Las compañías más grandes pueden tener miles de contratos para actualizar. Para complicar ese desafío es necesario hacerlo tarde en el proceso de cumplimiento. Antes de que se pueda definir responsabilidades y responsabilidades, debes saber exactamente qué datos tienes, dónde y cómo se procesan y los flujos de datos. "Eso ha dejado a muchas instituciones corriendo hacia la fecha límite tratando de completar los problemas técnicos y operativos y teniendo que ponerse al día para poner en marcha el contrato correcto para hacer cumplir eso. Muchas empresas no han renegociado los términos del contrato".
Eso plantea la pregunta: ¿qué sucede si los contratos no están todos en su lugar antes de la fecha límite de mayo? Lewis ve varios riesgos por no completar los contratos:
• Operativo: si no ha acordado cuáles serán los procesos con un proveedor, no está claro cómo se va a operar bajo el GDPR.
• Administración de proveedores: en el GDPR, necesitas saber cómo operan tus proveedores, incluido su marco de seguridad y cómo administran los datos. Sin ese conocimiento, no sabes el riesgo que presentan.
• Multas reglamentarias: Lewis señala que la UE es conocida por su disposición a imponer elevadas multas por incumplimiento normativo. Si se produce una infracción, no tener contratos vigentes podría funcionar en contra de la empresa. "No tener un contrato es una indicación de que usted no sabe lo que están haciendo sus proveedores, y ese es un problema de gestión más amplio sobre qué infraestructura está utilizando y cómo está tratando los datos", dice Lewis. "Le da al regulador una idea de qué tan organizado está y qué tan bien entiende sus flujos de datos".
¿Qué sucede si mi empresa no cumple con el GDPR?
El GDPR permite fuertes penalizaciones de hasta € 20 millones o el 4 por ciento de la facturación anual global, el que sea mayor, por incumplimiento. Según un informe de Ovum, el 52 por ciento de las empresas cree que será multada por incumplimiento. La consultora de gestión Oliver Wyman predice que la UE podría recaudar en el primer año hasta $ 6 mil millones en multas y sanciones.
Si tu organización no cumple con la fecha límite del 25 de mayo, no estarás solo. Las estimaciones varían, pero el consenso es que aproximadamente la mitad de las empresas de EE. UU. que deberían cumplir, no cumplirán todos los requisitos. Según una encuesta realizada en diciembre por Solix Technologies, el 22 por ciento de las empresas aún no sabían que debían cumplir con el GDPR. Un treinta y ocho por ciento dijo que los datos personales que procesan no están protegidos contra el uso indebido y el acceso no autorizado en cada etapa de su ciclo de vida.
Un requisito particularmente difícil será el derecho a ser olvidado, que se describe a continuación. Casi dos tercios (un 66 por ciento) de los encuestados de Solix dicen que no están seguros si pueden depurar para siempre la información personal de una persona antes de la fecha límite.
Eso deja a muchas organizaciones vulnerables a multas. La gran pregunta sin respuesta es cómo se evaluarán las sanciones. Por ejemplo, ¿cómo se diferencian las multas por una infracción que tiene un impacto mínimo en los individuos frente a una en la que su Información de Identificación Personal (PII) expuesta produce un daño real? El consenso es que los reguladores actuarán rápidamente en unas pocas empresas que no cumplan desde el principio para enviar un mensaje. Entonces, las organizaciones pueden hacer una mejor evaluación de qué esperar en el caso de un hallazgo de incumplimiento.
Por ahora, la capacidad de mostrar un esfuerzo de buena fe para cumplir debería proteger a las empresas de duras penalidades. En un discurso reciente, Liz Denham, la comisionada de información del Reino Unido, dijo lo siguiente a las organizaciones preocupadas por las multas del GDPR:
"... Espero que ahora sepas que la aplicación es el último recurso. No tengo intención de cambiar el enfoque proporcionado y pragmático de la ICO (Oficina de la Comisión de Información) después del 25 de mayo. Las fuertes multas se reservarán para aquellas organizaciones que infrinjan la ley de forma persistente, deliberada o negligente. Aquellas organizaciones que autoinforman, se relacionan con nosotros para resolver problemas y demuestran un acuerdo de responsabilidad eficaz pueden esperar que esto sea un factor cuando consideramos cualquier acción reguladora".
¿Qué requisitos del GDPR afectarán a mi empresa?
Los requisitos del GDPR obligarán a las empresas a cambiar la forma en que procesan, almacenan y protegen los datos personales de los clientes. Por ejemplo, a las compañías se les permitirá almacenar y procesar datos personales solo cuando el individuo consienta y por "no más de lo necesario para los fines para los cuales se procesan los datos personales". Los datos personales también deben ser portátiles de una compañía a otra, y las empresas deben borrar los datos personales a pedido.
Ese último artículo también se conoce como el derecho a ser olvidado. Hay algunas excepciones Por ejemplo, el GDPR no reemplaza ningún requisito legal que una organización mantenga ciertos datos.
Varios requisitos afectarán directamente a los equipos de seguridad. Uno es que las empresas deben poder proporcionar un nivel "razonable" de protección de datos y privacidad a los ciudadanos de la UE. Lo que el GDPR entiende por "razonable" no está bien definido.
Lo que podría ser un requisito desafiante es que las empresas deben informar las infracciones de datos a las autoridades de supervisión y las personas afectadas por una infracción dentro de las 72 horas posteriores a la detección de la infracción. Otro requisito, la realización de evaluaciones de impacto, está destinado a ayudar a mitigar el riesgo de infracciones mediante la identificación de vulnerabilidades y cómo abordarlas.
Para obtener una descripción más completa de los requisitos del GDPR, consulta "¿Cuáles son los requisitos del GDPR? (en inglés)".
¿Cómo se ve un proyecto GDPR exitoso?
Es difícil imaginar una empresa que se vea más afectada por el GDPR que ADP. La compañía ofrece servicios de administración de capital humano (HCM) y de externalización de negocios basados en la nube a más de 650.000 empresas en todo el mundo. ADP tiene PII para millones de personas en todo el mundo, y sus clientes esperan que la compañía cumpla con el GDPR y los ayude a hacer lo mismo. Si se determina que ADP no cumple con el GDPR, se arriesga no solo a multas sino a la pérdida de negocios de clientes que esperan que ADP los cubra.
El enfoque y escala global de ADP de alguna manera ha sido una ventaja. Ya se adhiere a las normas de privacidad y seguridad existentes, por lo que el salto al cumplimiento del GDPR no es tan alto como podría haber sido. "Ya estamos familiarizados con las leyes de privacidad en Europa. No empezamos de cero con el GDPR", dice Cecile Georges, directora de privacidad de ADP. "El GDPR desencadena la necesidad de que cumplamos no solo como empresa, sino también como proveedor de servicios. Ayudamos a nuestros clientes a cumplir con el GDPR".
A pesar de que ADP está mejor preparada que muchas otras compañías, Georges dice que su proyecto GDPR es grande y global. Comenzó hace aproximadamente un año, pero el proyecto se basa en trabajos anteriores. "Comenzamos incluso antes de que se discutiera el GDPR", dice ella. La compañía comenzó el mapeo de flujos de datos y las evaluaciones de privacidad de nuevos productos hace varios años.
Georges ve el inicio temprano en el mapeo de flujo de datos como la clave. "Si no hubiéramos empezado la cartografía del flujo de datos hace mucho tiempo, estaría menos segura de lo que te estoy diciendo ahora", dice. "Se requiere un mapeo de flujo de datos para hacer un inventario de los productos, y el procesamiento de PII es un primer paso para las evaluaciones de impacto de protección de datos que se requieren. También implementamos la privacidad por diseño en nuestras nuevas ofertas y productos". Agrega que ADP respalda su política de "privacidad por diseño" con capacitación para sus desarrolladores.
El proyecto GDPR de ADP atrae a personas de muchas áreas de la compañía, y Georges cree que esto es necesario para el éxito. "Estamos involucrados en la organización, todas las operaciones y los grupos funcionales. No es solo un puro proyecto de privacidad o cumplimiento. Realmente involucra a toda la organización y estamos coordinando con los gerentes de proyecto en toda la empresa para asegurarnos de que implementamos los procesos correctos en toda la organización", dice ella.
Los mecanismos para asegurar PII, como el cifrado, ya están establecidos en ADP. "Desde el punto de vista de la seguridad, llegamos a la conclusión de que se trata más de comunicarse con nuestros clientes, asegurándose de que tengan la información correcta sobre lo que estamos haciendo", dice Georges. "Es posible que tengan que transmitir ese mensaje a sus empleados o a sus propios clientes".
Debido a que ADP es un procesador de datos para otras compañías, ADP ha tomado el paso opcional de definir Reglas corporativas vinculantes para proteger la PII. "Con la implementación de Binding Corporate Rules como procesador de datos, esperamos que nuestros clientes comprendan que queremos facilitarles la vida y nos comprometemos a proteger sus datos personales de acuerdo con los estándares requeridos en la UE, independientemente de dónde se procesen, accedan o reciban los datos europeos", dice Georges.
Georges dice que escucha de otras compañías que aún no están en camino de cumplir con el GDPR. "El reloj está empezando a funcionar", dice ella. "Si una empresa no ha comenzado a analizar lo que necesita hacer, primero debe comprender lo que significa para ellos en términos de su negocio. Primero comprenda en qué medida se ven afectados por la nueva regulación y luego hagan un análisis de brechas. Ese es el punto de partida de cualquier proyecto para evaluar lo que deben hacer".
