Libro Blanco

Privacidad por diseño

Enero 2021

Privacidad por diseñoColaboración empresarial basada en el Reglamento general de protección de datos (RGPD)

2Libro Blanco Privacidad por diseño

Privacidad por diseño : creación de confianza

la entrega de intercambios escalables que cumplan con el Reglamento General de Protección de Datos (RGPD) y las normas de ePrivacy.

El principio subyacente es simple: la persona afectada (el interesado) es propietaria de sus datos personales y nadie más puede disponer libremente de ellos sin su consentimiento. El RGPD dispone formas de garantizar que la persona afectada disfrute de todos sus derechos y que la recopilación o el tratamiento de los datos por parte de terceros estén sujetos al consentimiento previo de dicha persona o se eviten mediante disposiciones legales de mayor rango.

No dude en compartir este documento. Esperamos que ayude a su equipo a crear una cultura que incluya el uso reflexivo de las comunicaciones unificadas y mantenga los intercambios de información a salvo de curiosos y cookies web. Además, puede evitar el riesgo de ataques por denegación de servicio, fraude y filtración de datos confidenciales.

Hoy en día, los empleados, partners y clientes pueden trabajar dondequiera que deseen gracias a las redes sociales y la capacidad de comunicarse en tiempo real. Sin embargo, no todas las herramientas de comunicación proporcionan el marco necesario para hacer frente a la disponibilidad continua, las reglas de seguridad, la confidencialidad y el cumplimiento.

Las organizaciones deben proporcionar a los empleados una solución ágil, sólida y flexible. Necesitan poner fin a la proliferación de servicios de consumo que ofrecen datos de empleados, partners y clientes a los gigantes de la web.

La cuestión es cómo transformar los flujos de información en tiempo real en intercambios beneficiosos para su organización y para nadie más al mismo tiempo que se mantiene la confidencialidad de los datos personales.

Este documento proporciona una metodología para crear una plataforma para conectar personas, servicios y objetos. Es una guía paso a paso para

3Libro Blanco Privacidad por diseño

Construcción de una infraestructura de colaboración de confianzaLos cuatro sencillos pasos que componen el enfoque de privacidad por diseño son clave para el éxito de su proyecto para implantar y mantener interacciones digitales eficaces y conformes a las normas sobre datos personales más recientes.

Los cuatro sencillos pasos que componen el enfoque de privacidad por diseño son clave para el éxito de su proyecto para implantar y mantener interacciones digitales eficaces y conformes a las normas sobre datos personales más recientes. El reglamento RGPD entrará en vigor el 25 de mayo de 2018. Se refiere a cualquier organización que recopile o aloje datos personales que se puedan utilizar para identificar a un residente en la Unión Europea directamente o a través de un tercero. Un sistema de información bien controlado con tratamiento de datos y flujos de datos rastreables será conforme con el RGPD. La cuestión es cómo recuperar el control de los datos, los dispositivos móviles y los servicios en línea compartidos que se han ido acumulando con los años. El control se recupera mediante la creación de una base de intercambios conforme y la eliminación de los riesgos introducidos por BYOD (traiga su propio dispositivo), las TI en las sombras y las soluciones SaaS (software como servicio) que se conservan fuera del departamento de sistemas de información (DSI). “El cumplimiento del reglamento RGPD requiere identificar y gestionar los distintos tipos de datos, incluidos los datos personales. La conformidad también requiere la previsión de las crisis y la capacidad de responder en función de la gravedad”, sugiere Louis Philippe Ollier, responsable de la protección de datos de Alcatel-Lucent Enterprise.

Cuatro pasos para el éxito de un proyecto

1. Construcción de una infraestructura de colaboración de confianza.

Esta fase proporciona un prototipo de solución que un grupo inicial de usuarios puede utilizar para probar la solución elegida.

2. Estudio del impacto en la empresa y su ecosistema.

Después de la revisión, la solución de colaboración se puede ampliar a partners y clientes.

3. Adopción de los últimos estándares de confianza digital.

La empresa traza sus datos, usos y administradores de procesamiento, y luego rastrea los intercambios, con lo que se limita el riesgo de que se filtre la información confidencial.

4. Reunión de los factores clave para una implementación satisfactoria.

Al final de este paso, la plataforma proporciona una solución de trabajo colaborativo personalizada que mejora la productividad y la capacidad de respuesta del equipo.

