Clicky

Todo sobre el Reglamento General de Protección de Datos (GDPR)

Índice del artículo

Reglamento General de Protección de Datos (GDPR)

El GDPR fue diseñado para armonizar las leyes de privacidad de datos en Europa

GDPR es una regulación que exige a las empresas proteger los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que tienen lugar dentro de los estados miembros de la UE. Y el incumplimiento podría costar caro a las compañías. Esto es lo que toda empresa que hace negocios en Europa necesita saber sobre el GDPR.

Las empresas que recopilan datos sobre los ciudadanos de los países de la Unión Europea (UE) deberán cumplir antes del 25 de mayo con nuevas y estrictas reglas para proteger los datos de los clientes. Se espera que el Reglamento General de Protección de Datos (GDPR) establezca un nuevo estándar para los derechos del consumidor con respecto a sus datos, pero las empresas se enfrentarán al desafío cuando implementen sistemas y procesos para cumplirlo.

El cumplimiento causará algunas preocupaciones y nuevas expectativas de los equipos de seguridad. Por ejemplo, el GDPR tiene una amplia visión de lo que constituye la información de identificación personal. Las empresas necesitarán el mismo nivel de protección para cosas como la dirección IP de una persona o los datos de las cookies que para el nombre, la dirección y el número de la Seguridad Social.

El GDPR deja mucho para la interpretación. Dice, por ejemplo, que las empresas deben proporcionar un nivel de protección "razonable" para los datos personales, pero no define qué constituye "razonable". Esto le da al cuerpo directivo del GDPR mucha libertad de acción cuando se trata de evaluar multas por incumplimientos y falta de cumplimiento de datos.

El tiempo se agota para cumplir con la fecha límite, por lo que hemos compilado lo que cualquier empresa necesita saber sobre el GDPR, junto con consejos para cumplir con sus requisitos. Muchos de los requisitos no se relacionan directamente con la seguridad de la información, pero los procesos y cambios del sistema necesarios para cumplir podrían afectar los sistemas y protocolos de seguridad existentes.

¿Qué es el GDPR?

El Parlamento Europeo adoptó el GDPR [PDF] en abril de 2016 reemplazando una directiva obsoleta de protección de datos de 1995. Contiene disposiciones que requieren que las empresas protejan los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que tienen lugar dentro de los estados miembros de la UE. El GDPR también regula la exportación de datos personales fuera de la UE.

Las disposiciones son consistentes en los 28 estados miembros de la UE, lo que significa que las empresas solo tienen un estándar para cumplir dentro de la UE. Sin embargo, ese estándar es bastante alto y requerirá que la mayoría de las compañías realicen una gran inversión para cumplirlo y administrarlo.

Según un informe de Ovum, alrededor de dos tercios de las empresas estadounidenses creen que el GDPR les exigirá que reconsideren su estrategia en Europa. Aún más (un 85 por ciento) considera que el GDPR los pone en desventaja competitiva con las empresas europeas.

¿Por qué existe el GDPR?

La respuesta corta a esa pregunta es la preocupación pública sobre la privacidad. Europa en general ha tenido reglas más estrictas sobre cómo usan las empresas los datos personales de sus ciudadanos. El GDPR reemplaza la Directiva de Protección de Datos de la UE, que entró en vigor en 1995. Esto fue antes de que Internet se convirtiera en el centro de negocios en línea que es hoy en día. En consecuencia, la directiva está desactualizada y no aborda muchas formas en que hoy se almacenan, recogen y transfieren los datos.

¿Cuán real es la preocupación pública sobre la privacidad? Es significativa y crece con cada nueva violación de datos de alto perfil. Según RSA Data Privacy & Security Report [PDF], por el cual RSA encuestó a 7.500 consumidores en Francia, Alemania, Italia, el Reino Unido y los EE. UU., el 80 por ciento de los consumidores dijo que la pérdida de datos bancarios y financieros es una preocupación principal. La información de seguridad perdida (por ejemplo, contraseñas) y la información de identidad (por ejemplo, pasaportes o licencia de conducir) fue citada como una preocupación del 76 por ciento de los encuestados.

Una alarmante estadística para las empresas que se ocupan de los datos de consumo es el 62 por ciento de los encuestados en el informe de RSA que dicen que culparían a la compañía por la pérdida de datos en caso de incumplimiento, no por parte del pirata informático. Los autores del informe concluyeron que, "A medida que los consumidores se informan mejor, esperan más transparencia y capacidad de respuesta de los administradores de sus datos".

La falta de confianza en cómo las empresas tratan su información personal ha llevado a algunos consumidores a tomar sus propias contramedidas. Según el informe, el 41 por ciento de los encuestados dijeron que falsificaban datos de manera intencional al suscribirse a servicios en línea. Las preocupaciones de seguridad, el deseo de evitar el marketing no deseado o el riesgo de que se revendan sus datos fueron algunas de sus principales preocupaciones.

