¿Tienes cuarto y mitad de RGPD?, la pregunta del millón

De unos meses a esta parte las peticiones de información sobre RGPD no han hecho más que crecer. Tanto es así que una sencilla visita a Google Trends nos informa que las búsquedas sobre este tema superan ya a la propia ciberseguridad. En verdad una es parte de la otra aunque muchos no lo sepan todavía.

Y aquí viene la pregunta del millón que le hace un amable cliente a una empresa cualesquiera de ciberseguridad. ¿Ustedes me pueden presupuestar poner RGPD en mi negocio? La respuesta es tan difícil que en vez de responder a su email, el pobre proveedor descuelga el teléfono y carraspea con intención de proyectar un tono de presentador del telediario.

 

Cuestionario  imprescindibles de Ciberseguridad

–Buenos días.

– Buenos días, le llamaba por su petición de información sobre GDPR.

– Efectivamente, somos una empresa con 10 empleados y estamos un poco preocupados sobre la GDPR y queremos que nos pongan al día.

–De acuerdo, veamos, le voy a tener que hacer unas preguntas para ver qué punto de partida tenemos. Así, ustedes saben que la nueva normativa obliga a…, por tanto, tienen algún sistema antimalware… cifran los datos… tienen un fichero con las autorizaciones…?

Y así podríamos seguir un rato, y es que a la pregunta de si vendemos RGPD, cualquier empresa responsable va a responder con una batería de preguntas. Y es que la normativa añade requisitos técnicos que van mucho más allá de los consentimientos legales o las fichas en la AEPD. Estos requisitos nos obligan a auditar la ciberseguridad del cliente para saber en qué estado están sus datos y equipos.

 

 

Requisitos mínimos de cumplimiento

La RGPD es muy ambigua en muchos aspectos, pero muy tajante en otros. Y de lo que no cabe duda es de lo que sigue:

  1. Las empresas deben mantener los datos personales protegidos de su pérdida o destrucción. Así se hace obligatorio tener copias de seguridad.
  2. Estos datos deben mantenerse íntegros, pero también a salvo de un uso indebido derivado de un robo o pérdida. Deben ser ilegibles para aquellos no autorizados. Por ende han de cifrarse.
  3. Las empresas deben saber qué datos almacenan, por qué lo hacen y durante cuánto tiempo. Es necesario por ello tener una cadena de custodia procedimentalizada.
  4. Por lógica los datos se crean y custodian en ordenadores, discos duros y servidores. Por ello, los sistemas informáticos deben contar con sistemas de protección que eviten pérdidas, robos o infecciones. Es preciso proteger los equipos con soluciones EndPoint.
  5. Las comunicaciones de la empresa son probablemente lo más olvidado cuando hablamos de RGPD. Emails, formularios de contacto en la web o uso de unidades USB presentan riesgos enormes y hay que protegerlos también.

Por tanto a la pregunta, ¿Me ponen RGPD?, la respuesta es que sí, pero que es necesario estudiar el caso individualmente. ( Y responder una serie de preguntas…) Si aún así quieres saber un poco más de RGPD te animamos a que leas el post comparativo RGPD / LOPD que preparamos hace unos meses y que te descargues el tríptico informativo con el decálogo del nuevo reglamento..

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *