Las organizaciones de todo el mundo se ven obligadas a cumplir con la nueva y amplia legislación de protección de datos de la UE.
La Comisión Electrotécnica Internacional, IEC, publica cada dos meses la revista e-tech. Aquí se reproducen algunos de sus contenidos, traducidos por la Asociación Española de Normalización, UNE. e-tech incluye reportajes que muestran los beneficios de la aplicación de las normas electrotécnicas internacionales.
Michael A. Mullane
La entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el 25 de mayo, tendrá un enorme impacto en las propiedades web en todo el mundo. Afectará a todas las organizaciones, independientemente de dónde tengan sus servidores, que proporcionen a los ciudadanos de la UE cualquier tipo de información, contenido o servicio on line.
Los dueños de propiedades web necesitarán permiso explícito de sus usuarios para continuar recopilando, almacenando, analizando o compartiendo información personal, como lo hacen ahora, con compañías de analítica, socios publicitarios, grupos de marketing y muchas otras terceras partes. Es probable que transforme la forma en que se tratan los datos en todas partes, ya que las empresas querrán evitar los costes adicionales que supone gestionar diferentes regímenes de datos.
El RGPD impondrá restricciones estrictas a la transferencia de datos fuera de la UE, tanto a otros países como a organizaciones internacionales. El cumplimiento total será un requisito legal obligatorio para evitar sanciones graves, incluidas multas de hasta 20 millones de euros, o el 4 % de la facturación global, si el monto es mayor.
Las organizaciones de todo el mundo están corriendo contra reloj para respetar los derechos individuales, aumentar la protección de datos y garantizar la privacidad en sus sitios web. Las normas internacionales proporcionan un conjunto de herramientas de tecnologías probadas y comprobadas para lograr el cumplimiento.
RGPD probablemente transformará la forma en que se tratan los datos en todas partes
El reto
El RGPD abarca una amplia gama de datos personales, incluidos identificadores en línea como direcciones IP y cookies, así como información de tarjetas de crédito y de salud. Transformará la forma en que las organizaciones recopilan datos personales, cómo los almacenan y cómo los usan.
Para cumplir con el “derecho al olvido” de una persona, por ejemplo, las organizaciones deberán poder eliminar sus datos personales siempre que esta lo solicite. El RGPD también consagra el derecho a la “portabilidad de datos”: la idea de que los ciudadanos deberían poder transferir datos personales fácilmente entre diferentes proveedores de servicios.
El RGPD se asegurará que los datos personales se conserven solo con el consentimiento explícito del cliente, de que se utilicen solo para el propósito para el que se obtuvieron y de que no se almacenarán durante más tiempo del necesario. No solo el permiso para usar datos deberá ser claro y conciso, sino que también los usuarios podrán revocarlo en cualquier momento.
Las organizaciones deberán seguir unas pautas estrictas para garantizar que los datos sean siempre precisos y se procesen de manera justa y consistente. Si hay fallos de seguridad, las organizaciones deberán informar a las autoridades supervisoras pertinentes en un plazo de 72 horas.
A medida que se acerca el 25 de mayo, los desarrolladores están reconstruyendo los sitios web para garantizar que no haya una recopilación automática de datos cada vez que los visitantes llegan a una página. Están modificando todo tipo de software para garantizar la privacidad por diseño y por defecto, pero muchos proveedores de servicios en línea siguen preocupados por el cumplimiento, ya que las directrices oficiales son complejas y, a veces, difíciles de relacionar con las situaciones del mundo real.
Cumplimiento de las normas
Las normas internacionales proporcionan un marco robusto y fiable, basado en las mejores prácticas identificadas por los principales expertos de la industria y la tecnología de todo el mundo, para recopilar, almacenar y procesar datos confidenciales en el contexto de diferentes requisitos normativos. Las normas elaboradas por expertos que trabajan en el Subcomité (SC) 27 Técnicas de seguridad informática, del ISO/IEC JTC 1, el Comité Técnico Conjunto sobre tecnología de la información creado por IEC e ISO, proporciona no solo un conjunto completo de herramientas y metodología para la gestión de la seguridad de los datos, sino que también demuestra las mejores prácticas del mundo real.
