Por qué necesitas empezar a tomarte en serio la protección de la información y cómo puede ayudarte ESET

DESCARGAR GUÍA GRATUITA
¿Qué es la GDPR?

¿Cumples la directiva GDPR?

En mayo de 2018 será de obligatorio cumplimiento el nuevo reglamento para la protección de datos en toda la Unión Europea.

Si te afecta, necesitas empezar ya a pensar en su cumplimiento. Esta página está diseñada para ayudarte a entender el Reglamento General de Protección de Datos (GDPR), cuantificar los requisitos y ofrecer soluciones. Esta directiva afectará a todas las empresas de Europa que manejen información personal de cualquier tipo. También afectará a cualquier empresa que realice negocios en la UE. Las reglas son complejas y las multas por su no cumplimiento son importantes (hasta 20 millones de euros).

¡Pero estás en el sitio adecuado para obtener más información!

calendar due date GDPR

Consigue nuestra guía GDPR gratuita

ESET y sus asesores legales han creado esta guía detallada para examinar cómo te afectará este nuevo Reglamento europeo.

guia general de la regulacion de proteccion de datos

>Revisa el cumplimiento online

¿Tu empresa cumple con el reglamento?

Cumplir el reglamento GDPR, paso a paso

Las implicaciones de la GDPR son complejas, por lo que hemos dividido el proceso de cumplimiento en tres grupos de medidas que deberías considerar, subdivididas en varias áreas con una explicación más detallada. Pulsa en las barras del diagrama inferior para examinar estas áreas según tus necesidades.

+En resumen

Algunos de los principios que se establecen en la GDPR son una continuación de los establecidos en la Directiva de protección de datos existente, concretamente: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

La GDPR establece un nuevo principio de responsabilidad creando controladores de la información responsables de demostrar el cumplimiento de estos principios. Asímismo, la GDPR añade nuevos aspectos a los principios de protección de la información ya existentes, concretamente

Legalidad, justicia y transparencia – La información personal debe ser procesada ahora de forma transparente en función del tipo de información.

Limitación de propósitos – Con algunas salvedades, la archivación de la información personal de interés público no se considerará incompatible con los propósitos de procesamiento originales.

Almacenamiento – La información personal debe estar guardada en una forma que permita la identificación de los sujetos de la información durante no más tiempo del necesario para los propósitos para los que se procesa la información personal.

Responsabilidad – El controlador de la información se convierte en el responsable, y debe ser capaz de demostrar el cumplimiento de los principios.

+Requisitos de la estructura organizativa

Bajo la GDPR, debes implementar un amplio rango de medidas para garantizar que reduces el riesgo de incumplimiento de la GDPR y para que te permita demostrar que te tomas la gestión de la información seriamente. Entre las medidas de responsabilidad necesarias se encuentran:

  • Evaluaciones del impacto de la privacidad
  • Auditorías
  • Revisiones de las políticas
  • Registros de actividad
  • Si es necesario, nombrar a un responsable de protección de la información (DPO).

La GDPR introduce la obligación de que ciertas organizaciones designen un Responsable de protección de la información (DPO). Estas organizaciones deben designar a un empleado o consultor externo como su DPO.

Si eres un comerciante con una gran base de datos de clientes, probablemente necesitarás designar un DPO; se espera que las autoridades nacionales de protección de datos proporcionen consejo sobre quién cumple los requisitos.

Tu DPO será responsable de monitorizar el cumplimiento de la GDPR, informándote de tus obligaciones y sobre cuándo y cómo debería llevarse a cabo una evaluación del impacto de la privacidad y ser el punto de contacto para las solicitudes de las autoridades nacionales de protección de datos y particulares.

El concepto de punto centralizado permite a una empresa establecida en varios países de la UE tratar solo con una autoridad nacional de protección de datos (DPA) aunque las reglas para determinar cuál debería adoptar este papel, y cómo deberían gestionar las quejas, son complejas en algunos casos.

+Procesos, procedimientos y políticas

La GDPR redefine una violación de datos como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”.

Esta es una definición más amplia que la anterior y no toma en consideración si la violación crea algún daño al individuo. Si sufres una violación de la seguridad de la información, debes informar a la autoridad nacional de protección de datos como máximo 72 horas después de descubrir la violación de datos.

Sin embargo, estás exento de notificar a las personas si has tomado medidas técnicas y organizativas apropiadas para proteger la información personal, tales como el cifrado.

