El GDPR fue diseñado para armonizar las leyes de privacidad de datos en Europa
GDPR es una regulación que exige a las empresas proteger los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que tienen lugar dentro de los estados miembros de la UE. Y el incumplimiento podría costar caro a las compañías. Esto es lo que toda empresa que hace negocios en Europa necesita saber sobre el GDPR.
Las empresas que recopilan datos sobre los ciudadanos de los países de la Unión Europea (UE) deberán cumplir antes del 25 de mayo con nuevas y estrictas reglas para proteger los datos de los clientes. Se espera que el Reglamento General de Protección de Datos (GDPR) establezca un nuevo estándar para los derechos del consumidor con respecto a sus datos, pero las empresas se enfrentarán al desafío cuando implementen sistemas y procesos para cumplirlo.
El cumplimiento causará algunas preocupaciones y nuevas expectativas de los equipos de seguridad. Por ejemplo, el GDPR tiene una amplia visión de lo que constituye la información de identificación personal. Las empresas necesitarán el mismo nivel de protección para cosas como la dirección IP de una persona o los datos de las cookies que para el nombre, la dirección y el número de la Seguridad Social.
El GDPR deja mucho para la interpretación. Dice, por ejemplo, que las empresas deben proporcionar un nivel de protección "razonable" para los datos personales, pero no define qué constituye "razonable". Esto le da al cuerpo directivo del GDPR mucha libertad de acción cuando se trata de evaluar multas por incumplimientos y falta de cumplimiento de datos.
El tiempo se agota para cumplir con la fecha límite, por lo que hemos compilado lo que cualquier empresa necesita saber sobre el GDPR, junto con consejos para cumplir con sus requisitos. Muchos de los requisitos no se relacionan directamente con la seguridad de la información, pero los procesos y cambios del sistema necesarios para cumplir podrían afectar los sistemas y protocolos de seguridad existentes.
¿Qué es el GDPR?
El Parlamento Europeo adoptó el GDPR [PDF] en abril de 2016 reemplazando una directiva obsoleta de protección de datos de 1995. Contiene disposiciones que requieren que las empresas protejan los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que tienen lugar dentro de los estados miembros de la UE. El GDPR también regula la exportación de datos personales fuera de la UE.
Las disposiciones son consistentes en los 28 estados miembros de la UE, lo que significa que las empresas solo tienen un estándar para cumplir dentro de la UE. Sin embargo, ese estándar es bastante alto y requerirá que la mayoría de las compañías realicen una gran inversión para cumplirlo y administrarlo.
Según un informe de Ovum, alrededor de dos tercios de las empresas estadounidenses creen que el GDPR les exigirá que reconsideren su estrategia en Europa. Aún más (un 85 por ciento) considera que el GDPR los pone en desventaja competitiva con las empresas europeas.
¿Por qué existe el GDPR?
La respuesta corta a esa pregunta es la preocupación pública sobre la privacidad. Europa en general ha tenido reglas más estrictas sobre cómo usan las empresas los datos personales de sus ciudadanos. El GDPR reemplaza la Directiva de Protección de Datos de la UE, que entró en vigor en 1995. Esto fue antes de que Internet se convirtiera en el centro de negocios en línea que es hoy en día. En consecuencia, la directiva está desactualizada y no aborda muchas formas en que hoy se almacenan, recogen y transfieren los datos.
¿Cuán real es la preocupación pública sobre la privacidad? Es significativa y crece con cada nueva violación de datos de alto perfil. Según RSA Data Privacy & Security Report [PDF], por el cual RSA encuestó a 7.500 consumidores en Francia, Alemania, Italia, el Reino Unido y los EE. UU., el 80 por ciento de los consumidores dijo que la pérdida de datos bancarios y financieros es una preocupación principal. La información de seguridad perdida (por ejemplo, contraseñas) y la información de identidad (por ejemplo, pasaportes o licencia de conducir) fue citada como una preocupación del 76 por ciento de los encuestados.
