Glosario
Qué es el RGPD (GDPR) — las normas de protección de datos de la UE y el deber de notificar filtraciones
El GDPR (el Reglamento General de Protección de Datos de la UE) es una ley integral que protege los datos personales de las personas en la UE. Explicamos a quién aplica, qué exige — minimización de datos, consentimiento, notificación de filtraciones, multas cuantiosas — y lo básico de la defensa: recopilar y guardar solo los datos personales que realmente necesitas.
El GDPR es la ley de datos personales que hay que conocer si das servicio a usuarios de la UE. «Ley difícil», solemos pensar, pero lo que un técnico hace en la práctica es de la misma tela que la defensa diaria: reducir los datos personales que recopila, cifrarlos, limitar con la autorización quién puede tocarlos y poder detectar una filtración con rapidez. Aquí tienes lo esencial y lo básico de la defensa en términos técnicos y de operación — sin pasos de ataque.
Qué exige
Más allá del detalle legal, céntrate en los pilares de operación que realmente funcionan como defensa.
No los recopiles ni los guardes (minimización de datos)
Recopila y conserva solo los datos personales mínimos que tu fin necesite. Los datos que no guardas no pueden filtrarse — la defensa más fuerte. Bórralos cuando ya no hagan falta.
Protégelos (cifrado, control de acceso)
Cifra los datos personales y limítalos a «solo quienes pueden tocarlos» mediante la autorización. Mantén los secretos fuera de la superficie pública (→ mantén los secretos fuera de directorios públicos).
Detecta y notifica (la regla de las 72 horas)
Detecta una filtración con rapidez y guarda registros para rastrear su impacto. Ten preparado poder notificar a la autoridad en unas 72 horas. Sin detección, no puedes cumplir el deber.
'No es relevante' no es una suposición segura
El GDPR puede aplicar esté donde esté ubicado un negocio si ofrece bienes/servicios a personas en la UE o monitoriza su comportamiento. Si das servicio a usuarios de la UE o manejas sus datos personales, 'no somos una empresa de la UE' no lo vuelve irrelevante. Un punto de partida práctico es un inventario de qué datos personales guardas y por qué.
La visión de este sitio: cumplimiento y defensa apuntan en la misma dirección
Los requisitos del GDPR apuntan en la misma dirección que la defensa que predica este sitio: minimizar los datos personales, cifrarlos, limitarlos con la autorización y poder detectar y registrar una filtración. No es solo por la ley — es la forma básica de tener menos incidentes. Tratar la regulación como «una revisión de tus defensas» en lugar de «carga extra» es la postura realista para una operación pequeña.
Sigue leyendo
- Fundamentos: autenticación vs autorización (limitar los datos a su propietario) · la lista de verificación mínima de seguridad
- Glosario: criptografía de clave pública · PCI DSS (otro estándar para datos sensibles)
- Relacionado: OWASP Top 10 · la historia de la seguridad (cronología)
Fuente
- Comisión Europea — GDPR (oficial): commission.europa.eu
FAQ
Q¿Aplica el GDPR a los negocios fuera de la UE?
Puede aplicar. El GDPR puede aplicar esté donde esté ubicado un negocio si ofrece bienes o servicios a personas en la UE, o si monitoriza su comportamiento. Si das servicio a usuarios de la UE o manejas sus datos personales, es posible que estés dentro del alcance — 'no somos una empresa de la UE' no significa automáticamente 'no es relevante'.
Q¿Cuál es lo técnicamente esencial del GDPR?
A grandes rasgos: (1) obtener una base legal (p. ej. consentimiento) y declarar un fin claro; (2) recopilar y guardar solo los datos mínimos necesarios (minimización de datos); (3) proteger los datos personales con cifrado y control de acceso; (4) poder atender solicitudes de acceso/supresión; (5) poder detectar una filtración con rapidez y notificar a la autoridad, por lo general en 72 horas.
Q¿Qué hago si hay una filtración?
Bajo el GDPR, por lo general debes notificar a la autoridad de control en un plazo de 72 horas desde que tienes conocimiento de una filtración de datos personales (y a veces a las personas afectadas). Precisamente por eso necesitas poder detectar un incidente con rapidez y tener registros para rastrear su alcance. Sin detección ni registros, ni siquiera puedes cumplir el deber de notificación.