Cumpla disposiciones clave de la Ley de Protección de Información Personal de Sudáfrica.

En noviembre de 2013, el Parlamento de la República de Sudáfrica promulgó la Ley de Protección de Información Personal de 2013 (POPIA):

Promover la protección de la información personal procesada por organismos públicos y privados; introducir requisitos mínimos para el procesamiento de información personal; disponer de un Regulador de la Información para ejercer determinadas facultades y realizar determinadas obligaciones y funciones en los términos de esta Ley y la Ley de Promoción del Acceso a la Información de 2000; prever la emisión de códigos de conducta; garantizar los derechos de las personas con respecto a las comunicaciones electrónicas no solicitadas y la toma de decisiones automatizada; regular el flujo de información personal a través de las fronteras de la República; y atender los asuntos relacionados.

Consecuencias potenciales del incumplimiento

Los artículos 100 a 106 de la Ley POPI tratan casos donde las partes se encontrarían “culpables de un delito”. Específicamente, la Sección 105 (Actos ilícitos de la parte responsable en relación con el número de cuenta) establece que "la parte responsable debe... haber sabido o debería haber sabido que... [una violación de la privacidad de los datos personales] probablemente causaría un daño sustancial o angustia al titular de los datos ".

Además, la Sección 106 (Actos ilícitos de terceros en relación con el número de cuenta) establece que “una persona que, a sabiendas o imprudentemente, sin el consentimiento de la parte responsable... obtiene o divulga un número de cuenta de un sujeto de datos... o realiza la divulgación de un número de cuenta de un sujeto de datos a otra persona es... culpable de un delito ".

La sección 107 detalla qué sanciones se aplican a los delitos respectivos. Específicamente, “Toda persona condenada por un delito... está sujeta... a una multa o a una pena de prisión por un período no superior a 10 años, o tanto a una multa como a esa pena de prisión; o… a una multa o a una pena de prisión por un período no superior a 12 meses, o tanto a una multa como a esa pena de prisión”.

Como se detalla en la Sección 109 de la Ley, la multa máxima "no puede exceder los 10 millones de rand".

    Reglamento

    El siguiente material está directamente extraído de la Ley POPI de la República de Sudáfrica

    Medidas de seguridad sobre integridad y confidencialidad de la información personal

    19. (1) Una parte responsable debe asegurar la integridad y confidencialidad de la información personal en su posesión o bajo su control tomando medidas técnicas y organizativas apropiadas y razonables para prevenir:

    • pérdida, daño o destrucción no autorizada de información personal; y
    • acceso ilegal o procesamiento de información personal.

    Para dar efecto a la subsección (1), la parte responsable debe tomar medidas razonables para:

    • identificar todos los riesgos internos y externos razonablemente previsibles para la información personal en su posesión o bajo su control;
    • establecer y mantener salvaguardas adecuadas contra los riesgos identificados;
    • verificar periódicamente que las salvaguardias se apliquen de forma eficaz; y
    • garantizar que las salvaguardas se actualicen continuamente en respuesta a nuevos riesgos o deficiencias en las salvaguardas implementadas previamente.

    Medidas de seguridad relativas a la información procesada por el operador

    21. (1) Una parte responsable debe, en términos de un contrato escrito entre la parte responsable y el operador, asegurarse de que el operador que procesa la información personal para la parte responsable establece y mantiene las medidas de seguridad mencionadas en la sección 19.

    (2) El operador debe notificar inmediatamente a la parte responsable cuando existan motivos razonables para creer que alguna persona no autorizada ha tenido acceso o ha adquirido la información personal de un sujeto.

    Notificación de compromisos de seguridad

    22. (1) Cuando existan motivos razonables para creer que alguna persona no autorizada ha tenido acceso o ha adquirido la información personal de un sujeto, la parte responsable debe notificar;

    • El regulador; y
    • sujeto a la subsección (3), el sujeto de datos, a menos que no se pueda establecer la identidad de dicho sujeto de datos.