3Libro Blanco Privacidad por diseño

4Libro Blanco Privacidad por diseño

Una base de infraestructura protegida

La colaboración requiere una base de infraestructura fiable. La red debe admitir grandes aplicaciones como las de videoconferencia o escritorio compartido, y documentos profesionales. Esta infraestructura se puede proporcionar como solución completa gestionada por un equipo interno o por un proveedor de servicios en nombre de la empresa.

En un proyecto de colaboración digital, el objetivo inicial a menudo varía en función de la organización. Los requisitos pueden incluir la necesidad de programar reuniones remotas, compartir y sincronizar archivos y acelerar el intercambio de conocimientos e ideas en una red social corporativa. Las comunicaciones en tiempo real pueden mejorar la productividad de los equipos dispersos geográficamente, reducir los gastos de viaje y optimizar los procedimientos internos. Las redes se expanden rápidamente y cada vez es más difícil definir el perímetro. Una red podría abarcar hosts y proveedores de servicios en la nube, conexiones de sucursales, empleados que trabajan a distancia y enlaces móviles, haciendo que el acceso y la protección de datos sea una prioridad inevitable.

Un partner técnico local

Independientemente del dispositivo utilizado, la solución de colaboración debe ser capaz de recibir, almacenar, procesar y proteger los datos personales de cada empleado, en un nivel avanzado. “Muchas empresas ahora ven una oportunidad real y valiosa en la suscripción a un operador local europeo que esté comprometido con el cumplimiento de los principios y compromisos del RGPD. Esto coincide con nuestra estrategia de crear equipos conectados y utilizar plataformas remotas para nuestros clientes. De esta manera, asumimos más responsabilidad con los datos al convertirnos en un proveedor de servicios en la nube y, por lo tanto, debemos garantizar la máxima protección posible”, reconoce Vincent Lomba, director de seguridad técnica de Alcatel-Lucent Enterprise. Alcatel-Lucent Enterprise es un partner orgulloso de organizaciones y empresas locales de todos los tamaños en todo el mundo.

Además de apoyar a los usuarios, es importante garantizar el éxito de la integración de la solución en la empresa y las aplicaciones que ya están en uso. La adopción de estándares abiertos y API puede proporcionar una transición fluida, y una plataforma de colaboración puede ayudar a automatizar las tareas repetitivas que tienen poco valor añadido para los empleados. Además, se pueden implementar servicios nuevos e innovadores para permitir la transformación digital de la organización.

5Libro Blanco Privacidad por diseño

Un chatbot puede ahorrar tiempo

Un chatbot es un agente conversacional diseñado para ayudar a los servicios posventa o de asistencia técnica, dirigir al usuario a los recursos en línea correctos y responder a las preguntas más frecuentes sin intervención humana.

Aunque las plataformas de comunicación emplean estos tipos de automatización, es necesario poder personalizarlos fácilmente.

Las funciones avanzadas de aprendizaje automático mejoran la comprensión de las preguntas en lenguaje natural. También pueden participar en la generación automática de preguntas y respuestas. La combinación de motores de inteligencia artificial, junto con la oferta de comunicaciones unificadas y colaboración de Alcatel-Lucent Enterprise, permite una entrega única de estos eficaces servicios.

Los conocimientos profesionales siguen siendo el dominio exclusivo de los colaboradores humanos a los que el chatbot proporciona ayuda que pemite ahorrar tiempo. Las interacciones en tiempo real entre empleados, partners y clientes ofrecen una mayor satisfacción a todo el mundo. La plataforma que se crea no debe reemplazar las interacciones humanas, sino que debe apoyarlas y, al mismo tiempo, mantener la integridad de los intercambios. La creación de chatbots proporciona beneficios, pero también plantea nuevos riesgos. La metodología que se describe en este documento puede ayudar a anticiparse a los riesgos. Alcatel-Lucent Enterprise implementa la metodología una vez que se definen los requisitos de los chatbots.

Prepararse para el reglamento

RGPD significa reconocer y

aceptar la importancia del

tratamiento de los datos

personales.

Una dificultad es la identificación

de los datos en los flujos de

colaboración en tiempo real. El

diccionario de datos (modelo de

datos) de la solución Rainbow de

Alcatel-Lucent Enterprise permite

saber precisamente qué campos

y procedimientos utilizan datos

personales. Este es un elemento

clave de nuestro enfoque

Privacidad por diseño.

– Louis-Philippe Ollier

“

”

5

6Libro Blanco Privacidad por diseño

Estudio del impacto en la empresa y su ecosistema Frente a los riesgos, como una vulneración de la confidencialidad o de la integridad asociada a una transferencia de datos, el protocolo de gestión de crisis y el análisis del impacto son dos medidas que se pueden implementar. Se pueden supervisar las respuestas específicas, según la importancia de la información.

