El RGPD, año II | Blogs de McAfee


Con los niños, alcanzar la edad de dos años suele ser el cambio de un recién nacido hermoso a una criatura en movimiento que ha alcanzado a los terribles dos.

Puede suceder lo mismo con el Reglamento normal de protección de datos a medida que se acerca a la marca de su segundo año de aplicación: las autoridades de protección de datos (DPA) parecen estar paralizadas por presupuestos limitados, falta de recursos y la mayoría de las DPA consideran que El RGPD no se aplica plenamente (1). El informe Courageous emitido por la Comunidad Courageous, un foro donde las personas que se preocupan por Web y su experiencia de navegación vienen a discutir entre ellos, por lo typical, muestra que solo cinco de los 28 encargados nacionales del cumplimiento del GDPR de Europa tienen más de 10 especialistas en tecnología. La mitad de los encargados de hacer cumplir la GDPR de la UE tienen presupuestos limitados (menos de € 5 millones), lo que lleva a algunos / muchos / defensores? creer que los gobiernos europeos no han logrado equipar adecuadamente a sus reguladores nacionales para hacer cumplir el GDPR. Recientemente, Brave incluso pidió a la Comisión Europea que inicie un procedimiento de infracción contra los gobiernos de los Estados miembros de la UE por no implementar el Artículo 52 (4) del RGPD, que establece que «Cada Estado miembro se asegurará de que cada autoridad de supervisión cuente con el humano , recursos técnicos y financieros, locales e infraestructura necesarios para el desempeño efectivo de sus tareas y el ejercicio de sus poderes (…) «.

Más allá de los desafíos de aplicación, el GDPR ha atravesado algunas crisis importantes: primero con Brexit y luego con el estallido del COVID-19.

Aunque aterrador para muchas personas, Brexit se manejó con relativa facilidad durante un período de transición, que se extiende hasta el 31S t Diciembre de 2020, durante el cual las organizaciones del Reino Unido están obligadas por dos leyes: la RGPD UE y el DPA del Reino Unido (Ley de Protección de Datos de 2018)

El RGPD de la UE ya no se aplicará directamente en el Reino Unido al closing del período de transición. Sin embargo, en realidad, el Reglamento de protección de datos, privacidad y comunicaciones electrónicas (enmiendas, etcetera.) (salida de la UE) 2019 modifica el DPA 2018 y lo fusiona con los requisitos del GDPR de la UE para formar un régimen de protección de datos que funcionará en un contexto del Reino Unido después del Brexit, y con diferencias insignificantes entre el GDPR de la UE y el GDPR del Reino Unido propuesto. En resumen, las organizaciones que procesan datos personales deben seguir cumpliendo con los requisitos del RGPD de la UE y, al hacerlo, también cumplirán con las obligaciones en el Reino Unido. Lo único que queda por considerar es en qué medida la Comisión de la UE emitirá una decisión de adecuación a favor del Reino Unido.

La segunda gran disaster es la pandemia de COVID 19, que presentó nuevos desafíos, entre ellos nuevas aplicaciones de rastreo, la explosión del uso de trabajadores remotos en controladores, procesadores y subprocesadores, y preguntas sobre cómo los empleadores garantizan la salud y la seguridad de su fuerza laboral sin comprometer los derechos de privacidad de los interesados. Adicionalmente, la actividad hacker no ha tenido precedentes, causando un repentino «éxodo masivo» en el hogar y riesgos de protección de datos (personales). «Es como si hubiéramos pateado un nido de avispas», dice Raj Samani, científico jefe de McAfee.

Las violaciones de datos no se limitan a las que resultan de los piratas informáticos, sino también por una straightforward pérdida de datos, como una memoria USB corporativa. El trabajo remoto debilita la seguridad de TI para empresas no preparadas los proveedores en algunas jurisdicciones y en algunos roles no tenían infraestructura para continuar ofreciendo sus servicios de manera adecuada después de los pedidos de quedarse en casa.

    • usando dispositivos privados o móviles con una seguridad inadecuada (falta de computer software antivirus, software package de sistema operativo desactualizado, sin soluciones de cifrado, and many others.) o usando una red Wi-Fi no segura
    • utilizando populares aplicaciones gratuitas de mensajería y reuniones
    • utilizando plataformas de redes sociales para fines comerciales
    • no usar VPN y otras soluciones corporativas
    • no tener un system de respaldo
    • falta de movie vigilancia
    • La proliferación de otras personas, Siri y Alexa y otros dispositivos de escucha / detección

Con respecto a la seguridad física de los datos

  • riesgo de pérdida durante la transferencia de documentos
  • no adaptar el espacio en el hogar para fines de trabajo remoto, lo que hace posible dañar el equipo o robar documentos confidenciales

Con respecto a la organización

  • no tener medidas fundamentales de continuidad del negocio y no tener equipo de respaldo
  • baja conciencia de los empleados donde las amenazas relacionadas con la protección de datos personales se centraron previamente en los riesgos presentes en el trabajo standard.

Las amenazas son numerosas, pero mitigar el riesgo no es imposible y aún se puede hacer:

  • Redacte (o actualice) una política de trabajo remoto y asegúrese de que haya procesos en torno al trabajo remoto. Esto podría ser parte de una Política de uso aceptable existente o podría ser un documento independiente.
  • Informe a sus empleados sobre los requisitos mínimos de seguridad para los dispositivos y las redes que usan, y tome medidas técnicas para garantizar que su fuerza laboral cumpla con estos requisitos
  • Limite a sus empleados a un software package autorizado para mensajes y reuniones y capacite a sus empleados sobre cuántas aplicaciones populares pueden no proporcionar un nivel adecuado de protección de datos y, por lo typical, no están destinadas a fines comerciales.
  • Capacite a sus empleados sobre por qué la privacidad y la seguridad son importantes en normal.
  • Asegúrese de que los dispositivos usen el software package antivirus más reciente y que los empleados tengan una solución VPN disponible cuando lo requiera la política o sus actividades.

COVID-19 ha marcado el fin del mundo como lo conocíamos antes. Nuestras vidas pueden verse afectadas para siempre con nuevos estilos de trabajo, problemas de seguridad cibernética sin precedentes, políticas innovadoras, nuevas normas de higiene, and so forth. La lucha contra COVID-19 no es solo para la organización, los empleados o los clientes, sino un esfuerzo conjunto de todos. Obviamente, las organizaciones necesitarán repensar su gestión del riesgo cibernético en el Article COVID-19 y no deben olvidar en el camino las reglas y el marco establecido por el GDPR al reconstruir el Mundo Después.

El RGPD ha demostrado ser una herramienta robusta para guiar a las empresas, los funcionarios y las autoridades de salud pública en la respuesta a la disaster COVID-19 y la asignación de las DPA en toda la UE con mayores recursos financieros y humanos les permitirá abordar la gran cantidad de quejas mientras que corresponde a la Comisión Europea garantizar que no se violen los derechos humanos.

(1) https://brave.com/wp-material/uploads/2020/04/Brave-2020-DPA-Report.pdf

(2) https://www.ciodive.com/news/coronavirus-related-cyberattacks-are-like-a-kicked-hornets-nest/577701/





Enlace a la noticia primary