Requisitos del GDPR

Resumen e historia del GDPR

El GDPR se diseñó para sustituir a la anticuada Directiva de Protección de Datos de la UE de 1995. Con la explosión de los servicios digitales, las redes sociales y los flujos de datos transfronterizos, la antigua directiva ya no ofrecía suficiente protección.

Principales hitos

• 1995 - Se establece la Directiva de protección de datos de la UE.
• 2012 - Se presenta la primera propuesta de reforma del RGPD.
• 2016 - Adopción del GDPR por el Parlamento Europeo.
• 25 de mayo de 2018 - El GDPR entra oficialmente en vigor.

El reglamento supuso un gran paso hacia la armonización de la protección de datos en todos los Estados miembros de la UE y el fortalecimiento de los derechos de las personas en la era digital.

El reto de cumplir los requisitos del GDPR

Cuando el Reglamento General de Protección de Datos (RGPD) de la Unión Europea entró en vigor en mayo de 2018, supuso el cambio más significativo en la legislación mundial sobre protección de datos en décadas. De repente, las organizaciones de todo el mundo se vieron obligadas a reexaminar cómo manejan, protegen y gestionan los datos personales.

Cualquier empresa que procese los datos personales de residentes de la UE -independientemente de su ubicación física- debe cumplir con el GDPR. El reglamento concede a los residentes en la UE nuevos derechos sobre sus datos: el derecho a saber cómo se utilizan, el derecho a que se borren y el derecho a dar o retirar el consentimiento. Las empresas también están obligadas a responder a las solicitudes de los interesados en el plazo de un mes.

A medida que las organizaciones se adaptan a esta realidad, un área sigue siendo especialmente compleja: la gestión del correo electrónico. Dado que el correo electrónico sigue siendo la columna vertebral de la comunicación empresarial -y el vector de ataque número uno para los ciberdelincuentes-, las organizaciones necesitan soluciones fiables y escalables para garantizar el cumplimiento del GDPR sin abrumar a los equipos informáticos.

Principios clave del GDPR

El Reglamento General de Protección de Datos (RGPD) se basa en siete principios fundamentales que determinan cómo deben recopilarse, gestionarse y protegerse los datos personales. Estos principios sirven de marco para el cumplimiento y ayudan a las organizaciones a generar confianza entre clientes, empleados y reguladores.

Legalidad, equidad y transparencia

En el núcleo del GDPR se encuentra la expectativa de que las organizaciones procesen los datos de forma lícita y justa. Esto requiere que las empresas sean transparentes sobre cómo recopilan, utilizan y comparten la información personal. Las personas deben ser informadas en un lenguaje claro y directo sobre por qué se procesan sus datos y cómo se salvaguardarán.

Limitación de la finalidad

Los datos personales sólo pueden recopilarse con fines específicos y legítimos. Una vez recopilada, no puede procesarse de forma que se extienda más allá de esos fines originales. Esto evita que las organizaciones reutilicen los datos de forma inadecuada o para objetivos no revelados, reforzando el respeto por la privacidad individual.

Minimización de datos

Se espera que las organizaciones recojan y conserven sólo los datos necesarios para lograr el propósito declarado. Este principio desalienta la acumulación de información personal innecesaria y limita la exposición si se produce una infracción. Al minimizar la recopilación de datos, las organizaciones reducen los riesgos de cumplimiento y refuerzan la seguridad de los datos.

Precisión

El GDPR hace hincapié en que los datos personales deben ser precisos y mantenerse actualizados. Las organizaciones están obligadas a establecer procesos que corrijan rápidamente las imprecisiones y eviten que se almacene información obsoleta. Esto protege a las personas del daño potencial causado por datos incorrectos o engañosos.

Limitación de almacenamiento

Los datos no deben almacenarse más tiempo del necesario. Las organizaciones deben aplicar calendarios de conservación que definan cuándo se eliminarán o anonimizarán los datos. La limitación del almacenamiento evita la acumulación a largo plazo de información personal, que puede crear tanto riesgos de cumplimiento como costes innecesarios de gestión de datos.

Integridad y confidencialidad

Los datos personales deben tratarse de forma segura para evitar accesos no autorizados, alteraciones o pérdidas. Este principio abarca tanto las salvaguardias técnicas, como la encriptación, como las medidas organizativas, como los controles de acceso y la supervisión. Proteger la confidencialidad y la integridad de los datos es fundamental para el cumplimiento de la normativa, así como para mantener la confianza de las partes interesadas.

Rendición de cuentas

Por último, el GDPR exige a las organizaciones que asuman la responsabilidad de sus prácticas en materia de datos. Rendir cuentas significa ser capaz de demostrar el cumplimiento de todos los principios mediante documentación, auditorías y una gestión proactiva de los riesgos. Refuerza la idea de que el cumplimiento no es sólo un requisito legal, sino también un compromiso con la gestión responsable de los datos.

