La importancia de la conffdencialidad: cómo mantener a buen

Anuncio
Documento técnico
La importancia de la confidencialidad:
cómo mantener a buen recaudo
los datos privados
Una empresa
Servicios de autenticación
TM
VeriSign
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
Resumen ejecutivo
La protección de datos es algo que afecta a todos, ya sean consumidores, empleados o altos
directivos; por eso es tan importante prestarle atención.
Una fuga de datos puede socavar considerablemente la confianza de los consumidores, tener
repercusiones legales e incluso, en algunos casos, obligar a la empresa a cerrar.
Los países de Europa cuentan con leyes de protección de datos similares entre sí y casi todos han
instaurado agencias de protección y supervisión dotadas de la autoridad necesaria para controlar la
aplicación de las normas, asegurar su observación y castigar su incumplimiento. También existe la
figura del responsable del tratamiento de datos, que tiene la misión de asegurar que se respete la
ley y se expone a represalias legales si fracasa en su tarea.
Por otro lado, aunque existen tecnologías como el cifrado SSL (Secure Sockets Layer o «capa
de sockets seguros»), capaces de garantizar que los datos personales de un individuo solo sean
accesibles para el personal autorizado, es necesario que existan procedimientos para controlar la
recopilación de datos personales y asegurar que se borren cuando dejen de ser necesarios.
Este documento técnico analiza en profundidad las tendencias en Europa en materia de protección
de datos, así como la aplicación de la tecnología SSL, los certificados y la gestión de estos.
Una empresa
Servicios de autenticación
TM
VeriSign
2
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
¿Qué consideramos datos personales?
•
Se consideran datos personales todos aquellos datos fácticos relativos a una persona viviente
que puedan servir para identificarla de forma directa o indirecta.
•
En ocasiones, datos que en principio son anónimos pueden convertirse en datos personales
al combinarse con nombres, direcciones, números de tarjeta de crédito... o incluso con
información de otro tipo, como hábitos de consumo, destinos de vacaciones o datos sobre el
valor de un vehículo.
•
Algunos países distinguen categorías especiales para ciertos datos personales, como pueden
ser el historial clínico, los hábitos sexuales, las creencias religiosas o las opiniones políticas.
•
En algunos casos, las interfaces web (p. ej., campos de texto o formularios) pueden captar datos
personales sin haberlos solicitado.
•
En algunos países solo está permitido almacenar o recopilar los datos personales de un
individuo si se cuenta con su autorización expresa por escrito.
Una empresa
Servicios de autenticación
TM
VeriSign
3
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
El responsable del tratamiento y su misión
En términos legales, la figura del responsable del tratamiento de datos designa a la persona que
controla la seguridad de los datos personales en una determinada empresa. En la mayoría de
países, los individuos que manejan datos personales deben tomar una serie de precauciones (ya
sean de carácter técnico o administrativo) para evitar que estos sean procesados de forma ilegal, se
pierdan, sufran daños o sean destruidos.
Los responsables del tratamiento deben
registrarse en la agencia de protección de
datos de su país, indicar qué medidas ha
adoptado su empresa para custodiar esta
información y avisar a la agencia si se
producen cambios al respecto.
Reino Unido
Ley principal
Data Protection Act 1998 (Ley de Protección
de Datos de 1998)
Obligaciones
legales
• Procesar los datos personales de forma
correcta, respetuosa con la ley y, por lo
general, solo con el consentimiento del
individuo.
• Recopilar y procesar datos únicamente
para fines legales y previamente
especificados.
• No recopilar datos innecesarios,
irrelevantes o en un volumen excesivo.
• Asegurarse de que los datos sean
correctos y estén actualizados; así como
no conservarlos durante más tiempo del
necesario.
• Tomar las medidas oportunas para
prevenir posibles usos ilegales o pérdidas
accidentales de datos.
• No transferir los datos a países que
carezcan de unos estándares adecuados de
protección de datos.
Datos
personales
especiales
(p. ej.,
historial
clínico,
hábitos
sexuales,
creencias
religiosas u
opiniones
políticas)
Solo pueden procesarse si se cumplen una
serie de condiciones muy estrictas.
