Aunque no será hasta 2018 cuando comience a aplicarse, es de vital importancia entender las implicaciones que tendrá el GDPR (General Data Protection Regulation) y poner en marcha un plan de acción que asegure la protección y privacidad de los datos personales de los consumidores de los bienes y servicios de tu empresa.
El GDPR no solo es un tema de moda entre los expertos en ciberseguridad y privacida sino que para los consumidores, supone fortalecer la protección de los derechos fundamentales del usuario en el entorno online y devolverles el control de su información personal.
Ahora bien, todavía hoy existen falsos mitos que circulan sobre el GDPR y la realidad que hay en torno a los mismos, tal y como analizan los especialistas de Panda Security.
Mito número uno: “El GDPR solo afecta a empresas de la Unión Europea”
Las normas del GDPR se aplicarán a todas las empresas que ofrezcan bienes o servicios a personas de la UE, independientemente de dónde se encuentren sus oficinas o servidores, haciendo de esta la primera ley mundial de protección de datos. Por ejemplo, si un ciudadano de la UE utiliza una red social con sede en Estados Unidos, realiza una transacción en un comercio electrónico de Japón o recurre a una plataforma argentina para alquilar el alojamiento para sus vacaciones, todas esas empresas deben ajustarse al GDPR.
Mito número dos: “Todos los incidentes de seguridad deben ser reportados en menos de 72 horas”
Solo las filtraciones de datos personales deben ser reportadas; pero no es obligatorio en el caso de incidentes de seguridad o filtraciones de datos que no sean de carácter personal. Esto quiere decir que cualquier filtración que afecte a la confidencialidad o integridad de la información personal sí deberá ser reportada. Además, el plazo límite de 72 horas no empieza cuando ocurre el incidente, sino cuando la empresa es consciente de que ha sufrido una violación de datos personales. Si no es posible reportar a la autoridad responsable de la protección de datos en el plazo de 72 horas, el límite se puede extender, siempre y cuando la organización justifique el retraso.
Mito número tres: “Debemos cifrar todos los datos para cumplir con el GDPR”
El GDPR a lo que obliga es a implementar medidas que provean de un nivel de seguridad apropiado, basado en una evaluación del riesgo que supone cualquier acción que requiera, por ejemplo, el procesamiento o el almacenamiento de datos personales. Aunque el cifrado es una medida recomendada, no es imprescindible. Todo depende de los riesgos asociados a no cifrar dichos datos personales. De tal modo, en el caso de datos tan sensibles como la información médica de pacientes, el GDPR además de recomendar el cifrado, sugiere que se acompañe de medidas de seguridad más robustas como algoritmos más seguros.
Noticias relacionadas
-
Por un “océano cibernético” limpio sin phising ni malware -
El fin de las contraseñas y los tokens criptográficos -
GDPR al rescate tras la crisis de Cambridge Analytica y Facebook