El informe también muestra que los consumidores no perdonarán fácilmente a una empresa una vez que se produzca una violación que exponga sus datos personales. El setenta y dos por ciento de los encuestados de EE. UU. dijeron que boicotearían a una empresa que parecía ignorar la protección de sus datos. El cincuenta por ciento de todos los encuestados dijeron que tendrían más probabilidades de comprar en una compañía que podría demostrar que toma en serio la protección de datos.

"A medida que las empresas continúan con sus transformaciones digitales, haciendo un mayor uso de activos digitales, servicios y big data, también deben ser responsables de monitorear y proteger esos datos diariamente", concluyó el informe.

¿Qué tipos de datos de privacidad protege el GDPR?

• Información de identidad básica como nombre, dirección y números de identificación
• Datos web como ubicación, dirección IP, datos de cookies y etiquetas RFID
• Salud y datos genéticos
• Información biométrica
• Datos raciales o étnicos
• Opiniones políticasOrientación sexual

¿A qué compañías afecta el GDPR?

Cualquier empresa que almacene o procese información personal sobre ciudadanos de la UE dentro de los estados de la UE debe cumplir con el GDPR, incluso si no tienen presencia comercial en la UE. Los criterios específicos que deben cumplir las empresas son:

• Presencia en un país de la UE.
• No tiene presencia en la UE, pero procesa datos personales de residentes europeos.
• Más de 250 empleados.
• Menos de 250 empleados, pero su procesamiento de datos afecta los derechos y libertades de los interesados, no es ocasional, o incluye ciertos tipos de datos personales confidenciales. Eso efectivamente significa casi todas las empresas. Una encuesta de PwC mostró [PDF] que el 92 por ciento de las empresas de los EE. UU. considera que el GDPR es una de las principales prioridades de protección de datos.

Una nueva encuesta realizada por Propeller Insights y patrocinada por Netsparker Ltd. preguntó a los ejecutivos qué industrias serían las más afectadas por el GDPR. La mayoría (53 por ciento) vio el sector tecnológico más afectado, seguido por los minoristas en línea (45 por ciento), compañías de software (44 por ciento), servicios financieros (37 por ciento), servicios en línea/SaaS (34 por ciento) y productos empaquetados minoristas y de consumo (33 por ciento).

¿Cuándo debe cumplir mi empresa el Reglamento?

Las empresas deben poder mostrar su cumplimiento antes del 25 de mayo de 2018.

¿Quién dentro de mi empresa será responsable del cumplimiento?

El GDPR define varios roles que son responsables de garantizar el cumplimiento: el controlador de datos, el procesador de datos y el oficial de protección de datos (DPO). El controlador de datos define cómo se procesan los datos personales y los fines para los que se procesa. El controlador también es responsable de asegurarse de que cumplan los contratistas externos.

Los procesadores de datos pueden ser los grupos internos que mantienen y procesan los registros de datos personales o cualquier empresa de tercerización que realiza todas o parte de esas actividades. El GDPR responsabiliza a los procesadores por vilolaciones o incumplimientos. Es posible, entonces, que tanto la empresa como su socio de procesamiento, como un proveedor de la nube, sean responsables de las penalizaciones, incluso si la falla recae enteramente en el socio de procesamiento.

El GDPR requiere que el controlador y el procesador designen un DPO para supervisar la estrategia de seguridad de datos y el cumplimiento del GDPR. Se requiere que las empresas tengan un DPO si procesan o almacenan grandes cantidades de datos de ciudadanos de la UE, procesan o almacenan datos personales especiales, supervisan regularmente a los interesados o son una autoridad pública. Algunas entidades públicas como la aplicación de la ley pueden estar exentas del requisito de un DPO.

Según la encuesta de Propeller Insights, el 82 por ciento de las empresas que respondieron afirman que ya tienen un DPO en el personal, aunque el 77 por ciento planea contratar un DPO nuevo o de reemplazo antes de la fecha límite del 25 de mayo. Pero la contratación no se detiene con el DPO. Alrededor del 55 por ciento de los encuestados informaron que habían reclutado al menos a seis nuevos empleados para lograr el cumplimiento del GDPR.

¿Qué costará a mi compañía la preparación para el GDPR?

Según la encuesta de PwC, el 68 por ciento de las empresas con sede en Estados Unidos esperan gastar de $ 1 millón a $ 10 millones para cumplir con los requisitos del GDPR. Otro 9 por ciento espera gastar más de $ 10 millones.

La encuesta de PwC, que se realizó en diciembre de 2016, mostró que el 68 por ciento de las empresas con sede en los Estados Unidos esperan gastar de $ 1 millón a $ 10 millones para cumplir con los requisitos del GDPR. Otro 9 por ciento espera gastar más de $ 10 millones.

