Antonio Díaz, Solution Accounts Director Mainframe and Continuous Delivery, de CA Technologies Iberia, sobre las obligaciones del acuerdo ‘Privacy Shield’.
Cuando oímos el término “escudo protector”, muchos de nosotros, especialmente los más “trekkies” nos imaginamos tecnología de siglos futuros, naves espaciales, estaciones intergalácticas y planetas protegidos frente a cualquier daño.
Sin embargo, nuestro mundo está a años luz del universo de ficción de Star Trek. Los “escudos” en las TI hoy en día hacen referencia a seguridad y privacidad. Uno de los escudos que está llamando más la atención de los responsables de seguridad corporativos últimamente es el acuerdo “Privacy Shield” suscrito el pasado mes de julio entre Estados Unidos y la Unión Europea.
El Privacy Shield impone a las compañías estadounidenses mayores obligaciones para proteger los datos personales de los ciudadanos europeos. Viene a reemplazar el acuerdo marco anterior, Safe Harbor, invalidado por la Corte Superior Europea de Justicia. Hasta octubre de 2015 el acuerdo Safe Harbor proporcionaba a las compañías un mecanismo para la transferencia de datos desde la Unión Europea a Estados Unidos.
Qué significa Privacy Shield
El Privacy Shield proporciona un método para que las organizaciones globales cumplan con los requerimientos de protección de datos de la Unión Europea a la hora de transferir datos personales entre la Unión Europea y Estados Unidos. Incluye, por primera vez, compromisos y garantías por escrito respecto al acceso a los datos por parte de las autoridades públicas.
En concreto, el principio de “notificación” requiere que los individuos reciban información sobre la participación de una organización en el acuerdo, el tipo de datos personales que se recogen, el motivo para el que serán procesados y con quién serán compartidos esos datos personales.
Otro principio básico, el de elección, exige que las compañías ofrezcan a los individuos la oportunidad de elegir si sus datos personales serán revelados a terceros o utilizados para un propósito diferente para el que fueron recogidos originalmente o para el que se dio autorización posteriormente.
El acuerdo Privacy Shield resultará ineludible para la mayoría de clientes del mundo mainframe que quieran acceder al mercado global. Para la mayoría de las compañías, estos requisitos significarán tener que actualizar sus políticas de privacidad al tratar con clientes y empleados. Tiene también implicaciones para los sistemas de archivo, incluyendo sectores como el bancario, telecomunicaciones o transporte, que a menudo disponen de información sensible sobre sus clientes.
Otro desarrollo clave es el nuevo Reglamento Europeo de Protección de Datos, conocido como GDPR por sus siglas en inglés, que es aplicable a cualquier compañía que maneje datos de ciudadanos de la Unión Europea en cualquier punto del mundo. Este reglamento amplía significativamente la definición de datos personales, ya que incluye cualquier dato que pueda identificar a un individuo, tales como fotografías, dirección IP, información biológica, económica o social.
El cumplimiento del GDPR no es opcional, las multas pueden alcanzar los 20 millones de euros o hasta el 4% de la facturación anual de la compañía.
Cómo cumplir con el acuerdo Privacy Shield
Aunque las compañías que estaban certificadas bajo el marco Safe Harbor ya deberían cumplir con muchos de los requerimientos del Privacy Shield, invertir tiempo y recursos en la certificación Privacy Shield supondrá un coste inevitable si se quieren hacer negocios en un mercado global. Las compañías han de implementar mecanismos técnicos de manera que los sujetos de los datos sean informados y, en determinadas circunstancias, dar la oportunidad a denegar el uso de sus datos.
Además deberán revisarse los contratos con proveedores terceros que procesen datos para comprobar que los datos personales sólo se procesarán de acuerdo con los criterios con los que fueron recogidos inicialmente y según el nivel de protección requerido por el Privacy Shield.
Comprenda los riesgos
Las herramientas empresariales que se utilizan para responder a las necesidades de seguridad tienden a estar orientadas a sistemas distribuidos y dispositivos finales que se ejecutan en Windows, Linux, Apple Macintosh iOS o Google Android, pero habitualmente no en sistemas mainframe. Las organizaciones confían en equipos mainframe con sistemas z/OS, z/VM, e incluso z/VSE, además de otros sistemas operativos, ya que los mainframe almacenan hasta el 80 por ciento del total de datos de una organización. A menudo estos datos son de naturaleza sensible, pues se trata de registros de clientes, de facturación, etc. Y lo que es peor, en muchas organizaciones se sabe poco sobre dónde está cada dato y cómo se maneja.
Afortunadamente, ya existe una herramienta que ayuda a las empresas a conocer los riesgos asociados a los datos mainframe en relación a GDPR y Privacy Shield. Una solución permite escanear exclusivamente el mainframe sin dependencias de otras infraestructuras corporativas para encontrar datos sensibles y regulados. A continuación, clasifica los datos localizados en función de su nivel de sensibilidad, de manera que los usuarios puedan revisar su seguridad y/o decidir su cifrado, archivado o eliminación.
Encontrar, clasificar y proteger
El modelo de “encontrar, clasificar y proteger” proporciona a los clientes un mayor control sobre los datos sensibles del mainframe. En la práctica:
- Encontrar es localizar los datos sensibles o regulados en el mainframe mediante el uso de herramientas automatizadas, tarea que resultaría prácticamente imposible realizar de forma manual.
- Clasificar consiste en catalogar los datos altamente sensibles o regulados para que puedan ser categorizados y protegidos, y así facilitar el cumplimiento de regulaciones.
- Proteger. Una vez que se identifican los datos sensibles, los responsables de seguridad pueden revisar las políticas de seguridad y determinar si es necesario encriptar, archivar o borrar los datos para prevenir un mal uso o una duplicación en otro lugar.
Después de todo, si su departamento de TI no tiene que preocuparse de saber cuándo activar los escudos porque los sistemas están en su sitio, no hay límite para que su negocio siga avanzando hacia donde ninguna otra empresa ha ido nunca antes.