Llegamos a ustedes gracias a:



Reportajes y análisis

Preparación para el cumplimiento del GDPR

Dónde debe estar ahora y cómo llegar

[24/11/2017] En una industria al vapor de las palabras de moda, GDPR cumple todos los requisitos. ¿Acrónimo? Compruébelo. ¿Expertos en abundancia? Compruébelo. ¿Llenar el banner de marketing en las ferias? Definitivamente compruébelo. Detrás del ruido, las exageraciones y los malentendidos, hay una legislación sustancial que cambiará la forma de abordar la protección de datos por parte de las organizaciones que operan en Europa.

Programada para entrar en vigencia el 25 de mayo del 2018, GDPR marca una importante actualización de la actual directiva de la UE que data del año 1995 (95/46 / c). También armoniza la protección de datos en 28 estados miembros de la UE, reemplazando la necesidad de legislación nacional. Los titulares son, naturalmente, alrededor de multas por violación de datos de hasta 20 millones de euros (o 4% de la facturación bruta anual), así como notificaciones de seguridad obligatorias, nuevas reglas sobre el consentimiento del usuario, una definición más clara de lo que podrían ser datos personales (como direcciones IP, por ejemplo), y mayores derechos para el acceso de las personas -o solicitar su eliminación- a la información que las empresas tienen sobre ellos.

Vea también: Qué necesita saber sobre el GDPR

Como tal, GDPR trasciende las TI y se extiende a áreas como ventas y marketing, pero esta legislación compleja conlleva numerosos conceptos erróneos. Por ejemplo, a menudo se cree que el consentimiento debe ser siempre explícito, que la multa del 4% es para todas las violaciones de datos (no lo es), y que es obligatorio designar a un oficial de protección de datos (el rol de DPO, por sus siglas en inglés, está reservado en gran parte para quienes procesan "categorías especiales de datos"). La ambigüedad respecto a los procesadores y controladores de datos -no apoyada por el polémico caso judicial de Google España- también ha causado dolores de cabeza, especialmente en torno a los datos almacenados en la nube.

Esta confusión ha tenido consecuencias: Un estudio reciente de WatchGuard reveló que una de cada tres organizaciones globales no estaba segura de si necesitaban cumplir con el GDPR, mientras que estudios similares han indicado que numerosas empresas estadounidenses creen que la regulación no las afectaría (sí lo hace si se procesan los datos personales de la UE). En una conferencia en julio, un orador reveló que cuatro compañías FTSE 100 aún no habían empezado a avanzar hacia el cumplimiento del GDPR, un signo de que tal vez el miedo está deteniendo el progreso.

Sin embargo, una realidad común es que GDPR no está muy lejos de las regulaciones de protección de datos existentes; es solo que las organizaciones tampoco estaban demasiado preparadas con ellas. "El gran impacto que todos tienen con GDPR es que no estaban funcionando de acuerdo con la legislación actual de protección de datos", señala Christian Toon, CISO de la firma legal Pinsent Masons. "Muchas empresas ahora están frenando la implementación total para el cumplimiento, porque es difícil determinar cómo se ve el cumplimiento, y poner fe en un plan de acción claro será suficiente para disuadir al regulador".

Jon Baines, un oficial de protección de datos en una empresa de transporte del Reino Unido y presidente de la Asociación Nacional de Funcionarios de DP y de libertad de información (NADPO), coincide en que GDPR no es una desviación del pasado. "GDPR marca una evolución en la ley de protección de datos, no una revolución", anota. "La mayoría de los principios básicos en torno a la equidad, la transparencia, la limitación de los fines, la minimización de los datos y la seguridad, no se han modificado en gran medida con respecto a los de la directiva de 1995".

