¿Su DMS y otros sistemas cumplen con el RGPD? Una guía de evaluación.

VOLVER A LA LISTA

En nuestras entradas anteriores exploramos la necesidad de identificar los datos personales y de entender cómo utilizarlos sin infringir la ley o los derechos de las personas. Ahora le ayudaremos a entender cómo evaluar los distintos programas informáticos que pueda estar utilizando en su concesionario para asegurarse de que cumple con el RGPD.

Una de las principales razones para introducir el RGPD fue reforzar las prácticas de protección de datos en un mundo cada vez más digital. Lo ideal es que todos los datos digitales procesados por una organización se almacenen en un único lugar y se utilicen mediante niveles y políticas de acceso adecuados.

En la práctica, los datos, incluidos los personales, se almacenan de diferentes maneras (archivos estándar o propietarios, bases de datos locales o en la nube) y son utilizados por programas informáticos con diferentes niveles de especialización, por ejemplo, herramientas de taller, sistemas de gestión de documentos, procesadores de texto, etc. Además, estos datos viajan por la red local o a través de internet a lugares remotos.

Por lo tanto, es esencial comprender el papel de las TI, el software y la tecnología para tomar buenas decisiones en relación con el cumplimiento del RGPD.

Requisitos del RGPD para el software

Ambas partes implicadas en la protección de datos, responsable y encargado del tratamiento, tienen la responsabilidad de cumplir con el RGPD. Para alcanzar este objetivo, tienen que tomar varias decisiones para construir el ecosistema informático que se adapte a sus necesidades y cumpla los requisitos legales.

El RGPD requiere privacidad desde el diseño y por defecto, lo que significa pensar en las normas de privacidad desde el principio cuando se toman estas decisiones.

Los programas informáticos no son intrínsecamente cumplidores con el RGPD. El cumplimiento no está garantizado por tener la herramienta, sino por cómo se utiliza. Dependiendo de sus características técnicas, un paquete de software puede dificultar o facilitar el cumplimiento del RGPD. En los siguientes párrafos se enumeran los artículos pertinentes:

"...tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, la destrucción o el deterioro accidentales, utilizando medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")."

(GDPR Art. 5, f)

"...el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras cosas, según proceda:

(a) la seudonimización y el cifrado de los datos personales;

(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento;

(c) la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;

(d) un proceso para comprobar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento".

(GDPR Art. 32)

¿Cómo evaluar el software que utiliza?

A continuación se presenta una lista de características técnicas para evaluar el grado de compatibilidad de un determinado software con el RGPD:

  • Encriptación: los datos que viajan a través de dos puntos remotos deben ser legibles sólo para el emisor y el receptor. El almacenamiento de datos (incluidas las copias de seguridad) no puede ser leído por personas no autorizadas.
  • Alta disponibilidad e integridad: mediante el almacenamiento redundante y las copias de seguridad periódicas, el software debe estar disponible para los usuarios siempre que lo necesiten sin demora.
  • Métodos de autentificación: debe ser posible identificar quién ha modificado los datos personales o ha accedido a ellos. La autentificación (es decir, para identificar al ser humano o la interfaz), no debe ser "débil" (es decir, sin contraseña); lo ideal sería utilizar métodos avanzados (por ejemplo, biométricos).
  • Derechos de usuario granulares: limitar los datos a los que puede acceder o modificar un usuario autentificado (o una interfaz). Los diferentes roles y usuarios deben trabajar sólo en lo que se necesita.
  • Registro: es especialmente útil poder identificar quién y cuándo ha accedido a los datos o los ha modificado, sobre todo en la identificación de casos y la notificación de infracciones.
  • Parches: ningún software está libre de errores, pero contar con el apoyo adecuado del proveedor de software ayuda mucho a mantener los sistemas actualizados.

Tenga en cuenta que esto puede aplicarse a toda la infraestructura informática y no sólo a un software específico. Comprende estaciones de trabajo, servidores, redes, dispositivos y sistemas operativos. Las redes deben proporcionar medios seguros y fiables de transferencia de datos, las estaciones de trabajo deben ser revisadas periódicamente en busca de malware o virus que puedan llegar a los datos sensibles y ponerlos en manos de personas sin escrúpulos.

La implantación, el mantenimiento y la asistencia de estos elementos puede ser una tarea interna o subcontratada: el software como servicio es cada vez más popular.

PUBLICADO EN
16/04/2018 0:00:00
VOLVER A LA LISTA