Control de datos y generación de informes

Más allá del inventario, hay varias tecnologías de protección de datos que se utilizan periódicamente. Por ejemplo, el cifrado de la información es una de las herramientas que suelen utilizarse en las transferencias de Internet. Además, se pueden utilizar otras formas de filtrar datos o proteger el acceso, cada una de las cuales se centra en una capa del sistema de información (infraestructuras, virtualización y aplicaciones). Al mismo tiempo, los equipos de desarrollo deben aplicar las prácticas recomendadas.

“Respondemos a los clientes que nos preguntan sobre el cumplimiento, con estándares de seguridad de la información como ISO 27001 o el RGPD. Nuestros métodos de diseño y nuestra organización integran los principios fundacionales de estos entornos normativos y reguladores en una fase temprana. Esto se hace extensivo desde nuestros equipos de operaciones y desarrollo técnico a los equipos de ventas encargados definir las ofertas y dar asistencia a nuestros clientes.

Según el reglamento RGPD, cada persona tiene diferentes derechos en relación con sus datos personales. Los empleados pueden preguntar a su organización sobre sus derechos individuales (derecho de acceso). La persona también puede solicitar la eliminación o la modificación de datos específicos (por ejemplo, identificadores), datos personales o preferencias con respecto a servicios en línea. Este derecho fundamental incluye oponerse, o limitar, una parte o la totalidad de los propósitos del tratamiento de la información, para proteger la privacidad de los ciudadanos de la Unión Europea. En la práctica, la destrucción de registros no es la única opción posible. Por ejemplo, cierta información se puede anonimizar o los nombres se pueden sustituir por seudónimos antes de someterse a análisis.

Sin embargo, la supervisión de la información y las aplicaciones se está convirtiendo en una necesidad. La normativa europea fomenta el mantenimiento de registros que hagan un seguimiento del tratamiento y la cartografía de los datos personales. También proporciona información sobre cómo un usuario puede solicitar un cambio o la destrucción de sus datos personales.

La confidencialidad requerida por gobiernos y otros sectores sensibles se aborda en el diseño técnico de nuestros productos y software, así como en nuestros procedimientos organizativos. Estos requisitos de privacidad se están convirtiendo en una parte de los cimientos básicos que solicitan nuestros partners y clientes a medida que nos acercamos al 25 de mayo de 2018”, afirma Vincent Lomba.

Las organizaciones que compran servicios de TI tienen que evaluar los compromisos de seguridad y privacidad con los que están obligados los proveedores en la nube por contrato. Estas garantías son necesarias para las empresas con aplicaciones parcialmente externalizadas porque siguen siendo responsables de toda la cadena de tratamiento de la información. Las empresas deben ser capaces de especificar los medios y procedimientos de protección de datos personales, mediante informes actualizados. Las empresas que ofrecen a sus empleados y subcontratistas acceso a servicios preseleccionados que proporcionan seguridad y cumplimiento pueden frenar las TI en las sombras.

Obligación de aviso en tres días

En caso de un ataque cibernético que cause la filtración de información privada, la empresa debe notificarlo a las autoridades de protección de datos personales (por ejemplo, la CNIL en Francia) en un plazo de tres días a partir del descubrimiento del incidente. Si los datos personales se pueden utilizar, también se debe informar a los empleados o clientes afectados, independientemente del número de infracciones. Se pueden imponer importantes penalizaciones en caso de no cumplir con el reglamento RGPD. El propósito es animar a todas las organizaciones a que configuren controles, así como informes precisos y regulares, en relación con la protección de datos personales. Las sanciones tienen la finalidad de fomentar el cumplimiento en las empresas. Se puede aplicar una multa de hasta 20 millones de euros o el cuatro por ciento de los ingresos totales anuales de la empresa, el importe qu e sea mayor. El riesgo financiero es considerable. No solo la reputación de la empresa se verá empañada en caso de un ataque cibernético, sino que el riesgo legal puede causar un coste financiero que podría poner en peligro la supervivencia de la empresa.

7Libro Blanco Privacidad por diseño

Los servicios de colaboración de Rainbow son operados en Francia por equipos locales que conocen el reglamento RGPD y exigen su cumplimiento. El nivel de confianza proporcionado por el reglamento europeo, uno de los más celosos de los derechos individuales, proporciona una confidencialidad superior en comparación con un servicio en la nube alojado fuera del territorio. La Unión Europea se está convirtiendo en un estándar global en esta área. Es bien sabido por todos que los operadores de otras regiones no proporcionan el mismo nivel de confidencialidad en el tratamiento de los datos personales y en respuesta a las solicitudes de acceso autorizadas por las leyes locales”, afirma Vincent Lomba.