Una alarmante estadística para las empresas que se ocupan de los datos de consumo es el 62 por ciento de los encuestados en el informe de RSA que dicen que culparían a la compañía por la pérdida de datos en caso de incumplimiento, no por parte del pirata informático. Los autores del informe concluyeron que, "A medida que los consumidores se informan mejor, esperan más transparencia y capacidad de respuesta de los administradores de sus datos".
La falta de confianza en cómo las empresas tratan su información personal ha llevado a algunos consumidores a tomar sus propias contramedidas. Según el informe, el 41 por ciento de los encuestados dijeron que falsificaban datos de manera intencional al suscribirse a servicios en línea. Las preocupaciones de seguridad, el deseo de evitar el marketing no deseado o el riesgo de que se revendan sus datos fueron algunas de sus principales preocupaciones.
El informe también muestra que los consumidores no perdonarán fácilmente a una empresa una vez que se produzca una violación que exponga sus datos personales. El setenta y dos por ciento de los encuestados de EE. UU. dijeron que boicotearían a una empresa que parecía ignorar la protección de sus datos. El cincuenta por ciento de todos los encuestados dijeron que tendrían más probabilidades de comprar en una compañía que podría demostrar que toma en serio la protección de datos.
"A medida que las empresas continúan con sus transformaciones digitales, haciendo un mayor uso de activos digitales, servicios y big data, también deben ser responsables de monitorear y proteger esos datos diariamente", concluyó el informe.
¿Qué tipos de datos de privacidad protege el GDPR?
• Información de identidad básica como nombre, dirección y números de identificación
• Datos web como ubicación, dirección IP, datos de cookies y etiquetas RFID
• Salud y datos genéticos
• Información biométrica
• Datos raciales o étnicos
• Opiniones políticasOrientación sexual
¿A qué compañías afecta el GDPR?
Cualquier empresa que almacene o procese información personal sobre ciudadanos de la UE dentro de los estados de la UE debe cumplir con el GDPR, incluso si no tienen presencia comercial en la UE. Los criterios específicos que deben cumplir las empresas son:
• Presencia en un país de la UE.
• No tiene presencia en la UE, pero procesa datos personales de residentes europeos.
• Más de 250 empleados.
• Menos de 250 empleados, pero su procesamiento de datos afecta los derechos y libertades de los interesados, no es ocasional, o incluye ciertos tipos de datos personales confidenciales. Eso efectivamente significa casi todas las empresas. Una encuesta de PwC mostró [PDF] que el 92 por ciento de las empresas de los EE. UU. considera que el GDPR es una de las principales prioridades de protección de datos.
Una nueva encuesta realizada por Propeller Insights y patrocinada por Netsparker Ltd. preguntó a los ejecutivos qué industrias serían las más afectadas por el GDPR. La mayoría (53 por ciento) vio el sector tecnológico más afectado, seguido por los minoristas en línea (45 por ciento), compañías de software (44 por ciento), servicios financieros (37 por ciento), servicios en línea/SaaS (34 por ciento) y productos empaquetados minoristas y de consumo (33 por ciento).
¿Cuándo debe cumplir mi empresa el Reglamento?
Las empresas deben poder mostrar su cumplimiento antes del 25 de mayo de 2018.
¿Quién dentro de mi empresa será responsable del cumplimiento?
El GDPR define varios roles que son responsables de garantizar el cumplimiento: el controlador de datos, el procesador de datos y el oficial de protección de datos (DPO). El controlador de datos define cómo se procesan los datos personales y los fines para los que se procesa. El controlador también es responsable de asegurarse de que cumplan los contratistas externos.
Los procesadores de datos pueden ser los grupos internos que mantienen y procesan los registros de datos personales o cualquier empresa de tercerización que realiza todas o parte de esas actividades. El GDPR responsabiliza a los procesadores por vilolaciones o incumplimientos. Es posible, entonces, que tanto la empresa como su socio de procesamiento, como un proveedor de la nube, sean responsables de las penalizaciones, incluso si la falla recae enteramente en el socio de procesamiento.