Una parte importante del cumplimiento de la GDPR es la privacidad por diseño, esto es diseñar cada nuevo proceso o producto con los requisitos de privacidad como aspecto central. Este enfoque, que anteriormente consistía en una buena práctica, es ahora un requisito explícito.

La evaluación del impacto de protección de datos, también conocida como evaluación del impacto de la privacidad (PIA), está pensada para identificar y minimizar los riesgos de incumplimiento.

La GDPR convierte los PIAs en un requisito formal; específicamente los controladores deben garantizar que se ha ejecutado un PIA, antes del inicio de cualquier actividad de procesamiento de "alto riesgo".

Si operas a nivel internacional, tus reglas y procesos para transferir datos a jurisdicciones externas a la UE tendrán una consideración relevante, puesto que las penas por la no adecuación o la transferencia de datos a jurisdicciones no reconocidas (por la Comisión europea) por tener un reglamento de protección de datos adecuada pasarán a ser mucho más rigurosas después de la entrada en vigor de la GDPR.

+Conocimiento de la seguridad de la información

Ahora es el momento de empezar a explicar la necesidad del cumplimiento de la GDPR a tus propios empleados. Tal vez necesites empezar a planificar procedimientos revisados para afrontar las nuevas cláusulas sobre los derechos individuales y de transparencia de la GDPR. Esto podría tener consecuencias importantes a nivel financiero, técnico y de formación.

+Responsabilidad - medidas técnicas

La GDPR hace que los controladores sean responsables de demostrar el cumplimiento con sus principios de protección de datos, por lo que necesitarás asegurarte de que tienes políticas claras implantadas para demostrar que cumples los estándares necesarios desde el principio, monitorizando, revisando y evaluando con regularidad tus procedimientos de procesamiento de información y garantizando que tus empleados están formados para entender sus obligaciones. Debes ser capaz de demostrar esto en todo momento, cuando lo solicite la autoridad nacional de protección de datos (DPA).

+Violación de información – medidas técnicas

Debes prepararte para una eventual violación de información (definidas como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”) implementando políticas claras y procedimientos demostrados con el fin de garantizar que puedes reaccionar y notificar cualquier violación de información cuando sea necesario.

La no notificación de una violación de información cuando es necesaria podría traer como consecuencias una multa, además de la multa por la violación de información en sí misma.

+Garantizar los derechos del sujeto de la información - técnicamente

La GDPR refuerza los derechos de los sujetos de la información, por ejemplo añadiendo el derecho a solicitar información sobre los datos que están siendo procesados de sí mismos, el acceso a los datos en ciertas circunstancias, y la rectificación de la información errónea.

Uno de los objetivos principales de la GDPR es reforzar los derechos de los individuos. Como consecuencia, las reglas para tratar las peticiones de acceso de los sujetos cambiarán, y necesitarás actualizar tus procedimientos para reflejar esto.

En la mayoría de casos no podrás cobrar por atender una solicitud y normalmente tendrás un máximo de 40 días para satisfacerla.

El derecho al olvido ("borrado" en la terminología de la GDPR) permite a los individuos solicitar a tus controladores de datos borrar sus datos personales sin demora injustificada en ciertas situaciones, por ejemplo donde exista un problema con la legalidad subyacente del procesamiento, o donde retiren el consentimiento.

Las terceras partes con las que compartes los datos de los individuos también están cubiertas por estas reglas.

La GDPR define la evaluación de perfiles como “cualquier forma de procesamiento automático de información personal que consiste en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir ciertos aspectos relativos al comportamiento de esa persona física en el trabajo, situaciones económicas, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimiento”; sin embargo, existe ambigüedad acerca de cómo se aplicará el derecho de los sujetos de la información a no estar sujetos a decisiones basadas en la evaluación de perfiles.

La GDPR introduce un nuevo derecho a la portabilidad de los datos, que va más allá del derecho de los individuos a solicitar que proporcione sus datos en un soporte electrónico común y requiere que el controlador proporcione la información de forma estructurada, en un formato usado comúnmente y que sea legible por ordenadores.

Existen algunos límites a esta regla, por ejemplo solo se aplica a datos personales procesados por medios automáticos.

Como parte del objetivo de reforzar los derechos de los individuos, la Comisión europea también está otorgando un derecho a restringir cierto procesamiento y un derecho a objetar que los datos personales sean analizados y procesados para fines de marketing directo.

