tiene clientes en la UE, también está sujeto al RGPD.

Si no está almacenando ninguna información personal, será fácil, pero cualquier persona que tenga datos personales de la UE debe seguir las pautas. Lo mismo es cierto si tiene empleados en la UE.

A veces se vuelve un poco complicado si comparte datos de usuario o obtiene datos de usuario de otra parte. Si alguien ejerce el derecho al olvido, debe buscar todos esos recursos compartidos y borrar los datos en todas partes. Por lo tanto, incluso si obtiene datos de otra persona que está entregando datos personales de la UE, puede estar sujeto a las pautas.

2. Consentimiento y transparencia

GDPR establece que los usuarios deben dar su consentimiento para que se recopilen datos sobre ellos, y que este consentimiento se basa en "un acto afirmativo claro". Claro y afirmativo significa que el usuario debe realizar una acción para optar por participar en lugar de la metodología común de "usted participa a menos que opte por no participar".

"Para que el consentimiento sea informado, el interesado debe conocer al menos la identidad del responsable del tratamiento y los fines del tratamiento al que se destinan los datos personales". (Artículo 42 del RGPD)

En la web, un buen ejemplo es un formulario de registro que tiene un aviso de que se van a recopilar datos, qué datos son, cómo se usarán, cómo optar por no participar (o ser olvidado) más tarde, y luego el usuario debe hacer algo para aceptar, como hacer clic en una casilla de verificación. Los días de casillas previamente marcadas ya no se aplican; el GDPR prohíbe específicamente estos métodos habituales en la actualidad:

"El silencio, las casillas previamente marcadas o la inactividad no deben constituir por tanto consentimiento" (Artículo 32 del RGPD).

El uso de los datos debe tener alguna finalidad relacionada con el motivo de la recopilación de los datos y debe ser explicado al usuario:

"Debería ser transparente para las personas físicas que los datos personales que les conciernen se recopilen, utilicen, consulten o procesen de otra manera y en qué medida se procesan o se procesarán los datos personales" 
(Artículo 39 del RGPD)

3. Control de datos personales

A los ciudadanos de la UE se les otorga un control total sobre sus datos personales, incluido el acceso, la transferencia, la corrección y el derecho al olvido, incluido "mecanismos para solicitar y, en su caso, obtener, de forma gratuita, en particular, el acceso y rectificación o supresión de los datos personales y el ejercicio del derecho de oposición. " (Artículo 59 del RGPD)

El derecho a acceder a los datos personales se basa en el artículo 63 del RGPD, "Un interesado debe tener derecho a acceder a los datos personales,"Mientras que el derecho a que se realicen correcciones en los datos se encuentra en el artículo 65 del RGPD",El interesado debe tener derecho a que se rectifiquen los datos personales que le conciernen.”Piense en esto la próxima vez que se enfrente a una agencia de informes crediticios y deseará que se aplique a sus propios datos.

El RGPD garantiza además que no haya bloqueos de proveedores en los datos del usuario. También se enumera el derecho a transferir datos:

"El interesado también debe poder recibir datos personales que le conciernen y que haya proporcionado a un responsable del tratamiento en un formato estructurado, de uso común, legible por máquina e interoperable, y transmitirlos a otro responsable del tratamiento". (Artículo 68 del RGPD)

Esto significa que puede obtener sus datos de un proveedor en un formato digital razonable para que pueda trasladarlos a otro proveedor.

El derecho al olvido se extiende a las organizaciones con las que se han compartido datos:

“El derecho de borrado también debería ampliarse de tal manera que un responsable del tratamiento que haya hecho públicos los datos personales debería estar obligado a informar a los responsables del tratamiento que están procesando dichos datos personales para que borren cualquier enlace, copia o réplica de esos datos personales . " (Artículo 66 del RGPD)

En otras palabras, el borrado debe producirse en cascada.

Si obtiene datos sobre una persona de otra organización y los va a utilizar y / o almacenar, debe notificar a esa persona para que pueda dar su consentimiento informado (consulte el artículo 60,61 del RGPD). Esto también es cierto si decide utilizar los datos de una manera que no estaba incluida en el consentimiento original.

"Cuando el controlador tiene la intención de procesar los datos personales para un propósito diferente al que fueron recopilados, el controlador debe proporcionar al interesado antes de ese procesamiento adicional información sobre ese otro propósito y otra información necesaria". (Artículo 61 del RGPD)

Y tenga cuidado con los algoritmos totalmente automatizados, como las solicitudes de préstamos:

“El interesado debe tener derecho a no estar sujeto a una decisión, que puede incluir una medida, evaluando aspectos personales que le conciernen basado únicamente en el procesamiento automatizado y que produzca efectos legales en él o que lo afecte de manera similar de manera significativa, como el rechazo automático de una solicitud de crédito en línea o prácticas de reclutamiento electrónico sin ninguna intervención humana”(Artículo 71 del RGPD)

Si está utilizando algoritmos totalmente automatizados para tomar decisiones, este puede hacerle tropezar.