Al abrir el sistema de información a partners o grandes clientes, la empresa puede transformar estos grupos de interés en embajadores de la marca. La empresa puede implementar servicios en línea personalizados, ofrecer interacciones directas y espontáneas, que pueden contribuir a la mejora de productos y servicios a escala mundial.

Rainbow se ha desarrollado en paralelo

con el reglamento RGPD, lo que es

fundamental en el diseño. Nos esmeramos

para mantener la confidencialidad

y el anonimato de los usuarios para

garantizar que el campo no esté expuesto

a análisis no autorizados y, sobre todo,

que no se comprometan los derechos de

confidencialidad de nuestros usuarios.

Desde un punto de vista organizativo,

de una forma muy precoz, establecimos

talleres internos para incorporar el

conocimiento del dominio en el ciclo de

vida de nuestros proyectos, con análisis

de impacto y puntos de control clave

en los que participan representantes

responsables de la protección de datos. – Vincent Lomba

Preparación ante ataques cibernéticos

Las amenazas van más allá del ámbito del departamento de TI. La firma de investigación PricewaterhouseCoopers sugiere:

Los directivos que llevan las riendas de la empresa deben asumir la responsabilidad de la construcción de ciberresistencia. Es esencial configurar una estrategia descendente para gestionar los riesgos de ciberseguridad y privacidad en toda la empresa .

En un reciente estudio de 9500 ejecutivos en 122 países, PwC reveló que las empresas a menudo no están preparadas para responder correctamente a los riesgos de ciberseguridad. El 54 % no tiene un procedimiento de respuesta a incidencias, mientras que el 48 % no tiene un programa de formación de conocimiento de seguridad para los empleados. En caso de un ataque dirigido a un sistema de producción automatizado, el 40 % teme una interrupción duradera y el 39 % menciona el peligro que corren los datos confidenciales, el 32 % menciona el daño a la calidad del producto y el 22 % menciona el peligro para la vida humana.1

1 https://www.pwc.com/id/en/media-centre/press-re-lease/2017/english/organisations-are-failing-to-pre-pare-effectively-for-cyberattack.html

“

”7

8Libro Blanco Privacidad por diseño

Adopción de los estándares de confianza digital más recientes La confianza digital se basa en el control, la trazabilidad y la auditoría de las interacciones. La clasificación de los datos permite almacenarlos y protegerlos adecuadamente, según su valor, en todo momento.

Un estudio de impacto demostró que la información personal se almacena normalmente en múltiples sitios: internamente, en el domicilio de los trabajadores de distancia o en el host.

Más allá de una selección de partners de confianza, el inventario y la asignación de datos ayudan a colocar los archivos en el lugar correcto, en el momento adecuado y según reglas predefinidas.

De igual modo que uno nunca introduciría datos bancarios o códigos de acceso en cualquier lugar, se crean diferentes estrategias de almacenamiento, copia de seguridad, replicación y transferencia, con o sin cifrado, para cada clase de datos.

Confianza y responsabilidades

Todo lo que entra y sale del ordenador o la red corporativa genera riesgo digital, como fraude, ataques y filtraciones de información.

Las comunicaciones IP amplifican este fenómeno. “Las conversaciones empresariales a menudo contienen información confidencial.

Nos debemos organizar nosotros mismos para garantizar el cumplimiento”, confirma Luis-Felipe Ollier.

El campo de responsabilidades ha evolucionado. En el pasado, un simple acuerdo verbal era suficiente para garantizar un contrato entre dos personas. Ahora, dos o más personas jurídicas están sujetas a contratos de servicio firmados en línea. A veces cuentan con la certificación de un tercero de confianza, notario o abogado, pero lo más común es un simple clic en un formulario web. Es interesante preguntarse cómo se mantienen estos contratos. En sentido estricto, un autentificador de fecha y hora, un registro del archivo y una firma electrónica deberían demostrar la autenticidad del emisor, la integridad, y la fecha y hora en que se escribió el documento. Y se debe almacenar en un tercero de confianza. La confianza digital incluso se debería ampliar para incluir la vigilancia y la inteligencia artificial. Lo mismo se aplica a las responsabilidades legales, éticas y morales de directores de negocio que se ocupan de datos privados.