Autoridad en
materia de
protección de
datos
Information Commissioner (Comisariado de
Información)
Los responsables del tratamiento deben
llevar a cabo evaluaciones de riesgos
para decidir qué medidas son adecuadas
en su empresa, teniendo en cuenta el
coste de implementación y los avances
tecnológicos.
Los principios de protección de datos y
responsabilidad legal también afectan a
terceros: por ejemplo, si el sitio web de
una empresa está alojado en un servidor
de otra compañía y dicho servidor
procesa parte de los datos que maneja
la empresa, el proveedor del alojamiento
también debe garantizar que tomará
medidas para cumplir la normativa.
Aunque los contratos de una empresa
con sus proveedores deben recoger las
obligaciones de estos en esta materia, es
preciso prestar atención para garantizar
su cumplimiento.
Una empresa
Servicios de autenticación
TM
VeriSign
4
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
Consecuencias del incumplimiento
El incumplimiento de las leyes de protección de datos puede acarrear graves represalias por parte
de las autoridades, pero también por parte de clientes y proveedores.
El responsable del tratamiento de datos debe asegurarse de tomar las medidas adecuadas para proteger
esta información. Si no lo hace y se produce una fuga de datos, se expone a consecuencias legales.
En estos casos, es posible que las agencias de protección de datos soliciten más información al
responsable del tratamiento o consulten a otras fuentes para determinar si se ha vulnerado la ley.
Si lo estima necesario, la agencia emitirá una orden que indica los pasos necesarios para corregir
las fugas que haya detectado. El responsable del tratamiento de datos de la empresa tiene la
obligación de responder satisfactoriamente a las instrucciones de la agencia, ya que de lo contrario
estará cometiendo un delito.
El castigo por dicho delito suele ser una multa, pero el importe de la misma depende de la
gravedad de la fuga y puede llegar a ser ilimitado. Además, si el problema no se soluciona dentro
de un plazo razonable, las autoridades pueden prohibir a la empresa que siga procesando datos.
Las fugas de datos intencionales o deliberadas, especialmente si se llevan a cabo con ánimo de
lucro, pueden verse castigadas con penas de prisión.
Sin embargo, además de las repercusiones legales, las empresas que incumplen la normativa se
exponen a arruinar su reputación.
La historia demuestra que los clientes tienden a abandonar a las empresas que no se toman en serio la
protección de sus datos, y a largo plazo esta consecuencia puede ser más grave que una simple multa.
De hecho, es posible que los usuarios presenten una denuncia contra la empresa por los daños y
perjuicios sufridos a raíz de la fuga de datos.
Francia
Ley principal
Ley 2004-801
Obligaciones legales
• Recopilar y procesar los datos personales de forma correcta y respetuosa con la
ley, y únicamente para un propósito específico y expresamente definido.
• No recopilar datos irrelevantes ni en un volumen excesivo en relación al propósito
para el cual se han recopilado.
• No conservarlos durante más tiempo del necesario para cumplir dicho propósito.
• Asegurarse de que los datos sean correctos y estén completos.
• Los datos personales de un individuo solamente se pueden procesar con su
consentimiento, a menos que sean necesarios para asegurar el cumplimiento de
sus obligaciones legales o civiles.
Datos personales
especiales (p. ej.,
historial clínico, hábitos
sexuales, creencias
religiosas u opiniones
políticas)
Solo se pueden almacenar y recopilar previa autorización por escrito del individuo
en cuestión.
Autoridad en materia de
protección de datos
CNIL (Commission National de l’Informatique et des Libertés, o Comisión Nacional
de Informática y Libertades)
Una empresa
Servicios de autenticación
TM
VeriSign
5
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
Prácticas recomendadas en materia de seguridad de datos
Las agencias de protección de datos de los distintos países de Europa no suelen imponer a las
empresas unas prácticas determinadas, algo lógico dado que cada empresa funciona en unas
circunstancias distintas y la tecnología avanza a un ritmo frenético.
