Existe una tendencia internacional predominante en el ámbito del cumplimiento de protección de datos, consistente en codificar, en términos legales, el concepto de estándares de seguridad dentro de lo razonable y el sentido común. Este cumplimiento se está alejando de lo púramente teórico para convertirse en un reglamento práctico. El Reglamento General de Protección de Datos (GDPR, en inglés), que entró en vigor en abril de 2016 y será de obligado cumplimiento a partir del 25 de mayo de 2018, hará que toda Europa quede bajo un único régimen legal integral de seguridad y privacidad de los datos. El GDPR es aplicable a los controladores de la Unión Europea, así como a los que están ubicados fuera de la UE si la persona cuyos datos personales están siendo procesados está dentro de la Unión Europea. Por «controlador» se entiende la organización o empresa que decide la finalidad y los medios de procesamiento de los datos personales. Cuando hablamos de procesar datos personales de los empleados en lo concerniente a su trabajo, el controlador sería su empleador.
Principios del GDPR
Aunque Europa es líder global especialmente en privacidad de datos, los principios para procesar datos personales de acuerdo con el GDPR son ya conocidos y están basados en estándares (vea aquí el blog EMM y la ley (en inglés):
- Procesamiento lícito, justo y transparente: los controladores deben tener motivos válidos para procesar los datos personales.
- Objetivo: debe existir un motivo claro y explícito para procesar los datos personales.
- Minimización de los datos: los datos procesados deben limitarse a lo estrictamente necesario para el objetivo concreto. El acceso solo debe otorgarse a aquellas personas que los necesiten para dicho fin particular.
- Precisión: los datos deben ser precisos y las imprecisiones deben poder rectificarse fácilmente.
- Limitación de almacenamiento: los datos solamente deben retenerse durante el tiempo necesario para el objetivo concreto.
- Integridad y confidencialidad: los datos se deben procesar de forma que se garantice la correcta seguridad de los datos personales, incluida la protección frente a un procesamiento no autorizado y perdida accidental, utilizando las medidas técnicas y organizativas adecuadas.
- Responsabilidad: el controlador debe ser capaz de demostrar el cumplimiento de los principios anteriormente mencionados.
Al igual que con otros estándares de privacidad y seguridad de datos, el GDPR incluye el concepto de proporcionalidad, es decir, el controlador debe implementar medidas técnicas y organizativas adecuadas para garantizar y demostrar el cumplimiento. Las medidas que tome el controlador deben ser proporcionadas con respecto al procesamiento en cuestión.
Privacidad a medida y privacidad predeterminada – Artículo 25 del GDPR
La privacidad a medida no es un concepto nuevo, pero su inclusión en el GDPR demuestra que las medidas prácticas basadas en riesgos se están convirtiendo en requisitos legales. La privacidad a medida requiere que el controlador implemente las medidas técnicas y organizativas adecuadas desde la configuración inicial de las operaciones. En otras palabras, la privacidad no se puede improvisar; al contrario, los problemas de privacidad deben tenerse en cuenta y las medidas de seguridad basadas en los riesgos deben tomarse a lo largo del ciclo de vida del proceso, desde el diseño inicial hasta el borrado de datos.
Una solución EMM es un componente imprescindible en cualquier plan desarrollado para el cumplimiento del GDPR
La privacidad predeterminada significa que el controlador debe llevar a la práctica las medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, solo se obtengan y procesen la cantidad necesaria de datos personales. El usuario no tendría por qué facilitar información adicional a la estrictamente necesaria. El controlador no puede recopilar más información «por si acaso» deseara utilizarla después.
Por responsabilidad se entiende la supervisión y el cumplimiento. Los controladores deben ser capaces de demostrar que tienen instauradas medidas de seguridad adecuadas y que el cumplimiento está supervisado. Las multas por no cumplimiento con el GDPR son considerables: las más altas ascienden a 20 millones de euros o el 4 % de los ingresos globales anuales de la empresa.
Importancia del EMM para el cumplimiento del GDPR europeo
1.- La solución de gestión de movilidad empresarial (Enterprise Mobility Management, EMM) como la de MobileIron, es un componente imprescindible en cualquier plan desarrollado para el cumplimiento del GDPR:
2.- Permite al CIO o gestor de la plataforma móvil, establecer un límite claro entre los datos personales y profesionales que hay en el dispositivo móvil. El gestor no tiene acceso al contenido de las aplicaciones personales o cuentas de correo electrónico personales del dispositivo. Esto es fundamental para minimizar los datos, así como para el principio de integridad y confidencialidad del GDPR.
MobileIron ofrece al gestor la visibilidad sobre qué dispositivos y aplicaciones están accediendo a los servicios corporativos. En el caso de una infracción con los datos, el gestor puede demostrar con exactitud, mediante un registro de auditoría, qué medidas se tomaron hasta el momento de la infracción y qué medidas, si hubiera habido alguna, llevó a cabo el departamento informático posteriormente. Esto proporciona un registro claro de cualquier acceso no autorizado a los servicios corporativos y respalda el principio de integridad y confidencialidad delGDPR, además del de responsabilidad. La solución de MobileIron permite al gestor de la plataforma móvil:
a. gestionar el inventario: identificar los dispositivos autorizados y no autorizados e identificar las aplicaciones autorizadas y no autorizadas.
b. poner aplicaciones en la lista blanca: establecer un subconjunto de aplicaciones que tienen autorización para ejecutarse en un dispositivo y para acceder a los servicios corporativos.
c. proteger el acceso: permitir únicamente a los usuarios, dispositivos y aplicaciones autorizados que accedan a los servicios corporativos, ya sea de forma local o en la nube.
d. proporcionar registros de auditorías: supervisar las acciones administrativas y el flujo de datos corporativos.
3.- En último lugar, MobileIron permite al gestor de la plataforma móvil proteger el dispositivo de las amenazas contra la seguridad, algo importante para los principios de integridad y confidencialidad, además de para la responsabilidad. La solución de MobileIron permite al gestor de la plataforma móvil ejecutar el cumplimiento y realizar acciones: aplicar configuraciones y políticas de seguridad adecuadas en los dispositivos y aplicaciones; supervisar el cumplimiento de la seguridad del dispositivo y las aplicaciones, incluidos los ataques a la integridad del sistema operativo como «jailbreaks» o solicitudes no autorizadas para descifrar el dispositivo y llevar a cabo medidas de rectificación si el dispositivo o una aplicación infringen alguna política o regla de uso establecida por la compañía.
Conclusión
El controlador (es decir, la empresa) no tiene razones para creer que está segurizando adecuadamente los datos personales a menos que pueda demostrar que ha implementado los controles y procedimientos adecuados de EMM para garantizar la separación de los datos corporativos y los datos personales en el dispositivo móvil, así como para proteger dichos datos corporativos de las amenazas externas y el uso o divulgación no autorizados. La solución MobileIron proporciona al controlador un sólido marco para el cumplimiento de los principios del GDPR: minimización de datos, integridad, confidencialidad y responsabilidad así como la actuación inmediata en caso de detectar una posible situación de riesgo