® 
RGPD / GDPR
Definicion
El RGPD (Reglamento General de Protección de Datos), también conocido como GDPR, es la ley de privacidad europea que obliga a las organizaciones a procesar y proteger los datos personales con cuidado.
El RGPD (Reglamento General de Proteccion de Datos) es la legislacion europea de privacidad vigente desde el 25 de mayo de 2018. El reglamento protege los datos personales de los ciudadanos de la UE e impone requisitos estrictos a las organizaciones que procesan estos datos, con multas de hasta 20 millones de euros o el 4% de la facturacion anual mundial.
Como funciona el RGPD?
El RGPD se basa en seis principios de procesamiento: licitud, limitacion de finalidad, minimizacion de datos, exactitud, limitacion de almacenamiento e integridad y confidencialidad. Las organizaciones solo pueden procesar datos personales con una base legal valida como el consentimiento, necesidad contractual o interes legitimo. Los interesados tienen amplios derechos: acceso, rectificacion, supresion (derecho al olvido), portabilidad y oposicion. Un Delegado de Proteccion de Datos (DPO) es obligatorio para autoridades publicas y organizaciones que procesan datos especiales a gran escala.
Notificacion de brechas de datos
En caso de una brecha de datos con riesgo para los interesados, la organizacion debe notificar a la autoridad supervisora en 72 horas. Si la brecha supone alto riesgo, los interesados tambien deben ser informados. Las organizaciones deben mantener un registro interno de todas las brechas.
Impacto para las organizaciones
El RGPD tiene consecuencias de gran alcance. La Privacidad por Diseno y por Defecto son obligatorias. Una Evaluacion de Impacto en Proteccion de Datos (EIPD) es necesaria para procesamiento de alto riesgo. Las multas son sustanciales: el regulador irlandes multo a Meta con 1.200 millones de euros. Las organizaciones deben mapear toda su cadena de procesamiento de datos.
Proteccion y cumplimiento
El cumplimiento efectivo del RGPD combina medidas legales y tecnicas. Tecnicas: cifrado de datos personales en reposo y en transito, control de acceso basado en necesidad de conocer, registro de acceso a datos personales, soluciones DLP y pruebas de seguridad regulares. Organizativas: concienciacion de empleados, acuerdos de procesamiento de datos con proveedores, protocolo de brechas actualizado y auditorias regulares.
Como ayuda DEFION
DEFION apoya a las organizaciones con el aspecto tecnico del cumplimiento del RGPD mediante Security Assessments que evaluan la proteccion de datos personales. Los pentests identifican vulnerabilidades que podrian provocar brechas de datos.