Llegamos a ustedes gracias a:



Reportajes y análisis

Qué necesita saber sobre el GDPR

[19/10/2017] Las empresas que recopilen datos sobre los ciudadanos de los países de la Unión Europea (UE) tendrán que cumplir nuevas y estrictas normas de protección de los datos de los clientes dentro del próximo año. Se espera que el Reglamento General de Protección de Datos (GDPR) establezca un nuevo estándar para los derechos de los consumidores en relación con sus datos; pero las empresas se verán desafiadas a medida que establezcan los sistemas y procesos que deben cumplir.

El cumplimiento de la norma provocará algunas preocupaciones y nuevas expectativas en los equipos de seguridad. Por ejemplo, el GDPR tiene una visión amplia de lo que constituye la información de identificación personal (PII). Las empresas necesitarán el mismo nivel de protección para cosas como la dirección IP de un individuo, o los datos de las cookies para el nombre, la dirección y el número de Seguro Social.

El GDPR deja mucho que interpretar. Dice que las empresas deben proporcionar un nivel "razonable" de protección de los datos personales, por ejemplo; pero no define lo que constituye "razonable", lo que otorga al órgano rector del GDPR un gran margen de maniobra a la hora de evaluar las multas por infracciones e incumplimientos de los datos.

Aquí hemos compilado lo que cualquier empresa necesita saber sobre el GDPR, junto con consejos para satisfacer sus necesidades. Muchos de los requisitos no se relacionan directamente con la seguridad de la información, pero los cambios en los procesos y sistemas necesarios para cumplir con la normativa, podrían afectar a los sistemas y protocolos de seguridad existentes.

¿Qué es el GDPR?

El Parlamento Europeo adoptó el GDPR en abril del 2016, sustituyendo una directiva anticuada sobre protección de datos que databa de 1995. Lleva disposiciones que exigen a las empresas que protejan los datos personales y la privacidad de los ciudadanos de la UE, para las transacciones que se realicen en los Estados miembros de la UE. El GDPR también regula la exportación de datos personales fuera de la UE.

Las disposiciones son coherentes en todos los 28 Estados miembros de la UE, lo que significa que las empresas solo tienen una norma que cumplir dentro de la UE. Sin embargo, esa norma es bastante alta y requerirá que la mayoría de las empresas realicen una gran inversión para cumplir y administrar.

Según un informe de Ovum, cerca de dos tercios de las empresas creen que el GDPR les exigirá que reconsideren su estrategia en Europa. Más aún (85%) ven que el GDPR los pone en desventaja competitiva frente a las empresas europeas.

¿A qué empresas afecta el GDPR?

Cualquier empresa que almacene o procese información personal sobre ciudadanos de la UE dentro de los Estados miembros de la UE debe cumplir con el GDPR, incluso si no tiene una presencia comercial dentro de la UE. Los criterios específicos para las empresas que deben cumplir son:

  • Presencia en un país de la UE.
  • No hay presencia en la UE, pero procesa datos personales de residentes europeos.
  • Más de 250 empleados.
  • Menos de 250 empleados, pero su procesamiento de datos afecta a los derechos y libertades de los interesados, no es ocasional o incluye ciertos tipos de datos personales sensibles. Eso significa efectivamente casi todas las empresas. Una encuesta de PwC mostró que el 92% de las empresas consideran al GDPR como una prioridad.

¿Cuándo necesita mi empresa cumplir con las normas?

Las compañías deben ser capaces de demostrar el cumplimiento antes del 25 de mayo del 2018.

¿Quiénes dentro de mi empresa serán los responsables del cumplimiento?

El GDPR define varias funciones que son responsables de garantizar el cumplimiento: el responsable del tratamiento, el responsable del proceso y el responsable de la protección de los datos (DPO, por sus siglas en inglés). El responsable del tratamiento define la forma en que se tratan los datos personales y los fines para los que se tratan. El controlador también es responsable de asegurarse de que los contratistas externos cumplan con las normas.

Los responsables del proceso pueden ser los grupos internos que mantienen y procesan registros de datos personales, o cualquier empresa de subcontratación que realiza todas o parte de esas actividades. El GDPR responsabiliza a éstos por infracciones o incumplimiento. Es posible, por lo tanto, que tanto su empresa como el socio del procesamiento -como un proveedor de cloud computing, sean responsables de las penalizaciones, incluso si la culpa recae exclusivamente en el socio de procesamiento.

El GDPR requiere que el controlador y el procesador designen un responsable de la protección de datos para supervisar la estrategia de seguridad de los datos y el cumplimiento del GDPR. Las empresas están obligadas a tener un DPO si tratan o almacenan grandes cantidades de datos de ciudadanos de la UE, procesan o almacenan datos personales especiales, supervisan regularmente a los interesados, o son una autoridad pública. Algunas entidades públicas, como las fuerzas del orden, pueden estar exentas del requisito del DPO.

¿Cuánto le costará a mi empresa la preparación para el GDPR?

De acuerdo con la encuesta de PwC, el 68% de las empresas con sede en Estados Unidos esperan gastar entre uno y 10 millones de dólares para cumplir con los requisitos del GDPR. Otro 9% espera gastar más de 10 millones de dólares.

¿Qué sucede si mi empresa no cumple con el GDPR?

El GDPR permite multas muy elevadas de hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor, por incumplimiento. Según un informe de Ovum, el 52% de las empresas creen que serán multadas por incumplimiento. La consultora Oliver Wyman predice que la UE podría recaudar hasta seis mil millones de dólares en multas y sanciones en el primer año.

Una gran pregunta sin respuesta es cómo se evaluarán las sanciones. Por ejemplo, ¿cómo diferirán las multas por una infracción que tiene un impacto mínimo en los individuos, versus una infracción en la que el PII expuesto resulte en un daño real? El consenso es que [el órgano de gobierno] actuará rápidamente sobre unas pocas compañías cuando descubran que no estaban en conformidad desde el principio, para así enviar un mensaje. Luego, las organizaciones pueden hacer una mejor evaluación de qué esperar en caso de que se descubra un incumplimiento.

¿Qué tipos de datos de privacidad protege el GDPR?

  • Información básica de identidad como nombre, dirección y números de identificación
  • Datos web como ubicación, dirección IP, datos de cookies y etiquetas RFID
  • Salud y datos genéticos
  • Datos biométricos
  • Datos raciales o étnicos
  • Opiniones políticas
  • Orientación sexual

¿Qué requisitos del GDPR afectarán a mi empresa?

Los requisitos del GDPR obligarán a las empresas a cambiar la forma en que procesan, almacenan y protegen los datos personales de sus clientes. Por ejemplo, las empresas solo podrán almacenar y procesar datos personales cuando la persona consienta, y durante "un tiempo no superior al necesario para los fines para los que se tratan los datos personales".

Ese último punto también se conoce como el derecho al olvido. Hay algunas excepciones. Por ejemplo, el GDPR no reemplaza ningún requisito legal de que una organización mantenga ciertos datos. Esto incluiría los requisitos de registros médicos de HIPAA.

Varios requisitos afectarán directamente a los equipos de seguridad. Uno de ellos es que las empresas deben ser capaces de proporcionar a los ciudadanos de la UE un nivel "razonable" de protección de datos y privacidad. Lo que el GDPR quiere decir con "razonable" no está bien definido.

Lo que podría ser un requisito desafiante es que las compañías deben informar a las autoridades de supervisión -y a los individuos afectados- por una violación, dentro de las 72 horas siguientes a la detección de la violación. Otro requisito, la realización de evaluaciones de impacto, tiene por objeto ayudar a mitigar el riesgo de incumplimientos mediante la identificación de vulnerabilidades y la forma de abordarlas.

¿Qué debe hacer mi empresa para prepararse para el GDPR?

Establecer un sentido de urgencia que provenga de la alta dirección: La empresa de gestión de riesgos Marsh destaca la importancia del liderazgo ejecutivo para dar prioridad a la preparación cibernética. El cumplimiento de las normas de higiene de datos globales forma parte de esta preparación.

Involucrar a todas las partes interesadas: La TI por sí sola no está preparada para cumplir los requisitos del GDPR. Inicie un grupo de trabajo que incluya marketing, finanzas, ventas, operaciones -cualquier grupo dentro de la organización que recopile, analice o haga uso de los PII de los clientes. Con la representación en un grupo de trabajo del GDPR, pueden compartir mejor la información que será útil para quienes implementan los cambios técnicos y de procedimiento necesarios, y estarán mejor preparados para hacer frente a cualquier impacto en sus equipos.

Contratar o designar a un DPO: El GDPR no dice si el DPO necesita ser una posición discreta, por lo que presumiblemente una empresa puede nombrar a alguien que ya desempeñe un papel similar al de la posición, siempre y cuando esa persona pueda garantizar la protección de la PII sin conflicto de intereses. De lo contrario, deberá contratar a un DPO. Dependiendo de la organización, es posible que el DPO no tenga que trabajar a tiempo completo. En ese caso, un DPO virtual es una opción. Las normas de GDPR permiten a un DPO trabajar para múltiples organizaciones, por lo que un DPO virtual sería como un consultor que trabaja según sea necesario.

Crear un plan de protección de datos: La mayoría de las empresas ya tienen un plan establecido, pero necesitarán revisarlo y actualizarlo para asegurarse de que se ajuste a los requisitos del GDPR.

Llevar a cabo una evaluación de riesgos: Desea saber qué datos almacena y procesa sobre los ciudadanos de la UE y comprender los riesgos que conlleva. Recuerde, la evaluación de riesgos también debe describir las medidas adoptadas para mitigar ese riesgo. Un elemento clave de esta evaluación será descubrir todas las shadow TI que podrían estar recolectando y almacenando los PII.

Implementar medidas para mitigar el riesgo: Una vez que haya identificado los riesgos y cómo mitigarlos, debe poner esas medidas en práctica. Para la mayoría de las empresas, esto significa revisar las medidas de mitigación de riesgos existentes.

Si su organización es pequeña, pida ayuda si es necesario: Las empresas más pequeñas se verán afectadas por el GDPR, algunas de ellas de forma más significativa que otras. Es posible que no cuenten con los recursos necesarios para satisfacer las necesidades. Disponga de recursos externos para contratar asesoramiento y expertos técnicos que les ayuden a lo largo del proceso y reduzcan al mínimo las perturbaciones internas.

Planes de respuesta ante la incidencia de las pruebas: El GDPR exige que las empresas informen de los incumplimientos en un plazo de 72 horas. La forma en que los equipos de respuesta minimicen el daño, afectará directamente a la compañía. Asegúrese de que puede informar y responder adecuadamente dentro del período de tiempo establecido.

Establezca un proceso de evaluación continua: Deseará asegurarse de que sigue cumpliendo con la normativa, y eso requerirá un seguimiento y una mejora continua.