Vista oscurecida de la Tierra desde el espacio por la noche, con las luces de la ciudad brillando sobre los continentes bajo una vasta y silenciosa extensión de estrellas, evocando una extraña sensación de aislamiento y actividad invisible.

Comprender los derechos fundamentales del titular de los datos y establecer su programa de privacidad de datos con SOAR

avatar de usuario
Katie Bykowski
6 Minuto de lectura

 

El El Reglamento Global de Protección de Datos (RGPD) celebró recientemente su segundo aniversario. Muchas organizaciones parecen estar aún aprendiendo a gestionar la normativa vigente desde hace dos años, a medida que empiezan a recibir solicitudes de interesados, es decir, personas cuya información personal identificable (PII) ha sido recopilada por una organización. ¿Qué necesita saber sobre estas solicitudes? A lo largo de esta publicación, describiré los ocho "derechos fundamentales" del interesado establecidos en el RGPD y analizaré el impacto y la influencia global de estos derechos en organizaciones que abarcan desde pequeñas y medianas empresas (PYMES) hasta grandes corporaciones. Dado que los requisitos regulatorios y de cumplimiento asociados a estos derechos suelen implicar tareas tediosas y que requieren mucho tiempo, exploraré cómo las organizaciones pueden aprovechar una solución de orquestación, automatización y respuesta de seguridad (SOAR) para aumentar la eficiencia y el cumplimiento normativo.

Los 8 derechos del titular de los datos

  1. Derecho de acceso (artículo 15): Este derecho sienta las bases para derechos posteriores sobre los datos, como el derecho de supresión o rectificación, pero también conlleva algunas consideraciones importantes. En primer lugar, el responsable del tratamiento debe identificar si se están tratando datos personales y proporcionar los resultados al interesado. En segundo lugar, si se están tratando datos personales, el responsable del tratamiento debe proporcionarle información diversa. No olvide considerar a los terceros o encargados del tratamiento de datos que puedan estar involucrados.
  2. Derecho de rectificación (artículo 16): Este derecho garantiza que un Titular de Datos pueda solicitar la corrección de datos inexactos o subsanar datos incompletos.
  3. Derecho de supresión (artículo 17): También conocido como el Derecho al olvido, Este derecho permite a los interesados solicitar al responsable del tratamiento la eliminación de sus datos personales. Existen supuestos específicos, contemplados en el RGPD, que justifican una demora indebida por parte del responsable del tratamiento para la eliminación de los datos, pero también existen consideraciones, como una investigación judicial, que pueden impedir el ejercicio de este derecho. Esta es probablemente una de las solicitudes más comunes que las organizaciones pueden esperar atender.
  4. Derecho a la limitación del tratamiento (artículo 18): Este derecho permite al titular de los datos solicitar al responsable del tratamiento que restrinja el tratamiento de sus datos personales con base en ciertos criterios, como que el responsable ya no necesite los datos personales para el tratamiento o que el tratamiento de los datos sea ilícito, pero el titular de los datos no desee ejercer el derecho de supresión. Tenga en cuenta que el responsable del tratamiento debe informar al titular de los datos si se levantan las restricciones del tratamiento.
  5. Derecho a ser informado (artículo 19): Este derecho describe una serie de circunstancias en las que el responsable del tratamiento debe informar al interesado sobre cómo se utilizan sus datos y a quién se han transmitido. Esto garantiza que el interesado esté informado y pueda, por lo tanto, tomar una decisión adecuada o ejercer otros derechos en consecuencia.
  6. Derecho a la portabilidad de datos (artículo 20): Este derecho garantiza que el Titular de los Datos pueda solicitar que los datos personales se transfieran de un Responsable a otro, en un formato legible y cuando sea técnicamente posible.
  7. Derecho a oponerse (artículo 21): Si el Responsable del Tratamiento deniega la solicitud de un Titular de Datos de detener el tratamiento de sus datos, el Titular de Datos tiene derecho a oponerse a dicha denegación conforme al Artículo 18.
  8. Derecho a la toma de decisiones automatizada (artículo 22): Este derecho permite al interesado no estar sujeto únicamente a decisiones automatizadas, incluida la elaboración de perfiles, cuando pueda tener un efecto legal o similarmente significativo. El artículo 22 también especifica excepciones a este derecho, como las decisiones necesarias para un contrato o cuando lo autorice la ley. Esto puede ser especialmente difícil para las organizaciones, especialmente aquellas con campañas de marketing dirigidas.

Otras consideraciones

Además de los ocho derechos fundamentales del titular de los datos, existen otros derechos o consideraciones que las organizaciones deben tener en cuenta. Existen subconjuntos de datos personales denominados "datos sensibles" que requieren consideraciones especiales. Estos incluyen los datos personales relativos a condenas y delitos penales (Artículo 10) y los datos personales relativos a menores (Artículo 8).

Preste atención a los requisitos de tiempo

Al responder a las solicitudes de los interesados, las organizaciones deben conocer la información que deben incluir, confirmar el cumplimiento de las solicitudes y poder explicar todas las medidas a tomar. Tenga en cuenta que el tiempo apremia. El RGPD aplica plazos estrictos basados tanto en la respuesta a las solicitudes de los interesados (30 días) como en la notificación de una violación de datos (72 horas) a las autoridades supervisoras.

Las organizaciones que integran sus procesos de cumplimiento en su plataforma SOAR pueden monitorear fácilmente estos plazos y utilizar las métricas, informes y paneles de SOAR para garantizar el cumplimiento de los plazos. Además de visualizar los plazos de los procesos en tiempo real, la organización puede usar su plataforma SOAR para activar tareas basadas en el flujo de trabajo, como notificaciones y envío de informes, para garantizar que los procesos se sigan con precisión y puntualidad.