Doble conformidad con el modelo europeo

El reglamento RGPD y las normas de privacidad electrónica no son exhaustivos. El objetivo es ofrecer “más control, más posibilidades de elección y más consentimiento del usuario, que tiene que estar mejor informado sobre lo que realmente se está haciendo con sus datos digitales”, afirma Nataliia Bielova, investigadora en INRIA. Ella explica que este conocimiento es esencial y un requisito previo para poder dar, o retener, el consentimiento del usuario para el procesamiento informático. El examen de las tecnologías de seguimiento y monitorización web permite a Bielova desarrollar herramientas fáciles de usar para los desarrolladores de servicios en línea.

“Las sanciones previstas en caso de incumplimiento deben animar a las empresas a contratar a personas que sean conscientes de estas reglas. Estas personas deberán garantizar que los sistemas de información de la empresa cumplan con ambas normativas al mismo tiempo”, indica.

Antes del RGPD, cada país de la Unión Europea traducía localmente las directivas aprobadas por el Parlamento Europeo y, después, por la Comisión Europea. El resultado era un conjunto de reglas muy heterogéneo. Además, las leyes nacionales y europeas se complementaban con las normas de las sucursales profesionales. Este cumplimiento adicional planteaba dificultades para la implementación de funciones o configuraciones específicas que se necesitaban para industrias especializadas, como los sectores financiero o sanitario. En respuesta, el RGPD ofrece regulaciones unificadas que se aplican a todos los estados miembros identificados en el documento.

9Libro Blanco Privacidad por diseño

Cifrado y protección del flujo de datos

En el nivel del intercambio digital, el cifrado y los protocolos de seguridad permiten añadir garantías de confidencialidad, autenticación e integridad. La seguridad de las comunicaciones se mejora a través de controles de acceso, por ejemplo, a través de la autenticación de usuarios mediante varios factores, como la biometría.

Estas tecnologías cada vez son más populares en el momento correcto. Ahora, los proveedores de contenido y servicios deben decidir la implementación en la arquitectura. El reglamento RGPD sugiere, pero no impone soluciones técnicas. En su lugar, destaca la responsabilidad de todos los grupos de interés en el sistema en relación con el respeto por la privacidad. Las medidas preventivas garantizan la integridad y la protección de la información, además de la transparencia de procesamiento, el consentimiento del usuario y el seguimiento regular de las solicitudes de confidencialidad.

“Idealmente, me gustaría tener garantías en cada paquete de software utilizado, incluidas las herramientas de verificación y certificados, que proclamen el respeto por la privacidad. Además, todas las reglas para obtener este sello de confianza deben ser transparentes”, apunta Nataliia Bielova.

El RGPD invita a las organizaciones

a demostrar soluciones de

seguridad electrónica que se

hayan implementado con éxito

para prevenir la filtración de datos

personales. Con Rainbow, sabemos

que el equipo de nuestro proveedor

de alojamiento es físicamente seguro

y el acceso lógico está protegido.

Además, probamos que estamos

implementando las más avanzadas

medidas de seguridad para proteger

los datos de nuestros clientes.

Esto les permite integrar estas

medidas en sus propias políticas

de seguridad. – Louis-Philippe Ollier

Qué cambiará la normativa ePrivacy

El derecho a evitar cualquier vigilancia electrónica es vital desde el punto de vista de la democracia , dice Marju Lauristin, eurodiputada, autora y ponente del reglamento ePrivacy, que sustituye a la directiva anterior (2002/58/CE). El 19 de octubre de 2017 se votó el texto en el Parlamento Europeo después de varias semanas de discusiones intensas. Su aplicación va a transformar las prácticas actuales en Internet. En concreto, el enfoque de Privacidad por diseño será necesario para crear nuevos servicios. No se permitirá la trazabilidad de los usuarios de Internet sin consentimiento previo. El cifrado será obligatorio cuando haya transferencia de datos y conversaciones privadas en Internet. Los proveedores de servicios o terceros que operen sin disposiciones para el consentimiento del usuario o sin parámetros de confidencialidad para las cookies pueden recibir sanciones equivalentes a los del RGPD, que representan hasta el cuatro por ciento de los ingresos totales o 20 millones de euros.

9

“

”

10Libro Blanco Privacidad por diseño

Reunión de los factores clave para una implementación satisfactoria En función de los datos tratados por la empresa, se pueden definir reglas especiales de almacenamiento, análisis y archivado. A continuación encontrará una revisión de las prácticas recomendadas para la implementación exitosa de una plataforma de colaboración de confianza.

