3098210

Els tres pilars de la seguretat

Integritat: El diccionari defineix el terme com a ‘estat de què està complet o té totes les seves parts’. La integritat fa referència a la qualitat de la informació per a ser correcta i no haver estat modificada, mantenint les seves dades exactament tal qual van ser generades, sense manipulacions ni alteracions per part de tercers. Aquesta integritat es perd quan la informació es modifica o quan part d’ella s’elimina, i una garantia per a mantenir-la intacta és la signatura digital.


Un aspecte relacionat amb la integritat és l’autenticació, qualitat que permet identificar al generador de la informació i que s’aconsegueix amb els correctes accessos d’usuari i amb altres sistemes com l’esmentada signatura electrònica. Per a alguns, fins i tot, l’autenticació seria el ‘quart pilar’ de la Seguretat de la Informació.

Confidencialitat: Per confidencialitat entenem la qualitat de la informació per a no ser divulgada a persones o sistemes no autoritzats. Es tracta bàsicament de la propietat per la qual aquesta informació només resultarà accessible amb la deguda i comprovada autorització.

Com es perd aquesta confidencialitat? Generalment, fent cas omís a les recomanacions de seguretat o no implantant un sistema adequat; així, quan compartim equips sense eliminar les contrasenyes, oblidem tancar el nostre usuari, llancem un disc dur sense esborrar abans les seves dades o no xifrem les dades de manera adequada, la informació deixa de ser confidencial i entrem, diguem, en una zona d’alt risc.

Disponibilitat: El tercer i últim pilar de la Seguretat de la Informació és la disponibilitat, i és possiblement el terme que menys apreciacions requereix. Per disponible entenem aquella informació a la qual podem accedir quan la necessitem a través dels canals adequats seguint els processos correctes.

Aquesta característica, la disponibilitat, pot a vegades xocar frontalment amb la confidencialitat, ja que un xifratge complex o un sistema d’arxivat més estricte pot convertir la informació en una cosa poc accessible, per la qual cosa no es tracta en absolut d’un punt menor i marca en gran manera el bon fer del responsable de la seguretat de la informació de l’empresa o organització.

privacitat

Drets de l’interessat

La LQPD – RGPD recull els quatre drets fonamentals coneguts com a drets ARCO:

Accés: el dret que tenen els ciutadans al fet que els responsables del tractament de dades l’informin si estan tractant informació personal que el concerneix i, en cas de resposta afirmativa, quines són aquestes dades i de quina manera s’estan tractant.

Rectificació: és un dret que permet als ciutadans sol·licitar la modificació d’informació falsa o inexacta sobre la seva persona.

Cancel·lació: aquest dret permet l’eliminació de les dades que resultin inadequades o excessives respecte a l’interessat. Com veurem més endavant amb la LQPD aquest dret a passat a anomenar-se dret de supressió (que inclou el dret a l’oblit).

Oposició: els ciutadans poden oposar-se al tractament de les seves dades personals en una sèrie de supòsits com el màrqueting directe o l’elaboració de perfils.

Amb  el nou reglament aquests drets s’amplien amb:

Limitació: aquest dret atorga als interessats ​​el dret a limitar el tractament de dades personals sobre ells en determinades circumstàncies. Això significa que un interessat pot limitar la forma en què una organització utilitza les dades sobre ell. És una alternativa a sol·licitar l’esborrat de dades.

Portabilitat: es refereix a la potestat de l’individu per a rebre les dades personals que hagi facilitat a un responsable del tractament i transmetre’ls a altres responsables sense que l’anterior ho pugui impedir. Les dades li han de ser facilitades en un format estructurat, d’ús comú i lectura mecànica.

Supressió (i oblit): l’interessat té dret a revocar el consentiment prestat anteriorment i d’aquesta manera sol·licitar a les companyies que eliminin les dades personals de les quals són titulars, que obrin en el seu poder. Complementàriament el dret a l’oblit facilita a l’interessat la possibilitat de requerir que les seves dades personals ‘desapareguin’ o ‘no deixin rastre en la Xarxa’. El dret de supressió implica eliminar les dades personals del sol·licitant de qualsevol registre, físic o digital, en el qual puguin constar. Mentre que el dret a l’oblit se circumscriu a eliminar els enllaços o resultats de cerca que relacionin les dades personals del sol·licitant amb una notícia o registre.

Altres millores en la seguretat de les dades personals introduïdes per la LQPD – RGPD:

Aplicació territorial: els usuaris europeus podien trobar problemes quan contractaven serveis d’una empresa establerta fora de la Unió Europea. Amb el Reglament General de Protecció de Dades s’amplia la seva aplicació territorial a qualsevol empresa, independentment d’on estigui establerta.

Polítiques de privacitat: s’han de presentar de forma clara i senzilla, perfectament intel·ligibles per l’interessat. A més als llocs webs s’ha d’incloure una gestió de galetes on l’usuari pugui triar quines accepte.

Consentiment: l’agrupació de consentiments per a diferents tipus de tractament ja no estarà permesa. Cada tipus de tractament necessitarà la seva pròpia autorització. A més, el servei ofert no podrà estar supeditat a l’acceptació de tots els consentiments, si aquests no són estrictament necessaris per a garantir-lo.

El consentiment ha de ser tant fàcil de revocar com de donar-lo. Els interessats han de poder exercir els seus drets de forma fàcil i gratuïta.