El Reglamento General de Protección de Datos (GDPR, en inglés), que entró en vigor en abril de 2016 y será de obligado cumplimiento a partir del 25 de mayo de 2018, hará que toda Europa quede bajo un único régimen legal integral de seguridad y privacidad de los datos. El GDPR es aplicable a los controladores de la Unión Europea, así como a los que están ubicados fuera de la UE si la persona cuyos datos personales están siendo procesados está dentro de la Unión Europea. Por «controlador» se entiende la organización o empresa que decide la finalidad y los medios de procesamiento de los datos personales. Cuando hablamos de procesar datos personales de los empleados en lo concerniente a su trabajo, el controlador sería su empleador.
Índice de temas
Principios del GDPR
- Procesamiento lícito, justo y transparente: los controladores deben tener motivos válidos para procesar los datos personales.
- Objetivo: debe existir un motivo claro y explícito para procesar los datos personales.
- Minimización de los datos: los datos procesados deben limitarse a lo estrictamente necesario para el objetivo concreto. El acceso solo debe otorgarse a aquellas personas que los necesiten para dicho fin particular.
- Precisión: los datos deben ser precisos y las imprecisiones deben poder rectificarse fácilmente.
- Limitación de almacenamiento: los datos solamente deben retenerse durante el tiempo necesario para el objetivo concreto.
- Integridad y confidencialidad: los datos se deben procesar de forma que se garantice la correcta seguridad de los datos personales, incluida la protección frente a un procesamiento no autorizado y perdida accidental, utilizando las medidas técnicas y organizativas adecuadas.
- Responsabilidad: el controlador debe ser capaz de demostrar el cumplimiento de los principios anteriormente mencionados.
Al igual que con otros estándares de privacidad y seguridad de datos, el GDPR incluye el concepto de proporcionalidad, es decir, el controlador debe implementar medidas técnicas y organizativas adecuadas para garantizar y demostrar el cumplimiento. Las medidas que tome el controlador deben ser proporcionadas con respecto al procesamiento en cuestión.
Privacidad a medida y privacidad predeterminada – Artículo 25 del GDPR
La privacidad a medida no es un concepto nuevo, pero su inclusión en el GDPR demuestra que las medidas prácticas basadas en riesgos se están convirtiendo en requisitos legales. La privacidad a medida requiere que el controlador implemente las medidas técnicas y organizativas adecuadas desde la configuración inicial de las operaciones. En otras palabras, la privacidad no se puede improvisar; al contrario, los problemas de privacidad deben tenerse en cuenta y las medidas de seguridad basadas en los riesgos deben tomarse a lo largo del ciclo de vida del proceso, desde el diseño inicial hasta el borrado de datos.
La privacidad predeterminada significa que el controlador debe llevar a la práctica las medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, solo se obtengan y procesen la cantidad necesaria de datos personales. El usuario no tendría por qué facilitar información adicional a la estrictamente necesaria. El controlador no puede recopilar más información «por si acaso» deseara utilizarla después.
Por responsabilidad se entiende la supervisión y el cumplimiento. Los controladores deben ser capaces de demostrar que tienen instauradas medidas de seguridad adecuadas y que el cumplimiento está supervisado. Las multas por no cumplimiento con el GDPR son considerables: las más altas ascienden a 20 millones de euros o el 4 % de los ingresos globales anuales de la empresa.
Importancia del EMM para el cumplimiento del GDPR europeo
La solución de gestión de movilidad empresarial (Enterprise Mobility Management, EMM) como la de MobileIron, es un componente imprescindible en cualquier plan desarrollado para el cumplimiento del GDPR:
- Permite al CIO o gestor de la plataforma móvil, establecer un límiteclaro entre los datos personales y profesionales que hay en el dispositivo móvil. El gestor no tiene acceso al contenido de las aplicaciones personales o cuentas de correo electrónico personales del dispositivo. Esto es fundamental para minimizar los datos, así como para el principio de integridad y confidencialidad del GDPR.
- MobileIron ofrece al gestor la visibilidad sobre qué dispositivos y aplicaciones están accediendo a los servicios corporativos. En el caso de una infracción con los datos, el gestor puede demostrar con exactitud, mediante un registro de auditoría, qué medidas se tomaron hasta el momento de la infracción y qué medidas, si hubiera habido alguna, llevó a cabo el departamento informático posteriormente. Esto proporciona un registro claro de cualquier acceso no autorizado a los servicios corporativos y respalda el principio de integridad y confidencialidad delGDPR, además del de responsabilidad.
- En último lugar, MobileIron permite al gestor de la plataforma móvil proteger el dispositivo de las amenazas contra la seguridad, algo importante para los principios de integridad y confidencialidad, además de para la responsabilidad.