El GDPR requiere que el controlador y el procesador designen un DPO para supervisar la estrategia de seguridad de datos y el cumplimiento del GDPR. Se requiere que las empresas tengan un DPO si procesan o almacenan grandes cantidades de datos de ciudadanos de la UE, procesan o almacenan datos personales especiales, supervisan regularmente a los interesados o son una autoridad pública. Algunas entidades públicas como la aplicación de la ley pueden estar exentas del requisito de un DPO.
Según la encuesta de Propeller Insights, el 82 por ciento de las empresas que respondieron afirman que ya tienen un DPO en el personal, aunque el 77 por ciento planea contratar un DPO nuevo o de reemplazo antes de la fecha límite del 25 de mayo. Pero la contratación no se detiene con el DPO. Alrededor del 55 por ciento de los encuestados informaron que habían reclutado al menos a seis nuevos empleados para lograr el cumplimiento del GDPR.
¿Qué costará a mi compañía la preparación para el GDPR?
Según la encuesta de PwC, el 68 por ciento de las empresas con sede en Estados Unidos esperan gastar de $ 1 millón a $ 10 millones para cumplir con los requisitos del GDPR. Otro 9 por ciento espera gastar más de $ 10 millones.
La encuesta de PwC, que se realizó en diciembre de 2016, mostró que el 68 por ciento de las empresas con sede en los Estados Unidos esperan gastar de $ 1 millón a $ 10 millones para cumplir con los requisitos del GDPR. Otro 9 por ciento espera gastar más de $ 10 millones.
A medida que nos acercamos a la fecha límite del 25 de mayo, esas expectativas podrían haber estado en el lado positivo. La encuesta más reciente de Propeller Insights de marzo de 2018 indica que la mayoría de las compañías gastarán menos de $ 1 millón. De hecho, el 36 por ciento de los encuestados dijo que gastaría entre $ 50.000 y $ 100.000, y el 24 por ciento gastará entre $ 100,000 y $ 1 millón. Solo alrededor del 10 por ciento espera gastar más de $ 1 millón.
¿Cómo afecta el GDPR los contratos de terceros y clientes?
El GDPR impone la misma responsabilidad a los controladores de datos (la organización que posee los datos) y a los procesadores de datos (organizaciones externas que ayudan a administrar esos datos). Un procesador de terceros que no cumpla con los requisitos significa que tu organización no cumple. La nueva regulación también tiene reglas estrictas para reportar infracciones que todos en la cadena deben ser capaces de cumplir. Las organizaciones también deben informar a los clientes de sus derechos bajo el GDPR.
Lo que esto significa es que todos los contratos existentes con procesadores (por ejemplo, proveedores de servicios en la nube, proveedores de SaaS o proveedores de servicios de nómina) y clientes deben deletrear responsabilidades. Los contratos revisados también necesitan definir procesos consistentes sobre cómo se administran y protegen los datos, y cómo se informan las infracciones.
"El ejercicio más grande está en el lado de la adquisición de la casa: sus proveedores externos, sus relaciones de abastecimiento que procesan datos en su nombre", dice Mathew Lewis, jefe global de banca y prácticas regulatorias en el proveedor de servicios legales Axiom. "Hay toda una agrupación de proveedores que tienen acceso a estos datos personales y el GDPR establece muy claramente que debe asegurarse de que todos esos terceros se adhieran al GDPR y procesen los datos en consecuencia".
Los contratos con los clientes también deben reflejar los cambios regulatorios, dice Lewis. "Los contratos con los clientes toman una serie de formas diferentes, ya sean clics en línea o acuerdos formales donde se compromete con la forma en que ve, accede y procesa los datos".
Antes de que estos contratos puedan ser revisados, los líderes empresariales, los departamentos de TI y los equipos de seguridad deben comprender cómo se almacenan y procesan los datos y acordar un proceso compatible para la presentación de informes. "Los grupos de tecnología, el CISO y el equipo de gobernanza de datos requieren un ejercicio considerable para comprender qué datos encajan dentro de la empresa, dónde se almacenan o procesan y dónde se exportan fuera de la empresa. Una vez que se comprende los flujos de datos y el impacto en el negocio, se puede comenzar a identificar a los proveedores en los que debe centrarse más desde una perspectiva de seguridad de la información, cómo gestionan esas relaciones en el futuro y cómo conmemora eso en el contrato en sí mismo ", dice Lewis.
