NAKIVO > Blog > Multiplatform

Guía sobre el Reglamento General de Protección de Datos

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

La privacidad y la protección de datos han vuelto a ser el centro de atención en el último año en un contexto tecnológico cada vez más complejo. En la UE se ha hablado de la necesidad de un «RGPD 2.0», ya que la nube y la IA plantean sus propios retos en materia de privacidad, desde los modelos de responsabilidad compartida hasta el tratamiento de datos biométricos y el uso del reconocimiento facial.

¿Qué es el GDPR o Reglamento General de Protección de datos, qué cubre y puede dar respuesta a los retos actuales 12 años después de su primera redacción? Veamos la finalidad y los requisitos de esta legislación y cómo puede garantizar su cumplimiento a través de su estrategia de protección de datos.

Back Up Directly to Cloud

Back Up Directly to Cloud

Avoid a single point of failure with NAKIVO by backing up virtual, cloud and physical workloads directly to the most popular clouds and other S3-compatible platforms.

DISCOVER SOLUTION

¿Qué es el GDPR?

El Reglamento General de Protección de Datos (RGPD) es una ley de protección de datos que regula cómo las organizaciones recopilan, almacenan, procesan y comparten los datos personales de los ciudadanos de la UE. El GDPR entró en vigor el 25 de mayo de 2018. Se basa en el artículo 8 de la Carta de los Derechos Fundamentales de la UE sobre la protección de datos personales y se apoya en el «consentimiento libremente otorgado» como base jurídica para el tratamiento de datos personales.

Este reglamento pretende armonizar la normativa sobre privacidad de datos en toda la Unión Europea y salvaguardar los derechos de privacidad de los ciudadanos de la UE independientemente de la ubicación geográfica de la organización que maneje datos personales.

Principios fundamentales del RGPD

El Reglamento General de Protección de Datos se articula en torno a 7 principios clave que rigen el tratamiento lícito de los datos personales. Estos principios no son meras directrices, sino que son jurídicamente vinculantes y fundamentales para el cumplimiento del RGPD. Exigen que las organizaciones tengan en cuenta la privacidad en todas las fases del tratamiento de datos, desde la recogida inicial de los mismos hasta su supresión o destrucción final.

  1. Legalidad, imparcialidad y transparencia. El tratamiento de datos personales debe tener una base jurídica, no debe inducir a error ni perjudicar a las personas afectadas, y debe ser claro y abierto con las personas sobre cómo se utilizan y tratan sus datos.
  2. Limitación de la finalidad. Los datos deben recogerse por razones específicas, claras, explícitas y lícitas, y su uso no puede ser incoherente con el propósito original.
  3. Minimización de datos. Los datos recogidos y tratados deben limitarse a lo esencial para los fines previstos.
  4. Precisión. Los datos personales deben ser exactos y, en caso necesario, mantenerse actualizados. Los datos inexactos deben corregirse o suprimirse sin demora.
  5. Limitación de almacenamiento. Los datos personales sólo deben conservarse en un formato que permita identificar a los interesados durante el tiempo necesario para cumplir la finalidad prevista.
  6. Integridad y confidencialidad (seguridad). El tratamiento de datos personales debe incorporar medidas de seguridad adecuadas para protegerlos contra el tratamiento no autorizado o ilícito y los daños.
  7. Rendición de cuentas. Las organizaciones deben ser capaces de aplicar las políticas y procedimientos necesarios para cumplir con el RGPD y demostrar que lo han hecho efectivamente cuando se les solicite.

Definiciones y terminología del GDPR

A continuación encontrará un breve glosario con los términos clave y las definiciones del GDPR:

Los datos personales se refieren a cualquier información relativa a un individuo, es decir, al interesado, que puede ser identificado directa o indirectamente, por ejemplo, por su nombre, un número de identificación, su ubicación u otros identificadores relativos a la identidad física, fisiológica, genética, mental, económica, cultural o social.

El consentimiento es toda indicación «libre, específica, informada e inequívoca» por parte del interesado de que está de acuerdo con que sus datos personales sean tratados para los fines indicados.