En cambio, suelen sugerir a las empresas que evalúen por sí mismas el nivel de seguridad que
necesitan para proteger los datos personales de los consumidores, al tiempo que establecen
estándares para ayudarlas a mantener su ventaja competitiva ante sus socios y clientes.
Así pues, en cada país de Europa, las prácticas recomendadas suelen originarse y desarrollarse
en sectores industriales específicos. No obstante, existen aspectos comunes: por ejemplo, el
método más utilizado para proteger los datos en Internet es el cifrado SSL. Al ser un estándar en el
sector, debe constituir un pilar fundamental de la estrategia de protección de datos en Internet de
cualquier empresa.
El protocolo de seguridad SSL crea un canal cifrado especial que asegura la confidencialidad
de los datos durante su tránsito por Internet, de modo que solo el legítimo destinatario pueda
descodificarlos. Para llevar a cabo esta operación se usan certificados SSL, formados por una clave
pública que cifra la información y una clave privada que permite descifrarla.
Estos certificados pueden tener una
longitud de hasta 256 bits; cuantos
más bits tenga la clave, más seguro
será el cifrado. Con la tecnología
disponible en la actualidad, un
hacker decidido y con recursos
necesitaría un billón de años para
infiltrarse en una sesión protegida
con un cifrado de 128 bits. Así pues,
cuando los usuarios visitan un sitio
web protegido con un certificado
SSL, pueden introducir sus datos con
un alto grado de confianza.
El cifrado, por sí solo, no es garantía
de que se cumpla la normativa de
protección de datos, pero es un buen
método para evitar fugas de datos y
reforzar la seguridad de la empresa.
Una empresa
Países Bajos
Ley principal
WBP (Wet Bescherming Persoonsgegevens,
o Ley de Protección de Datos Personales)
Obligaciones legales
• Procesar los datos de forma adecuada y
cuidadosa.
• Recopilar datos únicamente con fines
específicos, legítimos y expresamente
definidos, y únicamente con el
consentimiento previo del individuo al
que corresponden, a menos que sean
necesarios para cumplir una obligación
legal.
• No conservar los datos durante más
tiempo del necesario, y asegurarse de que
sean correctos.
• Procesar únicamente datos adecuados y
relevantes, y en un volumen que no sea
excesivo en relación al propósito para el
que se han recopilado.
Datos personales
especiales (p. ej.,
historial clínico,
hábitos sexuales,
creencias religiosas
u opiniones
políticas)
No deben procesarse excepto en los casos
que contempla la ley.
Autoridad en
materia de
protección de datos
CBP (College Bescherming
Persoonsgegevens, o Consejo de Protección
de Datos Personales)
Servicios de autenticación
TM
VeriSign
6
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
¿Cómo refuerza la seguridad de los datos el cifrado SSL?
La capacidad de los hackers para interceptar datos personales no deja de crecer y el público cada
vez es más consciente de los peligros del fraude en Internet, así que las empresas no pueden
quedarse de brazos cruzados. Es preciso que lleven a cabo análisis periódicos para comprobar si las
medidas que han adoptado son adecuadas o si necesitan una protección más avanzada. Por ejemplo,
si empiezan a recopilar datos de carácter más confidencial, es posible que necesiten adoptar una
tecnología de cifrado más potente. Asimismo, si se producen cambios en los estándares del sector,
es posible que deban actualizar sus certificados para adaptarse a las prácticas recomendadas.
Las empresas también deben estar atentas para combatir las nuevas técnicas que desarrollen los
hackers, como la capacidad de «secuestrar» sesiones HTTP en redes Wi-Fi abiertas para apropiarse de
los datos de inicio de sesión de los usuarios. Ante amenazas como esta, los datos de inicio de sesión
deben tratarse con tanto cuidado como los demás datos personales. De hecho, las empresas deberían
plantearse utilizar la tecnología SSL en la totalidad de su sitio web, y no solamente en algunas páginas.
Otro aspecto que se debe tener en cuenta es la caducidad de los certificados SSL, ya que un
certificado caducado puede poner en peligro a la empresa y a sus clientes, o incluso impedir el
correcto funcionamiento de un sitio web de comercio electrónico (con el consiguiente perjuicio de
las ventas mientras los informáticos resuelven el problema).