A medida que nos acercamos a la fecha límite del 25 de mayo, esas expectativas podrían haber estado en el lado positivo. La encuesta más reciente de Propeller Insights de marzo de 2018 indica que la mayoría de las compañías gastarán menos de $ 1 millón. De hecho, el 36 por ciento de los encuestados dijo que gastaría entre $ 50.000 y $ 100.000, y el 24 por ciento gastará entre $ 100,000 y $ 1 millón. Solo alrededor del 10 por ciento espera gastar más de $ 1 millón.

¿Cómo afecta el GDPR los contratos de terceros y clientes?

El GDPR impone la misma responsabilidad a los controladores de datos (la organización que posee los datos) y a los procesadores de datos (organizaciones externas que ayudan a administrar esos datos). Un procesador de terceros que no cumpla con los requisitos significa que tu organización no cumple. La nueva regulación también tiene reglas estrictas para reportar infracciones que todos en la cadena deben ser capaces de cumplir. Las organizaciones también deben informar a los clientes de sus derechos bajo el GDPR.

Lo que esto significa es que todos los contratos existentes con procesadores (por ejemplo, proveedores de servicios en la nube, proveedores de SaaS o proveedores de servicios de nómina) y clientes deben deletrear responsabilidades. Los contratos revisados también necesitan definir procesos consistentes sobre cómo se administran y protegen los datos, y cómo se informan las infracciones.

"El ejercicio más grande está en el lado de la adquisición de la casa: sus proveedores externos, sus relaciones de abastecimiento que procesan datos en su nombre", dice Mathew Lewis, jefe global de banca y prácticas regulatorias en el proveedor de servicios legales Axiom. "Hay toda una agrupación de proveedores que tienen acceso a estos datos personales y el GDPR establece muy claramente que debe asegurarse de que todos esos terceros se adhieran al GDPR y procesen los datos en consecuencia".

Los contratos con los clientes también deben reflejar los cambios regulatorios, dice Lewis. "Los contratos con los clientes toman una serie de formas diferentes, ya sean clics en línea o acuerdos formales donde se compromete con la forma en que ve, accede y procesa los datos".

Antes de que estos contratos puedan ser revisados, los líderes empresariales, los departamentos de TI y los equipos de seguridad deben comprender cómo se almacenan y procesan los datos y acordar un proceso compatible para la presentación de informes. "Los grupos de tecnología, el CISO y el equipo de gobernanza de datos requieren un ejercicio considerable para comprender qué datos encajan dentro de la empresa, dónde se almacenan o procesan y dónde se exportan fuera de la empresa. Una vez que se comprende los flujos de datos y el impacto en el negocio, se puede comenzar a identificar a los proveedores en los que debe centrarse más desde una perspectiva de seguridad de la información, cómo gestionan esas relaciones en el futuro y cómo conmemora eso en el contrato en sí mismo ", dice Lewis.

El GDPR también podría cambiar la mentalidad de los equipos de negocios y seguridad hacia los datos. La mayoría de las empresas ven sus datos y los procesos que utilizan para extraerlos como un activo, pero esa percepción cambiará, dice Lewis. "Dado el consentimiento explícito del GDPR y las empresas que necesitan ser mucho más granulares en su comprensión de los datos y los flujos de datos, existe un conjunto completo de responsabilidades que ahora existen con la acumulación de datos", dice Lewis. "Esa es una mentalidad bastante diferente tanto legal como de cumplimiento, pero quizás más importante por la forma en que la empresa piensa sobre la acumulación y el uso de esos datos y para los grupos de seguridad de la información y cómo piensan administrar esos datos".

"Los datos se están yendo de la empresa de muchas maneras", dice Lewis. "Si bien el CISO y los grupos de tecnología necesitan poder rastrear todo eso, también es necesario que establezcas protección". Esas protecciones deben detallarse en el contrato para que las empresas externas entiendan lo que pueden y no pueden hacer con los datos.

Lewis señala que al pasar por el proceso de definición de obligaciones y responsabilidades, prepara a una compañía para manejar el cumplimiento del GDPR de manera operacional. "Si uno de sus proveedores dice: 'Fue pirateado anoche', ¿sabrían a quién llamar y cómo responder como parte del cumplimiento de los requisitos reglamentarios?", dice.

La ventana de informes de 72 horas que requiere el GDPR hace que sea especialmente importante que los proveedores sepan cómo informar una infracción adecuadamente. "Si un proveedor fue pirateado y usted es uno de miles de clientes, ¿notifica a su departamento de compras o a una persona de cuenta o a alguien en cuentas por cobrar? Podría venir de muchas maneras", dice Lewis.

Se debe desear una ruta claramente definida en el contrato para que la información llegue a la persona responsable de reportar el incumplimiento en su organización. "Un regulador no va a decir que no debiste haber incumplido. Va a decir que deberías haber tenido en su lugar las políticas, los procedimientos y la estructura de respuesta para resolver eso rápidamente", dice Lewis.

Jesus_Caceres