Cuando un individuo objeta, sus datos no deben ser procesados para marketing directo nunca más y la información de contacto del individuo debería añadirse a un archivo de supresión interno.

Las organizaciones deben informar a las personas de su derecho a objetar el procesamiento de sus datos de forma explícita y separada de cualquier otra información que puedan proporcionarles.

+Comunicar la información de privacidad (consentimiento, avisos de procesamiento justo)

Tal vez necesites revisar cómo buscas, obtienes y guardas el consentimiento; el consentimiento de un sujeto de la información a procesar su información personal debe ser tan fácil de retirar como de otorgar, y debe ser también una indicación positiva de que la conformidad a que la información personal sea procesada no puede ser inferida mediante silencio, casillas premarcadas o inactividad.

La GDPR concede especial protección cuando se trata de la gestión de información personal de niños, especialmente en relación a servicios de Internet como redes sociales.

En Internet, se requiere el consentimiento previo de los padres para el uso de los datos personales de cualquier persona menor de 13 años. Los Estados Miembros pueden establecer sus propias reglas para aquellos con edades comprendidas entre 13 y 15 años. Si eligen no hacerlo, se requiere consentimiento de los padres para los menores de 16 años.

Como resultado, deberías empezar a pensar cómo implementar sistemas robustos para comprobar la edad de los individuos y para recopilar el consentimiento de los padres o tutores para procesar esa información.

El consentimiento debe ser verificable, y cuando se recopila la información de los menores el aviso de privacidad debe estar redactado en un lenguaje que ellos puedan entender.

La GDPR incrementará probablemente el rango de aspectos que debes contar a los sujetos de la información, por ejemplo tu base legal para procesar sus datos, tus periodos de retención de sus datos y su derecho a emitir una queja a su autoridad nacional de protección de datos si creen que existe algún problema con la forma en la que estás tratando sus datos; ten en cuenta que la GDPR requiere que esta información sea proporcionada en un lenguaje claro y conciso.

+Seguridad de los datos (integridad y confidencialidad)

La GDPR establece principios de seguridad de los datos parecidos a aquéllos de la directiva actual, entre ellos: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

Debes garantizar que los datos personales sean procesados de forma que garantice su seguridad, incluyendo la protección contra el procesamiento no autorizado o ilegal, y contra su pérdida accidental, destrucción o daño: “La organización y cualquier proveedor de servicios subcontratados implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo".

El reglamento sugiere un número de medidas de seguridad que pueden ser utilizadas para lograr la protección de datos, que incluyen: pseudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia continua de sistemas y servicios para procesar datos personales; la capacidad de restaurar la disponibilidad de y el acceso a datos personales en un tiempo razonable en caso de incidencia física o técnica; y un proceso para probar, calificar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos personales.

La GDPR especifica el cifrado como una medida que puede contribuir a garantizar el cumplimiento de algunas de estas obligaciones. Citando textualmente el reglamento:

Artículo 32 – Seguridad del procesamiento

“1.   Teniendo en cuenta el estado actual, los costes de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento así como el riesgo de probabilidad variable y la severidad de los derechos y libertades de las personas físicas, el controlador y el procesador implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo entre otros como apropiados: (a) la seudonimización y el cifrado de datos personales […]”

Artículo 34 – Comunicación de una violación de datos al sujeto de la información

“3. La comunicación al sujeto de la información a la que se hace referencia en el párrafo 1 no será necesaria si se cumple alguna de las siguientes condiciones: (a) el controlador ha implementado las medidas técnicas y organizativas de protección apropiadas, y esas medidas fueron aplicadas a los datos personales afectados por la violación de datos personales, especialmente aquellos que dejan los datos personales ininteligibles a cualquier persona no autorizada a acceder a ellos, como el cifrado […]”

+Documentación de los datos, base legal y auditoría

Deberías documentar qué datos personales guardas, de dónde provienen y con quién los compartes.

Si tienes datos personales incorrectos y los has compartido con otras organizaciones, la GDPR requiere que informes a la otra organización de la incorrección para que puedan corregir sus propios registros. Para ello esto puede requerir una auditoría de información en toda tu empresa o en zonas particulares dentro de ella. Esto también te ayudará a cumplir con el principio de responsabilidad de la GDPR.

Bajo la GDPR, deberías examinar cómo procesas datos personales e identificar la base legal en la que llevas a cabo y documentas estos procesos.