La plataforma de comunicaciones unificadas y colaboración es una herramienta fundamental para la empresa.

Sin embargo, la amortización de la inversión solo se hace evidente con la inscripción de cada grupo de trabajo. Para que esto suceda, se debe consultar a los grupos de interés y se deben tener en cuenta y atender sus preocupaciones. El inicio del proyecto implica la consulta a todos los grupos de interés. Algunos empleados ya están familiarizados con la colaboración en tiempo real. Otros requieren apoyo y seguridad. Se debe alcanzar el consenso para definir los objetivos y los beneficios deseados del proyecto.

Una experiencia de usuario intuitiva

Las medidas de seguridad demasiado a menudo dificultan el uso regular de servicios nuevos e innovadores. Cuando se trata de trabajo colaborativo, la

experiencia de usuario debe seguir siendo intuitiva.

Por ejemplo, con Rainbow, iniciar un grupo nuevo (llamado burbuja), una audio o videoconferencia o una pantalla compartida es sencillo y efectivo de inmediato. Y no requiere asistencia técnica.

“Cuando los empleados firman un contrato de empleo, aceptan los términos de uso asociados al sistema de comunicación y colaboración de sus empleadores. En este contexto, no es necesario publicar un aviso para solicitar su consentimiento en cada sesión”, observa Luis-Felipe Ollier. Sin embargo, el tratamiento automático con el objetivo de crear perfiles de usuarios de Internet debe requerir el consentimiento del usuario. Mejor aún, incluso podría ser más conveniente usar datos anónimos.

En la parte administrativa de la solución, cada vez más opciones de configuración están pasando a ser accesibles para el usuario final. La combinación de

terminales utilizados y preferencias proporcionan muchas combinaciones posibles. El autoaprendizaje y autoservicio se pueden fomentar a través del uso de tutoriales y ayuda en línea que proporcionen prácticas recomendadas para el sistema.

En las organizaciones distribuidas por diferentes centros, es importante verificar la compatibilidad de la plataforma en función de los entornos aprobados por el departamento de TI, como, por ejemplo, la asignación de aplicaciones móviles para smartphones Android y tabletas IOS. Además, la solución de colaboración y el intercambio automático (PBX) dialogan a través de la API para facilitar la gestión de servicios de telefonía e intercambios en tiempo real. Esta evolución lleva a los equipos de diseño a un mayor control ascendente.

“Anteriormente, se desarrollaba un producto y después se probaba para validar la seguridad antes de su lanzamiento al mercado. Los modelos DevOps requirieron la implementación de

controles de seguridad en las primeras fases de diseño. Esto es importante para garantizar que los desarrolladores son conscientes de los requisitos de seguridad a lo largo de todas las

fases de diseño del proyecto. Nuestras industrias deben desarrollar un enfoque DevSecOps mediante la integración de equipos responsables de seguridad para un enfoque de diseño más integral”, afirma Vincent Lomba.

Un modelo de negocio flexible

La plataforma de colaboración debe ser adaptable, flexible, transparente y segura al mismo tiempo. El proveedor debe tener la base financiera, la durabilidad y la reputación necesarias, así como una red de partners cerca de donde la empresa opera, y ofrecer el mismo nivel de servicios.

La posibilidad de elegir una implementación de nube privada o, alternativamente, un modelo SaaS

11Libro Blanco Privacidad por diseño

(software como servicio) permite al cliente adoptar una plataforma de acuerdo con su actual estrategia financiera y de TI. El modelo SaaS permite al comprador reducir el TCO y transformar una inversión tradicional en una suscripción de servicio, con una facturación de tarifa por servicio. No hay ninguna inversión adicional en hardware que anticipe

los posibles incrementos en la demanda. La elasticidad de la nube permite invertir según lo que realmente utilizan los colaboradores. La administración de la solución queda en manos del proveedor de servicios de nube. En la modalidad de nube híbrida o privada, los gestores financieros y de TI pueden supervisar al detalle los usos y recursos que se consumen realmente.

Debido a la conformidad con los estándares principales del sector y la API propuesta, la plataforma de colaboración sigue siendo personalizable. El enfoque de privacidad por diseño facilita la composición de nuevos servicios seguros, desde la fase de diseño hasta su implementación en todos los centros. Otras ventajas son los flujos de trabajo automatizados, los procesos empresariales mejorados y una integración rápida de servicios web y aplicaciones empresariales.