El GDPR también podría cambiar la mentalidad de los equipos de negocios y seguridad hacia los datos. La mayoría de las empresas ven sus datos y los procesos que utilizan para extraerlos como un activo, pero esa percepción cambiará, dice Lewis. "Dado el consentimiento explícito del GDPR y las empresas que necesitan ser mucho más granulares en su comprensión de los datos y los flujos de datos, existe un conjunto completo de responsabilidades que ahora existen con la acumulación de datos", dice Lewis. "Esa es una mentalidad bastante diferente tanto legal como de cumplimiento, pero quizás más importante por la forma en que la empresa piensa sobre la acumulación y el uso de esos datos y para los grupos de seguridad de la información y cómo piensan administrar esos datos".
"Los datos se están yendo de la empresa de muchas maneras", dice Lewis. "Si bien el CISO y los grupos de tecnología necesitan poder rastrear todo eso, también es necesario que establezcas protección". Esas protecciones deben detallarse en el contrato para que las empresas externas entiendan lo que pueden y no pueden hacer con los datos.
Lewis señala que al pasar por el proceso de definición de obligaciones y responsabilidades, prepara a una compañía para manejar el cumplimiento del GDPR de manera operacional. "Si uno de sus proveedores dice: 'Fue pirateado anoche', ¿sabrían a quién llamar y cómo responder como parte del cumplimiento de los requisitos reglamentarios?", dice.
La ventana de informes de 72 horas que requiere el GDPR hace que sea especialmente importante que los proveedores sepan cómo informar una infracción adecuadamente. "Si un proveedor fue pirateado y usted es uno de miles de clientes, ¿notifica a su departamento de compras o a una persona de cuenta o a alguien en cuentas por cobrar? Podría venir de muchas maneras", dice Lewis.
Se debe desear una ruta claramente definida en el contrato para que la información llegue a la persona responsable de reportar el incumplimiento en su organización. "Un regulador no va a decir que no debiste haber incumplido. Va a decir que deberías haber tenido en su lugar las políticas, los procedimientos y la estructura de respuesta para resolver eso rápidamente", dice Lewis.
Las compañías más grandes pueden tener miles de contratos para actualizar. Para complicar ese desafío es necesario hacerlo tarde en el proceso de cumplimiento. Antes de que se pueda definir responsabilidades y responsabilidades, debes saber exactamente qué datos tienes, dónde y cómo se procesan y los flujos de datos. "Eso ha dejado a muchas instituciones corriendo hacia la fecha límite tratando de completar los problemas técnicos y operativos y teniendo que ponerse al día para poner en marcha el contrato correcto para hacer cumplir eso. Muchas empresas no han renegociado los términos del contrato".
Eso plantea la pregunta: ¿qué sucede si los contratos no están todos en su lugar antes de la fecha límite de mayo? Lewis ve varios riesgos por no completar los contratos:
• Operativo: si no ha acordado cuáles serán los procesos con un proveedor, no está claro cómo se va a operar bajo el GDPR.
• Administración de proveedores: en el GDPR, necesitas saber cómo operan tus proveedores, incluido su marco de seguridad y cómo administran los datos. Sin ese conocimiento, no sabes el riesgo que presentan.
• Multas reglamentarias: Lewis señala que la UE es conocida por su disposición a imponer elevadas multas por incumplimiento normativo. Si se produce una infracción, no tener contratos vigentes podría funcionar en contra de la empresa. "No tener un contrato es una indicación de que usted no sabe lo que están haciendo sus proveedores, y ese es un problema de gestión más amplio sobre qué infraestructura está utilizando y cómo está tratando los datos", dice Lewis. "Le da al regulador una idea de qué tan organizado está y qué tan bien entiende sus flujos de datos".
¿Qué sucede si mi empresa no cumple con el GDPR?