El responsable del tratamiento de datos es una persona u organización responsable del cumplimiento de los principios del RGPD y determina los fines y medios del tratamiento de datos personales. Esta es la parte con la que deben ponerse en contacto los interesados que deseen ejercer sus derechos. Sin embargo, el tratamiento real de los datos puede delegarse en otra persona u organización, es decir, en el encargado del tratamiento.

El encargado del tratamiento es una persona u organización que trata datos personales por cuenta del responsable del tratamiento. Esta parte está sujeta a las instrucciones del responsable del tratamiento.

El interesado es una persona física que consiente que sus datos personales sean tratados por un responsable o un encargado del tratamiento.

El tratamiento es cualquier operación realizada sobre datos personales, como la recogida, registro, estructuración, almacenamiento, alteración, divulgación, difusión, supresión y destrucción, entre otras opciones contempladas en el GDPR.

El derecho de acceso es el derecho del interesado a obtener del responsable del tratamiento información gratuita sobre sus datos personales, la forma en que se tratan, la finalidad del tratamiento, etc., en el plazo de un mes a partir de la recepción de la solicitud.

Requisitos y retos del cumplimiento del GDPR

El RGPD ha sentado las bases de unas sólidas normas de protección de datos. Sin embargo, la naturaleza dinámica de la tecnología introduce complejidades y pone cada vez más a prueba los principios básicos que sustentan la normativa de la UE sobre privacidad.

¿Quién debe cumplir el GDPR?

Dentro de la UE. Cualquier organización que procese datos personales de individuos en la UE está sujeta al RGPD. Esto incluye empresas públicas y privadas, gobiernos, organizaciones benéficas y otras organizaciones sin ánimo de lucro.

Fuera de la UE. El RGPD se extiende más allá de las fronteras de la UE a cualquier organización que proporcione bienes o servicios a ciudadanos de la UE u observe su comportamiento dentro de la UE. Esto significa que una empresa con sede en cualquier parte del mundo tiene que cumplir el RGPD si procesa datos de residentes en la UE.

Las empresas mundiales de internet y tecnología, incluidas las plataformas de redes sociales, que tienen usuarios en la UE están obligadas a cumplir el RGPD.

Proveedores de tecnología y responsabilidad compartida

Con la proliferación de SaaS, IaaS, PaaS y otras plataformas que ofrecen recursos y servicios informáticos a través de Internet, el papel de los proveedores y subcontratistas tecnológicos que manejan datos personales entra en juego en el cumplimiento del RGPD. Si una organización utiliza servicios/plataformas de terceros para procesar o almacenar datos personales, los proveedores también deben cumplir el RGPD.

Tenga en cuenta que la mayoría de estos servicios se basan en un modelo de responsabilidad compartida por el que:

  • Las organizaciones son responsables de sus datos como propietarios de los mismos y, en función del tipo de servicio, pueden ser responsables de las aplicaciones y/o los sistemas operativos.
  • Los proveedores son responsables de los servidores, el almacenamiento, las redes, las ubicaciones físicas, etc.

En virtud del RGPD, las organizaciones son responsables de obtener el consentimiento y garantizar que los datos se utilicen para los fines previstos. También deben asegurarse de que los proveedores a los que confían el tratamiento de datos personales lo hacen de conformidad con la normativa.

Algunos de los retos que plantea la computación en nube para los datos privados se refieren a:

  • posibles fugas de información sensible
  • control de los flujos de datos entre jurisdicciones
  • garantizar que los proveedores externos apliquen los mismos compromisos de protección de la intimidad asumidos con los interesados
  • aplicación eficaz de las políticas de conservación
  • tratamiento de las violaciones de datos privados
  • gestión de riesgos en general

RGPD e IA

La Ley de Inteligencia Artificial de la UE, la primera ley del mundo que regula la IA, entrará en vigor en 2025 para abordar algunos de los nuevos retos para los derechos de privacidad de los ciudadanos de la UE. Sin embargo, es importante comprender hoy algunos de los retos a los que se enfrentan las organizaciones que confían en la IA para procesar datos personales:

  • Minimización de los datos y limitación de su finalidad. La IA plantea a los responsables del tratamiento de datos el reto de limitar la recogida de datos a lo estrictamente necesario y para un fin específico.
  • Transferencias transfronterizas de datos. La IA y las tecnologías basadas en datos operan a menudo a través de las fronteras. Esto puede requerir controles más estrictos para garantizar el cumplimiento del GDPR.
  • Toma de decisiones y elaboración de perfiles automatizados. La IA introduce el riesgo de que se tomen decisiones sin intervención humana basadas en el tratamiento de datos personales, lo que incluye la elaboración de perfiles. Este uso de datos personales está muy restringido por el GDPR.

Principales requisitos de cumplimiento del RGPD

Para las organizaciones que necesitan cumplir con el GDPR, estos son los requisitos generales a tener en cuenta:

  • Medidas de protección de datos. Las organizaciones deben implantar soluciones y medidas sólidas de protección de datos, como el cifrado de datos, el almacenamiento seguro de datos y auditorías periódicas de seguridad. Esto también implica tener en cuenta las implicaciones del RGPD a la hora de adoptar nuevas tecnologías como la IA, la computación en nube y el análisis de macrodatos.
  • Gestión del consentimiento. Las organizaciones deben contar con una política clara para obtener un consentimiento claro, informado y libremente otorgado antes de procesar datos personales. Esto también implica disponer de mecanismos claros para la gestión del ciclo de vida de los datos personales.
  • Registros de procesamiento de datos. Es obligatorio llevar un registro detallado de las actividades de tratamiento de datos, que demuestre qué datos se recogen, con qué fin y cómo se tratan y protegen.
  • Responsable de protección de datos. Algunos tipos de organizaciones pueden necesitar nombrar a un responsable de protección de datos para supervisar el cumplimiento del RGPD, especialmente si trabajan con datos sensibles procesados a gran escala.

Cómo cumplir los requisitos del GDPR

Cumplir los requisitos del RGPD no es un esfuerzo puntual, sino un proceso continuo de evaluación y supervisión. Las organizaciones deben aplicar un conjunto completo de medidas que abarque el tratamiento de datos personales, la protección y recuperación de datos y la seguridad:

  • Comprender y cartografiar los datos. Realice una auditoría exhaustiva para saber qué datos personales se recopilan, por qué se recopilan, cómo se procesan, dónde se almacenan y cómo se comparten. Cree un mapa de flujo de datos para seguir el recorrido de los datos personales a través de la organización. Esto ayuda a identificar las áreas de riesgo.
  • Garantizar una base jurídica para el tratamiento. Determinar la base jurídica para el tratamiento de datos personales, como consentimiento, contrato, obligación legal, intereses vitales, función pública o intereses legítimos. Si se basa en el consentimiento, asegúrese de que sea «libremente dado, específico, informado e inequívoco». Los mecanismos de consentimiento deben ser fáciles de entender e incluir la opción de retirar el consentimiento fácilmente.
  • Aplicar políticas de protección de datos. Desarrollar o actualizar políticas y procedimientos internos de protección de datos para garantizar el cumplimiento del GDPR. Integrar la protección de datos por defecto y por diseño en todos los procesos, sistemas y servicios empresariales que impliquen datos personales.
  • Minimizar el tratamiento de datos. Garantizar que sólo se tratan los datos necesarios para cada fin específico y que el acceso a los datos personales está restringido a quienes lo necesitan.
  • Conservación de datos. El RGPD exige a las organizaciones que evalúen y gestionen de forma crítica el tiempo que conservan los datos personales, asegurándose de que los datos no se conservan más tiempo del necesario. Esto requiere un enfoque proactivo de la gestión de datos, con políticas claras, revisiones periódicas y procesos eficaces de eliminación o anonimización de datos, todo ello equilibrando el cumplimiento del RGPD con otros requisitos legales de conservación.
  • Facilitar los derechos de los interesados. Establecer procedimientos para dar cabida a los derechos de los interesados, incluidas las solicitudes de acceso a los datos, rectificación, supresión, portabilidad de datos y oposición al tratamiento.
  • Planificar medidas de respuesta y notificación en caso de violación de datos. Cree y aplique un sólido plan de respuesta a incidentes con un plan de respuesta a la violación de datos. Esté preparado para notificar a la autoridad de control pertinente en un plazo de 72 horas desde que tenga conocimiento de una violación de datos y, en determinados casos, notifíquelo a las personas afectadas.
  • Compruebe la gestión de proveedores y la conformidad del procesador de datos. Asegúrese de que cualquier proveedor o procesador de datos externo que maneje los datos personales de su organización también cumpla con el GDPR.
  • Realizar una evaluación continua. Realizar periódicamente auditorías de las actividades en materia de tratamiento de datos y revisar las políticas para garantizar el cumplimiento permanente del GDPR.
  • Preste atención a las transferencias internacionales. Si transfiere datos fuera del EEE, asegúrese de que se aplican las medidas de protección adecuadas, incluidas las Cláusulas Contractuales Tipo (CCT), o la adhesión a una decisión de adecuación de la Comisión Europea.
  • Mantener registros y documentación. Mantener registros exhaustivos de las actividades de tratamiento de datos, incluida la finalidad del tratamiento, las categorías de datos y los destinatarios de los datos.

