RGPD - ¿QUÉ HACER PARA CUMPLIR CON EL REGLAMENTO?

RGPD: qué hacer

 

La pregunta que muchos se harán en este momento es: ¿qué es necesario hacer para cumplir con la regulación RGPD? ¿Cuánto y en qué medida afecta mi empresa? En primer lugar, debe hacerse una distinción entre organismos públicos y privados. Los primeros están implicados por razones obvias (al ser "públicos" deben cumplir con las nuevas reglas de protección de datos). El grado de participación de las organizaciones privadas varía según el tipo de servicio ofrecido. Pero tenga cuidado: ¡ay de pensar que las organizaciones en las que el procesamiento de información confidencial juega un papel marginal están exentas de la adopción de la regulación! Entonces, ¿qué hacer?

En 3CiME Technology creemos que es esencial recurrir a asesoramiento legal al menos en una fase preliminar, para tener una idea más clara de las obligaciones y poder tener una percepción real de qué hacer realmente, cómo moverse. Este es un paso no obligatorio pero muy recomendable de nuestra parte.
 

RGPD: que es obligatorio hacer

 

Además, se prevén medidas que todas las organizaciones (incluidas las privadas) deben cumplir.
Veamos específicamente qué es obligatorio.
 
  • Redacción EIPD (Evaluación de impacto de protección de datos): es la redacción de un documento destinado a preparar la evaluación preliminar del impacto en la protección de datos personales (EIPD) del procesamiento de datos que lo requieren, según el art. 35 del RGPD.
  • Establecimiento de la figura del OPD: se trata de una figura única o de un equipo multidisciplinario, que también puede identificarse fuera de la organización del propietario y regirse por un contrato de servicio. Pero tenga cuidado: el gerente siempre es el propietario.
  • Hacking ético: si consideramos el ciclo de vida de la seguridad como circular, frente a cada acción / inacción, debemos evaluar su efectividad. Por esta razón, una verificación periódica, lo que nosotros llamamos servicio de seguridad plus, dirigido a monitorear la seguridad externa e interna, y la integridad organizacional del Active Directory (estado de la red, usuarios, contraseña, dominio).
  • Cifrado de datos (criptografía): no hay obligación, pero debe considerarse como una medida a implementar para fortalecer la rendición de cuentas, y la insertamos por defecto entre las cosas que hacer. De hecho, en el caso de violaciones de datos personales que se hayan cifrado previamente, no existe la obligación de notificar al garante sobre cualquier violación de datos;
    de lo contrario, la notificación debe hacerse dentro de las 72 horas posteriores a la ocurrencia del evento, con una especie de autodeclaración. No parece una buena tarjeta de visita ...
  • Anti Ransomware: los ransomware no son virus y se están generalizando: ¿qué hacer para erradicarlos? En principio, se necesitan módulos específicos para reducir el riesgo de cifrado de datos no deseado.
  • Eliminación segura de datos: 3CiME Technology ofrece productos o servicios para la solución definitiva del problema. Añadimos que ya no es suficiente, afortunadamente para la humanidad, clavar los discos duros o las cintas. Debemos tener a mano un certificado que demuestre, de manera oponible a terceros, que los datos han sido eliminados permanentemente de nuestros medios, y ahora es que dejamos de contaminar el planeta con basura informática. Queremos ser ecológicos y donar, con la fórmula anglosajona de "caridad", computadoras y servidores a escuelas o asociaciones sin fines de lucro que no tienen los recursos económicos para comprarlos. Es hora de cambiar el rumbo.
  • Recuperación ante desastres: no es solo una obligación: es necesario para el buen sentido de la actividad empresarial. Por lo tanto, no solo los terremotos, sino también otras desgracias pueden afectar nuestros datos. Pero tenga cuidado: la Recuperación ante Desastres y el backup ¡son dos cosas distintas!
  • Continuidad de Negocio: la continuidad de negocio es un ahorro sustancial de costos: las máquinas se detienen, se descomponen, pero las organizaciones deben poder trabajar con valores del 99.999%. Por el contrario, sin continuidad de negocio corremos un riesgo de pérdida y daño de los datos y, por lo tanto, es una obligación sustancial en nuestra opinión.
  • ¿Qué hacer cuando migras algo a la nube, ya sea correo u otra cosa? De acuerdo con las directrices del garante italiano y la Comisión de la UE, a los que van a la nube (ya sea Amazon, Microsoft, Lepida, Google o sea una empresa que administra centros de datos) se les pide que tengan una copia de los datos "en manos" del propietario, con diversos fines, incluida la estrategia de salida.
 

RGPD: que se recomienda hacer

 

Hay otros aspectos cuya aplicación no debe considerarse obligatoria. Sin embargo, pueden ayudar, también debido a la complejidad del asunto: la seguridad informática es un área tan delicada y difícil de manejar que la adopción de ciertas "precauciones" ciertamente puede facilitar. En particular, esto es lo que se recomienda hacer:
 
  • Gestión de seguridad: es un servicio de externalización que gestiona la seguridad a nivel perimetral, a través de la gestión completa del firewall y sus características que gestiona la seguridad a nivel perimetral, a través de la gestión completa del firewall y sus características.
  • Backup y backup gestionados:  el backup de la empresa debe simplificarse y quizás gestionarse en externalización: con demasiada frecuencia no la verificamos y esperamos que todo salga bien. 3CiME ya ofrece este servicio a muchos clientes.
  • Autenticación federada: hemos visto horriblemente replicar su Active Directory en Azure. Es como dar las claves de nuestros datos externamente. Entonces, ¿qué hacer para evitar el peligro? De manera mucho más consistente, es posible federar sistemas de autenticación empresarial con sistemas externos, ya sean Office 365-Azure, Amazon o Google.
 

RGPD: qué hacer opcionalmente

 
Hay otros puntos dignos de atención, por lo menos porque podrían facilitar el proceso ya oneroso de gestionar un problema relacionado con el procesamiento de datos personales. Entonces, veamos qué hacer opcionalmente.
  • Nube: hemos visto contratos en la nube que bordean la ilegalidad, más que el incumplimiento de las disposiciones del RGPD de hoy y la legislación italiana anterior. El consultor prepara y /o verifica los contratos desde el punto de vista de la "privacidad" y del RGPD.
  • Security monitoring:conecte su red a nuestro CCR (Centro de Control de la Redporque podemos ayudarlo a monitorear las amenazas.
  • Gestión del cumplimiento de GDPR: el uso de un software que le permite gestionar todos los requisitos fundamentales del RGPD, incluidos: registro de tratamiento, EIPD, violación de datos, gestión de información y consentimientos, etc. Puede ayudar a no "olvidar algo".

¿informaciones más detalladas?

 
Para solicitar información, asistencia técnica o resolver cualquier duda, contacte con nosotros.
Enter security code:
 Security code
Iscriviti alla newsletter

Registrati alla newsletter, compila il form:

Enter security code:
 Security code
3CiME Technology S.r.l.
Via di Corticella 89/2
40128 - Bologna
Find us on Google Maps
Telephone*: +39 0514070383
Fax: +39 0514072152
E-mail: info@3cime.com
PEC: 3cime@legalmail.it
P.IVA - C.F. IT 02817851203