Sin embargo, Baines señala que GDPR introduce algunos cambios fundamentales para "permitir a las personas controlar mejor sus datos personales", mientras "introduce normas modernizadas y unificadas en toda la UE para permitir un mercado único digital". Por lo tanto, a los interesados se les otorgan derechos para facilitar el acceso a sus propios datos, un derecho a la portabilidad de datos (para transferir sus datos entre proveedores de servicios), un "derecho al olvido" más claro (lo que significa que los datos deben eliminarse si se solicitan si no hay motivos legítimos para retenerlo), más un derecho a ser informado si sus datos personales han sido sujetos a una violación grave".

"Las empresas ahora están sujetas a reglas generales que se aplican en toda la UE de forma coherente, y que requieren la adopción de un enfoque basado en el riesgo para el procesamiento de datos personales", agrega Baines. "Se fortalecen las reglas sobre responsabilidad y transparencia, y tendrán que adoptar conceptos tales como 'protección de datos por diseño y por defecto'. También enfrentarán el potencial de multas significativamente mayores por infracciones graves de la ley de protección de datos".

Preparación para GDPR: Dónde están las empresas hoy

Entonces, ¿dónde están hoy las empresas con el GDPR? En las conferencias RANT en Londres, un sondeo entre CISOs y expertos en privacidad reveló que casi todos en la habitación no estaban listos, pero Baines dice que depende de lo que realmente significa estar 'listo'. La regulación, después de todo, estipula que las compañías deben proporcionar un nivel de protección "razonable". "Si nos referimos a 'en una posición ampliamente capaz de cumplir con los derechos de las personas bajo GDPR y en posición de resistir los desafíos legales y regulatorios', el número será mucho más alto [de lo que se informa]".

Sin embargo, algunos están en camino hacia el cumplimiento, con Toon diciendo que Pinsent está abordando la regulación "de frente". "Como muchos, hemos adoptado un enfoque basado en el riesgo para la implementación de controles; estamos identificando dónde están nuestros datos, cómo están protegidos y cómo garantizar que nuestra cadena de suministro acepte nuevos términos".

Por otra parte, Gilbert Verdian, CISO en la compañía de pagos Vocalink, revela cómo su compañía se ha acercado a las regulaciones de la UE, incluso si admite que la información personal identificable (PII, por sus siglas en inglés) se limita a la información del personal en los sistemas de recursos humanos. "Establecimos un equipo interdepartamental para comprender el alcance de la nueva legislación, evaluar los procesos y controles que tenemos implementados e identificar cualquier problema que tuviéramos, antes de abordarlos. Luego implementamos un mecanismo para automatizar la identificación y búsqueda de almacenes de datos en nuestros sistemas, y lo vinculamos a la tecnología de clasificación de datos que etiqueta los datos en función de su confidencialidad. Esto está vinculado a los controles de prevención de pérdida de datos que solo permiten que ciertos tipos de datos viajen entre redes".

Verdian señala que Vocalink desarrolló conjuntamente la estrategia de la empresa para GDPR entre los equipos legales, de operaciones y de seguridad, analizando su entorno contra las regulaciones de la UE, y elaborando una hoja de ruta para abordar rápidamente cualquier brecha.

Otras organizaciones se han acercado a la regulación de forma proactiva. En una entrevista reciente de una publicación de publicidad The Drum, el grupo Lloyd Banking Group con sede en Reino Unido, reveló cómo el GDPR había permitido ver el marketing digital de una manera nueva -poner al cliente en el centro-, mientras que el director de información de la compañía de telecomunicaciones O2 habló de cómo GDPR era una "oportunidad de obtener la confianza de nuestros clientes". En una medida más drástica, la cadena pública del Reino Unido Weatherspoon borró toda su base de datos de correo electrónico al cliente, según los informes, en un intento de adherirse a la nueva regulación de la UE.

Para todos los temerosos, GDPR puede traer algunos aspectos positivos a las empresas, como la gestión de datos mejorada y la lealtad de los clientes. "Una mejor gestión de la información es un beneficio claro, pero el principio de la privacidad por diseño puede ofrecer productos y servicios que, comercializados astutamente, podrían ser muy exitosos comercialmente", indica Baines.

