GDPR

El Reglamento General de Protección de Datos (GDPR) es la ley sustituta a nivel europeo de la LOPD, y que será puesta en vigor en Mayo de 2018 , garantizando su cumplimiento mediante sanciones administrativas a las empresas que no la apliquen.

Esta ley va dirigida a empresas que manejan datos de ciudadanos de la Unión Europea (UE). Supone un gran reto para los equipos de seguridad de estas empresas ya que, por ejemplo, la GDPR tiene un punto de vista muy amplio a la hora de especificar las características que identifican la información de identificación personal. Estas empresas necesitarán tener el mismo nivel de protección que tienen para IPs individuales y cookies que para nombres, direcciones, etc.

En esta ley se deja mucho a la libre interpretación. Dice que las empresas deben proporcionar un nivel de seguridad razonable, pero no especifica lo que significa razonable.

Empresas a las que afecta la GDPR

Cualquier compañía que almacene datos sobre ciudadanos de la UE en estados de la UE tienen que cumplir la GDPR, aunque no tengan presencia en la UE.

Los criterios específicos son:

• Presencia en un país de la Unión Europea.
• Sin presencia en la Unión Europea.
• Más de 250 empleados.
• Menos de 250 empleados pero los datos o su procesamiento afecta los derechos o libertades de los usuarios.

Responsable de su cumplimiento

Esta ley define varios roles o perfiles en las empresas: Controlador de Datos, Procesador de Datos y Oficial de Protección de Datos (DPO).

• Controlador de Datos: Define la manera en la que se procesan datos de carácter personal.
• Procesador de Datos: Son los grupos internos que mantienen y procesan datos personales o cualquier tercero que realiza alguna de estas actividades.
• Oficial de Protección de Datos: La GDPR obliga a los dos roles anteriores a seleccionar un DPO para supervisar la estrategia de seguridad de datos.