En varios artículos venimos hablando de la importancia de tener un sistema de data masking instalado en la empresa. Hemos hablado sobre:
- Como ganar rapidez y fiabilidad a la hora de generar datos para testing
- Como evitar filtraciones de datos y a su vez, crisis reputacionales
- Como hacer los datos más seguros y distintas técnicas para ello.
- Y hemos explicado algunos conceptos de esta estrategia de ciberseguridad
Pero hasta ahora, no habíamos hablado de otro concepto importante: la ley.
Desde mayo de 2018 en todos los Estados miembros de la Unión Europea se aprobó el ya famoso, Reglamento General de Protección de Datos o como es generalmente conocido, GDPR por su abreviatura en inglés.
Este reglamento fue un impacto importante dentro de muchas empresas, ya que, regulaba el uso de los datos personales que las empresas recababan de los consumidores y como podían hacer uso de ellos. De hecho llegó en un momento donde estaba en entre dicho ese uso y donde ya se estaban cometiendo muchos abusos por parte de muchas empresas.
Este cambio de paradigma siempre se ha atribuido al uso de datos personales con fines comerciales o de marketing, porque es donde más estaba afectando a todo tipo de personas, pero también ha afectado en otro tipo de usos de los datos. Y ahí es donde entra el data masking y el artículo 32 del GDPR.
El artículo 32 nos habla de la seguridad del procesamiento y tratamiento de los datos. Uno de los cambios de paradigma generados por este Reglamento, es que los datos no son propiedad de las empresas, sino, que son propiedad de los usuarios. Por lo tanto, los usuarios ceden estos datos a las empresas y como tal, las empresas están obligadas a custodiar dichos datos para garantizar los derechos de los usuarios. Por ello, vamos a desgranar parte de este artículo en relación al data masking:
Artículo 1. [...] para garantizar un nivel de seguridad adecuado al riesgo, que incluirá, entre otras cosas, según proceda:
a) la pseudonimización y el cifrado de los datos personales.
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamientos.
c) la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.
d) un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del tratamiento.
Artículo 2. Al evaluar el nivel adecuado de seguridad se tendrán en cuenta, en particular, los riesgos que presente el tratamiento, especialmente los derivados de la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, conservados o tratados de otra forma.
Artículo 3. La adhesión a un código de conducta aprobado a que se refiere el artículo 40 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
Artículo 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que toda persona física que actúe bajo la autoridad del responsable o del encargado y que tenga acceso a datos personales no los trate salvo siguiendo instrucciones del responsable, a menos que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
De entre estos artículos, ¿cuáles estaríamos cubriendo con la adopción de un software como Gigantics?
- Se estarían anomizando y cifrando datos para uso interno.
- No habría personas no autorizadas teniendo acceso a datos sensibles.
- Se puede garantizar un sistema de control para el tratamiento del dato que se anonimiza, quedando registrado en distintos informes.
- Podemos garantizar la eficacia al ser un proceso automático controlado por un software.
- Mitigaríamos al máximo o suprimiríamos los riesgos de eliminación, alteración, difusión o acceso a datos sensibles por parte de personas no autorizadas.