El GDPR permite fuertes penalizaciones de hasta € 20 millones o el 4 por ciento de la facturación anual global, el que sea mayor, por incumplimiento. Según un informe de Ovum, el 52 por ciento de las empresas cree que será multada por incumplimiento. La consultora de gestión Oliver Wyman predice que la UE podría recaudar en el primer año hasta $ 6 mil millones en multas y sanciones.
Si tu organización no cumple con la fecha límite del 25 de mayo, no estarás solo. Las estimaciones varían, pero el consenso es que aproximadamente la mitad de las empresas de EE. UU. que deberían cumplir, no cumplirán todos los requisitos. Según una encuesta realizada en diciembre por Solix Technologies, el 22 por ciento de las empresas aún no sabían que debían cumplir con el GDPR. Un treinta y ocho por ciento dijo que los datos personales que procesan no están protegidos contra el uso indebido y el acceso no autorizado en cada etapa de su ciclo de vida.
Un requisito particularmente difícil será el derecho a ser olvidado, que se describe a continuación. Casi dos tercios (un 66 por ciento) de los encuestados de Solix dicen que no están seguros si pueden depurar para siempre la información personal de una persona antes de la fecha límite.
Eso deja a muchas organizaciones vulnerables a multas. La gran pregunta sin respuesta es cómo se evaluarán las sanciones. Por ejemplo, ¿cómo se diferencian las multas por una infracción que tiene un impacto mínimo en los individuos frente a una en la que su Información de Identificación Personal (PII) expuesta produce un daño real? El consenso es que los reguladores actuarán rápidamente en unas pocas empresas que no cumplan desde el principio para enviar un mensaje. Entonces, las organizaciones pueden hacer una mejor evaluación de qué esperar en el caso de un hallazgo de incumplimiento.
Por ahora, la capacidad de mostrar un esfuerzo de buena fe para cumplir debería proteger a las empresas de duras penalidades. En un discurso reciente, Liz Denham, la comisionada de información del Reino Unido, dijo lo siguiente a las organizaciones preocupadas por las multas del GDPR:
"... Espero que ahora sepas que la aplicación es el último recurso. No tengo intención de cambiar el enfoque proporcionado y pragmático de la ICO (Oficina de la Comisión de Información) después del 25 de mayo. Las fuertes multas se reservarán para aquellas organizaciones que infrinjan la ley de forma persistente, deliberada o negligente. Aquellas organizaciones que autoinforman, se relacionan con nosotros para resolver problemas y demuestran un acuerdo de responsabilidad eficaz pueden esperar que esto sea un factor cuando consideramos cualquier acción reguladora".
¿Qué requisitos del GDPR afectarán a mi empresa?
Los requisitos del GDPR obligarán a las empresas a cambiar la forma en que procesan, almacenan y protegen los datos personales de los clientes. Por ejemplo, a las compañías se les permitirá almacenar y procesar datos personales solo cuando el individuo consienta y por "no más de lo necesario para los fines para los cuales se procesan los datos personales". Los datos personales también deben ser portátiles de una compañía a otra, y las empresas deben borrar los datos personales a pedido.
Ese último artículo también se conoce como el derecho a ser olvidado. Hay algunas excepciones Por ejemplo, el GDPR no reemplaza ningún requisito legal que una organización mantenga ciertos datos.
Varios requisitos afectarán directamente a los equipos de seguridad. Uno es que las empresas deben poder proporcionar un nivel "razonable" de protección de datos y privacidad a los ciudadanos de la UE. Lo que el GDPR entiende por "razonable" no está bien definido.
Lo que podría ser un requisito desafiante es que las empresas deben informar las infracciones de datos a las autoridades de supervisión y las personas afectadas por una infracción dentro de las 72 horas posteriores a la detección de la infracción. Otro requisito, la realización de evaluaciones de impacto, está destinado a ayudar a mitigar el riesgo de infracciones mediante la identificación de vulnerabilidades y cómo abordarlas.
Para obtener una descripción más completa de los requisitos del GDPR, consulta "¿Cuáles son los requisitos del GDPR? (en inglés)".