    (4) La notificación a un sujeto de datos... debe hacerse por escrito y comunicarse al sujeto de datos en al menos una de las siguientes formas:

    • Enviar por correo a la última dirección física o postal conocida del sujeto de datos;
    • enviado por correo electrónico a la última dirección de correo electrónico conocida del sujeto de datos;
    • colocado en una posición destacada en el sitio web del responsable;
    • publicado en los medios de comunicación; o
    • según lo indique el Regulador.

    Remedios civiles

    99. (1) Un sujeto de datos o, a solicitud del sujeto de datos, el Regulador, puede iniciar una acción civil por daños en un tribunal que tenga jurisdicción contra una parte responsable por el incumplimiento de cualquier disposición de esta Ley como se refiere en la sección 73, haya o no dolo o negligencia por parte de la parte responsable.

    (3) Un procedimiento de audiencia judicial en términos de la subsección (1) puede otorgar una cantidad justa y equitativa que incluya:

    • pago de daños y perjuicios como compensación por la pérdida patrimonial y no patrimonial que sufra un interesado como consecuencia del incumplimiento de las disposiciones de esta Ley;
    • daños agravados, en una cantidad determinada a criterio de la Corte;
    • intereses; y
    • costos de la demanda en la escala que determine la Corte.

    Cumplimiento

    Los HSM Entrust nShield® le permiten cumplir la ley POPIA sin el requisito de notificación de filtración de datos

    La ley POPIA no aclara qué se considera acceso y adquisición de datos del titular. No obstante, regulaciones de todo el mundo sobre protección de información personal establecen que no es necesario notificar la filtración de datos seudonimizados o ilegibles para quien los ha obtenido ilegalmente. En este caso, el robo de datos confidenciales es inútil para los ladrones e inofensivo para el titular de los datos.

    Los dos enfoques de mejores prácticas ampliamente aceptados para seudonimización son el cifrado y la tokenización. Ambos emplean claves criptográficas para convertir texto sin formato en texto cifrado ilegible y viceversa. Si 'ladrones cibernéticos' roban las claves junto con los datos cifrados o tokenizados, pueden volver a convertir los datos en texto. Por tanto, es esencial proporcionar seguridad adicional para las claves y separarlas de los datos cifrados.

    Soluciones Entrust para la seguridad de claves criptográficas

    La mejor práctica para proteger claves criptográficas es almacenarlas en un módulo de seguridad hardware (HSM). Los HSM Entrust nShield son dispositivos hardware reforzados y a prueba de manipulaciones para proteger procesos criptográficos. Los HSM nShield generan, protegen y administran claves para cifrar y descifrar datos, crear firmas y emitir certificados digitales. Estos HSM se prueban, validan y certifican con rigurosos estándares de seguridad como FIPS 140-2 y Common Criteria. Con los HSM Entrust nShield, las organizaciones:

    • Cumpla y supere regulaciones sobre privacidad de datos
    • Lograr altos niveles de seguridad de datos y confianza
    • Mantener altos niveles de servicio y agilidad empresarial

    nShield como servicio es una solución basada en suscripción para generar, acceder y proteger claves criptográficas mediante HSM nShield Connect certificados FIPS 140-2 Nivel 3. La solución ofrece las mismas características y funcionalidades que HSM locales y añade los beneficios de un despliegue en la nube. De este modo, los clientes cumplen sus primeros objetivos en la nube y confían el mantenimiento de los dispositivos a expertos de Entrust.

    Recursos

    Informe de cumplimiento: Ley POPIA de Sudáfrica

    La ley POPIA de Sudáfrica aborda tanto la protección de la información personal como las multas y acciones civiles que pueden resultar de una infracción.

    Folletos: Folleto sobre la familia de HSM Entrust nShield

    Los módulos de seguridad hardware (HSM) nShield proporcionan un entorno reforzado y a prueba de manipulaciones para procesamiento criptográfico seguro, generación y protección de claves, cifrado y mucho más. Disponibles en tres factores de forma certificados FIPS 140-2, los HSM Entrust nShield soportan diferentes despliegues.

    Ficha técnica: nShield como servicio

    nShield como servicio es una solución basada en suscripción para generar, acceder y proteger claves mediante HSM nShield Connect certificados FIPS 140-2 Nivel 3.

    Soluciones relacionadas

    Productos relacionados