RGPD y la cadena de suministro de contenidos

El RGPD y su impacto en la creación de contenidos, la traducción, la experiencia digital y la entrega

«El futuro digital de Europa solo se puede basar en la confianza. Si contamos con unos estándares comunes sólidos en materia de protección de datos, todo el mundo tendrá la seguridad de controlar su información personal», Andrus Ansip, vicepresidente del Mercado único digital, diciembre de 2015

Reglamento general de protección de datos de la Unión Europea (RGPD)

De acuerdo con los planes de la Comisión Europea para reformar la protección de datos y «adaptar Europa a la era digital», se creó el Reglamento general de protección de datos (RGPD), cuya legislación entra ahora en vigor.

El RGPD es la legislación de la Unión Europea (UE) diseñada para conceder a cada individuo un mayor control sobre sus datos personales: datos relativos a una persona identificada o identificable o, en otras palabras, datos que, por sí solos o junto a otros datos, permiten identificar a una persona.

El RGPD consiste en un conjunto de normas sobre el uso apropiado de los datos personales por parte de las empresas dentro y fuera de la UE y del Espacio Económico Europeo (EEE) con fines de marketing o venta de bienes y servicios, asegurando la protección, tratamiento y almacenamiento seguros de la información.  El objetivo es reforzar y unificar la privacidad de datos de los individuos de la UE y el EEE y aquellos del resto del mundo cuyos datos personales procesen empresas de la UE o el EEE. 

Si bien las perspectivas de cumplimiento del RGPD son algo desalentadoras, presenta la oportunidad de establecer una relación de confianza con los clientes (existentes y posibles), priorizándolos en tu estrategia de datos y ayudándote a prosperar en la nueva era digital.

Comprensión de la complejidad del RGPD

En la era de la comprensión, es bueno entender estas cuatro ideas clave del RGPD y lo que implican los datos personales y su tratamiento:

Datos personales

Información relativa a una persona física identificada o identificable.

Procesamiento

Operación o conjunto de operaciones realizadas en los datos personales o en conjuntos de datos personales.

Controlador de datos

Persona física o jurídica que determina los fines y los medios del tratamiento de los datos personales.

Procesador de datos

Persona física o jurídica que procesa los datos personales en nombre del controlador.

Hacer frente al desafío del RGPD

Para hacer frente al desafío del RGPD y asegurar los componentes necesarios para cumplirlo, el artículo 5 describe con claridad seis principios relativos a los datos personales y su tratamiento adecuado. El controlador de datos es el responsable del cumplimiento de estos principios, y debe ser capaz de hacerlo, así como de disponer de los medios para responder a solicitudes de cada individuo sobre sus datos.  No obstante, el controlador de datos puede basarse en las disposiciones del RGPD para restringir las respuestas a estas solicitudes.

  • Tratamiento legal, justo, y transparente en beneficio del interesado.
  • Recopilación con fines específicos, explícitos y legítimos, sin más tratamiento que el necesario para estos fines.
  • Garantía de tratamiento adecuado, relevante y limitado en lo necesario en relación con los fines del tratamiento ('minimización de los datos').
  • Garantía de precisión y, si es necesario, actualización.
  • Identificación de los interesados durante un período no superior al necesario con los fines del tratamiento de la información personal.
  • Tratamiento seguro de los datos personales.

Privacidad como punto de partida de manera predeterminada

El éxito en el trayecto del RGPD y la cadena de suministro de contenidos se logrará mediante la comprensión de los datos personales procesados, la implementación de los procesos adecuados y la transparencia con los clientes. En términos del trayecto de los contenidos, SDL cuenta con los medios para guiarte en la dirección correcta y prestarte apoyo con las medidas adecuadas para cumplir con el RGPD.

El RGPD exige legalmente a los controladores de datos la implementación de la «protección de datos como punto de partida de manera predeterminada», es decir, la gestión de la privacidad de los datos personales se vuelve fundamental en todo el ciclo de vida de los proyectos, desde la captura hasta la destrucción de los datos. 

