Clicky

Es hora de adoptar el GDPR

cumplimiento GDPR

Los consumidores deben responsabilizar a las organizaciones por la forma en que se tratan sus datos

El ruido alrededor del Reglamento General de Protección de Datos (GDPR) ha sido inevitable, y por buenas razones. El GDPR entrará en vigencia mañana viernes 25 de mayo. Las grandes multas asociadas con el incumplimiento de la regulación han alentado a las organizaciones a aprovechar la gran cantidad de empresas que no están preparadas. Todo el mundo dice tener la solución única que resolverá el desafío del cumplimiento.

La verdad es que no hay remedio universal. Sin embargo, hay algunos pasos que una organización debe tomar para garantizar que estén listos para el GDPR y que detallamos a continuación.

Si bien el GDPR es un cambio para mejor, el proceso de análisis y compensación de deficiencias con estrategia documentada e implementación de procesos, procedimientos, mejores prácticas y tecnología puede ser más fácil decirlo que hacerlo. Muchas organizaciones tendrán dificultades para dar cada paso y cumplir verdaderamente.

Para una mejor comprensión de las regulaciones, en el caso de España la Agencia Española de Protección de Datos (AEPD) es una fuente independiente que cubre todos los detalles. Este es un gran recurso teniendo en cuenta que la AEPD auditará a las empresas españolas para su cumplimiento una vez que el GDPR entre en vigor.

Con todos los artículos inductores de pánico alrededor del GDPR, es difícil imaginar que sea algo bueno, pero lo es. No es secreto que nuestro mundo se está digitalizando cada vez más. Es posible hacer casi todo desde la comodidad de tu hogar con acceso a internet. Incluso cuando decidimos aventurarnos desde nuestro hogar, casi cualquier cosa que puedas imaginar ha sido automatizada y se realiza en línea.

La mayoría de estos lujos se basan en la voluntad del consumidor de dar libremente números de tarjetas de crédito, números de identificación médica, contraseñas y más. Mientras tanto, se entrega valiosa información a personas u organizaciones desconocidas que se espera que la mantengan segura.

El GDPR fue creado para asegurar que dar información personal ya no sea una apuesta. Los datos personales son exactamente lo que el GDPR pretende proteger. Las nuevas reglamentaciones no solo protegerán los datos de los clientes, sino que permitirán que los clientes sepan cómo se almacenan y procesan sus datos. Los consumidores pueden solicitar ver sus datos en cualquier momento o solicitar que alguno o todos sus datos se eliminen permanentemente. Los clientes ahora tendrán los derechos sobre sus datos. Este es un cambio de juego y eliminará la necesidad de cuestionar los motivos ocultos de cada formulario completado.

El GDPR requiere que las organizaciones que recopilan datos de identificación personal (PII, por sus singlas en inglés) de ciudadanos de la Unión Europea cumplan con los requisitos.

Primer paso: admite que tienes un problema

Sin dudas, todas las empresas necesitarán evaluar sus datos y tomar medidas en la dirección correcta para prepararse para el GDPR. Para algunas organizaciones, puede ser un ligero cambio atar cabos sueltos. Para otros, podría terminar siendo un levantamiento más pesado. Según una encuesta reciente de Vanson Bourne, el 24 por ciento de las empresas encuestadas no conocía el GDPR ni sus implicaciones. Y de aquellas que sí lo conocían, el 17 por ciento no tenía ningún plan para cumplirlo. Recuerda, el GDPR se aplica a cualquier organización que controle o procese cualquier PII de ciudadanos de la UE, independientemente de su ubicación geográfica.

Paso dos: evalúa la situación

La parte más importante de realizar el cumplimiento del GDPRmiento del GDPR es analizar los datos. Una empresa necesita tener los ojos puestos en todo para saber dónde existen sus puntos débiles. ¿Qué datos tiene la organización a mano? ¿Cómo se almacenan y procesan los datos? ¿Dónde está almacenados? ¿Quién tiene acceso a eso?

Si hay datos almacenados que son irrelevantes para la empresa, deberían eliminarse. Todo lo demás debe ejecutarse contra la prueba de cumplimiento. ¿El sujeto ha consentido en la recolección de estos datos? ¿Se borran fácilmente? ¿Son de fácil acceso para proporcionar a petición?

Paso tres: proteger los datos

Una vez que hay una comprensión completa de los datos, el siguiente paso es protegerlos a toda costa. Esto incluye la seguridad de los datos en reposo y los datos en movimiento.

Esta parte puede ser un desafío para muchas organizaciones porque los requisitos del GDPR no explican cómo proteger los datos, solo que es necesario protegerlos. Un ejemplo en el que GDPR va un paso más allá está en el Artículo 32, que requiere "el seudonimizado y el cifrado de los datos personales". Aunque esto parece obvio, ha habido innumerables casos en que los datos encriptados han estado en el centro de una violación de datos.

Por ejemplo, la reina de Inglaterra fue víctima de una fuga de datos cuando se encontraron detalles de seguridad en una unidad USB no cifrada cerca del aeropuerto de Heathrow. El artículo 34 también establece que, en caso de violación de los datos cifrados, ya no será necesario notificar a cada interesado, lo que ahorrará a las organizaciones los costos administrativos. Básicamente, aplicar el cifrado a todos los datos personales dentro de la organización los protegería en todos los ámbitos.

Paso cuatro: Educar

El último paso es crear un programa de educación y concientización para los empleados. A los datos corporativos se accede cada vez más desde dispositivos móviles en varias ubicaciones. Todos los empleados deben ser responsables de los datos a los que acceden fuera de la organización. Deben seguir la política de protección de datos corporativos y comprender plenamente su papel en la protección de los datos de los clientes.

La encuesta mencionada anteriormente encontró que el 48 por ciento de las empresas encuestadas dijeron que los empleados son su mayor riesgo de seguridad. Eso es casi la mitad de las organizaciones que revelan que no confían en la comprensión de sus propios empleados sobre la protección de datos. Y el 44 por ciento espera que sus empleados pierdan datos y expongan a su organización al riesgo de una violación de datos. Esto presenta una forma obvia de prepararse para el GDPR. Equipa a la fuerza de trabajo con la capacitación y las herramientas adecuadas para comprender el GDPR y cuáles son sus obligaciones.

Con el GDPR en vigencia, las organizaciones deberán asegurar todos los datos personales y serán auditadas en contra de su capacidad de entrega. Las personas serán más conscientes de los derechos que tienen sobre sus datos y tendrán una mayor presencia en su manejo. Los consumidores pueden esperar que las empresas hagan todo lo que exige el GDPR.

El GDPR afecta a todos, es hora de abrazar el cambio. Los consumidores deben responsabilizar a las organizaciones por la forma en que se tratan sus datos, y las empresas deben aprovechar esta oportunidad para ordenar sus casas.

Jesus_Caceres