Esto es necesario porque algunos derechos de los individuos serán modificados por la GDPR dependiendo de tu base legal para procesar sus datos personales. Un ejemplo es que los individuos tendrán un derecho más fuerte a eliminar sus datos donde utilices consentimiento como tu base legal para procesarlos. Sin embargo, el consentimiento es solo una de las diferentes formas de legitimar la actividad de procesamiento y puede que no sea la mejor (como puede deducirse).

La información presentada en esta página web no constituye ninguna opinión legal, y los usuarios no deberían confiar en su precisión a la hora de tomar decisiones financieras o empresariales. ESET no será responsable de los resultados que pudieran producirse de tales acciones. Busca siempre asesoramiento legal independiente.

Asiste a nuestro webinar acerca de la GDPR

Habla con nuestros expertos acerca de cómo afectará el nuevo Reglamento general de protección de datos a tu empresa. ESET está realizando webinars para explicar incidencias relativas a la GDPR. Estos webinars tienen asistencia gratuita: tan solo inscríbete a continuación y te invitaremos al próximo evento.

El cifrado como solución

¿Qué es el cifrado?

El cifrado es un proceso de codificación de la información de forma que evite que terceras personas puedan leerla.

Longitud de la clave y fortaleza del cifrado

La fortaleza del cifrado es igual a la longitud de la clave (bits) y el algoritmo de cifrado usado. La forma más simple de derrotar el cifrado es probar todas las claves posibles. A esto se le conoce como ataque por fuerza bruta, pero las claves más largas han hecho que este método sea ineficaz.

Para descifrar por fuerza bruta una clave AES de 128 bits, cada una de las 7 mil millones de personas de la Tierra debería probar 1000 millones de claves por segundo durante alrededor de 1,5 trillones de años para probar cada clave.

Por lo tanto, los atacantes normalmente no intentan descifrar el algoritmo por ingeniería inversa o atacar la clave por fuerza bruta. En cambio, aprovechan las vulnerabilidades del programa de cifrado, o intentan infectar el sistema con malware para capturar contraseñas o la clave cuando son procesadas.

Para minimizar estos riesgos, deberías utilizar un producto de cifrado validado de forma independiente y una solución antimalware avanzada y actualizada.

¿Cómo funciona?

El cifrado se aplica comúnmente de dos formas diferentes:

Almacenamiento cifrado – a menudo llamada ‘información en descanso’ – se utiliza más comúnmente para cifrar un disco entero, unidad o dispositivo.

Este tipo de cifrado se hace efectivo solo cuando se para el sistema, se expulsa la unidad o se bloquea la clave de cifrado.

El contenido cifrado también llamado cifrado granular – implica normalmente cifrar archivos o texto a nivel de la aplicación.

El ejemplo más común es el cifrado del correo electrónico, donde el formato del mensaje debe permanecer intacto para que la aplicación del cliente de correo electrónico sea capaz de utilizarlo, pero el cuerpo del texto del correo electrónico está cifrado junto con los documentos adjuntos.

eset data encryption example

¿Qué necesito del cifrado?

Aunque la longitud de la clave y el rango de características del programa son importantes, esto no indica el rendimiento que tendrá un producto desde el punto de vista del usuario o del administrador.

Validación FIPS - 140

La validación aceptada más comúnmente es el estándar FIPS-140. Si un producto está validado con FIPS-140 entonces ya es más seguro que lo que la mayoría de situaciones pueda demandar y será aceptable por la GDPR y otros reglamentos.

Fácil de usar para usuarios no técnicos

Siempre existirán situaciones donde tus empleados necesitarán decidir si deben cifrar o no un documento, correo electrónico, etc. Es vital que sean capaces de utilizar el programa proporcionado y puedan estar seguros de que cifrar los datos no les bloqueará el acceso a ellos o a los destinatarios autorizados.

Administración remota de claves, ajustes y políticas de seguridad

Para evitar que los empleados tengan que tomar decisiones de seguridad, el cifrado puede aplicarse a todo, pero esto tiende a restringir los procesos legítimos de la empresa y puede reducir la productividad. La inclusión de la administración remota – que permite cambiar de claves de cifrado, funcionalidad o los ajustes de políticas de seguridad para usuarios remotos, que normalmente representan el mayor problema de seguridad – significa que los ajustes predeterminados para aplicar el cifrado y la política de seguridad puede ser más elevada sin limitar los procesos normales en otras secciones de la empresa.

