Clicky

Cumplimiento del GDPR: identificación del perfil único de una organización

Cumplimiento del GDPR

Nuevos requisitos y restricciones que deberían ser prioridades en la mayoría de los programas

Después de un período de transición de dos años, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea se hará exigible a partir del 25 de mayo de 2018. Presumiblemente, muchas grandes compañías han estado trabajando durante meses en un programa de cumplimiento. A medida que se acerca la fecha límite, muchas organizaciones están descubriendo que garantizar el cumplimiento es una tarea más compleja de lo que inicialmente habían esperado.

El GDPR sustituye a la Directiva de protección de datos de 1995 (Directiva 95/46/CE) y la nueva regulación impone un aumento sustancial de requisitos, reflejando los principales cambios tecnológicos de las últimas dos décadas y las crecientes preocupaciones sobre la vulnerabilidad de los datos personales.

Si bien vale la pena señalar que las multas por incumplimiento entre las empresas pueden alcanzar hasta el 4% del volumen de negocios anual de una organización -una cifra estimada en 480 millones de dólares para una compañía cotizada promedio en Dow Jones- también es importante no permitir que el miedo y la incertidumbre oscurezcan la planificación y la toma de decisiones en torno al GDPR. Las disputas internas sobre qué controles son más prácticos, dónde dirigir los recursos y quién será responsable del diseño y la administración del programa de cumplimiento solo aumentarán la complejidad.

Incorporar perspectivas diversas de las partes interesadas clave

En este contexto, es vital la cooperación entre los líderes de las unidades de negocios para el éxito de cualquier esfuerzo para diseñar e implementar una iniciativa efectiva de cumplimiento. En particular, las funciones legales, de seguridad de las TI, privacidad y gobernanza de la información deben estar estrechamente alineadas a medida que el proceso pasa de las fases de planificación, alcance y diseño a la implementación y gestión continua del programa.

El cumplimiento deberá abarcar los sistemas de TI, el personal, las políticas y los contratos, pero las organizaciones deben evitar la trampa de confiar exclusivamente en la experiencia en TI. Es imperativo que los creadores de programas exitosos de cumplimiento del GDPR incorporen puntos de vista de las partes interesadas clave de toda la organización.

Hacer coincidir el diseño de la solución con el perfil de riesgo exclusivo

Además de fomentar la cooperación y la colaboración entre las partes interesadas y las unidades de negocio, ¿cómo deberían responder las empresas? Un enfoque medido es probablemente el mejor para la mayoría de las organizaciones. Es fundamental comprender dónde se encuentran los mayores riesgos del GDPR de la empresa. Comienza por observar situaciones en las que tu empresa está recopilando y/o procesando datos personales para consumidores ubicados en la UE. Si el negocio principal de la empresa implica el procesamiento de dicha información, el riesgo será mucho mayor que el riesgo para las organizaciones que se dedican principalmente a transacciones B2B y no comercializan productos directamente a los consumidores.

Si se establecen protocolos para registrar actividades de procesamiento según lo requiere el GDPR, se podrán identificar fallas de seguridad y proceso que requerirán remediación. Las plantillas y metodologías impulsadas por los proveedores, a menudo acompañadas por grandes equipos de consultores, son probablemente excesivas y pueden estar mal adaptadas a las necesidades únicas de las organizaciones individuales.

Pocas compañías necesitan soluciones masivas, caras y de clase mundial. En su lugar, desarrolla un enfoque lógico que se personalice según el perfil de riesgo exclusivo de tu organización. Es totalmente posible, y eminentemente práctico, para la mayoría de las organizaciones destilar el cumplimiento del GDPR a un conjunto de componentes básicos procesables, mientras se aprovechan las capacidades de protección de datos y los procesos de gestión existentes.

Prioriza los requisitos básicos

Echemos un vistazo a los nuevos requisitos y restricciones que deberían ser prioridades en la mayoría de los programas de cumplimiento. Bajo la nueva regulación, las compañías deben:

• Identificar y documentar claramente cualquier actividad relacionada con el procesamiento de información personal de los sujetos de la UE. Esto debe incluir establecer un propósito legal para cada actividad de procesamiento.
• Asegurarse de proporcionar un aviso adecuado a los sujetos de datos en cada momento en que se recopilan los datos personales, informándoles sobre qué datos se están recopilando e indicando exactamente cómo se están procesando.
• Prepararse para responder a las solicitudes de acceso a los datos (DSARs) y otras afirmaciones de derechos por parte de los residentes de la UE. El GDPR impone un límite de tiempo de 30 días para responder a una solicitud.
• Desarrollar un proceso para llevar a cabo evaluaciones de impacto de la privacidad, un análisis formal de la protección de datos y los impactos en los derechos individuales de privacidad, con la introducción de cualquier nuevo proceso o sistema comercial.
• Protejer los datos personales transferidos fuera de la UE a través de suficiencia, consentimiento, normas corporativas vinculantes u otras disposiciones contractuales.
• Controlar los controles de acceso, el cifrado, la seudonimización y las medidas de seguridad técnica para proteger la información personal bajo el control de la compañía.
• Notificar a una autoridad de protección de datos de la UE dentro de las 72 horas de un incidente de seguridad que compromete la información personal de un ciudadano de la UE.
• Designar a un oficial de protección de datos responsable de la supervisión regular y sistemática de los esfuerzos de protección de datos, así como también de las auditorías de educación y capacitación y de cumplimiento internas. Esta persona también será responsable de las comunicaciones entre la empresa y las Autoridades de Supervisión del GDPR, así como de las comunicaciones con los interesados. Este requisito se aplica a las organizaciones que poseen datos particularmente confidenciales, o que procesan y/o almacenan grandes volúmenes de datos personales de la UE, independientemente de si los sujetos son empleados o personas ajenas a la organización.

