Cómo prepararse para GDPR en 5 pasos

El GDPR entrará en vigor en mayo de 2018 y afectará a las empresas con operaciones, remota o físicamente, en la UE y en cualquier organización que recopile datos de ciudadanos de la UE.1 Esto significa que la mayoría de las empresas que operan a escala mundial deben prepararse para estos cambios ahora.

Es probable que no necesite cambiar su modelo comercial para evitar multas, pero deberá contar con los procedimientos de cumplimiento adecuados. Los líderes operativos y tecnológicos deberían priorizar la creación e implementación de un plan de preparación de GDPR centrado en la privacidad y la seguridad de los datos. Comience con estos cinco pasos:

1. No se resista

No es el momento de resistir el cambio. Según las reglas de GDPR, las empresas pueden recibir una multa de hasta el 4 por ciento de los ingresos globales totales o 20 millones de euros (lo que sea mayor) por infracciones relativas al procesamiento de datos, incluida la obtención del consentimiento adecuado o requisitos relacionados con las transferencias internacionales de datos. Claramente, los reguladores de la UE están enviando un mensaje a las empresas con amplios bolsillos que hacer alarde de la ley tiene graves repercusiones financieras.

2. Designe un Director de Privacidad de Datos

Es posible que necesite especificar una persona, como un director de privacidad de datos (DPO), para que tenga la responsabilidad de mantener el cumplimiento de la organización. GDPR es diferente de los cambios regulatorios anteriores en cuanto a la naturaleza, el alcance y el tipo de procesamiento de datos.

La Sección 37 de la GDPR en realidad requiere un DPO específico para cumplir con ciertas tareas, como el cumplimiento normativo y la capacitación del personal en el manejo de datos para las empresas que monitorean los datos de recursos humanos en una escala particularmente grande.

Incluso si su organización emplea menos de 5.000 empleados, es probable que su equipo actual no tenga experiencia en liderar un cargo de este alcance y tamaño.

3. Tenga sus aceptaciones de cumplimiento al día

GDPR realmente aprieta los tornillos para a la hora de aceptar el consentimiento. No puede reclamar que alguien ha dado su consentimiento para brindarle información basada en letra pequeña en la parte inferior del sitio web, o con una opción de consentimiento "pre-marcado" en un formulario. Tampoco puede obtener el consentimiento para utilizar los datos para un fin específico y optar por usarlos para otro fin. También debe permitir que las personas descubran qué datos tiene que les pertenecen y dónde residen.

Si mueve datos entre países de la UE, GDPR quiere que se asegure de que la otra jurisdicción también tenga reglas estrictas. Esta es una razón por la cual GDPR tendrá un impacto global, obligando a otros países a alinearse con las regulaciones. Si tiene una arquitectura de datos en la nube altamente distribuida, debe ser transparente acerca de la cantidad de datos almacenados y obtener un consentimiento explícito de los individuos que indiquen claramente qué se almacena y dónde. Sin embargo, también necesita la capacidad de corregir o eliminar datos en todos esos lugares cuando se le solicite.

4. Prepárase para borrar

GDPR permitirá a las personas retirar su consentimiento en cualquier momento, momento en el cual se requiere que una empresa elimine sus datos de inmediato, generalmente en un mes. La regla del "derecho a borrar" no es tan absoluta como la decisión del "derecho al olvido" emitida por el Tribunal de Justicia de la UE en 2014, pero sí obliga a su empresa a eliminar los datos de una persona cuando no hay una razón convincente para conservarla. Las excepciones incluyen datos que se deben conservar para satisfacer otras obligaciones legales o reglamentarias.

Este nuevo proceso tiene implicaciones legales obvias. Desde una perspectiva operacional, su equipo debe planificar la logística ahora para asegurarse de que esté lista para eliminar datos tan pronto como su equipo legal lo aconseje. Defina a los puntos apropiados en su equipo y desarrolle un plan de acción para cualquier solicitud de eliminación de datos cuando se retire el consentimiento.

5. Planifique su estrategia de comunicación

Las infracciones de datos en los países de la UE actualmente pueden permanecer ocultas ya que no existe una obligación general de notificar al ICO, o lo que conocemos como SEC. Eso cambiará bajo GDPR.

Los directores de privacidad de datos son responsables de informar cualquier incumplimiento de los datos del consumidor dentro de las 72 horas como máximo y dentro de las 24 horas "cuando sea factible". No cumplir con esta regulación puede resultar en recibir una de las sanciones más severas. Esto significa que su equipo debe estar preparado para comunicarse adecuadamente y notificar a las autoridades cuando se produce una infracción en la información.

Piense en cómo se comunicará y posicionará estas nuevas regulaciones y procesos a su equipo interno. GDPR tendrá implicaciones en sus procesos de datos que probablemente afecten incluso a personas no técnicas. Trabaje con los líderes y gerentes de su equipo para transmitir información sobre nuevos procesos y regulaciones mucho antes de mayo de 2018.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.