Nuestros clientes esperan de

nosotros que respaldemos su

capacidad de lograr el cumplimiento

cuando utilizan nuestros productos

y servicios, lo que incluye soluciones

verticales para sectores como el

sanitario o el financiero, o para

mercados gubernamentales que

deben añadir sus propios requisitos

de seguridad. Los principios

del RGPD reclaman una mayor

consideración del uso del cifrado de

datos personales para su protección

y el uso de datos anónimos o

seudónimos en la creación de

arquitecturas y modelos de datos.– Vincent Lomba

11

El responsable de la protección de datos supervisa las acciones de protección

Mediante el nombramiento de un responsable de la protección de datos (DPO, por sus siglas en inglés), la empresa indica su deseo de tener un punto de contacto con autoridades como la CNIL en Francia. Este recurso interno se ocupa de llevar a la empresa hacia el cumplimiento y el mantenimiento del cumplimiento. El DPO debe asegurarse de lo siguiente: • Los grupos de interés internos y externos conocen y

entienden bien la normativa • Los datos personales se identifican y los procesos que

usan dichos datos se identifican y gestionan en el registro apropiado

• La empresa entiende, en función de la definición de los productos o servicios, la funcionalidad necesaria del servicio, los principios y los derechos de la persona afectada (el interesado)

• Todos los grupos de interés tienen acceso al DPO: los controladores de datos, los subcontratistas y las autoridades externas (por ejemplo, la CNIL en Francia).

Sin dejar de lado los retos económicos, legales y tecnológicos, el DPO se involucra frecuentemente con el responsable del sistema de información y los responsables de seguridad y producción de TI para implementar las medidas correctas mientras se garantiza la confidencialidad y la integridad

de la información. El DPO garantiza el cumplimiento con la normativa europea y propaga las buenas prácticas adoptadas por la rama corporativa de la empresa. De esta manera, el DPO ayuda a prever y gestionar posibles incidentes, por ejemplo, con la aprobación de nuevas medidas de vigilancia. En el día a día, el DPO y sus colegas trabajan para mejorar continuamente los niveles de seguridad y confidencialidad del sistema de información.

Au quotidien, le DPO et ses interlocuteurs améliorent continuellement les niveaux de sécurité et de confidentialité du système d informations.

“

”

12Libro Blanco Privacidad por diseño

Glosario

Responsabilidad: se refiere a la responsabilidad y al compromiso de la empresa con la autoridad pública para implementar el RGPD y garantizar que la implementación es efectiva y aplicable.

Como consecuencia, se refiere a la obligación de la empresa de implementar mecanismos internos y directrices para demostrar el cumplimiento de las reglas de protección de datos, incluida la gestión de crisis y las respuestas a la filtración de datos personales.

API: siglas en inglés de “interfaz de programación de aplicaciones”. El punto de entrada estándar para el software, que proporciona servicios internos a otros programas, a través de servicios web o a través de una biblioteca de clases, métodos o funciones documentadas.

BYOD: siglas en inglés de “traiga su propio dispositivo”. La práctica de llevar equipos de comunicaciones personales

12

(smartphone, tableta, portátil, objetos conectados) al entorno profesional. Los riesgos asociados, referentes a la seguridad de la red y la filtración de datos confidenciales, hacen que la empresa se vea obligada a abandonar dicha práctica en favor del enfoque COPE, que se define a continuación.

Cloud computing: una forma de reubicar la infraestructura, las plataformas informáticas y el software. Este modelo técnico y económico ofrece servicios de alquiler bajo demanda, funcionalidad de proceso y espacio de almacenamiento distribuido en servidores conectados a Internet.

CNIL: siglas de Commission Nationale Informatique et Libertés, una autoridad reguladora responsable de los reglamentos entre Francia y Europa (https://www.cnil.fr/sites/default/files/ atoms/files/plan_stategique.pdf).

El artículo 1 de la ley sobre la tecnología de la información y los derechos civiles afirma: “Cada persona tiene el derecho de decidir y controlar el uso de sus datos personales”.

COPE: siglas en inglés de “Corporate owned, personally enabled”, que designa dispositivos que son propiedad de la empresa pero están preparados para el uso personal. Esta práctica, que permite el acceso privado a un terminal que es propiedad de la empresa, es mejor que BYOD porque facilita el control y la supervisión de los dispositivos de conformidad con las normas de seguridad de la empresa.

Criptografía: disciplina que se ha diseñado para garantizar la confidencialidad, la autenticidad y la integridad de los mensajes mediante el uso de secretos o teclas secretas.