¿Cómo se ve un proyecto GDPR exitoso?
Es difícil imaginar una empresa que se vea más afectada por el GDPR que ADP. La compañía ofrece servicios de administración de capital humano (HCM) y de externalización de negocios basados en la nube a más de 650.000 empresas en todo el mundo. ADP tiene PII para millones de personas en todo el mundo, y sus clientes esperan que la compañía cumpla con el GDPR y los ayude a hacer lo mismo. Si se determina que ADP no cumple con el GDPR, se arriesga no solo a multas sino a la pérdida de negocios de clientes que esperan que ADP los cubra.
El enfoque y escala global de ADP de alguna manera ha sido una ventaja. Ya se adhiere a las normas de privacidad y seguridad existentes, por lo que el salto al cumplimiento del GDPR no es tan alto como podría haber sido. "Ya estamos familiarizados con las leyes de privacidad en Europa. No empezamos de cero con el GDPR", dice Cecile Georges, directora de privacidad de ADP. "El GDPR desencadena la necesidad de que cumplamos no solo como empresa, sino también como proveedor de servicios. Ayudamos a nuestros clientes a cumplir con el GDPR".
A pesar de que ADP está mejor preparada que muchas otras compañías, Georges dice que su proyecto GDPR es grande y global. Comenzó hace aproximadamente un año, pero el proyecto se basa en trabajos anteriores. "Comenzamos incluso antes de que se discutiera el GDPR", dice ella. La compañía comenzó el mapeo de flujos de datos y las evaluaciones de privacidad de nuevos productos hace varios años.
Georges ve el inicio temprano en el mapeo de flujo de datos como la clave. "Si no hubiéramos empezado la cartografía del flujo de datos hace mucho tiempo, estaría menos segura de lo que te estoy diciendo ahora", dice. "Se requiere un mapeo de flujo de datos para hacer un inventario de los productos, y el procesamiento de PII es un primer paso para las evaluaciones de impacto de protección de datos que se requieren. También implementamos la privacidad por diseño en nuestras nuevas ofertas y productos". Agrega que ADP respalda su política de "privacidad por diseño" con capacitación para sus desarrolladores.
El proyecto GDPR de ADP atrae a personas de muchas áreas de la compañía, y Georges cree que esto es necesario para el éxito. "Estamos involucrados en la organización, todas las operaciones y los grupos funcionales. No es solo un puro proyecto de privacidad o cumplimiento. Realmente involucra a toda la organización y estamos coordinando con los gerentes de proyecto en toda la empresa para asegurarnos de que implementamos los procesos correctos en toda la organización", dice ella.
Los mecanismos para asegurar PII, como el cifrado, ya están establecidos en ADP. "Desde el punto de vista de la seguridad, llegamos a la conclusión de que se trata más de comunicarse con nuestros clientes, asegurándose de que tengan la información correcta sobre lo que estamos haciendo", dice Georges. "Es posible que tengan que transmitir ese mensaje a sus empleados o a sus propios clientes".
Debido a que ADP es un procesador de datos para otras compañías, ADP ha tomado el paso opcional de definir Reglas corporativas vinculantes para proteger la PII. "Con la implementación de Binding Corporate Rules como procesador de datos, esperamos que nuestros clientes comprendan que queremos facilitarles la vida y nos comprometemos a proteger sus datos personales de acuerdo con los estándares requeridos en la UE, independientemente de dónde se procesen, accedan o reciban los datos europeos", dice Georges.
Georges dice que escucha de otras compañías que aún no están en camino de cumplir con el GDPR. "El reloj está empezando a funcionar", dice ella. "Si una empresa no ha comenzado a analizar lo que necesita hacer, primero debe comprender lo que significa para ellos en términos de su negocio. Primero comprenda en qué medida se ven afectados por la nueva regulación y luego hagan un análisis de brechas. Ese es el punto de partida de cualquier proyecto para evaluar lo que deben hacer".