El conjunto de soluciones de archivo, continuidad y seguridad del correo electrónico de Mimecast respalda directamente estos principios del GDPR. Al ofrecer almacenamiento a prueba de manipulaciones, búsqueda avanzada y aplicación automatizada de políticas, Mimecast ayuda a las organizaciones a mantener la precisión, integridad, confidencialidad y responsabilidad de los datos de correo electrónico, una de las formas de comunicación empresarial más críticas y más reguladas.

Ámbito de aplicación, sanciones y definiciones clave

Alcance

El GDPR se aplica a:

• Todas las organizaciones que operan dentro de la UE.
• Organizaciones no pertenecientes a la UE que tratan datos personales de residentes en la UE.

Este alcance extraterritorial significa que el GDPR se ha convertido en una referencia mundial para la protección de datos.

Sanciones

El reglamento impone dos niveles de multas:

• Hasta 10 millones de euros o 2% de la facturación anual global por infracciones menores (por ejemplo, mantenimiento deficiente de registros).
• Hasta 20 millones de euros o 4% de la facturación anual global por infracciones graves (por ejemplo, no obtener el consentimiento, tratar mal los datos sensibles o ignorar los derechos de los interesados).

Definiciones clave

• Datos personales: cualquier información relativa a una persona identificable (por ejemplo, nombre, dirección de correo electrónico, dirección IP).
• Controlador de datos: la entidad que determina cómo y por qué se procesan los datos personales.
• Encargado del tratamiento: la entidad que procesa datos personales en nombre de un responsable del tratamiento.
• Sujeto de los datos: la persona cuyos datos personales se están recopilando o procesando.

Explicación de los requisitos de cumplimiento del GDPR

Para cumplir con el GDPR, las organizaciones deben:

• Obtenga un consentimiento claro antes de recopilar o procesar los datos.
• Facilitar a las personas que lo soliciten el acceso a sus datos.
• Permitir a las personas solicitar correcciones o la supresión de sus datos.
• Aplique medidas para proteger los datos personales, incluidos el cifrado y los controles de acceso.
• Informe de las violaciones de datos en las 72 horas siguientes a su descubrimiento.
• Mantener registros detallados de las actividades de procesamiento.
• Llevar a cabo evaluaciones del impacto de la protección de datos (EIPD) cuando se identifiquen riesgos elevados.
• Nombrar a un responsable de la protección de datos (RPD) cuando sea necesario.

Estos requisitos exigen tanto cambios en las políticas como soluciones técnicas, por lo que las plataformas SaaS como Mimecast son fundamentales para el cumplimiento de la normativa.

Lista de comprobación del cumplimiento del GDPR

Cumplir con las obligaciones del GDPR requiere que las organizaciones aborden múltiples dimensiones de la protección de datos. En lugar de una simple lista, el siguiente marco destaca las áreas que los equipos de TI, los responsables de cumplimiento y los líderes empresariales deben priorizar.

Descubrimiento y mapeo de datos

El primer paso para el cumplimiento es comprender el alcance de los datos personales que posee la organización. Las empresas deben identificar qué datos personales se recopilan, dónde se almacenan y cómo se procesan en los distintos sistemas. El mapeo de los flujos de datos -tanto internos como externos- crea la base para gestionar el riesgo y demostrar el cumplimiento a los reguladores.

Prácticas de consentimiento y retención

El GDPR hace especial hincapié en el consentimiento. Las organizaciones tienen que implantar mecanismos de consentimiento claros, que sean fáciles de entender y de retirar. Junto al consentimiento, deben definirse políticas de conservación que garanticen que los datos personales sólo se almacenan durante el tiempo necesario. Establecer plazos para la eliminación no sólo cumple la normativa, sino que también reduce la exposición en caso de infracción.

Controles de seguridad y acceso

Unas medidas de seguridad sólidas son esenciales para estar preparado para el GDPR. La encriptación, las estrategias de copia de seguridad y el almacenamiento seguro protegen los datos personales de accesos no autorizados o pérdidas. Igual de importante es garantizar a los titulares de los datos la posibilidad de acceder fácilmente a su información. Las organizaciones deben disponer de sistemas para responder con prontitud a las solicitudes de acceso de los sujetos y proporcionar a las personas copias de sus datos personales cuando lo soliciten.

Derechos de las personas y respuesta a incidentes

El GDPR otorga a las personas el derecho a solicitar la supresión de sus datos. Las empresas deben establecer procesos fiables para gestionar estas solicitudes y eliminar los datos de los archivos y los sistemas activos. Al mismo tiempo, es fundamental contar con un plan de respuesta a incidentes. Las organizaciones están obligadas a detectar, investigar y notificar las infracciones en un plazo de 72 horas, lo que requiere tanto preparación como procedimientos de comunicación definidos.

Evaluaciones de riesgos y formación

Las actividades de transformación de alto riesgo exigen un escrutinio adicional. La realización de Evaluaciones del Impacto sobre la Protección de Datos (EIPD) ayuda a las organizaciones a evaluar los riesgos potenciales y a tomar medidas para mitigarlos antes de que se produzcan daños. Como complemento, la formación periódica de los empleados garantiza que éstos comprendan sus responsabilidades en virtud del GDPR. Los programas de concienciación refuerzan una cultura de cumplimiento y reducen la probabilidad de infracciones accidentales.

Gestión de proveedores y terceros

El cumplimiento no termina dentro de la organización. Muchas empresas dependen de procesadores externos, y el GDPR exige que estos socios cumplan las mismas normas de protección. Los programas de gestión de proveedores deben incluir acuerdos contractuales de procesamiento de datos (APD) y comprobaciones periódicas para validar su cumplimiento. Esto garantiza que la responsabilidad se extienda a todo el ecosistema de datos.

Al abordar la preparación para el GDPR a través de estas áreas interconectadas, las organizaciones pueden construir una postura de cumplimiento sólida. Con soluciones como el archivado seguro del correo electrónico, la protección avanzada contra amenazas y las herramientas automatizadas de e-discovery de Mimecast, los equipos de TI obtienen el apoyo que necesitan para aplicar estas prácticas de forma eficaz y coherente.

Formularios y plantillas GDPR

Para gestionar el cumplimiento de forma eficaz, las organizaciones deben preparar formularios y plantillas estandarizados de acuerdo con el reglamento gdpr y las orientaciones de la comisión europea, y mantenerlos como parte de una gobernanza de datos sólida como:

• Formularios de consentimiento: en los que se indique explícitamente qué datos se recopilan y por qué, haciendo referencia al artículo pertinente del gdpr y a los fines lícitos del tratamiento de datos.
• Formularios de solicitud de acceso de los interesados (DSAR): permiten a los particulares solicitar el acceso a sus datos.
• Plantillas de notificación de violación de datos: garantizar la comunicación oportuna a las autoridades y a las personas afectadas (un requisito básico de gdpr).
• Acuerdos de tratamiento de datos (APD): contratos formales entre el responsable del tratamiento y los encargados del tratamiento que definen las responsabilidades para cada actividad de tratamiento de datos.

Mantenga una lista de comprobación ligera del cumplimiento del GDPR para confirmar que cada formulario/plantilla incluye los campos y contactos obligatorios. Mimecast respalda estos procesos con herramientas de elaboración de informes y de e-discovery preparadas para el cumplimiento, simplificando la gestión de los DSAR y la preparación de auditorías para ayudar a los equipos a mantener el cumplimiento de las gdpr al tiempo que refuerzan la seguridad de los datos.

Protección de datos y trabajo a distancia

El trabajo a distancia ha aumentado los retos de la protección de datos:

• Redes inseguras: los empleados que trabajan desde casa pueden conectarse a través de una Wi-Fi insegura.
• Shadow IT: el uso de aplicaciones no autorizadas puede eludir las políticas de cumplimiento.
• Gestión de dispositivos: los dispositivos personales pueden carecer de cifrado o de parches de seguridad y controles de seguridad de datos actualizados.

El cumplimiento del GDPR exige que las organizaciones amplíen los controles de seguridad a los entornos remotos. Mimecast ayuda proporcionando:

• Acceso seguro al correo electrónico basado en la nube desde cualquier lugar, respaldado por una sólida seguridad en la nube.
• Protección avanzada frente a los ataques de phishing que suelen dirigirse a los trabajadores remotos.
• Archivo centralizado para aplicar las políticas de conservación independientemente de dónde trabajen los empleados.

Por qué es importante el cumplimiento proactivo del GDPR

El GDPR ha transformado el panorama mundial de la protección de datos. Su énfasis en la transparencia, la responsabilidad y los derechos individuales exige que las organizaciones se replanteen cómo manejan la información personal, especialmente en el correo electrónico, donde se intercambian constantemente datos sensibles.

El cumplimiento no es opcional. Las organizaciones se enfrentan a consecuencias financieras, operativas y de reputación si se quedan cortas (incluido un mayor riesgo de violación de datos). Pero con la estrategia y la tecnología adecuadas, el cumplimiento del GDPR puede lograrse más fácilmente, reduciendo la carga administrativa y reforzando al mismo tiempo la confianza de los clientes.

Mimecast proporciona a las organizaciones las herramientas avanzadas de seguridad, archivo y continuidad del correo electrónico necesarias para cumplir eficazmente las obligaciones del GDPR. Desde la defensa frente a las ciberamenazas hasta la simplificación de las solicitudes de los interesados, Mimecast permite a los equipos informáticos mantener el cumplimiento de la normativa mientras se centran en el crecimiento del negocio.

Para las empresas que buscan un socio probado y de confianza en el cumplimiento del GDPR, Mimecast ofrece impacto desde el primer día - y protección continua para el futuro.