DPO: siglas en inglés de “responsable de la protección de datos”. El responsable de la protección de datos está al cargo de la implementación y el cumplimiento de la normativa europea en lo que respecta al tratamiento de los datos personales. Este puesto, asociado a veces con el departamento jurídico, puede ser desempeñado por el antiguo CIL (Correspondant Informatique et Libertés).

GDPR/RGPD: Reglamento General de Protección de Datos. Este reglamento europeo tiene como objetivo proteger los datos personales de los residentes en la UE y definir los principios y derechos aplicables. Por ejemplo, regula las transferencias de datos entre empresas. Dispone de más información en: http://eur-lex.europa.eu/legal.content/EN-FR/TXT/?uri=CELEX:32016R0679&from=FR

ePrivacy: directiva sobre la privacidad y las comunicaciones electrónicas, que busca proteger mejor los datos de navegación de los usuarios de Internet con un alto nivel de protección en toda Europa. Dispone de más información en: https://ec.europa.eu/digital-single.market/news/ eprivacy-directive

TI en las sombras: servicio de tratamiento de la información elegido, a veces, para poner a prueba un concepto, sin el consentimiento del departamento de sistemas de información. Sin garantía de disponibilidad o seguridad, introduce riesgos de inconsistencias, pérdida de datos y falta de cumplimiento.

Libro Blanco Privacidad por diseño

13Libro Blanco Privacidad por diseño

Las interacciones continuas y espontáneas son esenciales para la capacidad de respuesta de cualquier organización. Cuando los empleados están disponibles y su disponibilidad se muestra en su smartphone, ordenador o teléfono IP, esto puede facilitar el intercambio de conocimientos y mejorar la satisfacción de los partners y clientes. El actual entorno regulatorio (RGPD y ePrivacy) requiere dirección, que incluye la asignación y el tratamiento de los datos personales. Es importante que la empresa defina su propia clasificación de evaluación de impacto, que establezca sus propias reglas de seguridad y proporcione respuestas adecuadas para la protección de datos personales y confidenciales. La confianza digital no puede ser objeto de decreto. Se establece con los partners locales que pueden dar servicio a los clientes dondequiera que estén y que estén preocupados por el cumplimiento de la normativa europea.

Enlaces de utilidad

• Sitio web de Alcatel-Lucent Rainbow: https://www.openrainbow.com/

• Privacidad de datos de Alcatel-Lucent Rainbow: https://www.openrainbow.com/dataprivacy/

• Política de privacidad corporativa de ALE: https://www.al-enterprise.com/fr-fr/ documentation-juridique/politique-confidentialite

• Aplicación móvil Alcatel-Lucent Rainbow para IOS: https://itunes.apple.com/us/app/ale-rainbow/id1053514112

• Aplicación móvil Alcatel-Lucent Rainbow para Android: https://play.google.com/store/apps/details?id=com.ale.rainbow

Twitter: https://twitter.com/aluenterprise

LinkedIn: https://www.linkedin.com/company/alcatellucententerprise

13

Acerca de ALE

Somos ALE, Alcatel-Lucent Enterprise. Nuestra misión es conectarlo todo para crear las experiencias tecnológicas personalizadas que

necesitan los clientes. En sus instalaciones, en la nube o en un modelo mixto, proporcionamos soluciones de comunicación y red

eficaces para personas, procesos y clientes.

ALE es un proveedor líder de soluciones y servicios de red y comunicaciones, con tradición de innovación y dedicación al éxito

de los más de 830 000 clientes que tiene en todo el mundo. Debido a su presencia global y a sus operaciones locales, más de

2200 empleados y más de 2900 partners operan en más de 50 países bajo la marca Alcatel-Lucent Enterprise.

El nombre y el logotipo de Alcatel-Lucent son marcas registradas de Nokia utilizadas bajo licencia por ALE.

www.al-enterprise.com/es-es El nombre y el logotipo Alcatel-Lucent son marcas registradas de Nokia que se usan bajo licencia por ALE. Para saber de otras marcas utilizadas por las empresas filiales de ALE holding, visite: https://www.al-enterprise.com/es-es/legal/marcas-comerciales-copyright. Todas las demás marcas comerciales son propiedad de sus respectivos propietarios. La información incluida puede modificarse sin previo aviso. ALE Holding no asume ninguna responsabilidad por las posibles inexactitudes del contenido. © 2021 ALE International. Todos los derechos reservados. DID00031439ES (Enero 2021)

Libro Blanco Privacidad por diseño Enero 2021