4. Protección de datos: gestionar y defender

Una vez que tenga los datos de alguien, debe administrarlos y protegerlos adecuadamente. La verdadera clave de esto es lo que se conoce como "PInformación de identificación personal(PII). PII tiene una definición muy amplia, por ejemplo, cookie IE, que identifica directa o indirectamente a una persona, incluida la dirección IP. Si está realizando algún tipo de análisis web, está recopilando PII y necesita asegurarse de lo que está haciendo. cumple con el RGPD.

Uno de los aspectos clave del manejo de PII en GDPR es el concepto de seguro por diseño. El reglamento establece:

"El responsable del tratamiento debe adoptar políticas internas e implementar medidas que cumplan en particular los principios de protección de datos por diseño y protección de datos por defecto". (Artículo 78 del RGPD)

La metodología segura por diseño es una forma de decir que no puede simplemente probar la seguridad y la protección de datos en su aplicación. En lugar de crear un código e intentar probarlo en equipo rojo, debe diseñar la aplicación para que sea segura en primer lugar, por lo que cosas como el cifrado son los valores predeterminados que se desactivan solo en una excepción aprobada. Seguro por diseño significa tomarse en serio el análisis de código estático también, con un gran énfasis en los estándares de ingeniería de software y las reglas de análisis estático “preventivo”.

Y si está recopilando datos relacionados con la salud, debe tener mucho cuidado para protegerlos (consulte el artículo 53 del RGPD), aunque existen algunas disposiciones para ciertos tipos de investigación si se trata de salud en lugar de oportunidades de marketing (consulte el artículo 54 del RGPD). ).

La retención de datos es otro tema importante a la hora de recopilar y almacenar PII. El principio principal aquí es no retener los datos más tiempo del necesario:

"... el derecho a que sus datos personales se borren y no se procesen más cuando los datos personales ya no sean necesarios" (Artículo 65 del RGPD).

En otras palabras, los datos que solo necesita para fines transitorios, como completar una transacción, solo deben existir durante el tiempo requerido. Después de eso, debe purgar los datos, en lugar de almacenarlos por conveniencia o análisis futuros.

Es importante demostrar que también necesita que se recopilen los datos:

"Un interesado puede esperar razonablemente en el momento y en el contexto de la recopilación de los datos personales que el procesamiento para ese propósito puede tener lugar" (Artículo 47 del RGPD)

Y más adelante, no puede usar los datos para otra cosa, a menos que esa otra cosa esté relacionada con el uso original de los datos y / o el procesamiento (análisis) de los datos.

"El procesamiento de datos personales para fines distintos de aquellos para los que se recopilaron inicialmente los datos personales debe permitirse solo cuando el procesamiento sea compatible con los fines para los que se recopilaron inicialmente los datos personales". (Artículo 50 del RGPD)

5. ¿Qué sucede cuando se viola?

Multas. Las multas son lo que pasa. La UE puede multarlo a diario por violaciones continuas. El monto de la multa puede basarse en los ingresos de la organización matriz, por lo que puede ser mayor de lo que cree. Las multas varían según las regulaciones que se violaron y pueden ascender a 20 millones de euros. Asegúrese de poder demostrar el cumplimiento.

"Para demostrar el cumplimiento de este Reglamento, el responsable o encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad". (Artículo 82 del RGPD)

Entonces, ¿qué hace usted?

Me encantaría decirle que existe una herramienta milagrosa o un conjunto de herramientas que puede utilizar para simplemente cumplir con el RGPD, pero ese no es el caso. Sin embargo, Parasoft puede hacer mucho para ayudarte. Primero, puede utilizar nuestros motores de análisis de código estático para Java, C / C ++ y  .NET con buenas configuraciones de seguridad y privacidad para asegurarse de que su código sea lo más seguro posible. Incluso puede configurarlos para hacer cumplir políticas de codificación estrictas, como el cifrado de forma predeterminada.

En segundo lugar, puede utilizar la virtualización de servicios para realizar pruebas completas de un extremo a otro, incluso en una fase temprana en el escritorio del desarrollador. Ser capaz de probar completamente lo que sucede con los datos sin tener que disponer de costosos laboratorios de prueba hace que sea mucho más fácil de cumplir y, al permitir que los desarrolladores realicen pruebas más profundas, encontrará problemas antes, cuando son más fáciles y económicos de solucionar.

Resumen

Da un poco de miedo y, en cierto sentido, debería serlo, dadas las posibles sanciones económicas. Pero en general, no es tan horrible a menos que su modelo de negocio se base en rastrear a los usuarios y vender sus datos. Si tiene un modelo de negocio típico y tiene datos de clientes y ventas, encontrará que el cumplimiento no es un gran dolor de cabeza y tendrá el beneficio adicional de hacer que su sistema general sea más seguro en un mundo en el que la frecuencia de las violaciones de datos es cada vez mayor. Establezca las políticas adecuadas, emplee pruebas exhaustivas y exhaustivas y garantice la privacidad de sus datos con un sólido análisis de código estático.