Cumplir con las disposiciones clave de la Ley de Protección de Información Personal de Sudáfrica.

En noviembre de 2013, el Parlamento de la República de Sudáfrica promulgó la Ley de Protección de Información Personal de 2013 (POPIA):

Promover la protección de la información personal procesada por organismos públicos y privados; introducir ciertas condiciones para establecer requisitos mínimos para el procesamiento de información personal; disponer el establecimiento de un Regulador de la Información para ejercer determinadas facultades y realizar determinadas obligaciones y funciones en los términos de esta Ley y la Ley de Promoción del Acceso a la Información de 2000; prever la emisión de códigos de conducta; para garantizar los derechos de las personas con respecto a las comunicaciones electrónicas no solicitadas y la toma de decisiones automatizada; regular el flujo de información personal a través de las fronteras de la República; y para atender los asuntos relacionados con ellos.

Consecuencias potenciales del incumplimiento

Los artículos 100 a 106 de la Ley POPI tratan de los casos en que las partes se encontrarían “culpables de un delito”. Específicamente, la Sección 105 (Actos ilícitos de la parte responsable en relación con el número de cuenta) establece que "la parte responsable debe... haber sabido o debería haber sabido que... [una violación de la privacidad de los datos personales] probablemente causaría un daño sustancial o angustia al sujeto de datos ".

Además, la Sección 106 (Actos ilícitos de terceros en relación con el número de cuenta) establece que “una persona que, a sabiendas o imprudentemente, sin el consentimiento de la parte responsable... obtiene o divulga un número de cuenta de un sujeto de datos... o realiza la divulgación de un número de cuenta de un sujeto de datos a otra persona es... culpable de un delito ".

La sección 107 detalla qué sanciones se aplican a los delitos respectivos. Específicamente, “Toda persona condenada por un delito... está sujeta... a una multa o a una pena de prisión por un período no superior a 10 años, o tanto a una multa como a esa pena de prisión; o… a una multa o a una pena de prisión por un período no superior a 12 meses, o tanto a una multa como a esa pena de prisión”.

Como se detalla en la Sección 109 de la Ley, la multa máxima "no puede exceder los 10 millones de rand".

    Reglamento

    El siguiente material está extraído directamente de la Ley POPI de la República de Sudáfrica

    Medidas de seguridad sobre integridad y confidencialidad de la información personal

    19. (1) Una parte responsable debe asegurar la integridad y confidencialidad de la información personal en su posesión o bajo su control tomando medidas técnicas y organizativas apropiadas y razonables para prevenir:

    • pérdida, daño o destrucción no autorizada de información personal; y
    • acceso ilegal o procesamiento de información personal.

    Para dar efecto a la subsección (1), la parte responsable debe tomar medidas razonables para:

    • identificar todos los riesgos internos y externos razonablemente previsibles para la información personal en su posesión o bajo su control;
    • establecer y mantener salvaguardas adecuadas contra los riesgos identificados;
    • verificar periódicamente que las salvaguardias se apliquen de forma eficaz; y
    • garantizar que las salvaguardias se actualicen continuamente en respuesta a nuevos riesgos o deficiencias en las salvaguardias implementadas previamente.

    Medidas de seguridad relativas a la información procesada por el operador

    21. (1) Una parte responsable debe, en términos de un contrato escrito entre la parte responsable y el operador, asegurarse de que el operador que procesa la información personal para la parte responsable establece y mantiene las medidas de seguridad mencionadas en la sección 19.

    (2) El operador debe notificar a la parte responsable inmediatamente cuando existan motivos razonables para creer que alguna persona no autorizada ha tenido acceso o ha adquirido la información personal de un sujeto.

    Notificación de compromisos de seguridad

    22. (1) Cuando existan motivos razonables para creer que alguna persona no autorizada ha tenido acceso o ha adquirido la información personal de un sujeto, la parte responsable debe notificar;

    • El regulador; y
    • sujeto a la subsección (3), el sujeto de datos, a menos que no se pueda establecer la identidad de dicho sujeto de datos.

    (4) La notificación a un sujeto de datos... debe hacerse por escrito y comunicarse al sujeto de datos en al menos una de las siguientes formas:

    • Enviar por correo a la última dirección física o postal conocida del sujeto de datos;
    • enviado por correo electrónico a la última dirección de correo electrónico conocida del sujeto de datos;
    • colocado en una posición destacada en el sitio web del responsable;
    • publicado en los medios de comunicación; o
    • según lo indique el Regulador.

    Remedios civiles

    99. (1) Un sujeto de datos o, a solicitud del sujeto de datos, el Regulador, puede iniciar una acción civil por daños en un tribunal que tenga jurisdicción contra una parte responsable por el incumplimiento de cualquier disposición de esta Ley como se refiere en la sección 73, haya o no dolo o negligencia por parte de la parte responsable.

    (3) Un procedimiento de audiencia judicial en términos de la subsección (1) puede otorgar una cantidad que sea justa y equitativa, que incluye:

    • pago de daños y perjuicios como compensación por la pérdida patrimonial y no patrimonial que sufra un interesado como consecuencia del incumplimiento de las disposiciones de esta Ley;
    • daños agravados, en una cantidad determinada a criterio de la Corte;
    • intereses; y
    • costos de la demanda en la escala que determine la Corte.

    Cumplimiento

    Los HSM de Entrust nShield® pueden ayudarlo a cumplir con POPIA y evitar el requisito de notificación de violación de datos

    Si bien POPIA no tiene claro qué se considera acceso y adquisición de datos del sujeto, las regulaciones en todo el mundo que se ocupan de la protección de la información personal establecen que si los datos han sido seudonimizados o ilegibles para quien los haya recuperado ilegalmente, entonces la violación de datos no necesita ser informada; los datos confidenciales robados se han vuelto inútiles para los ladrones e inofensivos para el sujeto de datos.

    Los dos enfoques de mejores prácticas ampliamente aceptados para la seudonimización son el cifrado y la tokenización. Ambos emplean claves criptográficas para convertir texto sin formato en texto cifrado ilegible y viceversa. Si los 'ladrones cibernéticos' roban las claves junto con los datos cifrados o tokenizados, pueden volver a convertir los datos en texto sin formato. Por lo tanto, es esencial separar las claves de los datos que protegen y proporcionar seguridad adicional para las propias claves.

    Soluciones de Entrust para la seguridad de claves criptográficas

    La mejor práctica para la seguridad de claves criptográficas es almacenar esas claves en un módulo de seguridad de hardware (HSM). Los HSM de Entrust nShield son dispositivos de hardware reforzados y a prueba de manipulaciones que protegen los procesos criptográficos mediante la generación, protección y administración de claves que se utilizan para cifrar y descifrar datos, y crear firmas y certificados digitales. Estos HSM se prueban, validan y certifican con los más altos estándares de seguridad, incluidos FIPS 140-2 y Criterios Comunes. Los HSM de Entrust nShield permiten a las organizaciones:

    • Cumplir y superar los estándares regulatorios establecidos y emergentes para la privacidad de datos
    • Lograr altos niveles de seguridad de datos y confianza
    • Mantener altos niveles de servicio y agilidad empresarial

    nShield como servicio es una solución basada en la suscripción para generar, acceder y proteger el material de las claves criptográficas, separado de los datos confidenciales, utilizando los HSM de nShield Connect específicos certificados por FIPS 140-2 Nivel 3. La solución ofrece las mismas características y funcionalidades que los HSM en las instalaciones, combinados con los beneficios de una implementación de servicios en la nube. Esto les permite a los clientes cumplir con sus primeros objetivos en la nube y dejar el mantenimiento de estos dispositivos a los expertos de Entrust.

    Recursos

    Resumen de cumplimiento: POPIA de Sudáfrica

    La POPIA de Sudáfrica aborda la protección de la información personal junto con las multas y acciones civiles que pueden resultar de una infracción.

    Folletos: Folleto de la familia de los HSM de Entrust nShield

    Los módulos de seguridad de hardware (HSM) de nShield proporcionan un entorno reforzado y a prueba de manipulaciones indebidas para el procesamiento criptográfico seguro, la generación y protección de claves, el cifrado y mucho más. Disponibles en tres factores de forma certificados FIPS 140-2, los HSM de Entrust nShield admiten una variedad de escenarios de implementación.

    Hoja de datos: nShield como servicio

    nShield como servicio es una solución basada en la suscripción para generar, acceder y proteger el material de las claves criptográficas que utilizan los HSM de nShield Connect específicos certificados por FIPS 140-2 Nivel 3.

    Soluciones relacionadas

    Productos relacionados