AZURE GDPR – Privacidad por Diseño


Como suele suceder al debatir normativas, GDPR no ha sido la excepción, centramos el debate, principalmente en las multas, el consentimiento del sujeto de datos, la formación de los empleados y los diversos fundamentos jurídicos para las transferencias de datos.

El peligro de lo anterior es que algunas otras áreas están siendo vistas solo con el rabillo del ojo. Uno de los artículos que hay que destacar es el artículo 25: Protección de datos por diseño y por defecto.

Las dos primeras partes del artículo son las siguientes:

El artículo 25 dice que todos los nuevos sistemas, aplicaciones y procesos de recolección y procesamiento de la información deben diseñarse desde sus cimientos para incorporar las prácticas recomendadas para minimizar la recolección de datos, e incluir tecnología y procedimientos para salvaguardar los datos durante su ciclo de proceso.

El concepto de “Privacidad por Diseño” fue promovida por primera vez por el Comisionado de privacidad en Ontario en los años 1990, la idea es que la privacidad debe ser más que el cumplimiento de las normas, debe ser el modo de operación por defecto desde el diseño inicial, llevándolo y mejorándolo hasta su implementación.

Una lectura interesante para ayudar a generar conciencia sobre La Privacidad por Diseño es un corto artículo que definía los 7 principios de la Fundación, disponible para descargar aquí.

Si el regulador investiga a una compañía por posible incumplimiento de la GDPR, solicitará documentación sobre las políticas, procedimientos y la tecnología desplegada para asegurar que se cumpla la GDPR. Sólo piensa si puedes responder a la pregunta “para este nuevo proceso, muéstrame las maneras en que garantizaste la privacidad por el diseño y la privacidad por defecto”.

Los siete principios son:

1.    Proactivo no reactivo; preventivo no correctivas

2.    Privacidad como opción predeterminada

3.    Privacidad embebida en el diseño

4.    Funcionalidad completa – suma positiva, no suma cero

5.    Seguridad end-to-end: protección durante el ciclo de vida

6.    Visibilidad y transparencia

7.    Respeto a la privacidad del usuario

Para entender los siete principios anteriores, voy a utilizar algunos ejemplos en el área de Cloud Computing y las opciones disponibles para la gestión de TI.

Sistemas de ventas y marketing CRM basados en Cloud

Para minimizar los datos, los usuarios deben tener acceso a una cantidad de datos tan pequeña al mismo tiempo como sea posible. Restrinja el acceso tan estrechamente como pueda: si alguien sólo está trabajando en clientes de una región determinada, asegúrese de que los derechos se establecen de modo que no puedan tener acceso a otros datos. Considere quién debe tener acceso a informes amplios. Asegúrese de que todo el acceso es a través de nombres de usuario individuales y todo el tráfico se registra para fines forenses. Restrinja tantos datos como sea posible desde la vista de un individuo que no necesite verlo, utilizando tecnologías como cifrado. ¿Pregúntese si los usuarios que producen informes amplios de los resultados de las campañas deben tener acceso a los datos subyacentes o sólo a las cifras generales?

Usuarios que administran encuestas en línea

Diseñar las encuestas de tal manera que las personas que revisan los resultados no puedan ver las credenciales de usuario individuales. Considere el cifrado de partes del contenido antes de alimentarla al administrador. Alimente la información personal a un equipo diferente o divida los datos para que los resultados generales y el contenido personal se mantengan separados.

Herramientas de colaboración y almacenamiento en línea

Utilice las herramientas de DLP para salvaguardar a los usuarios de romper GDPR, buscando identificadores personales e informando al usuario (y/o admin) de posibles brechas.

Aplicaciones desarrolladas a medida usando los servicios de IaaS basados en La Nube

Asegúrese de que la privacidad está integrada en las aplicaciones desde el principio. Integre con los sistemas existentes en áreas tales como autentificación y cifrado de modo que el ingeniero de software pueda desarrollar su aplicación sin tener retrasos para agregar los controles de privacidad.

Usuarios privilegiados que administran capacidades de cuenta

Mantenga las cuentas de usuario privilegiadas alejadas de la manipulación de datos e informe cualquier instancia en la que un usuario privilegiado intente apartarse de su comportamiento habitual.

Todos los servicios en La Nube

Busque implementar los tipos de tecnologías que se han utilizado en los sistemas locales durante décadas: autenticación multi factor, integración con servicios corporativos de firma única, encriptación, prevención de pérdida de datos, detección de anomalías, políticas de Geo-localización, políticas diferenciadas basadas en aplicaciones confiables y no confiables, y servicios como encriptación global implementada de forma centralizada.

Para obtener más información sobre Privacidad por Diseño aplicada a GDPR, contacte con uno de nuestros especialistas de Seguridad y GDPR

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *