CIBERSEGURIDAD

GDPR: el error más común y 4 cosas que toda empresa debe saber.

0 65 4 minutos de lectura

Joe Collinwood en CySure aborda el malentendido en torno a las cookies y el consentimiento en términos de GDPR



El Reglamento General de Protección de Datos de la UE (RGPD) entró en vigor el 25 de mayo de 2018 con gran fanfarria, y con razón. Es el cambio más significativo en la legislación de protección de datos en Europa durante más de dos décadas y vuelve a colocar a las personas en el asiento del conductor de cómo se utilizan sus datos. Sin embargo, sigue habiendo mucha confusión dentro de la comunidad empresarial sobre los pasos que deben tomarse para garantizar el cumplimiento. En consecuencia, muchas empresas sufren de ‘fatiga GDPR’ causada por una exposición excesiva a las normas legales y de seguridad.

GDPR se aplica incluso a las pequeñas empresas.
GDPR está diseñado para regir cómo cada organización trata los datos personales que recopila. El tamaño y la ubicación de la empresa son irrelevantes, si una organización tiene información personal sobre personas en la UE, como consumidores o empleados, entonces se aplica la regulación. En la práctica, esto significa que los principios que rigen cómo se deben recopilar, procesar, compartir y almacenar los datos se aplican a prácticamente todas las empresas dentro de la UE, así como a aquellas fuera de Europa con clientes de la Unión Europea. No hay exenciones para pequeñas empresas o comerciantes individuales.

Para las pequeñas y medianas empresas (PYME), el cumplimiento a menudo puede ser poco claro, ya que muchas empresas han confiado en su persona de TI, un subcontratista o servicios legales externos para asesorar e implementar medidas de privacidad de datos. Esto ha dejado a algunos dueños de negocios inseguros de qué acciones se necesitan para cumplir con los requisitos de la legislación.

Cookies y consentimiento: 4 cosas que toda empresa debe saber.
Existe una idea errónea de que el RGPD se trata puramente de consentimiento y, si bien se trata de una obligación fundamental, de ninguna manera es la única área de interés. Las pequeñas empresas que tienen presencia en línea deben obtener un consentimiento claro e inequívoco antes de recopilar y procesar datos personales. Algunas empresas pueden creer que cumplen con GDPR al tener un consentimiento de cookies y una política de privacidad en su sitio web, sin embargo, GDPR requiere que las organizaciones cumplan con un conjunto más completo de obligaciones de privacidad, como;

· Minimización de datos: las empresas solo deben recopilar información personal que sea directamente relevante y necesaria para lograr un propósito específico. Si no lo necesita, ¡no lo recoja! Las empresas también deben revisar periódicamente los datos que tienen asegurando la eliminación de todo lo que no sea necesario.

· Integridad y confidencialidad: las empresas deben asegurarse de contar con las medidas de seguridad adecuadas para proteger los datos personales que tienen. Esto se extiende a garantizar que cualquier personal que tenga acceso a datos personales tenga una necesidad legítima de hacerlo y reciba capacitación regular en seguridad cibernética.

· Protección de datos por diseño: las organizaciones están obligadas a considerar las cuestiones de privacidad y protección de datos desde el principio en todo lo que hacen. En esencia, esto significa integrar o incorporar la protección de datos en las actividades de procesamiento y las prácticas comerciales, desde la etapa de diseño hasta el ciclo de vida.

· Notificación de infracciones: todas las organizaciones tienen la obligación de informar sobre determinados tipos de infracciones de datos personales a la autoridad de control pertinente. Las organizaciones deben priorizar el desarrollo de un sólido procedimiento de detección, investigación e informes internos antes de que ocurra una infracción. Ciertos tipos de violaciones de datos personales deben informarse dentro de las 72 horas posteriores a tener conocimiento de la violación, por lo que es esencial que los procesos estén en su lugar.

La importancia de la certificación.
La certificación es una forma de demostrar que el método de procesamiento de datos personales de una organización cumple con los requisitos del RGPD. Las organizaciones preocupadas por cumplir con las regulaciones de cumplimiento podrían beneficiarse de emprender una ruta de certificación, como Cyber ​​Essentials o el estándar IASME Governance, guiado por un oficial de seguridad virtual en línea (VOSO) como parte de un sistema de gestión de seguridad de la información más amplio.

La obtención de la certificación para el procesamiento de datos puede ayudar a las pymes a:

· Tener una ventaja competitiva

· Sea más transparente y responsable

· Crear salvaguardas efectivas para mitigar el riesgo en torno al procesamiento de datos y los derechos y libertades de las personas.

· Mejorar los estándares estableciendo las mejores prácticas

· Mitigar contra las acciones de ejecución.

El beneficio de la certificación a través de un sistema de gestión de seguridad de la información (SGSI) es que las pymes pueden aprovechar la experiencia de los consultores de seguridad cibernética en línea a una fracción del costo de un especialista en seguridad interno a tiempo completo o un equipo de consultores. El proceso se puede dividir en un conjunto de acciones discretas que brindan un enfoque de cumplimiento fácil de seguir y por etapas. Al eliminar gran parte de la carga administrativa que consume mucho tiempo, una VOSO libera a la administración para centrarse en las políticas, los procedimientos y la capacitación de los empleados para crear una cultura consciente y de cumplimiento.

Los procesos necesarios para el cumplimiento de GDPR pueden ofrecer muchas ventajas comerciales, después de que todos los datos son el elemento vital de cualquier organización. Al adoptar una postura proactiva hacia el RGPD, las pymes pueden tomar el control de sus datos e interactuar con clientes y prospectos en un nivel más profundo y personalizado. Las pymes que tratan el RGPD como un ejercicio de marcar casillas están perdiendo la oportunidad más amplia de demostrar confianza y seguridad con su público objetivo: sus clientes.

Joe Collinwood es director ejecutivo de Cysure.net

Acerca de CySure.
CySure es una empresa de ciberseguridad fundada por expertos con amplia experiencia en gestión operativa y de riesgos. La compañía tiene oficinas en Londres (Reino Unido) y California (EE. UU.) Y la solución insignia de CySure: Virtual Online Security Officer (VOSO) es un sistema de gestión de seguridad de la información (ISMS) que incorpora los estándares de seguridad cibernética GDPR, US NIST y UK CE para guiar a las organizaciones. a través de protocolos y procedimientos de seguridad emergentes y complejos, mejorar su seguridad en línea y reducir el riesgo de amenazas cibernéticas.

CySure también proporciona a las organizaciones un seguro cibernético para complementar su estrategia de seguridad y compensar los abrumadores costos forenses y de reparación en caso de una infracción cibernética.

Para obtener más información, visite www.cysure.net

[tpr-boilerplate company=’null’]

Publicaciones relacionadas

Cómo implementar y fomentar una cultura de cumplimiento de la seguridad

CrowdStrike nombrado líder en IDC MarketScape en servicios de respuesta a incidentes, preparación y resiliencia.

El ataque DDoS deja a los usuarios de TeamViewer en la oscuridad

Maintel alivia el dolor de proteger su negocio contra las amenazas cibernéticas con Insight Secure.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar