El RGPD té com a finalitat protegir el dret individual a la privacitat dels ciutadans de la UE i, si es compara amb la legislació sobre la privacitat europea anterior, amplia en gran mesura la definició del que constitueix informació personal i privada, de manera que ara inclou no només els registres financers, oficials i metges, sinó també la informació genètica, cultural i social. Ara, les empreses han d'obtenir el consentiment explícit d'un individu per a poder utilitzar les seves dades personals i, a més, han de respectar el seu "dret a l'oblit", és a dir, al fet que s'eliminin totes les dades personals que tingui l'empresa, si així ho sol·licita l'usuari.
Així mateix, les empreses han de satisfer nous requisits per demostrar el seu compliment continu del RGPD, com elegir un responsable dels assumptes relacionats amb el RGPD a l'empresa (denominat "Delegat de protecció de dades"), comunicar tots i cadascun dels incidents de violació de les dades, i emmagatzemar les dades personals dins de les fronteres físiques de la UE, o amb països amb un nivell adequat de protecció.
Terminologia general del RGPD
Per entendre el RGPD pel que fa a emmagatzematge de dades i protecció de dades, és útil conèixer la següent terminologia bàsica:
- Interessat: Un ciutadà de la UE que és identificable per les seves dades personals. Entre els exemples s'inclouen: un particular que realitza una compra en línia, un pacient d'un sistema d'atenció sanitària, un ciutadà que accedeix a serveis del Govern a Internet, un usuari d'aplicacions de mitjans socials, és a dir, qualsevol individu que proporcioni informació personal per utilitzar un servei.
- Responsable del tractament: Empresa que desenvolupa la seva activitat en l'espai de la Unió Europea -o fora de la UE, si realitza transaccions amb residents de la UE- i que obté dades confidencials sobre residents de la UE en el curs de les seves operacions. Entre els exemples s'inclouen: una empresa que accepta comandes online i guarda adreces i informació de targetes de pagament de consumidors; un proveïdor de serveis sanitaris que conserva els registres dels pacients. (Consulteu la següent informació per esbrinar si la seva empresa funciona com a responsable del tractament o com a encarregat del tractament).
- Encarregat del tractament: Empresa comercial, com un proveïdor de serveis en el núvol, que actua com a contractista d'un responsable del tractament, és a dir, una altra empresa que subministra béns o serveis als ciutadans de la UE i que obté informació confidencial sobre els individus. Entre els exemples, es poden citar empreses d'allotjament d'aplicacions, proveïdors d'espai d'emmagatzematge i proveïdors de serveis en el núvol, com a còpia de seguretat.
- Dades personals: "Qualsevol informació relativa a una persona natural identificada o identificable". La definició d'aquest terme a la Unió Europea és més àmplia que en cap altra Administració, i inclou el nom, adreça de correu electrònic, publicacions en mitjans socials, informació física, fisiològica o genètica, dades mèdiques, ubicació, detalls bancaris, adreça IP , galetes, identitat cultural, etc. dels ciutadans de la Unió Europea.
- Dret a l'oblit: El dret de tot ciutadà de la UE a "que les seves dades personals s'esborrin i no es tractin mai més". Els individus poden sol·licitar que s'eliminin les seves dades personals emmagatzemades en els servidors d'un responsable del tractament. Sobre aquest assumpte en particular hi ha alguna cosa d'ambigüitat. ¿Requereix una sol·licitud de ser oblidat l'esborrat de les còpies de seguretat (el que pot ser problemàtic en suports de còpia de seguretat en sèrie, com cintes)? Què passa quan el dret a ser oblidat entra en conflicte amb les polítiques de conservació de dades d'una empresa pel que fa al arxivat i requisits legals?
- Fuga de dades personals: "Una violació de la seguretat que condueix, de manera accidental o fora de la llei, a la destrucció, pèrdua, alteració, divulgació no autoritzada o accés a dades personals transmeses, emmagatzemades o tractats de qualsevol altra forma". Les empreses han de comunicar tot incident de fuga de dades a la "autoritat de control" corresponent en un termini de 72 hores des del moment del seu coneixement.
Errors de protecció de la privacitat
La seva capacitat per donar fe de la privacitat, integritat, accessibilitat i eliminació de les dades personals depèn en part de la capacitat que tingui per protegir-se i recuperar-se en cas de fallades d'emmagatzematge, còpia de seguretat i recuperació de dades. Aquests errors es classifiquen en tres categories diferents:
- Errors de dispositius: La decisió físic de components de maquinari d'emmagatzematge, com discs durs, controladores d'emmagatzematge i centres de dades. Per exemple, una unitat de disc dur que s'exposa de manera accidental a un camp magnètic, el que provoca un esborrat parcial de la informació que conté.
- Errors lògics o de programari: Deguts a errors humans. Per exemple, l'eliminació o sobreescriptura accidental d'arxius durant el procediment d'execució d'una còpia de seguretat, la corrupció accidental de dades d'arxius causa d'una fallada o error d'un script o aplicació comercial; o l'eliminació accidental del registre d'arrencada d'una unitat de disc dur.
- Violacions de la seguretat: Fallades a causa d'atacs greus malintencionats dirigits a infraestructures de TI, com xarxes, servidors, aplicacions i endpoints, ja siguin provocats per personal intern o ciberdelinqüents, o afavorits per estats. Exemples: un atac de ransomware que xifra el contingut d'una unitat de disc dur i sol·licita el pagament d'un rescat en línia per obtenir la clau de desxifrat.
Requisits del RGPD més amplis per a la còpia de seguretat i l'emmagatzematge
Les empreses que funcionen com a encarregats del tractament tenen a més altres obligacions. Entre elles:
- Oferir garanties suficients que els seus serveis compleixen els requisits tècnics i organitzatius del RGPD.
- Evitar l'ús d'empreses subcontractades per als contractes de serveis entre l'encarregat del tractament i els seus clients (responsables del tractament) sense el consentiment exprés d'aquests últims.
- En extingir un contracte de servei, s'han d'eliminar totes les dades del núvol i / o la infraestructura del centre de dades, i proporcionar les proves pertinents que avalin que així s'ha fet.
- Comunicar els incidents de violació de dades a l'organisme regulador.
La UE es pren seriosament el compliment de les normatives, i amenaça amb sancions financeres importants a les empreses que no puguin demostrar el compliment o si es descobreix que infringeixen clarament les normes del RGPD, que tenen com a objectiu protegir la privadesa dels usuaris. Per exemple, si no manté registres per escrit, no implementa diferents mesures tècniques o organitzatives, i / o no tria a un delegat de protecció de dades, l'empresa s'enfronta a multes de 10 milions d'euros o un 2% dels seus ingressos anuals globals (segons la xifra que sigui més gran). Patir una fuga de dades o violar els drets de la persona interessada, és a dir, perdre o eliminar les seves dades sense permís, pot comportar el pagament de multes fins i tot més severes de 20 milions d'euros o el 4% dels ingressos anuals globals (segons la xifra que sigui més gran).
En resum, per aconseguir el compliment de l'RGPD en les àrees d'emmagatzematge i protecció de dades (còpia de seguretat), tant els responsables com els encarregats del tractament han de procurar solucions d'infraestructura i serveis que compleixin els següents requisits tècnics:
- Control de la ubicació d'emmagatzematge de dades personals de l'interessat. Ha de ser capaç de satisfer els desitjos dels individus les dades controla o tracta pel que fa al lloc d'emmagatzematge: in situ i / o en un centre de dades específic de la Unió Europea.
- Xifrat de dades. Ha d'oferir xifrat fort de les dades personals que es trobin en els seus endpoints, així com en trànsit entre les seves xarxes locals i xarxes d'àrea extensa i el núvol. El procés de xifrat ha d'estar totalment automatitzat, i l'interessat ha de ser l'únic posseïdor de la clau de xifrat.
- Cerca de dades en còpies de seguretat. Ha de garantir la possibilitat de fer cerques en les còpies de seguretat a nivell de grava ciment, per facilitar la localització de la informació sol·licitada en nom dels interessats.
- Possibilitat de modificar dades personals. Ha de tenir la possibilitat de copiar, modificar i eliminar dades personals fàcilment a petició dels interessats.
- Exportació de dades a un format habitual. Ha de ser capaç d'exportar les dades personals a un format habitual i de fàcil ús (per exemple, a arxius comprimits ZIP).
- Recuperació de dades ràpida. Ha de ser capaç de recuperar ràpidament dades personals de les còpies de seguretat en cas de fallada d'un dispositiu d'emmagatzematge, un problema de programari, un error d'un operador o una violació de la seguretat (per exemple, un atac de ransomware).
Així mateix, els responsables i els encarregats del tractament han de tenir en compte les següents normes del RGPD l'hora de triar les infraestructures i els serveis d'emmagatzematge i protecció de dades:
- Transferències de dades a altres països. Tota transferència fora de la frontera de la Unió Europea ha de ser transparent i segura. Cal que els proveïdors de serveis puguin especificar les ubicacions en les que s'emmagatzemen les dades personals a petició dels interessats.
- Notificació de violació de la seguretat. En cas de violació de dades, un encarregat del tractament ha d'avisar a tots els responsables del tractament i clients sobre els riscos en un termini de 72 hores.
- Dret a l'accés. La còpia de seguretat i l'emmagatzematge han de garantir el dret dels interessats a obtenir informació dels responsables del tractament en relació al tractament de les seves dades personals. Els responsables del tractament han de ser capaços de proporcionar una còpia de les dades sense cap cost. Els arxius de còpia de seguretat han d'estar disponibles per als interessats contínuament. Les dades personals en una còpia de seguretat o un compte d'emmagatzematge han de ser susceptibles de ser eliminats per l'interessat oa petició seva.
- Dret a l'oblit. Quan les dades ja no siguin rellevants per al seu fi original, els interessats han de tenir l'oportunitat d'exigir al responsable del tractament que els elimini.
- Portabilitat de les dades. Els interessats han de poder obtenir i reutilitzar les seves dades personals per als seus propis objectius mitjançant la seva transferència a través de diferents entorns de TI. Per això ha de ser possible descarregar les dades personals en un format transferible fàcilment.
- Delegat de protecció de dades. S'ha de designar a un empleat que serà el màxim responsable del compliment del RGPD, denominat Delegat de protecció de dades, en organismes públics o grans empreses (de 250 empleats o més).
- Privacitat de base. Els responsables i els encarregats del tractament han de posar en pràctica les mesures tècniques i organitzatives adequades, com la seudonimización, destinades a implementar principis de protecció de dades.
CATBackup actua com a encarregat del tractament, que ha de garantir el compliment del reglament RGPD per a l'emmagatzematge i la protecció de les dades personals que té, i com a tal, posarà a la disposició dels seus distribuidors :
- Els nous contractes per a la regulació de l'accés a dades per compte de tercers:
- Evitar l'ús d'empreses subcontractades per als contractes de serveis entre l'encarregat del tractament i els seus clients (responsables del tractament) sense el consentiment exprés d'aquests últims.
- En extingir un contracte de servei, s'han d'eliminar totes les dades del núvol i / o la infraestructura del centre de dades, i proporcionar les proves pertinents que avalin que així s'ha fet.
- Ubicació física d'emmagatzematge de les dades personals que controla:
- Tota transferència fora de la frontera de la Unió Europea ha de ser transparent i segura. Cal que els distribuïdors dels nostres serveis, puguin especificar les ubicacions en les que s'emmagatzemen les dades copiades, a petició dels seus clients.
- Oferir garanties suficients que els seus serveis compleixen els requisits tècnics i organitzatius del RGPD:
- Total disposició de la documentació que acrediti el compliment de la nova normativa, per part dels nostres proveïdors tecnològics.
Conclusió
S'acosta la data límit per al compliment del RGPD 25 de maig de 2018, i les multes pel seu incompliment són quantioses, però, totes les empreses, institucions i proveïdors de serveis que ofereixen béns o serveis als ciutadans de la UE poden prendre ja les mesures necessàries per estar preparats. Comenceu per reconèixer com el reglament RGPD reforça i amplia la definició dels drets de la privacitat individual enfront d'altres normatives anteriors, com la Directiva de protecció de dades de 1995. Familiaritzeu amb la nova terminologia creada pel RGPD per entendre el seu lloc al marc. I comenci a afrontar el repte del compliment amb mesures significatives per a la protecció de la privacitat de les dades i dins del seu espai de control.
Deixa un comentari