Las siguientes medidas hacen que controlar los certificados SSL de la empresa resulte más sencillo
para el personal informático:
1.
2.
3.
4.
5.
levar a cabo una auditoría de todos los dominios y certificados.
L
Reunir todos los certificados en una sola cuenta centralizada.
Definir un proceso administrativo para la empresa.
Configurar avisos y comprobar de forma periódica las renovaciones y unidades disponibles.
Revocar y sustituir certificados cuando sea necesario.
Cabe resaltar que, en ciertos países, las empresas tienen la obligación de informar a la agencia de
protección de datos cada vez que modifiquen sus medidas de seguridad.
Alemania
Ley principal
BDSG (Bundesdatenschutzgesetz, o Ley Federal de Protección de datos)
Obligaciones legales
Los responsables del tratamiento de datos tienen las siguientes obligaciones:
• Impedir el acceso no autorizado a los sistemas de procesamiento de datos, así como su
uso indebido.
• Asegurar que las personas que utilicen los sistemas de procesamiento de datos solamente
puedan acceder a los datos para los que se las haya autorizado; impedir cualquier lectura,
copia, modificación o eliminación no autorizada de datos personales; y garantizar que se
pueda comprobar quién es el destinatario de estos.
• Asegurar que se puede identificar a la persona que introduce o modifica los datos personales.
• Garantizar que, en caso de que se subcontrate el procesamiento de datos, el
subcontratista lleve a cabo dicha tarea conforme a las instrucciones y a la ley.
• Asegurar la protección de los datos personales frente a accidentes o pérdidas.
• Procesar por separado los datos recopilados para fines distintos.
Datos personales
especiales (p. ej.,
historial clínico,
hábitos sexuales,
creencias religiosas u
opiniones políticas)
No se pueden procesar con fines comerciales sin el consentimiento del propietario, excepto
en los casos que contempla la ley.
Autoridad en materia
de protección de
datos
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Comisariado de
Protección de Datos y Libertad de Información)
Una empresa
Servicios de autenticación
TM
VeriSign
7
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
Conclusión
Está claro que las leyes de protección de datos han llegado a Europa para quedarse, y eso es algo
que nos beneficia a todos, ya seamos consumidores o empleados de empresas con sitios web
abiertos al público. Estas leyes no solo protegen nuestros datos personales, sino que ayudan a que
las empresas se tomen en serio el almacenamiento de este tipo de información. Además, aumentan
la confianza en el comercio electrónico y contribuyen a que las empresas del sector puedan
competir en igualdad de condiciones.
Uno de los principios fundamentales de estas leyes es que los datos personales solo deben ser
accesibles para los individuos autorizados. Este objetivo se puede cumplir de distintas formas,
pero para ello es preciso contar con la tecnología adecuada. Afortunadamente, el cifrado SSL ya ha
demostrado su fiabilidad y, en combinación con una estrategia de seguridad bien planteada y una
gestión correcta de los certificados, proporciona la máxima garantía de protección para los datos
personales.
Más información
Visite nuestro sitio web
www.verisign.es
Para contactar con un especialista en productos
Llame al 900 931 298 o al (+41) 26 429 77 27
Sobre Symantec
Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es
ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la
información. Nuestros servicios y programas protegen contra una mayor cantidad de riesgos en más puntos y de
una forma más completa y eficaz, lo que brinda tranquilidad independientemente de dónde se utilice o almacene
la información.
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas,
Paseo del Club Deportivo,
Edificio 13, oficina D1,
28223, Pozuelo de Alarcón,
Madrid, España
Copyright © 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, la uve sobre el círculo y VeriSign Authentication son marcas comerciales o
marcas registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.
