Primeros pasos para afrontar la GDPR

Prodware ha elaborado un manual de buenas prácticas para que las empresas se adapten al RGPD. Aunque es más amplio, hoy nos detenemos en tres de los consejos que figuran en este compendio de recomendaciones:

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

1. Cuidado con los registros en papel. La vieja aspiración de una oficina sin papel completamente digitalizada a menudo se ve frenada por la firma de contratos. Los registros en papel generan cada vez más inconvenientes a las empresas: ocupan demasiado espacio, no están siempre disponibles en entornos de movilidad y existe un mayor peligro de pérdida asociado al robo o al extravío.

A esto se une ahora la necesidad de cumplir con los requisitos legales de RGPD. “Para las organizaciones, la solución es contar con un sistema de firma digital que cumpla los protocolos más estrictos de protección de datos, garantice la seguridad y confidencialidad de los mismos y esté reconocida legalmente”, señala el manual. 

2. El borrado de registros en las copias de seguridad. Entre las exigencias que incorpora RGPD, hay varios casos en los que las empresas están obligadas a borrar registros personales. Por ejemplo, cuando termina la relación, cuando expira el plazo concedido o a petición del interesado, aunque la casuística es mucho más extensa. Comparativamente, resulta fácil eliminar los registros de los sistemas de trabajo, pero ¿qué se hace con los backups? Salvo excepciones, no es posible eliminar registros individuales dentro de un backup, especialmente si se trata de bases de datos.

En este caso, la firma explica que “el desarrollo de copias de seguridad en la nube ofrece una interesante alternativa para salvar este escollo. Mediante la sincronización constante, las empresas pueden mantener sus copias de seguridad siempre actualizadas, accesibles y protegidas cumpliendo la normativa”.

3. Gestionar los datos de los dispositivos. Los móviles, ordenadores portátiles y tabletas son otra fuente importante de riesgo de incumplimiento de RGPD. Independientemente de que sean propiedad del empleado o de la empresa, en la práctica totalidad de los casos estos dispositivos contienen en sus discos duros datos personales de terceros. Su pérdida o robo obliga a las empresas a: notificar este hecho a las autoridades, en primer lugar; y a ser objeto de una investigación, que puede derivar en fuertes multas, en segundo lugar.

En este nuevo escenario, las organizaciones deben analizar el nivel de riesgo al que se exponen y tomar las medidas pertinentes para protegerse. “En este caso, la gestión en remoto de dispositivos por parte de equipos de IT no solo ahorra costes, sino que permite controlar el acceso a los mismos al tiempo que asegura la protección de datos de forma unificada”, dice el proveedor.