GDPR

La Regulación de Protección a la Información en General (GDPR "General Data Protection Regulation") es una de las leyes más estricta a nivel mundial para la protección de la información, esta ley surgió como una iniciativa de la Unión Europea en el año 2018 con la finalidad de que las organizaciones sean capaces de almacenar y proteger la información sensible de sus usuarios de una manera acorde a la ley sin sobrepasar sus limitaciones y respetando el derecho humano de los usuarios a la protección de su información.

Si bien esta metodología es un requisito forzoso para toda organización que llegue a almacenar información de usuarios de la Unión Europea, cosa que en las PyMEs es posible que no se llegue a presentar, si es una muy buena estrategia para proteger de igual manera la información de cualquier usuario, esta metodología consta de 7 principios los cuales son:


• Transparencia, Justificación y Apegado a la ley: Todo proceso que con lleve el manejo de la información del usuario deberá de ser Justificado (Porque es que se hace), Transparente (haciendo del conocimiento de los usuarios como se manejara su información) y apegado a seguir las leyes en el caso de México apegados a la Ley Federal de Protección de Datos Personales.

• Propósito: Toda la información que se llegue a colectar debe de tener un propósito especifico al cual se le pueda relacionar.

• Moderación: Solo se recopilará información necesaria, por lo que se limitará el proceso de consulta de datos a todo lo que pueda ser esencial, dejando toda información no relevante de lado.

• Fiabilidad: Toda la información que se almacene debe de estar actualizada y debe de ser fiable.

• Limitación de almacenaje: La información personal del usuario solo será almacenada por el periodo de tiempo que sea necesario, posterior a este periodo la información debe de ser eliminada de una manera segura.

• Integridad y Confidencialidad: Cualquier proceso que con lleve la utilización de la información deberá de contar con un grado de integridad y confiabilidad, al aplicar todas las medidas de seguridad, integridad y confidencialidad, para el apropiado manejo de los datos.

• Cumplimiento: La organización es responsable de controlar la información, por lo que deben de ser capaces de demostrar el cumplimiento del marco GDPR.


Una de las grandes razones por la que las organizaciones en el país no hacen de conocimiento público las brechas de ciberseguridad que sufren es por el manejo inadecuado en la gestión de la información de sus usuarios o clientes, y para evitar la pérdida de clientes prefieren ocultar todas estas situaciones, pero ahora con los nuevos procesos de ataque de ransomware el ocultar el hackeo dejo de ser una alternativa.

Por lo que es de suma importancia tomar las medidas necesarias para resguardar la información de los usuarios, para poderles dar la tranquilidad de que su información está segura y evitar la pérdida de estos.


Buenas prácticas de la GDPR:

• Si se le solicitara información a un usuario tener una justificación legal de porque es necesaria esa información.

• Hacer del conocimiento de los usuarios que información se almacenara y con que propósitos.

• Ten en cuenta la protección de datos en todo momento, desde que comienzas a desarrollar un nuevo registro y en cada ocasión que se manipule el registro.

• Encripta la información personal cada que sea posible.

• Crear una política interna de seguridad.

• Desarrolla la conciencia de la importancia de la protección de la información con campañas de capacitación.

• Tomar conciencia de cuando llevar a cabo una evaluación (auditoria) del impacto de la protección de la información

• Tener un proceso establecido para hacer de conocimiento de los usuarios si es que la información se ve comprometida para que estos puedan tomar medidas de protección.