También alienta a las empresas a adoptar un enfoque operativo. "Mi recomendación es tener representantes de todas las funciones en la organización y no considerarlo como un proyecto de pura privacidad o cumplimiento legal puro", dice Georges. "Tomaría demasiado tiempo para que las operaciones entiendan exactamente lo que deben hacer, mientras que si las involucra desde el principio, pueden decirle a un abogado o profesional de la privacidad, 'Ya lo estamos haciendo', o 'Técnicamente, podemos'. Haga esto, pero así es como podemos abordar este requisito".
"Existen diferentes formas de aplicar el GDPR en función de su empresa y las herramientas que tiene implementadas. Los empresarios pueden evaluar eso", dice Georges. "Una vez que han hecho la evaluación y han decidido qué hacer, entonces tienen que documentar lo que están haciendo". Georges se refiere al principio de responsabilidad del GDPR, que requiere que las empresas documenten cómo se han vuelto compatibles. "La pieza de documentación será clave".
¿Qué debe hacer mi compañía para prepararse para el GDPR?
Establecer un sentido de urgencia que proviene de la alta dirección: la empresa de gestión de riesgos Marsh enfatiza la importancia del liderazgo ejecutivo [PDF] para priorizar la preparación cibernética. El cumplimiento de los estándares globales de higiene de datos es parte de esa preparación.
Involucrar a todos los interesados: La TI sola está mal preparada para cumplir con los requisitos del GDPR. Crea un grupo de trabajo que incluya marketing, finanzas, ventas, operaciones: cualquier grupo dentro de la organización que recopile, analice o haga uso de la PII de los clientes. Con la representación en un grupo de trabajo del GDPR, pueden compartir mejor la información que será útil para quienes implementan los cambios técnicos y de procedimiento necesarios, y estarán mejor preparados para enfrentar cualquier impacto en sus equipos.
Realizar una evaluación de riesgos: Es necesario saber qué datos se almacenan y procesan de los ciudadanos de la UE y comprender los riesgos que los rodean. Recuerda, la evaluación de riesgos también debe delinear las medidas tomadas para mitigar ese riesgo. Un elemento clave de esta evaluación será descubrir toda la TI oculta que pueda estar recolectando y almacenando PII. Las soluciones informáticas Shadow y de punto más pequeño representan el mayor riesgo de incumplimiento; Ignóralos a tu propio riesgo.
Y hay un montón de ellos. Según Matt Fisher, líder de pensamiento de TI y vicepresidente senior de Snow Software, se sabe que más de 39.000 aplicaciones contienen datos personales. "El efecto iceberg representa un grave riesgo para el cumplimiento del GDPR por las organizaciones, ya que muchos se centran en el 10 por ciento de las aplicaciones que contienen datos personales que son visibles en la superficie del agua", dice.
Fisher cita el cambio en la forma en que las organizaciones asignan sus gastos en TI y tecnología, y se espera que las unidades de negocios posean cerca de la mitad para 2020. "A medida que los equipos de TI pierden de vista las aplicaciones en uso en toda la organización, carecen de una visibilidad general de las aplicaciones que podrían amenazar el cumplimiento de GDPR", afirma.
"Comenzar [en la evaluación de riesgos] es el mayor obstáculo", dice Fisher. "Como primer paso, las organizaciones deben tener una idea completa de toda su infraestructura de TI e inventariar todas las aplicaciones en sus propiedades. Esto, junto con una visión específica sobre qué aplicaciones pueden procesar datos personales, reduce drásticamente el alcance del proyecto, así como el tiempo dedicado a él. De repente, lo imposible se vuelve posible".
Contratar o designar a un DPO: el GDPR no dice si el DPO necesita tener una posición discreta, por lo que presumiblemente una compañía puede nombrar a alguien que ya tenga un rol similar al puesto siempre que esa persona pueda garantizar la protección de PII sin conflicto de intereses. De lo contrario, deberá contratar un DPO. Dependiendo de la organización, ese DPO podría no necesitar ser de tiempo completo. En ese caso, un DPO virtual es una opción. Las reglas del GDPR permiten que un DPO funcione para múltiples organizaciones, por lo que un DPO virtual sería como un consultor que trabaja según las necesidades.
