GDPR – Cifrado Unidades
Introducción
El 25 de mayo de 2018 entrará en vigor una ley de privacidad europea que establece un nuevo listón global de derechos de privacidad, seguridad y cumplimiento.
La GDPR (normativa general de protección de datos) se ocupa fundamentalmente de la protección y la habilitación de los derechos de privacidad de las personas. La GDPR establece estrictos requisitos de privacidad global que rigen la manera en que se administran y protegen los datos personales a la vez que se respecta la elección individual, independientemente de dónde se envían, procesan o almacenan los datos.
Cifrado de unidades
Antes las solicitudes de los abogados de nuestros clientes que están llevando el tema de la GDPR, les especificamos lo que atañe en materia de cifrado de unidades para que puedan tratarlo internamente.
La GDPR especifica en artículo 34, que cuando se produce una violación de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
También específica, que si los datos borrados se encontraban cifrados no es necesaria la comunicación a los afectados.
Tenemos que tener en cuenta que el cifrado de las unidades afecta al rendimiento del equipo. Una vez tomada esta premisa, podemos categorizar donde almacenamos la información en cinco grandes bloques:
- SERVIDORES: Es donde almacenamos toda la información de la empresa, ya sea en los propios servidores o en los NAS de almacenamiento. Aplicar un cifrado de los datos afecta al rendimiento de toda la empresa. Estos deberían estar en salas cerradas no accesibles al personal que no sea IT y la probabilidad de robo es improbable. En caso de robo, la incidencia sería tan grave, que el comunicado podría realizarse con una comunicación pública puesto que se podría categorizar de esfuerzo desproporcionado el ir uno a uno tal y como refleja el apartado 4 del artículo 34 de la GDPR.
- EQUIPOS DE SOBREMESA: Equipos personales done en numerosas ocasiones se guardan datos de carácter personal por parte del usuario. El cifrado del disco solo afecta a la unidad cifrada. Estos no se mueven de la oficina y su robo es difícil.
- EQUIPOS PORTILES: Equipos personales donde en numerosas ocasiones se guardan datos de carácter personal por parte del usuario. El cifrado del disco solo afecta a la unidad cifrada. Estos están en numerosas ocasiones desplazados y su pérdida o robo es probable.
- DISPOSITIVOS EXTERNOS: Son unidades que emplean los usuarios para transportar información. En numerosas ocasiones contienen datos de carácter personal y se pierden con facilidad.
- DISPOSITIVOS MOVILES: Los móviles tanto de la empresa como de los empleados, son muchas veces empleados para acceder al correo de la empresa. En estos casos, estos dispositivos pueden tener adjuntos con información de carácter personal. En estos casos se debe pedir al usuario que tenga el dispositivo cifrado y con desbloqueo mediante contraseña.
Microsoft a partir de Windows 8 Pro, introdujo BITLOCKER que nos permite cifrar las unidades de forma estándar con el sistema operativo. Para que este proceso sea cómodo, el equipo debe llevar adicionalmente un módulo de seguridad llamado TPM.
Debido a todo esto, desde Evotec realizamos las siguientes recomendaciones y acciones:
- Vamos a proceder como estándar a cifrar las unidades de los equipos portátiles nuevos que se adquieran con licencia valida y módulo TPM.
- Recomendamos que los portátiles con Windows 8 Pro o superior y modulo TPM sean cifrados.
- Nos ofrecemos a analizar con el cliente las opciones con los portátiles que no cumplan con el punto anterior.
- Nos ofrecemos a analizar con el cliente las opciones de cifrado de los servidores si lo consideran necesario.
- Nos ofrecemos a analizar con el cliente las opciones de cifrado de los equipos de sobremesa si lo consideran necesario.
- Recomendamos establecer un documento a firmar por cada empleado en el que se prohíba el uso de dispositivos externos personales y cifrar los dispositivos externos de la empresa que se empleen para almacenar datos de carácter personal.
- Recomendamos establecer un documento a firmar por cada empleado en el que se indique que, para poder acceder al móvil corporativo desde el móvil, este debe estar cifrado y protegido por contraseña.
Quedamos a su disposición para analizar en detalle todo el procedimiento descrito.
Anexo – Artículo 34
Comunicación de una violación de la seguridad de los datos personales al interesado
- Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
- La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).
- La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
- a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
- b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
- c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
- Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.