También alienta a las empresas a adoptar un enfoque operativo. "Mi recomendación es tener representantes de todas las funciones en la organización y no considerarlo como un proyecto de pura privacidad o cumplimiento legal puro", dice Georges. "Tomaría demasiado tiempo para que las operaciones entiendan exactamente lo que deben hacer, mientras que si las involucra desde el principio, pueden decirle a un abogado o profesional de la privacidad, 'Ya lo estamos haciendo', o 'Técnicamente, podemos'. Haga esto, pero así es como podemos abordar este requisito".
"Existen diferentes formas de aplicar el GDPR en función de su empresa y las herramientas que tiene implementadas. Los empresarios pueden evaluar eso", dice Georges. "Una vez que han hecho la evaluación y han decidido qué hacer, entonces tienen que documentar lo que están haciendo". Georges se refiere al principio de responsabilidad del GDPR, que requiere que las empresas documenten cómo se han vuelto compatibles. "La pieza de documentación será clave".
¿Qué debe hacer mi compañía para prepararse para el GDPR?
Establecer un sentido de urgencia que proviene de la alta dirección: la empresa de gestión de riesgos Marsh enfatiza la importancia del liderazgo ejecutivo [PDF] para priorizar la preparación cibernética. El cumplimiento de los estándares globales de higiene de datos es parte de esa preparación.
Involucrar a todos los interesados: La TI sola está mal preparada para cumplir con los requisitos del GDPR. Crea un grupo de trabajo que incluya marketing, finanzas, ventas, operaciones: cualquier grupo dentro de la organización que recopile, analice o haga uso de la PII de los clientes. Con la representación en un grupo de trabajo del GDPR, pueden compartir mejor la información que será útil para quienes implementan los cambios técnicos y de procedimiento necesarios, y estarán mejor preparados para enfrentar cualquier impacto en sus equipos.
Realizar una evaluación de riesgos: Es necesario saber qué datos se almacenan y procesan de los ciudadanos de la UE y comprender los riesgos que los rodean. Recuerda, la evaluación de riesgos también debe delinear las medidas tomadas para mitigar ese riesgo. Un elemento clave de esta evaluación será descubrir toda la TI oculta que pueda estar recolectando y almacenando PII. Las soluciones informáticas Shadow y de punto más pequeño representan el mayor riesgo de incumplimiento; Ignóralos a tu propio riesgo.
Y hay un montón de ellos. Según Matt Fisher, líder de pensamiento de TI y vicepresidente senior de Snow Software, se sabe que más de 39.000 aplicaciones contienen datos personales. "El efecto iceberg representa un grave riesgo para el cumplimiento del GDPR por las organizaciones, ya que muchos se centran en el 10 por ciento de las aplicaciones que contienen datos personales que son visibles en la superficie del agua", dice.
Fisher cita el cambio en la forma en que las organizaciones asignan sus gastos en TI y tecnología, y se espera que las unidades de negocios posean cerca de la mitad para 2020. "A medida que los equipos de TI pierden de vista las aplicaciones en uso en toda la organización, carecen de una visibilidad general de las aplicaciones que podrían amenazar el cumplimiento de GDPR", afirma.
"Comenzar [en la evaluación de riesgos] es el mayor obstáculo", dice Fisher. "Como primer paso, las organizaciones deben tener una idea completa de toda su infraestructura de TI e inventariar todas las aplicaciones en sus propiedades. Esto, junto con una visión específica sobre qué aplicaciones pueden procesar datos personales, reduce drásticamente el alcance del proyecto, así como el tiempo dedicado a él. De repente, lo imposible se vuelve posible".
Contratar o designar a un DPO: el GDPR no dice si el DPO necesita tener una posición discreta, por lo que presumiblemente una compañía puede nombrar a alguien que ya tenga un rol similar al puesto siempre que esa persona pueda garantizar la protección de PII sin conflicto de intereses. De lo contrario, deberá contratar un DPO. Dependiendo de la organización, ese DPO podría no necesitar ser de tiempo completo. En ese caso, un DPO virtual es una opción. Las reglas del GDPR permiten que un DPO funcione para múltiples organizaciones, por lo que un DPO virtual sería como un consultor que trabaja según las necesidades.
Creer un plan de protección de datos: la mayoría de las empresas ya tienen un plan establecido, pero deberán revisarlo y actualizarlo para asegurarse de que se alinea con los requisitos del GDPR.
No olvidar los dispositivos móviles: según una encuesta de los ejecutivos de TI y seguridad realizada por Lookout, Inc., el 64 por ciento de los empleados acceden a PII de los clientes, los socios y los empleados mediante dispositivos móviles. Eso crea un conjunto único de riesgos para el incumplimiento del GDPR. Por ejemplo, el 81 por ciento de los encuestados dijo que la mayoría de los empleados están aprobados para instalar aplicaciones personales en los dispositivos utilizados con fines laborales, incluso si se trata de su propio dispositivo. Si alguna de esas aplicaciones accede y almacena PII, debe hacerlo de forma compatible con el GDPR. Es difícil de controlar, especialmente cuando se tienen en cuenta todas las aplicaciones no autorizadas que usan los empleados.
