Protección de datos desde el diseño y por defecto

El Reglamento General de Protección de Datos, más conocido por sus siglas en inglés GDPR, en su artículo 25, emplaza […]

El Reglamento General de Protección de Datos, más conocido por sus siglas en inglés GDPR, en su artículo 25, emplaza a aplicar las medidas técnicas y organizativas necesarias para hacer efectivos los principios de protección de datos e integrar las garantías necesarias en el tratamiento.

Para lograr la “Protección de datos desde el diseño y por defecto”, como indica el título del artículo 25, se requiere diferenciar dos escenarios:

  • Cómo se recopila y almacena la información.
  • Cómo se definen los procesos de tratamiento.

Las técnicas que empleemos en el primero de los escenarios definirán la efectividad de los procesos de tratamiento con el fin de garantizar la protección de los datos conforme a los requisitos del propio Reglamento.

Si bien GDPR se refiere expresamente al tratamiento de datos estructurados, debemos tener presente que, con frecuencia, la información no estructurada, las alocuciones o los documentos escaneados quedan referenciados al resto de la información estructurada, lo que las convierte en objeto de cumplimiento de la norma. Sin embargo, las medidas técnicas a aplicar suelen ser bastante diferentes:

  • Para la información estructurada estamos hablando normalmente de almacenamiento en bases de datos relacionales, donde típicamente la seguridad de la información se basará en cifrado del sistema de gestión de base de datos, control de acceso, y técnicas de anonimización de los datos a los que se accede (“tokenización”).
  • En lo que concierne a la información almacenada en archivos de datos no estructurados, se aplicarán técnicas de cifrado, control de acceso físico a los archivos y lógico basado en permisos, y registro de auditoría de uso de la información. Siendo las soluciones IRM (Infromation Rights Management) las únicas que proporcionan todos estos requisitos.

Informacion Estructurada
Adicionalmente a lo expuesto, es habitual que en los procesos de tratamiento de los datos recopilemos información estructurada para generar informes u hojas de cálculo con los que proceder al análisis o al uso de la información. Una información que es necesario que esté protegida por defecto cuando es extraída fuera del control de seguridad de la base de datos. También en este aspecto, el uso de la tecnología IRM nos permitirá asegurar las medidas técnicas necesarias que garanticen la protección de los datos conforme al RGPD mediante cifrado, el control de acceso con permisos y el registro de auditoría de uso de la información. Esto se puede complementar con técnicas de anonimización de los datos en aquellos casos en lo que sea posible.

Informacion Estructurada2

En este sentido, el uso de un IRM como Prot-On complementando a otras soluciones de seguridad de la información de base de datos y anonimización de los datos, se convertirá en una solución poco menos que necesaria para el cumplimiento de GDPR cuya implantación debe hacerse desde la definición de los procesos, definiendo las políticas de protección que tengan que aplicarse en cada momento y los grupos de usuarios que deben tener la posibilidad acceder a la información en las diferentes etapas del proceso

En particular, Prot-On facilitará el cumplimiento del RGPD facilitando:

  • El tratamiento de la información el cumplimiento de sus disposiciones gracias tanto a un registro de las actividades de tratamiento de los datos como al uso del cifrado como medida técnica para aminorar riesgos.
  • La certificación que debe proporcionar el delegado de protección de datos (DPD) mediante un control permanente del acceso a la información y un registro de las actividades relacionadas con el tratamiento de datos.
  • Procesos de externalización, bien del tratamiento como del DPD.
| 2018-06-26T14:58:32+00:00 7 Junio 18|BLOG: Seguridad|Etiquetas: > |