La realidad es, sin embargo, que no son la norma. La mayoría de las organizaciones se están quedando atrás, solo que ahora nombran DPOs y comités directivos, y luchan por la aceptación de la sala de juntas. Otros progresan lentamente con auditorías de información y, en general, desarrollan una conciencia en toda la empresa. En RANT, el jefe de seguridad de la información de Ticketmaster, Nick Green, ha invocado a que las empresas designen a los "guerreros GDPR, pero muchos todavía no saben quiénes deben ser estas personas.

Tal vez el miedo se interpone en el camino, y en particular las preocupaciones en torno a las multas por violación de datos y "el derecho al olvido", que ya ha sido una pesadilla logística para gigantes como Google. Tanto Toon como Verdian dicen que las empresas no deberían preocuparse demasiado por las multas, especialmente porque la mayoría de las autoridades de protección de datos, como el ICO, rara vez tienen los recursos o la inclinación para repartir mega multas. "Rara vez hemos visto el alcance de la pena", señala Verdian.

"Lo que le debería preocupar a las empresas es el poder de imponer otras sanciones más allá de las multas a la organización. Cosas como ponerse en contacto con cada cliente en los últimos años para notificarlos, o compensar a cada víctima individualmente mediante la imposición de requisitos o controles adicionales (por ejemplo, proporcionar monitoreo de puntuación de crédito para cada cliente).

Existe el riesgo de multas adicionales si no cumple con nada de esto dentro del plazo establecido. "Dichas sanciones pueden causar una enorme carga administrativa e incluso pueden costarle a la organización más que la multa", anota, y destaca que estas tareas alejan al personal de tareas que impulsan el rendimiento empresarial y la innovación.

A Toon tampoco le preocupa una ventana de seguridad obligatoria de 72 horas, tal vez una sorpresa dado que la mayoría de las organizaciones tienen incumplimientos no reconocidos en las redes durante meses. Según el GDPR, la "destrucción, pérdida, alteración, divulgación no autorizada o acceso a los datos de las personas debe ser informada al organismo regulador de un país dentro del plazo establecido". La notificación obligatoria en 72 horas es claramente alcanzable. Esto no se trata de un diagnóstico e informe completos sobre lo sucedido. Esta es la notificación superficial al regulador de que algo está en marcha. Comparta lo que sepa; su plan para una mayor investigación y triage junto con una línea de tiempo anticipada".

Otros expertos también han intervenido en este sentido. La cabeza de seguridad de la información, recientemente fallecida, de Burberry, John Meakin, sugirió que hablar con el regulador es clave para la transparencia y evitar costosas multas.

¿Cómo es que las empresas aceleran sus iniciativas de GDPR?

Baines recomienda que las organizaciones trabajen en estrecha colaboración con el DPO y sus equipos. Si no tienen un DPO, los CISOs y los CIOs deberían presionar a su junta para introducir uno sobre la base de que "la protección de datos no es y no debe ser la única responsabilidad de un responsable de seguridad de la información".

Toon recomienda a las organizaciones obtener consejos "validados y auténticos", y encomendarle a una persona o grupo de personas que administren todos los aspectos de GDPR, brindando capacitación en toda la compañía para asegurar que la cadena de suministro esté actualizada (se recomiendan actualizaciones de contrato). En el fondo, señala, es una buena gestión de datos. "Calcule qué datos personales tiene. ¿Dónde están? ¿Cómo los consiguió? Deshágase de ellos si no los necesita", anota, y agregar un DPO podría considerarse una buena práctica.

Verdian acepta que las organizaciones deben comprender el tipo de datos, su ubicación y cómo se utilizan. Esto debería compararse con los requisitos de regulación. "Debe mantener este nivel de cumplimiento en toda su organización. Incrustar el pensamiento de cumplir con la privacidad en proyectos y programas, usando herramientas como una evaluación de impacto de la privacidad, para comprender el riesgo de cada actividad".