Una empresa
Servicios de autenticación
TM
VeriSign
8
La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados
ANEXO: Comparación entre países
Reino Unido
Francia
Países Bajos
Alemania
Ley principal
Data Protection
Act 1998 (Ley de
Protección de Datos
de 1998)
Ley 2004-801
WBP (Wet
Bescherming
Persoonsgegevens, o
Ley de Protección de
Datos Personales)
BDSG (Bundesdatenschutzgesetz, o Ley Federal
de Protección de datos)
Obligaciones
legales
• Procesar los datos
personales de
forma correcta,
respetuosa con
la ley y, por lo
general, solo con el
consentimiento del
individuo.
• Recopilar y procesar
datos únicamente
para fines legales
y previamente
especificados.
• No recopilar datos
innecesarios,
irrelevantes o en un
volumen excesivo.
• Asegurarse de que
los datos sean
correctos y estén
actualizados,
así como no
conservarlos
durante más tiempo
del necesario.
• Tomar las medidas
oportunas para
prevenir posibles
usos ilegales
o pérdidas
accidentales de
datos.
• No transferir los
datos a países
que carezcan de
unos estándares
adecuados de
protección de
datos.
• Recopilar y procesar
los datos personales
de forma correcta y
respetuosa con la ley,
y únicamente para un
propósito específico
y expresamente
definido.
• No recopilar datos
irrelevantes ni en un
volumen excesivo en
relación al propósito
para el cual se han
recopilado.
• No conservarlos
durante más tiempo
del necesario para
cumplir dicho
propósito.
• Asegurarse de que los
datos sean correctos
y estén completos.
• Los datos personales
de un individuo
solamente se pueden
procesar con su
consentimiento,
a menos que
sean necesarios
para asegurar el
cumplimiento de sus
obligaciones legales o
civiles.
• Procesar los datos
de forma adecuada y
cuidadosa.
• Recopilar datos
únicamente con fines
específicos, legítimos
y expresamente
definidos, y
únicamente con
el consentimiento
previo del individuo
al que corresponden,
a menos que
sean necesarios
para cumplir una
obligación legal.
• No conservar los
datos durante más
tiempo del necesario,
y asegurarse de que
sean correctos.
• Procesar únicamente
datos adecuados
y relevantes, y en
un volumen que
no sea excesivo en
relación al propósito
para el que se han
recopilado.
Los responsables del
tratamiento de datos tienen
las siguientes obligaciones:
• Impedir el acceso no
autorizado a los sistemas
de procesamiento de
datos, así como su uso
indebido.
• Asegurar que las personas
que utilicen los sistemas
de procesamiento
de datos solamente
puedan acceder a los
datos para los que se
las haya autorizado;
impedir cualquier lectura,
copia, modificación o
eliminación no autorizada
de datos personales; y
garantizar que se pueda
comprobar quién es el
destinatario de estos.
• Asegurar que se puede
identificar a la persona
que introduce o modifica
los datos personales.
• Garantizar que, en caso
de que se subcontrate
el procesamiento de
datos, el subcontratista
lleve a cabo dicha
tarea conforme a las
instrucciones y a la ley.
• Asegurar la protección
de los datos personales
frente a accidentes o
pérdidas.
• Procesar por separado los
datos recopilados para
fines distintos.
Datos
personales
especiales
(p. ej., historial
clínico, hábitos
sexuales,
creencias
religiosas u
opiniones
políticas)
Solo pueden
procesarse si se
cumplen una serie
de condiciones muy
estrictas.
Solo se pueden
almacenar y recopilar
previa autorización por
escrito del individuo en
cuestión.
No deben procesarse
excepto en los casos
que contempla la ley.
No se pueden procesar
con fines comerciales
sin el consentimiento del
propietario, excepto en los
casos que contempla la ley.
Autoridad en
materia de
protección de
datos
Information
Commissioner
(Comisariado de
Información)
CNIL (Commission
National de
l’Informatique et
des Libertés, o
Comisión Nacional
de Informática y
Libertades)
CBP (College
Bescherming
Persoonsgegevens, o
Consejo de Protección
de Datos Personales)
Bundesbeauftragte für
den Datenschutz und
die Informationsfreiheit
(Comisariado de Protección
de Datos y Libertad de
Información)
Una empresa
Servicios de autenticación
TM
VeriSign
9
Descargar