Para proteger la privacidad como punto de partida en el desarrollo de nuestro software, hemos incluido la anonimización en los procesos y los sistemas de captura de datos, de acuerdo con los principios de desarrollo de software seguro. Gracias a los estándares alcanzados, las empresas más estrictas con la privacidad hoy en día usan nuestro software, incluidos los bancos, las agencias de inteligencia y las organizaciones gubernamentales, como parte integral de sus procesos para proteger la privacidad de los datos. 

Al usar software de SDL, tu empresa es el controlador de los datos personales procesados a través del mismo (in situ o en la nube). Si se usa nuestro software como servicio (SaaS), SDL será el controlador de datos en lo que respecta al almacenamiento o la transmisión de los datos personales. Para alcanzar la privacidad como punto de partida, nos aseguramos de que la implementación del SaaS tiene lugar en entornos seguros, con el fin de lograr una seguridad adecuada.

Nuestra promesa: Trayecto de los contenidos en el RGPD

En SDL, estamos comprometidos a ayudar a los clientes en el cumplimiento del RGPD, proporcionándote las funcionalidades necesarias y guiándote a través del proceso en la cadena de suministro de contenidos, desde la creación y la traducción hasta la entrega.  Proporcionamos una guía sobre el uso responsable de las funcionalidades de nuestro software con el fin de cumplir con el RGPD.

Si haces clic en los siguientes menús desplegables, obtendrás perspectivas sobre cómo puede ayudarte nuestro software.

Software y servicios de traducción de SDL

Lo primero es pensar en los problemas de privacidad de las personas que utilizan nuestro software. 

En línea con la privacidad como punto de partida, nuestro software de traducción minimiza los datos guardados sobre los usuarios. Además, confiere a los usuarios control sobre lo que se guarda, por ejemplo, permitiéndoles elegir un nombre de usuario que no les identifique sin referencia a la información que se guarda en cualquier otra parte (es decir, un seudónimo). 

Los problemas más complejos se centran en el tratamiento de los datos personales en los materiales que se van a traducir. 

En el caso de que incluyan datos personales, la forma más sencilla y fiable de aplicar el principio de privacidad como punto de partida es la siguiente:

  1. Anonimizar los datos en los contenidos durante la preparación de los archivos: En otras palabras, que un gestor de proyectos (o una función equivalente) sustituya los datos personales en el archivo de contenidos de origen con cadenas anonimizadas antes de pasar el archivo a un traductor, proveedor de servicios, o cualquier otro usuario.
  2. Eliminar el código al invertir la anonimización: Cuando finalice y se apruebe el contenido traducido con el seudónimo, el gestor de proyectos invierte el proceso e incluye los datos personales en la entrega final, según corresponda. A continuación, el gestor de proyectos elimina el código de anonimización de forma segura.

Por último, conviene recordar que el controlador de datos (la persona que asigna el software o los traductores a los contenidos) es el responsable de los datos de dichos contenidos y del cumplimiento del RGPD.   Esto va más allá de los medios con los que se rige nuestro software o los procesadores de datos, pero te ayudaremos en el cumplimiento con el RGPD a través de sencillas prácticas. 


¿Cómo anonimizar contenidos?

No hay forma de identificar automáticamente los datos personales para la anonimización con un 100 % de precisión sin supervisión humana. Pero hay ayuda disponible. Hemos desarrollado una aplicación, disponible de manera gratuita en la SDL AppStore, con la que podrás: 

  • Llevar a cabo búsquedas sofisticadas en los contenidos de origen mediante el uso de expresiones regulares (regex) que pueden indicar la presencia de datos personales. 
  • Sustituir identificadores específicos con elementos aleatorios. 
  • Revertir posteriormente la anonimización al aplicar la aplicación al archivo de destino. 

Para usar esta aplicación, es posible que debas exportar y convertir los archivos al formato XLIFF (en función del software que uses en la preparación de los archivos para la traducción). Para proteger los datos personales procesados a través del software de SDL, como tu propiedad intelectual y otra información confidencial, necesitas varios niveles de seguridad y controles de seguridad. 

Para evaluar si la cadena de suministro de traducción cumple con el RGPD, solicita la evaluación de SDL, especialmente diseñada para ayudar a las empresas con la identificación de las tecnologías y las medidas a implementar, con el fin de simplificar los esfuerzos de cumplimiento con el RGPD en el contexto del proceso de traducción y localización.


Traducción automática y datos personales

Los productos de traducción automática (MT) de software como servicio de SDL no almacenan permanentemente los contenidos de los clientes que se envían para su traducción. Los contenidos residen en estos servicios solo durante el tiempo necesario para la traducción. 

Si adquieres los servicios de traducción automática de SDL con adaptación de combinación de idiomas entrenada con tu contenido traducido, asegúrate de que no hay datos personales en los contenidos del aprendizaje. Puede que tengas que anonimizar los datos de aprendizaje para asegurarte de que no contienen datos personales.

SDL Tridion DX (SDL Tridion Sites y SDL Tridion Docs) y privacidad como punto de partida

Los clientes de SDL Tridion Sites o SDL Tridion Docs, ambos parte del paquete SDL Tridion DX, deben revisar la implementación para cumplir con el RGPD y asegurar las prácticas recomendadas en materia de privacidad, seguridad y cifrado. En términos de documentación y contenidos, el sitio web debería incluir tus normas actuales de privacidad, así como informar a los visitantes cuando se recopilen datos personales, solicitando el consentimiento explícito si es necesario. Por otro lado, considera la posibilidad de permitir a los visitantes:


  • Dar consentimiento explícito para el tratamiento de los datos personales en el momento correspondiente o durante el proceso de registro.
  • Gestionar preferencias a través de un centro de preferencias de autoservicio.
  • Darse de baja, retirar el consentimiento u oponerse al tratamiento de los datos.

Los avisos legales ayudarán a establecer el tono y las expectativas adecuados con los visitantes en el sitio web y, si buscas crear una nueva web mediante la reutilización de las nuevas tecnologías con efectos en la privacidad de cada individuo o supervisar en tiempo real la actividad relativa a los datos personales, asegúrate de completar una evaluación de impacto en la protección de datos, con el fin de añadir las medidas de privacidad apropiadas. Además, sé transparente en materia de seguridad, códigos de conducta y certificaciones, y minimiza los riesgos a través de copias de seguridad y formaciones en privacidad para las principales partes interesadas.

SDL Tridion Sites, en concreto, te permite usar todas las funciones mientras tratas los datos personales. No obstante, estas funciones relacionadas con el contexto, la optimización de la experiencia o la racionalización del visitante, se deben llevar a cabo con cuidado. Estas funciones incluyen:

  • Ambient Data Framework
  • Context Cartridge
  • Audience Manager
  • Aceleradores y conectores de CRM
  • Contenido generado por el usuario
  • Planificación
  • Plantillas contextuales
  • API de entrega de contenidos
  • Optimización de la experiencia

Para comprender mejor el uso de estas funciones en cumplimiento con el RGPD, echa un vistazo a nuestro seminario web o recurre a tu contacto de asistencia local de Tridion.   También podrás encontrar más información sobre el RGPD y SDL Tridion DX en los blogs de nuestra comunidad, aquí.

Seguridad en la protección de datos

Seguridad de infraestructura 

SDL cuenta con la seguridad adecuada para proporcionar confidencialidad, integridad y seguridad en los datos. Usamos los procesos de seguridad más estrictos con el fin de garantizar la seguridad de los datos.

En las implementaciones del software de SDL in situ, la infraestructura es tu responsabilidad. Tu departamento de TI deberá garantizar el nivel adecuado de seguridad en los servidores y los equipos con el software de SDL en función del riesgo (evaluado por el controlador de datos). 

Para el software y los servicios alojados por SDL (en la nube), SDL es el procesador de datos y se compromete a ofrecer los más altos estándares de seguridad de la infraestructura. Mientras que los productos gestionados por SDL se implementan en el servicio en la nube de un proveedor de servicios, cumpliendo los estándares de infraestructura y servicios ISO27001, ISO9001, ISO27018, etc., los sitios web de SDL se gestionan conforme al código de prácticas recomendadas ISO 27002, otros conforme al estándar ISO 27001, certificación que estamos ampliando activamente. 

Ofrecemos un alto nivel de flexibilidad para cumplir los requisitos de seguridad del cliente. No dudes en contactar con nosotros acerca de este tema. Más allá de los controles de seguridad básicos que acordemos contigo, también ofrecemos funciones de seguridad avanzadas opcionales a través de una oferta de seguridad gestionada.