Comprender los pasos para desarrollar un plan defendible

En primer lugar, revisa las nuevas reglamentaciones y asegúrate de que tu equipo de partes interesadas esté alineado con las definiciones e interpretaciones clave.

A continuación, crea un mapa detallado de los datos de tu organización. Deberás comprender a fondo cómo fluyen todos los datos personales de la UE a través de tus sistemas, dónde están almacenados y quién tiene el control sobre ellos. Te recomendamos que documentes las actividades de procesamiento mediante el uso de herramientas de encuesta automatizadas, pero también mediante el uso de las aportaciones de los interesados internos. Es esencial contar con proveedores externos en este ejercicio de mapeo. A medida que avanza, tu equipo debe revisar rigurosamente las políticas de retención de datos para fuentes de datos estructurados, como sistemas de CRM, registros de personal, bases de datos de marketing, etc. Muchas organizaciones conservan muchos más datos personales que los justificados por el valor comercial de hacerlo. Las empresas también querrán identificar y documentar las actividades de procesamiento utilizando herramientas de encuesta automatizadas y aportes formales de las partes interesadas para identificar los datos personales de la UE y ubicar los lugares de los tipos de datos protegidos.

Como parte de este proceso, asegúrate de identificar cualquier fuente de datos no estructurados, como el correo electrónico. Con respecto al correo electrónico las empresas querrán tomar medidas para que los usuarios individuales sean conscientes de los riesgos asociados con la retención y el intercambio de los datos personales de los sujetos de la UE, y las posibles consecuencias para las empresas y las personas por igual cuando esa información no está rigurosamente protegida. Muchas compañías querrán considerar la encriptación, la seudonimización y/o la supervisión del correo electrónico para reforzar los protocolos de seguridad.

Después del mapeo, es hora de desarrollar por escrito un plan integral. Instamos a las organizaciones a que vean la planificación del cumplimiento del GDPR como una oportunidad para volver a revisar exhaustivamente la gama completa de sus controles de seguridad existentes con respecto a los datos personales, e identificar las lagunas y debilidades. Esto incluye el escrutinio de funciones como controles de acceso, parches y gestión de vulnerabilidades. El plan también debe tener en cuenta la detección de incidentes y las capacidades de respuesta. Además, no olvides revisar el cumplimiento del GDPR por parte de proveedores y otros contratos comerciales, y negociar de inmediato nuevos términos, incluidos los acuerdos de procesamiento de datos necesarios.

Ten en cuenta que los nuevos requisitos de informes del GDPR incluyen una disposición que exige a las organizaciones que notifiquen a los reguladores sobre una violación dentro de las 72 horas. Si aún no cuentas con un plan detallado para la respuesta a incidentes, deberás desarrollar un proceso definido que describa exactamente cómo se notificará a las partes interesadas internas y quién lo hará, quién se pondrá en contacto con el regulador y cómo, cuándo y qué decir a los clientes. Nuevamente, los detalles de estos y otros protocolos son difíciles de estandarizar en diversas organizaciones y dependerán en gran medida del perfil de riesgo único de cada empresa.

Para obtener una comprensión más completa de los riesgos potenciales, muchas compañías encontrarán útil realizar una Evaluación de Impacto en la Privacidad (PIA). Este es un proceso formal para evaluar la capacidad de una organización para cumplir con los requisitos legales, normativos y de política de privacidad, identificar y evaluar los riesgos potenciales relacionados con los datos personales, y proponer medidas específicas para gestionar esos riesgos. La contratación de un profesional de privacidad certificado para revisar la documentación existente y recomendar políticas nuevas o adicionales también puede agilizar el proceso de planificación.

El cumplimiento también exige que se cree un proceso para responder a las solicitudes de los interesados de la UE para acceder, modificar o eliminar su información personal. Para muchas organizaciones, podría tener sentido cumplir con esta obligación mediante el uso de un tercero calificado en lugar de imponer una carga adicional al personal interno.

Finalmente, un componente crítico (y a menudo descuidado) de un programa de cumplimiento efectivo es la educación y capacitación de los empleados. Hay que asegurarse de que los empleados comprendan claramente las obligaciones y los riesgos de la empresa con respecto a las regulaciones del GDPR. Llevar a cabo reuniones informativas ejecutivas durante todo el proceso de planificación. Desarrollar e implementar un programa de capacitación en privacidad que se adapte a cada sistemaa de información y seguridad, el perfil de riesgo y la cultura de la empresa. Y asegúrate de que todos participen.

La Agencia Española de Protección de Datos (AEPD) ha lanzado un Listado de cumplimiento normativo [en PDF] para facilitar la adaptación al RGPD. Este documento es un método básico que permite identificar y verificar los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD).

Jesus_Caceres