¿Qué es RGPD?
El Reglamento General de Protección de Datos (RGPD) es una ley integral de protección de datos promulgada por la Unión Europea que regula cómo las organizaciones recopilan, tratan, almacenan y comparten los datos personales de las personas dentro de la UE y el Espacio Económico Europeo.
También conocido como: GDPR, General Data Protection Regulation
El RGPD establece siete principios fundamentales para el tratamiento de datos: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva. El reglamento otorga a las personas derechos significativos sobre sus datos, incluidos el derecho de acceso, de rectificación, de supresión («derecho al olvido»), de portabilidad de los datos y de oposición al tratamiento.
El principio de integridad y confidencialidad (artículo 5.1.f) exige que los datos personales se traten con «una seguridad adecuada», incluida la protección contra el acceso no autorizado, la pérdida accidental o la destrucción. El artículo 32 ordena específicamente que las organizaciones implementen medidas técnicas proporcionadas al riesgo, nombrando explícitamente el cifrado y la seudonimización como medidas adecuadas. Las brechas de datos deben notificarse a las autoridades de control en un plazo de 72 horas, con posibles multas de hasta el 4 % de la facturación anual global o 20 millones de euros.
Los principios de minimización de datos y limitación del plazo de conservación del RGPD tienen implicaciones directas en cómo las organizaciones manejan las credenciales y los secretos. Mantener contraseñas, claves de API o tokens de acceso en hilos de correo o registros de chat persistentes crea almacenes innecesarios de datos que deben protegerse y, finalmente, eliminarse. Las organizaciones que no puedan demostrar medidas de seguridad adecuadas para todos los datos que conservan —incluidos los secretos operativos— se enfrentan a un riesgo normativo.
Cómo usa Vaulted RGPD
Vaulted se alinea por diseño con los principios fundamentales del RGPD. La minimización de datos se logra mediante enlaces autodestructivos que eliminan automáticamente los secretos tras un número configurado de visualizaciones o un periodo de caducidad: no se conserva ningún dato más allá de su uso previsto. El principio de limitación del plazo de conservación se aplica mediante la caducidad automática basada en TTL en el almacén de datos. El cifrado del lado del cliente AES-256-GCM y la arquitectura de servidor de conocimiento cero garantizan la integridad y la confidencialidad: ni siquiera la infraestructura de Vaulted puede acceder al texto plano compartido, reduciendo el alcance de cualquier posible obligación de notificación de brechas de datos.