Si se produce un robo de datos 

Respecto a nuestro software basado en la nube, si quieres que detectemos y notifiquemos de forma activa los robos de datos que deben notificarse de conformidad con el RGPD, habla con nosotros sobre el proceso de gestión de incidentes de seguridad, diseñado en línea con el estándar ISO 27035. 

Desarrollo de software seguro 

La seguridad nunca es un concepto que se plantea después en nuestro proceso de desarrollo. Implicamos a los ingenieros y arquitectos de seguridad desde el principio, y seguimos un plan para los niveles de infraestructuras, aplicaciones y bases de datos que incluye evaluaciones de riesgos específicas, desarrollo de control de seguridad y pruebas de seguridad para garantizar que la seguridad adecuada y fiable se incorpora en el software.

Perspectivas sobre los entornos en la nube

El equipo de operaciones en la nube de SDL colabora estrechamente con los equipos y arquitectos de desarrollo para implementar soluciones centradas en la privacidad y la seguridad de los datos, y adoptamos para ello los principios de privacidad como punto de partida. Para el software y los servicios alojados por SDL (basados en la nube), SDL es el procesador de datos y se compromete a ofrecer los más altos estándares de seguridad de la infraestructura. Mientras que los productos gestionados por SDL se han implementado en un proveedor de servicios en la nube que mantiene infraestructuras y servicios que cumplen con los estándares SOC (1, 2 y 3) e ISO (27001, 9001, 27018, etc.), los sitios web de SDL se gestionan conforme a las prácticas recomendadas ISO 27002, y algunos cuentan con la certificación ISO 27001. SDL está ampliando activamente la certificación ISO 27001.

Para adoptar una posición proactiva en cuanto a la seguridad y la privacidad de los datos en la nube, SDL recomienda: 

  • Establecer una certificación ISO: establece controles en cada etapa del proceso del ciclo de vida de los contenidos, protege los datos, proporciona registros de auditoría y describe los procesos de respuesta en caso de que se produzca un problema de seguridad. 
  • Establecer una gestión de la configuración y una rastreabilidad de los datos adecuadas: comprende los datos/clientes relacionados con cada servidor que supervisas para garantizar una transparencia completa. 
  • Preparar una política, un conjunto de herramientas y una planificación de seguridad completos:
        - Menor grado de acceso
        - Política completa de gestión de accesos e identidades
        - Autenticación multifactor y multinivel cuando proceda
        - Política de contraseñas seguras: auditoría periódica de todos los registros de acceso y las cuentas inactivas
        - Revisión periódica de las políticas y herramientas con un responsable de privacidad de datos y un consejo de seguridad para definir la planificación continua 
  • Establecer la detección/prevención de intrusos, cuando esté disponible. 
  • Garantizar el cifrado de datos en movimiento y en reposo, cuando sea posible. 
  • Garantizar que el personal encargado de la nube recibe formación obligatoria en materia de protección/privacidad de datos. 
  • Garantizar que los centros de datos o los proveedores de alojamiento cuentan con los certificados relevantes y ofrecen las funciones de seguridad obligatorias. 
  • Comprender y explicar tus políticas de retención de datos, y realizar controles de gestión de los datos almacenados a raíz de la realización de copias de seguridad.
        - Cuenta con un procedimiento de borrado seguro y completo. 
  • Garantizar que los datos activos se pueden rastrear, bloquear, descargar, corregir o borrar.
Seminarios web y presentaciones
Infografías
Blogs

SDL ha integrado la privacidad de los datos y el RGPD en el núcleo de todo lo que hacemos

Como experta en experiencias digitales y pionera en la creación de un excelente trayecto del cliente, SDL ha integrado la privacidad de los datos y el RGPD en el núcleo de todo lo que hacemos, lo que garantiza:

  • Tratamiento justo y legal de los datos personales
  • Seguridad en el almacenamiento de datos
  • Denuncia ante filtraciones de datos
  • Mantenimiento de la información solo el tiempo necesario
  • Mantenimiento de registros de los individuos que acceden a los datos
  • Divulgación de datos cuando se solicite