Llegamos a ustedes gracias a:



Noticias

Veritas: Solo 2% de las organizaciones cumplirían con el GDPR

[31/07/2017] Un estudio de Veritas Technologies reveló que las organizaciones de todo el mundo creen erróneamente que están en cumplimiento con el próximo reglamento general de protección de datos (GDPR).

Según los resultados del Informe del GDPR de Veritas 2017, casi un tercio (31%) de los encuestados afirmó que su empresa ya cumple con los requisitos clave de la legislación. Sin embargo, cuando a los mismos encuestados se les preguntó sobre las disposiciones específicas del GDPR, las respuestas de la mayoría demostraron que es poco probable que estén cumpliendo. De hecho, tras una inspección más detallada, solo 2% parece cumplir con las disposiciones, lo que revela un claro malentendido respecto al cumplimiento.

"Los resultados del informe demuestran que casi la mitad (48%) de las organizaciones que declararon que cumplían no tienen visibilidad total de los incidentes de pérdidas de datos personales. Además, 61% del mismo grupo admitió que para la organización resulta difícil identificar y denunciar una filtración de datos personales en un plazo de 72 horas a partir de que se descubre; un requisito obligatorio del GDPR cuando hay riesgo para las personas interesadas. Una organización que no puede informar la pérdida o el robo de datos personales, como registros médicos, direcciones de correo electrónico y contraseñas, al órgano de supervisión en el plazo citado, no cumple con este requisito fundamental, señaló Mike Palmer, vicepresidente ejecutivo y director de productos de Veritas.

Los resultados de este informe sugieren que las organizaciones que consideran que cumplen con las disposiciones del GDPR deberían revisar sus estrategias de cumplimiento. El incumplimiento de los requisitos del GDPR podría ocasionar una multa de hasta cuatro por ciento de la facturación anual global o 20 millones de euros, lo que sea mayor.

La amenaza del exempleado

"La restricción del acceso del exempleado a los datos corporativos y la eliminación de sus credenciales del sistema ayudan a prevenir la actividad maliciosa y a evitar pérdidas financieras y daños de reputación. Sin embargo, un sorprendente 50% de las organizaciones que se consideran que cumplen las disposiciones afirmaron que los exempleados aún tienen acceso a los datos internos. Estos hallazgos destacan que incluso las organizaciones más seguras tienen problemas para controlar el acceso de los exempleados y son potencialmente susceptibles a los ataques, anotó Palmer.

Añadió que, según el GDPR, los residentes de la UE tendrán derecho a solicitar la eliminación de sus datos personales de las bases de datos de una organización. "Sin embargo, nuestra investigación demuestra que muchas organizaciones que consideraban que cumplían con las disposiciones no podrán buscar, encontrar y eliminar datos personales si se ejerce el principio del 'derecho a ser olvidado', señaló el ejecutivo.

De las organizaciones que consideran que están preparadas para el cumplimiento del GDPR, una quinta parte (18%) admitió que los datos personales no se pueden depurar ni modificar. Otro 13% admitió que no tiene la capacidad para buscar y analizar datos personales para revelar referencias explícitas e implícitas a un individuo. "Tampoco pueden visualizar con precisión dónde se almacenan sus datos, porque sus fuentes de datos y depósitos no están claramente definidas, indicó Palmer.

"Estas deficiencias harían que una empresa no cumpla con las disposiciones del GDPR. Las organizaciones deben garantizar que los datos personales solo se utilicen para las razones por las que se recopilaron y que se eliminen cuando ya no sean necesarios, agregó el ejecutivo.

Desmitificación de la responsabilidad del GDPR

La investigación de Veritas también demostró que existe un malentendido común entre las organizaciones con respecto a la responsabilidad de los datos en entornos de nube. Casi la mitad (49%) de las empresas que consideran que cumplen con el GDPR consideran que es responsabilidad exclusiva del proveedor del servicio de la nube (CSP) garantizar el cumplimiento de los datos en la nube. "De hecho, la responsabilidad recae en el controlador de datos (la organización) para garantizar que el procesador de datos (CSP) brinde suficientes garantías del GDPR. Este falso sentido de protección que se percibe podría tener serias repercusiones una vez que se promulgue el GDPR, indicó Palmer.

El GDPR pretende armonizar las exigencias de privacidad y protección de datos en todos los estados miembros de la Unión Europea (UE). Éste exige que las organizaciones implementen las medidas de protección y los procesos adecuados para manejar de manera efectiva datos de carácter personal. El GDPR entrará en vigencia el 25 de mayo del 2018 y se aplicará a toda organización, dentro o fuera de la UE, que ofrezca bienes o servicios a los residentes de la UE, o que monitoree su comportamiento.