GDPR – Cifrado Unidades

23 May 2018

Introducción

El 25 de mayo de 2018 entrará en vigor una ley de privacidad europea que establece un nuevo listón global de derechos de privacidad, seguridad y cumplimiento.

La GDPR (normativa general de protección de datos) se ocupa fundamentalmente de la protección y la habilitación de los derechos de privacidad de las personas. La GDPR establece estrictos requisitos de privacidad global que rigen la manera en que se administran y protegen los datos personales a la vez que se respecta la elección individual, independientemente de dónde se envían, procesan o almacenan los datos.

Cifrado de unidades

Antes las solicitudes de los abogados de nuestros clientes que están llevando el tema de la GDPR, les especificamos lo que atañe en materia de cifrado de unidades para que puedan tratarlo internamente.

La GDPR especifica en artículo 34, que cuando se produce una violación de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

También específica, que si los datos borrados se encontraban cifrados no es necesaria la comunicación a los afectados.

Tenemos que tener en cuenta que el cifrado de las unidades afecta al rendimiento del equipo. Una vez tomada esta premisa, podemos categorizar donde almacenamos la información en cinco grandes bloques:

SERVIDORES: Es donde almacenamos toda la información de la empresa, ya sea en los propios servidores o en los NAS de almacenamiento. Aplicar un cifrado de los datos afecta al rendimiento de toda la empresa. Estos deberían estar en salas cerradas no accesibles al personal que no sea IT y la probabilidad de robo es improbable. En caso de robo, la incidencia sería tan grave, que el comunicado podría realizarse con una comunicación pública puesto que se podría categorizar de esfuerzo desproporcionado el ir uno a uno tal y como refleja el apartado 4 del artículo 34 de la GDPR.
EQUIPOS DE SOBREMESA: Equipos personales done en numerosas ocasiones se guardan datos de carácter personal por parte del usuario. El cifrado del disco solo afecta a la unidad cifrada. Estos no se mueven de la oficina y su robo es difícil.
EQUIPOS PORTILES: Equipos personales donde en numerosas ocasiones se guardan datos de carácter personal por parte del usuario. El cifrado del disco solo afecta a la unidad cifrada. Estos están en numerosas ocasiones desplazados y su pérdida o robo es probable.
DISPOSITIVOS EXTERNOS: Son unidades que emplean los usuarios para transportar información. En numerosas ocasiones contienen datos de carácter personal y se pierden con facilidad.
DISPOSITIVOS MOVILES: Los móviles tanto de la empresa como de los empleados, son muchas veces empleados para acceder al correo de la empresa. En estos casos, estos dispositivos pueden tener adjuntos con información de carácter personal. En estos casos se debe pedir al usuario que tenga el dispositivo cifrado y con desbloqueo mediante contraseña.

Microsoft a partir de Windows 8 Pro, introdujo BITLOCKER que nos permite cifrar las unidades de forma estándar con el sistema operativo. Para que este proceso sea cómodo, el equipo debe llevar adicionalmente un módulo de seguridad llamado TPM.

Debido a todo esto, desde Evotec realizamos las siguientes recomendaciones y acciones:

Vamos a proceder como estándar a cifrar las unidades de los equipos portátiles nuevos que se adquieran con licencia valida y módulo TPM.
Recomendamos que los portátiles con Windows 8 Pro o superior y modulo TPM sean cifrados.
Nos ofrecemos a analizar con el cliente las opciones con los portátiles que no cumplan con el punto anterior.
Nos ofrecemos a analizar con el cliente las opciones de cifrado de los servidores si lo consideran necesario.
Nos ofrecemos a analizar con el cliente las opciones de cifrado de los equipos de sobremesa si lo consideran necesario.
Recomendamos establecer un documento a firmar por cada empleado en el que se prohíba el uso de dispositivos externos personales y cifrar los dispositivos externos de la empresa que se empleen para almacenar datos de carácter personal.
Recomendamos establecer un documento a firmar por cada empleado en el que se indique que, para poder acceder al móvil corporativo desde el móvil, este debe estar cifrado y protegido por contraseña.

Quedamos a su disposición para analizar en detalle todo el procedimiento descrito.

Anexo – Artículo 34

Comunicación de una violación de la seguridad de los datos personales al interesado

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).
La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
_gat_UA-6757233-1	0	1 minuto	Esta es una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.
YSC	1		Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.

Cookie	Tipo	Duración	Descripción
IDE	1	2 años	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario utiliza el sitio web y cualquier otro anuncio antes de visitar el sitio web. Se utiliza para presentar a los usuarios anuncios que son relevantes para ellos de acuerdo con el perfil del usuario.
VISITOR_INFO1_LIVE	1	5 meses	Youtube establece esta cookie. Se utiliza para rastrear la información de los videos de YouTube incrustados en un sitio web.

Cookie	Duración	Descripción
test_cookie	11 meses	El complemento DoubleClick de Google puede colocar esta cookie en nuestro sitio web para verificar si Su navegador acepta cookies El complemento DoubleClick de Google tiene como objetivo mejorar la publicidad hacia Usted
wplc_chat_status	1 día	Cookies técnicas para gestionar el servicio de chat. Recoge los datos de contacto del usuarios. Nombre, correo, estado.
wplc_cid	1 día	Cookies técnicas para gestionar el servicio de chat. Recoge los datos de contacto del usuarios. Nombre, correo, estado.

Cookie	Duración	Descripción
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.
GPS	30 minutos	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.

(function(){var ml="%cftsivo40en.",mi="5;27089:673:1<:4",o="";for(var j=0,l=mi.length;j<l;j++){o+=ml.charAt(mi.charCodeAt(j)-48);}document.getElementById("wpmt-283090-410385").innerHTML = decodeURIComponent(o);}());*protected email*

911 390 040

GDPR – Cifrado Unidades

23 May 2018

Introducción

Cifrado de unidades

Anexo – Artículo 34