Nueva ley de protección de datos de la UE y pequeñas empresas

4

Soy consciente de los nuevos cambios en la legislación de la UE con respecto a la protección de datos. Como consultor de seguridad para una empresa de TI que administra varios sistemas de otras compañías, esperaba que alguien pudiera aclararme algunas cosas.

1) Soy consciente de que la nueva ley puede imponer una multa del 5% de la facturación anual de hasta 5 millones de libras esterlinas a una empresa que no tome las medidas adecuadas para proteger sus datos. ¿Esto también escala para empresas más pequeñas que tienen ~ 100 clientes? ¿Y esta multa sería tan severa para una compañía de ~ 5 empleados que sufrió una filtración de información?

2) ¿Cómo se ajusta esta escala con el presupuesto de una empresa más pequeña? Por ejemplo, el cifrado de datos es barato. Sin embargo, los sistemas antimalware más completos y los sistemas IDS / IPS son más caros. ¿Quién no puede gastar miles en esto?

Gracias por cualquier información / aclaración.

    
pregunta IngenuIT 19.10.2015 - 13:16
fuente

1 respuesta

3

La ley de protección de datos exige que las empresas protejan la información personal de manera razonable y segura. La multa es escalable ya que depende de la facturación anual de la empresa. Es un poco más "justo" que por empleado (por ejemplo, una compañía de 5 personas puede tener 100k pero también una facturación de 5 millones de euros).

En primer lugar, tenga en cuenta que esto no es completamente nuevo, por lo que si de repente piensa en la protección de datos, es probable que no cumpla con las regulaciones locales .

Las leyes de protección de datos han existido durante varios años, el problema por el que se creó un DPL europeo afectó principalmente a empresas más grandes con entidades en diferentes países que tenían su propio conjunto de leyes con respecto a DPP. Hay más ventajas para las empresas que ya cumplían. Las empresas que tendrán problemas son las que actualmente no cumplen con el DPL.

Las ventajas para las empresas son:

  • Un continente, una ley: el Reglamento establecerá una única, legislación paneuropea para la protección de datos, sustituyendo a la actual Patchwork inconsistente de las leyes nacionales. Las empresas se ocuparán de uno Ley, no 28. Los beneficios se estiman en € 2,3 mil millones por año.
  • One-stop-shop: El Reglamento establecerá una 'ventanilla única' para empresas: las empresas solo tendrán que tratar con una sola autoridad de supervisión, no 28, lo que lo hace más sencillo y barato para empresas para hacer negocios en la UE; Y más fácil, más rápido y más. eficiente para que los ciudadanos obtengan sus datos personales protegidos.

Lo único que preocupa a muchas empresas es esto:

  • Los reguladores europeos estarán equipados con fuertes poderes de ejecución: Las autoridades de protección de datos podrán multar a las empresas que no Cumplir con las normas de la UE hasta el 2% de su facturación anual global. los El Parlamento Europeo ha propuesto incluso plantear las posibles sanciones. al 5%.

Las empresas que están preocupadas por esto son en su mayoría empresas que forman parte de un país europeo que no tienen normas estrictas de protección de datos o no las aplican.

La directiva no requiere que usted compre hardware costoso, requiere que tenga controles implementados para, dentro de lo razonable, asegurarse de que está protegiendo adecuadamente sus datos. Esto es bastante amplio y lo deja abierto a la interpretación (en su mayoría no por usted, sino por un juez). IDS e IPS no tienen por qué ser caros. También hay HIDS basados en código abierto gratis. Depende de usted realizar una evaluación de riesgos y ver qué software / hardware necesitará en función de la posibilidad de que se materialice una amenaza.

Se requerirá que las empresas, también pequeñas por una vez, piensen en el gobierno de los datos y en cómo administran el acceso a ciertos datos personales. También da incentivo para eliminar datos personales una vez que ya no es necesario. La directiva sirve como un recordatorio e incentivo para que las empresas en general piensen sobre la seguridad de sus datos y cuáles podrían ser las consecuencias.

Las empresas pequeñas y medianas estarán exentas de ciertos requisitos:

  • Responsables de protección de datos: las PYME están exentas de la obligación de nombrar un oficial de protección de datos en la medida en que el procesamiento de datos no sea su actividad empresarial principal.
  • No más notificaciones: las notificaciones a las autoridades de supervisión son una Trámites y trámites burocráticos que representan un coste de negocio de 130 €. millones cada año. La reforma los eliminará por completo.
  • Cada centavo cuenta: donde las solicitudes para acceder a los datos son manifiestamente Sin fundamento o excesivo, las PYME podrán cobrar una tarifa por proporcionando acceso.
  • Evaluaciones de impacto: las PYME no tendrán obligación de llevar a cabo una evaluación de impacto a menos que exista un riesgo específico.

Las reglas también serán flexibles. Las normas de la UE tendrán en cuenta adecuada y correctamente el riesgo. En algunos casos, las obligaciones de los controladores y procesadores de datos se calibran de acuerdo con el tamaño de la empresa y la naturaleza de los datos que se procesan.

    
respondido por el Lucas Kauffman 19.10.2015 - 15:23
fuente

Lea otras preguntas en las etiquetas