Las mejores prácticas reflejadas abarcan los campos de la seguridad de datos, el intercambio de información, la protección del almacenamiento y el procesamiento. El conjunto de Normas ISO/IEC 27000 sobre técnicas de seguridad para la tecnología de la información proporciona un potente marco que permite a las organizaciones comparar con las mejores prácticas en implementación, mantenimiento y mejoras continuas de los controles.
En este contexto, la ISO/IEC 27001 Tecnología de la información.Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos, es una norma significativa en el conjunto de ISO/IEC 27000. De acuerdo con los expertos internacionales en protección de datos, IT Governance, “una empresa que ha implementado la ISO/IEC 27001 ya ha realizado al menos la mitad del trabajo para lograr el cumplimiento del RGPD al minimizar el riesgo de un incumplimiento.”
La Norma ISO/IEC 27001 identifica los riesgos potenciales para los datos de clientes y partes interesadas y garantiza que las organizaciones implementen los controles pertinentes para mitigarlos. Requiere encriptación, pruebas continuas y evaluación de riesgos, así como la capacidad de restablecer el acceso a datos personales rápidamente en caso de un incidente.
El borrador de comité ISO/IEC CD 27552 pronto ofrecerá una mejora con respecto a la ISO/IEC 27001 en cuanto a los requisitos de la gestión de la privacidad. Abarca los procesos para proteger la captura, la responsabilidad, la disponibilidad, la integridad y la confidencialidad de los datos.
Por su parte, las ISO/IEC 19592-1 e ISO/IEC 19592-2 Tecnología de la información. Técnicas de seguridad. Compartición de secretos, definen las mejores prácticas en las técnicas criptográficas utilizadas para proteger la confidencialidad de los mensajes (“compartición de secretos”) en términos de requisitos generales y mecanismos fundamentales. Estas técnicas se pueden usar para almacenar datos confidenciales de forma segura en sistemas distribuidos.
La Norma ISO/IEC 29100 Tecnología de la información. Técnicas de seguridad. Marco de privacidad, describe un marco para la protección de la información de identificación personal (PII) dentro de la tecnología de la información y la comunicación. La ISO/IEC 27018 permite a las organizaciones gestionar cuestiones de seguridad relacionadas con la PII en nubes públicas.
En cuanto a la Norma ISO/IEC 29101 Tecnología de la información. Técnicas de seguridad. Marco de la arquitectura de la privacidad identifica un marco y controles asociados para la protección de la privacidad en los sistemas TIC que almacenan y procesan la PII.
Con un enfoque en el aprendizaje, la educación y la formación, la ISO/IEC 29187-1 Tecnología de la información. Identificación de requisitos de protección de la privacidad relacionados con el aprendizaje, la educación y la formación, toma en cuenta los requisitos de política pública que controlan la creación, el uso y el intercambio de datos personales, así como la gestión del ciclo de vida de la información. Estos incluyen, entre otros, regulaciones para la protección del consumidor, la privacidad y la accesibilidad individual.
¿Qué es información personal?. Foto: ec.europa.eu
Evaluación de la conformidad
Debido a que no todos los riesgos se basan en la tecnología, es esencial que el personal técnico responsable de la gestión de datos tenga la formación, el conocimiento y las habilidades requeridas. El trabajo del Comité de Evaluación de la Conformidad (CASCO), un esfuerzo conjunto de IEC e ISO, es vital para el proceso de determinar si una organización cumple con los requisitos relacionados con su competencia técnica en este ámbito.
La ISO/IEC 17024 establece los requisitos generales para la certificación del personal, mientras que ISO/IEC 17065 abarca los requisitos para la certificación de productos, procesos y servicios.
El cumplimiento de las normas internacionales pertinentes garantiza la implementación efectiva de las mejores prácticas para proteger los datos personales y mitigar los riesgos. Las organizaciones pueden usarlas para construir una nueva relación digital con sus clientes, que es una piedra angular de los requisitos del RGPD.
Las normas internacionales pueden jugar un papel importante para ayudar a proteger la reputación de la marca y minimizar la publicidad adversa al brindar a los clientes confianza en la fiabilidad de los sistemas a los que les han confiado sus datos. En un contexto de amplio cambio regulatorio, proporcionan las herramientas para implementar sólidos sistemas de gestión de la seguridad de los datos que manejan información confidencial de manera eficiente y efectiva.
La Revista de la
Normalización Española