GDPR y protección de datos

En términos de backups de datos y recuperación ante desastres, las organizaciones deben implementar procesos de backups seguros para salvaguardar los datos personales y garantizar el cumplimiento del GDPR. Esto incluye la instalación de soluciones de protección de datos y recuperación ante desastres que incluyan las siguientes funciones:

  • Cifrado de los datos de backup en el repositorio de almacenamiento (en reposo) y cuando se transfieren (en tránsito). Elija soluciones que le permitan aplicar normas de cifrado estrictas para que los datos de backups sean ilegibles para las partes no autorizadas, incluso en caso de violación de la seguridad.
  • Controles de acceso y autenticación. Configure el control de accesos basado en roles (RBAC) para limitar el acceso a datos personales y la autenticación multifactor (MFA) para mejorar la seguridad antes de conceder el acceso.
  • Minimización de datos y limitación del almacenamiento. Uno de los principios básicos del Reglamento general de protección de datos es la limitación del almacenamiento, lo que repercute directamente en las políticas de conservación de backups. Asegúrese de que las soluciones de backup ofrecen la flexibilidad suficiente para crear diferentes calendarios y políticas de retención para los distintos niveles de datos.
  • Ubicación de los datos de backups en el almacenamiento en la nube. Sepa dónde se almacenan los backups y elija las regiones en función del tipo de datos personales tratados.
  • Comprobaciones periódicas de la integridad de los datos de backups. Mantener backups periódicos para garantizar la integridad de los datos personales y aplicar medidas para probar las recuperaciones.
  • Gestión/cumplimiento de proveedores y terceros. Asegúrate de que el almacenamiento de terceros y otras plataformas integradas con tu solución de backup ofrecen la gama adecuada de funciones para garantizar que controlas cómo y dónde se almacenan los datos.

Protección de datos con NAKIVO

NAKIVO Backup & Replication es una solución de protección de datos que ofrece la combinación adecuada de funciones de backup, recuperación ante desastres y seguridad para las organizaciones que procesan datos personales. Puede proteger aplicaciones y sistemas en entornos virtuales, físicos, en la nube y SaaS y mantener el cumplimiento de los requisitos del GDPR mediante funciones como cifrado en reposo y en vuelo, programación y automatización de backups, ajustes de retención flexibles, verificación de backups, etc.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Artículos recomendados

Picture
El caso de la copia de seguridad de endpoints en la era del almacenamiento en la nube
Picture
Adaptadores de red Hyper-V: Qué, por qué y cómo
Picture
Cómo actualizar a VMware vCenter 7 y vSAN 7