Creer un plan de protección de datos: la mayoría de las empresas ya tienen un plan establecido, pero deberán revisarlo y actualizarlo para asegurarse de que se alinea con los requisitos del GDPR.
No olvidar los dispositivos móviles: según una encuesta de los ejecutivos de TI y seguridad realizada por Lookout, Inc., el 64 por ciento de los empleados acceden a PII de los clientes, los socios y los empleados mediante dispositivos móviles. Eso crea un conjunto único de riesgos para el incumplimiento del GDPR. Por ejemplo, el 81 por ciento de los encuestados dijo que la mayoría de los empleados están aprobados para instalar aplicaciones personales en los dispositivos utilizados con fines laborales, incluso si se trata de su propio dispositivo. Si alguna de esas aplicaciones accede y almacena PII, debe hacerlo de forma compatible con el GDPR. Es difícil de controlar, especialmente cuando se tienen en cuenta todas las aplicaciones no autorizadas que usan los empleados.
Crear un plan para informar el progreso en el cumplimiento del GDPR: "Con el tiempo en marcha, las organizaciones deben demostrar que están avanzando para completar el Registro de actividades de procesamiento (RoPA), el artículo 30 del reglamento GDPR que se centra en hacer un inventario de las aplicaciones riesgosas - para evitar ser un blanco fácil para los reguladores", dice Fisher. "Establecer el RoPA es la pieza esencial para enfocarse en esta etapa del juego, ya que permite a las organizaciones identificar dónde se procesan los datos personales, quién los procesa y cómo se procesan".
Implementar medidas para mitigar el riesgo: una vez que se hayan identificado los riesgos y cómo mitigarlos, se debe poner esas medidas en su lugar. Para la mayoría de las empresas, eso significa revisar las medidas existentes de mitigación de riesgos. "Al hacer un inventario de las aplicaciones y completar el RoPA, el equipo del GDPR puede ahora detectar e investigar los riesgos asociados con los datos y determinar el nivel de seguridad apropiado que se considera necesario para proteger esos datos", dice Fisher.
Si la organización es pequeña, pide ayuda si es necesario. Las empresas más pequeñas se verán afectadas por el GDPR, algunas de manera más significativa que otras. Es posible que no tengan los recursos necesarios para cumplir con los requisitos. Están disponibles recursos externos para proporcionar asesoramiento y expertos técnicos para ayudarles a través del proceso y minimizar las interrupciones internas.
Probar los planes de respuesta a incidentes: el GDPR requiere que las empresas informen las infracciones dentro de las 72 horas. Lo bien que minimizan el daño los equipos de respuesta afectará directamente al riesgo de la compañía de multas por la violación. Asegúrate de poder informar y responder adecuadamente dentro del período de tiempo.
Establecer un proceso para la evaluación continua: se desea asegurar de que se mantenga en conformidad, y eso requerirá monitoreo y mejora continua. Algunas compañías están considerando incentivos y sanciones para garantizar que los empleados sigan las nuevas políticas. Según una encuesta de Veritas Technologies, el 47 por ciento de los encuestados probablemente agregará observancias obligatorias de la política del GDPR a los contratos de los empleados. El veinticinco por ciento puede retener bonos o beneficios si ocurre una violación GDPR, y el 34 por ciento dice que recompensará a los empleados por cumplir con el GDPR.
Haz todo esto con miras a mejorar tu negocio: según una encuesta de Varonis Systems, el 74 por ciento de los encuestados cree que cumplir con los requisitos del GDPR será una ventaja competitiva. El cumplimiento aumentará la confianza del consumidor. Más importante aún, las mejoras técnicas y de procesos necesarias para cumplir con los requisitos del GDPR deberían permitir eficiencias en la forma en que las organizaciones administran y aseguran los datos.
La Agencia Española de Protección de Datos (AEPD) ha lanzado un Listado de cumplimiento normativo [en PDF] para facilitar la adaptación al RGPD. Este documento es un método básico que permite identificar y verificar los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD).