Las empresas siempre han tenido la responsabilidad de proteger los datos que tienen sobre sus clientes y empleados, pero el 25 de mayo de 2018 el nuevo Reglamento General de Protección de Datos (RGPD) sustituirá la legislación de la Directiva de Protección de Datos de la UE de 1995. Algunas responsabilidades legales se ven afectadas. Esto es lo que debe saber.
¿Qué es el GDPR?
El objetivo del Reglamento General de Protección de Datos de la UE (referencia formal: Reglamento (UE) 2016/679) es proteger la seguridad de los datos personales y ponerlo al día con las formas actuales, antes imprevistas, de recogida, almacenamiento y uso de los datos.
La cantidad de datos personales que las empresas almacenan ahora es muy diferente a la que almacenaban en 1995. En 1995, los motores de búsqueda como Google, las redes sociales como Facebook y las herramientas de marketing digital como Salesforce no existían. Los grandes volúmenes de datos -Big Data- que generan estas tecnologías no estaban adecuadamente cubiertos por la normativa existente, por lo que el RGPD se creó para proporcionar una regulación pertinente para el mundo digital actual.
El tratamiento de datos personales es el tema principal del GDPR. Casi todo lo que se puede hacer con los datos personales se clasifica como tratamiento, por ejemplo, si usted pide a sus clientes sus direcciones de correo electrónico, si almacena las direcciones de los clientes en una base de datos o si imprime una lista de nombres de clientes. Los datos personales también incluyen ahora cualquier identificador en línea, como una dirección IP.
Según el RGPD, como individuo, puede solicitar una copia de cualquier dato que una empresa tenga sobre usted, y ningún dato puede ser procesado legalmente sin su consentimiento informado. Esto es para salvaguardar sus derechos como "sujeto de datos" y darle más voz sobre cómo las empresas manejan sus datos.
El RGPD conlleva multas más severas en caso de incumplimiento e infracciones. El incumplimiento supondrá una multa potencial de 20 millones de euros o el 4% del volumen de negocios anual de una empresa, un buen incentivo para que las empresas se tomen en serio la protección de datos.
Este nuevo reglamento también hará que la ley de protección de datos sea la misma en toda la UE, ayudando a crear un sistema más sencillo, especialmente para las empresas multinacionales.
Qué significa el RGPD para las PYME
Como pequeña y mediana empresa o negocio, se espera que cumpla en su totalidad con el GDPR, como lo hizo con su versión local ratificada de la Directiva de Protección de Datos de la UE.
Lo que estipula el RGPD es que debe tener un proceso eficaz, documentado y auditable para la recogida, el almacenamiento y la destrucción de información personal. Necesita "un proceso eficaz, documentado y auditable para la recogida, el almacenamiento y la destrucción de información confidencial". En términos muy sencillos, es necesario saber dónde están todos los datos y que están seguros.
Aunque gran parte de la atención del RGPD se centra en los datos en línea, también se aplica a los datos almacenados físicamente, lo que significa que las empresas deben considerar qué ocurre con la información que imprimen, copian, escanean y almacenan en papel. Una buena manera de pensar en esto es considerar toda la información que pasa por las impresoras e impresoras multifunción de la oficina.
Antes de realizar cualquier cambio, es útil comprender el cumplimiento actual de la Directiva de Protección de Datos de la UE y, a continuación, examinar las medidas adicionales que pueda necesitar para cumplir con el RGPD.
Asignación de un controlador y un procesador
En el RGPD, y en toda la normativa de protección de datos, existen importantes distinciones sobre las responsabilidades de las distintas personas o empresas, en función de lo que hagan con los datos.
El Responsable del Tratamiento es la persona o empresa que toma las decisiones sobre las actividades de tratamiento, es decir, la persona física o jurídica de su organización que, sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los datos personales.
El Encargado del Tratamiento es contratado por el Responsable del Tratamiento para realizar el tratamiento de los datos personales por cuenta del Responsable. Además de ser otra persona de la misma empresa, el encargado del tratamiento puede ser otra empresa que el responsable del tratamiento subcontrate.
Si bien el Responsable del Tratamiento es estrictamente responsable de los datos personales, el Encargado del Tratamiento tiene también muchas obligaciones en virtud del RGPD, que generan una importante responsabilidad si no se realizan con diligencia y eficacia.
Es posible que la impresión, el escaneado, la copia, el flujo de trabajo y la gestión de documentos no sean lo primero que se le ocurra al considerar el RGPD, pero estas actividades constituyen "un tratamiento" y, por tanto, están sujetas al Reglamento igual que cualquier otro tratamiento.
Seguridad del GDPR
Todas las empresas que posean datos personales, tanto controladores como procesadores, estarán obligadas a tener una seguridad adecuada. Independientemente del RGPD, es esencial contar con la seguridad y las copias de seguridad adecuadas para protegerse de los ataques en línea, que representan un riesgo cada vez mayor para todas las empresas.
Si pensamos en las copias impresas de la información, los documentos que se dejan en las impresoras podrían considerarse una violación de los datos personales, al igual que los contenedores de reciclaje no seguros. Si pensamos en las copias digitales de la información, que quizá no se tengan en cuenta, el equipo multifunción en red podría ser un punto de riesgo.
Las impresoras inseguras pueden ser un objetivo para los piratas informáticos que quieran robar copias de documentos o utilizar su impresora en red como plataforma para atacar otros sistemas.
Los propios equipos multifuncionales suelen ser ordenadores en red completos, con sistemas operativos Unix, Linux, Microsoft Windows, etc. y con capacidades de comunicación en red estándar. No todos los administradores de red lo tienen en cuenta, pero sí todos los atacantes.
Al igual que todos los dispositivos conectados y su infraestructura asociada, los equipos multifunción y las impresoras representan una "superficie de ataque" para los piratas informáticos, por lo que incluirlos en la planificación y las auditorías de seguridad tendrá que ser una consideración seria en la preparación del RGPD.
Las impresoras inseguras corren el riesgo de que se haga un uso indebido o se revelen datos (por ejemplo, que los intrusos obtengan copias de documentos de los discos duros de los dispositivos o que "escuchen" el típico tráfico de red de impresión inseguro) y ofrecen la oportunidad a los ciberdelincuentes de utilizar el dispositivo como plataforma para atacar otros sistemas (por ejemplo, las impresoras pueden utilizarse como parte de ataques de denegación de servicio).
Cómo puede ayudar Sharp Solutions con el cumplimiento del GDPR
A menos de un año de la entrada en vigor del GDPR, ahora es el momento de preparar su negocio para que pueda manejar los datos de sus clientes correctamente.
Sharp ofrece una amplia gama de soluciones de seguridad que pueden ayudar. Desde funciones de seguridad integradas en el hardware de los equipos multifunción de Sharp, hasta soluciones seguras de gestión de la impresión, [y] un servicio basado en la nube para almacenar y compartir archivos electrónicos, y servicios informáticos gestionados que incluyen la protección de los PC y la realización de copias de seguridad. Sea cual sea el tamaño de su empresa, podemos ayudarle a proteger su información, sin suponer una carga adicional para su equipo.
Para obtener más información, incluida la guía de seguridad de Sharp, visite nuestros documentos oficiales sobre seguridad.