Establecer recursos clave

Al establecer su Programa de Privacidad de Datos, uno de los primeros recursos clave es un proceso de descubrimiento de datos que identifica y mapea la información confidencial a lo largo de su ciclo de vida, incluyendo cualquier intercambio de información con terceros. Un flujo de datos documentado, junto con una clasificación de datos, son recursos fundamentales para marcar la pauta en el futuro.

Al identificar los datos confidenciales de su organización y mapear su ciclo de vida, el siguiente paso es clasificar los sistemas involucrados. Esto puede incluir diversos factores para la priorización, pero en general, puede comenzar con los factores de riesgo y los valores de criticidad empresarial. En conjunto, esto ayudará a su organización a priorizar las áreas de alto riesgo que requieren controles y protecciones rigurosas. A medida que desarrolla controles e implementa tecnologías de apoyo para la reducción de riesgos, estas lecciones aprendidas también pueden aplicarse a los procesos empresariales de riesgo medio y bajo.

La documentación es clave para confirmar la concienciación y comprensión de la privacidad de datos en su organización. El cambio cultural se produce cuando la privacidad de datos deja de ser una cuestión de último momento para convertirse en un factor a considerar en cualquier cambio en los procesos de negocio, las relaciones con terceros y los datos utilizados para la toma de decisiones automatizada.

Una vez que su organización haya sentado las bases del programa de privacidad y seguridad de datos, asegúrese de considerar los requisitos al seleccionar socios comerciales, procesadores de datos u otros proveedores externos. Puede externalizar los procesos de negocio, pero no necesariamente la responsabilidad de los riesgos. La elección de la plataforma SOAR podría ser crucial para el éxito de su cumplimiento. ¿Utiliza su plataforma SOAR para identificar y rastrear sus recursos? ¿Su plataforma SOAR rastrea y supervisa sus controles? ¿Está toda la documentación de cumplimiento completamente integrada en su plataforma SOAR? ¿Su plataforma SOAR crea y envía automáticamente todos los documentos e informes de cumplimiento requeridos? Si no es así, quizás debería preguntarse: "¿Por qué no?".“

Otros recursos importantes son las políticas y procedimientos de apoyo que respaldan la gobernanza, el riesgo y el cumplimiento normativo. Sin entrar en demasiados detalles, estos documentos de apoyo son el primer paso para que los auditores validen el diseño y la implementación de los controles. No contar con políticas y procedimientos establecidos es un camino directo al incumplimiento. Un procedimiento que debe establecerse es cómo la organización recibe, procesa, responde y documenta las solicitudes de los interesados.

Finalmente, ¿existe un equipo o persona que gestione estas solicitudes? Dado que esta función suele recaer en personal de Operaciones de TI o de Operaciones de Seguridad (SecOps), es importante considerar el impacto si esta función es secundaria a las funciones principales del puesto. Es importante contar con un mecanismo centralizado para gestionar y responder a las solicitudes y así garantizar que no se pasen por alto las solicitudes de los interesados. SOAR puede ser útil en este caso.

Los equipos de Operaciones de TI y/o SecOps ya no necesitan procesos manuales tediosos que les quitan el valioso tiempo disponible para completar sus demás funciones, incluyendo el mantenimiento de la seguridad de la red de la organización. Automatizar estas tareas tediosas con una plataforma SOAR ayuda a impulsar la eficacia de las Operaciones de TI y SecOps, y también puede mejorar el cumplimiento normativo de la organización al reducir y eliminar la cantidad de incidentes que deben rastrearse y reportarse. Esto permite a la organización demostrar que se cumple con el control, a la vez que proporciona un método estandarizado para atender las solicitudes y proporcionar evidencia de respaldo.

¿Interesado en aprender más?

Si está leyendo esto, es probable que su organización esté saturada con la avalancha diaria de alertas provenientes de un panorama de amenazas en constante evolución y se sienta abrumado por los procesos y procedimientos regulatorios y de cumplimiento. ¡Swimlane puede ayudarle! Vea este seminario web a la carta., “Optimización de los requisitos de respuesta e informes de incidentes en cumplimiento” para aprender cómo SOAR puede ayudarle a automatizar sus informes de cumplimiento.

Banner del seminario web Swimlane sobre "Cómo optimizar los requisitos de respuesta e informes de incidentes en materia de cumplimiento" que presenta a un hombre con gafas.

Seminario web: Optimización de los requisitos de respuesta e informes de incidentes en materia de cumplimiento normativo

A medida que los equipos del SOC continúan mitigando y adaptándose a las ciberamenazas, hay algo que permanece constante: la respuesta a incidentes seguirá requiriendo documentación e informes. Un requisito de cumplimiento común en el sector energético es la Protección de Infraestructura Crítica de la Corporación de Confiabilidad Eléctrica de Norteamérica (NERC CIP), un conjunto de requisitos diseñados para proteger los activos necesarios para operar y estabilizar el sistema eléctrico de Norteamérica. En la grabación de este seminario web, Bob Swanson, consultor de investigación de cumplimiento, y Jay Spann, promotor de SOAR, analizan cómo SOAR puede optimizar y facilitar la creación de informes de cumplimiento y paquetes de auditoría. ¡Véalo ahora!

Mira ahora

Etiquetas

REMONTARSE

18 de septiembre de 2020
Comprender la regulación de la privacidad de datos en EE. UU. y cómo SOAR puede ayudar
Leer más
15 de agosto de 2019
Mejores prácticas para su programa de gestión de vulnerabilidades
Leer más
17 de octubre de 2019
Comprensión de las API: REST
Leer más

Solicitar una demostración en vivo