GDPR: Lección 2, MANEJE tus datos

Continuemos el camino que empezamos en los últimos dos blogs. En la primera publicación, dimos una descripción general del camino de Veeam hacia el cumplimiento del RPDG y compartimos nuestras 5 lecciones aprendidas. En la segunda publicación, indagamos aún más en el primero de los cincos principios.

  1. Conozca sus datos
  2. Administre sus datos
  3. Proteja sus datos
  4. Documentación y cumplimiento
  5. Mejora continua

Veamos en detalle el segundo principio: Administre sus datos.

Si terminó las tareas del primer principio y logró identificar la información personalmente identificable (PII) que posee y dónde se encuentra ubicada, entonces ahora puede empezar el proceso para establecer reglas y procesos para acceder y utilizar los datos de PII.

Las preguntas claves aquí son:

  1. ¿Quién tiene acceso a la información (y cuándo acceden a esa información)?
  2. ¿Por qué acceden a esta información?
  3. ¿Cuál es el propósito?

Durante este proceso, hemos aprendido que existen muchos departamentos distintos dentro de su organización, y cada departamento procesa y maneja datos de PII por razones únicas. Esto incluye marketing, ventas y recursos humanos. Uno de los departamentos más críticos es el departamento de Recursos Humanos (RR.HH.). Alguno de los datos que posee o recolecta el departamento de RR.HH. de sus empleados no se considera solo datos de PII, sino también datos sensibles de PII. Esto implica medidas de seguridad y protecciones más estrictas. Hemos aprendido que RR.HH. debe recibir un enfoque y atención especial durante la administración de los datos.

La administración de nuestros datos no se realiza enteramente dentro de la organización. Veeam se ha asociado con proveedores de terceros para administrar dichos datos específicos. Asegúrese de evaluar al proveedor externo por su cumplimiento del RPDG cuando establece una relación con ellos, pero también sea consciente de que necesita estar incluido en sus procesos y flujos de trabajo. Sigue siendo responsable por la información, aunque se encuentre en manos de proveedores de 3ros.

¿Quién, por qué y qué?

No es sorpresa que, luego de comprender y clasificar el alcance completo de los datos de la organización, muchas organizaciones se den cuenta que no se administra cuidadosamente el acceso a estos datos. Si está utilizando los modelos que proporcionamos en nuestro white paper, también habrá aprendido por qué acceden y qué hacen con los datos (el propósito). Este es el momento para crear los flujos de trabajos y procesos y asegurarse de que las personas solo tengan acceso a los datos cuando sea necesario para cumplir con su función en el negocio.

Revise también los contratos de confidencialidad de adhesión y revise aquellos cuando sea necesario. El RPDG ahora lo obliga a informar los datos que está recolectando, el propósito de los datos y dónde están siendo utilizados, y finalmente, por cuánto tiempo se almacenarán esos datos. Al mismo tiempo, implementa los procesos para posibilitar una respuesta al pedido de las personas que preguntan qué es lo que se está almacenando, así como también la posibilidad de que puedan solicitar un cambio o la eliminación de estos datos.

Por último, pero no menos importante, deberá examinar las Listas de Control de Acceso para los equipos internos. Es común que el personal de informática interno tenga acceso a todos los datos. Documente este acceso y asegúrese de que haya un control cuando el equipo de TI requiera acceso para poder realizar su trabajo.

Conclusión

Una vez que conozca los datos y sepa dónde se encuentran ubicados, deberá comprender las razones por las que se utilizan esos datos y quién tiene acceso actual a los mismos. Utilice soluciones técnicas y forme asociaciones con proveedores de terceros para aprender cómo manejan el cumplimiento. Debe comprender que sigue siendo responsable por los datos. Adapte soluciones donde pueda identificar ubicaciones, y agregue etiquetas para los datos de PII y PII sensibles. Cree informes para auditar cuando alguien accede a los datos. Arme un plan para la restauración de datos. (No es suficiente saber quién tiene acceso a los datos de producción cuando los operadores de restauración pueden realizar la restauración como a ellos les plazca). Y, por último, pero no menos importante, debido a las “amenazas” que provienen del interior, asegúrese de tener una protección física para tu infraestructura.

Exit mobile version