Administración de claves de seguridad

Uno de los grandes retos de usabilidad es cómo se espera que los usuarios compartan información cifrada. Existen dos métodos tradicionales:

Contraseñas compartidas, que tienen los inconvenientes de ser fáciles de recordar e inseguras o imposibles de recordar y seguras pero escritas u olvidadas.

Cifrado de claves públicas, que funciona bien en grupos de trabajo más pequeños sin reemplazo de trabajadores o con uno muy bajo, pero se hace complejo y problemático en equipos mas grandes o más dinámicos.

Utilizar claves de cifrado compartidas administradas centralmente evita estos problemas, con el beneficio añadido de imitar la forma en que se usan las llaves para cerrar nuestras casas, apartamentos, coches, etc. Los empleados ya entienden este concepto, y solo es necesario explicarlo una vez. En combinación con un sistema premium de administración remota, las claves de cifrado compartidas logran conseguir el equilibrio óptimo de seguridad y practicidad.

Prueba el cifrado de DESlock gratis

Tan solo rellena tus datos y te enviaremos una demo para que puedas experimentar los beneficios del cifrado de ESET.
Como seguimiento, puede que un agente de ESET contacte contigo vía telefónica o por correo electrónico.

Cómo puede ayudar ESET

Nuestra solución:
cifrado DESlock de ESET

Cifrar los datos personales de tus equipos puede ayudarte a cumplir muchos requisitos de la GDPR. Esta solución de ESET es potente, fácil de instalar y puede cifrar con seguridad discos duros, dispositivos extraíbles, archivos y correos electrónicos.

El cifrado de DESlock te permite cumplir las obligaciones de seguridad de la información implementando fácilmente políticas de cifrado y manteniendo una alta productividad. Con una baja carga de mantenimiento y ciclos de implementación muy cortos, ningún otro producto puede compararse con DESlock en cuanto a flexibilidad y facilidad de uso.

El lado del cliente requiere una mínima interacción del usuario, mejorando el nivel de cumplimiento de las políticas y la seguridad de la información de tu empresa desde un único paquete MSI. El lado del servidor hace que sea fácil administrar a los usuarios y los equipos y ampliar la protección de tu empresa más allá de tu red corporativa.

Qué ofrece el cifrado de DESlock

Cifrado simple y potente para empresas de todos los tamaños que cifra de forma segura archivos en discos duros, dispositivos móviles y los enviados por correo electrónico

Certificación: cifrado AES de 256 bits validado con FIPS 140-2 ultraseguro

Servidor de administración basado en parte en la nube para un control remoto total de las claves de cifrado del equipo y las políticas de seguridad

Compatible con Microsoft® Windows® 10, incluyendo UEFI y GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algoritmos y estándares: AES 256 bits, AES 128 bits, SHA 256 bits, SHA1 160 bits, RSA 1024 bits, Triple DES 112 bits, Blowfish 128 bits

DESlock+ Pro – Las ventajas en detalle

Cifrado total del disco
Seguridad rápida y transparente antes del arranque

Cifrado de medios extraíbles
Cifrado de medios extraíbles configurable por políticas apto para cualquier política de seguridad corporativa

Plugin de Outlook para el correo electrónico y documentos adjuntos
Envía y recibe fácilmente correos electrónicos y documentos adjuntos cifrados a traves de Outlook

Discos virtuales y archivos cifrados
Crea un volumen seguro y cifrado en tu PC o en cualquier otra ubicación o una copia cifrada de todo un árbol de directorio y sus archivos

Cifrado de archivos y carpetas
Proporciona una capa adicional de seguridad de forma rápida y transparente

Cifrado de texto y del portapapeles
Cifra toda o parte de una ventana de texto: navegadores web, campos de memoria de la base de datos o el correo web

Compatible con administración centralizada
Control total del licenciamiento y las características del producto, las políticas de seguridad y las claves de cifrado.

Cifrado portátil DESlock+ Go
Programa fácil de usar en el dispositivo para la implementación en equipos sin licencia

Prueba el cifrado de DESlock gratis

Tan solo rellena tus datos y te enviaremos una demo para que puedas experimentar los beneficios del cifrado de ESET. Como seguimiento, puede que un agente de ESET contacte contigo vía telefónica o por correo electrónico.