Paso número 2 para el cumplimiento del GDPR: Administrar
Tal y como ya hemos comentado en entradas anteriores, existen cuatro pasos clave para que podamos adaptarnos al cumplimiento del nuevo Reglamento General de Protección de Datos (RGPD o GDPR, según sus siglas en inglés). Estos pasos son los de Descubrir, Administrar, Proteger e Informar. En este post vamos a centrarnos en el segundo: Administrar.
Administrar significa gestionar la manera en que se accede a los datos personales que posee una empresa y cómo se usan. El GDPR permite a las personas obtener un mayor control sobre la forma de recopilación y la manera en que se usan sus datos personales por parte de las empresas, ya sea como empleados o como particulares. De esta manera, pueden pedir que se les comunique qué datos relacionados con ellos están bajo su control, transferirlos a otros servicios, corregir posibles errores o restringir su procesamiento al cabo del tiempo en algunos casos. Para asegurar su cumplimiento, algunas de estas peticiones deben cursarse en un plazo fijo.
Para ello, desde el punto de vista del control de estos datos, el GDPR dispone que las empresas deben definir políticas, roles y responsabilidades para la manipulación y el uso de los mismos cuanto se encuentran en los estados de reposo, proceso, tránsito, almacenamiento, recuperación, archivo, retención y borrado. En segundo lugar, conviene establecer también una clasificación de los datos, es decir, organizarlos y etiquetarlos para asegurar un uso adecuado de los mismos. Las etiquetas a aplicar se definirían en función de sus tipos, su sensibilidad, su contexto/uso, su propiedad, sus custodios, sus administradores y sus usuarios.
Existen una serie de características en varias de las aplicaciones de Microsoft que pueden asistirnos a la hora de llevar a cabo el paso de Administrar. En Microsoft Azure, contamos con Azure Active Directory, Azure Information Protection y Azure Role-Based Acces Control (control de acceso basado en roles); en Enterprise Mobility + Security, disponemos también de Azure Information Protection; en Microsoft Dynamics 365, de Security Concepts; en Microsoft Office 365, de Advanced Data Governance y Journaling (por medio de Exchange Online) y, finalmente, en Microsoft Windows y Windows Server, contamos con las herramientas de clasificación de datos de Microsoft.
El GDPR es un reglamento muy detallado en el que se recogen sanciones muy serias. Éstas pueden alcanzar incluso hasta un 4% de la facturación total de una empresa. Desde AWERTY, a través de varios posts, trataremos de explicaros cómo podéis cumplir una parte del mismo basándonos en los servicios web de Microsoft que podemos poner al alcance de vuestra empresa: Azure, Office 365 y Dynamics 365. También podéis poneros en contacto con nosotros si tenéis alguna duda o pregunta que plantearnos acerca de este respecto.
