Jordi Gascón, Director de Preventas de Seguridad, CA Technologies EMEA, nos ofrece más detalles sobre las normativas de protección de datos a punto de entrar en vigor oficialmente.
Con la entrada en vigor de las normativas PSD2 (Payment Service Directive revised) y GDPR (General Data Protection Regulation), 2018 se está convirtiendo en un año de importantes cambios. Estas normativas propugnadas desde la Unión Europea tienen un profundo impacto en los procesos y sistemas de información de las organizaciones, que deben afanarse para responder a los retos organizativos y tecnológicos que presenta cumplir adecuadamente con los requisitos de estas normativas.
¿Cuál es la motivación de estas normativas que, en un primer momento, pueden parecer hasta contradictorias?
Para la Unión Europea, la PSD2 “tiene por objetivo mejorar las normas existentes en la UE para los pagos electrónicos. Tiene en cuenta los servicios de pago nuevos e innovadores, como los pagos por móviles y por internet”.
En cuanto a GDPR, “establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”.
Es decir, por una parte, la PSD2 obliga a los bancos a abrir sus sistemas y compartir datos de sus clientes con terceras partes que puedan ofrecer servicios de pagos innovadores, y por otra, GDPR introduce nuevas restricciones al uso de los datos personales de esos mismos clientes.
Aunque esto nos parezca contradictorio, en la práctica no lo es. En realidad, el acceso a datos personales dependerá de tres factores clave: confianza, contexto y consentimiento, pero, en cualquier caso, el control estará en manos del consumidor/ciudadano, que decidirá cuáles son los datos que quiere compartir y con quién. Intentaré explicarlo con ejemplos.
Si tengo que ausentarme de casa unas horas, puedo necesitar que alguien cuide de mis hijos. A quién le puedo solicitar esta ayuda depende de varios factores, pero sobre todo de la confianza. Y habrá distintos grados de confianza: desde la familia directa, que suele ser confianza de grado máximo, hasta servicios de guardería. En este último caso, la confianza suele venir de la recomendación de otros sujetos de mayor confianza, como familiares, vecinos, amigos.
El hecho de que una aplicación móvil rastree mi localización y envíe información de mi posición exacta, como ciudadano me puede parecer beneficiosa en un caso, pero perjudicial en otro, dependerá del contexto. Si sufro una caída durante una excursión y la aplicación es capaz de enviar mis coordenadas a emergencias médicas para que me envíen ayuda, será claramente beneficioso.
A la conclusión que quiero llegar con estos ejemplos es que compartir datos personales ni es malo ni es bueno. Todo depende del tercer factor: hacerlo con la adecuada base legal para el procesamiento, que en muchas ocasiones estará basado en nuestro consentimiento.
La regulación GDPR describe claramente en diferentes artículos (Recital 32, 42, 43 y arts. 6, 7 y 8) que ese consentimiento para el procesamiento de los datos personales debe ser explícito e informado y especifica cómo debe ser recabado.
Claramente estas normativas no se contradicen, más bien se complementan y además devuelven a los ciudadanos/consumidores el control del acceso a sus datos personales, como ya hemos visto.
Confianza, contexto y consentimiento en el entorno digital: el papel de la tecnología
La creciente dependencia de la sociedad en la tecnología hace evidente la importancia de gestionar adecuadamente las “identidades digitales” de los ciudadanos / consumidores, máxime con los nuevos requisitos de compartir información entre diferentes actores.
Mientras que estas normativas buscan poner en el centro al ciudadano/ consumidor, lo cierto es que hasta ahora los sistemas informáticos en general han sido diseñados con modelos muy centrados en las transacciones. Por eso, para cumplir con las normativas, las empresas deberán adaptar sus procesos y sus sistemas.
La tecnología puede ayudar. Las soluciones de seguridad de gestión de identidades, autenticación avanzada basada en contexto y riesgo, seguridad y monitorización de las interfaces de programación usadas para el intercambio de datos (API), federación de identidades y otras tecnologías de seguridad serán imprescindibles para garantizar que las normativas se aplican e implementan de la manera correcta.
Así, desplegar soluciones de gobierno de identidades nos ayudará a conocer quién puede acceder a qué información y asegurarnos de que solamente pueden acceder a ella los usuarios adecuados. El control de usuarios privilegiados permitirá evitar que usuarios administradores o con mayor nivel de acceso a los sistemas abusen de sus derechos de acceso. Las soluciones de autenticación avanzada nos ayudarán a proteger a los usuarios garantizando que, una vez se ha probado de manera fehaciente su identidad, puede ejercer sus derechos recogidos en estas regulaciones y directivas.
Con el uso de este tipo de soluciones tecnológicas las organizaciones podrán prepararse para PSD2 y GDPR y dar cumplida respuesta a los retos tecnológicos que deben resolver para devolver el control de los datos personales a sus propietarios.
