GDPR ha llegado: un enfoque basado en el riesgo para la protección de datos

  • Seguridad Inteligente

Ha llegado el momento: el Reglamento General de Protección de Datos de la Unión Europea (GDPR) entrará en vigor hoy, el 25 de mayo, y todos los ojos están puestos en los reguladores de la UE para determinar cómo harán cumplir los requisitos.

Los usuarios finales están recibiendo una afluencia inmediata de correos electrónicos de solicitud de acceso a los datos o acciones de cumplimiento importantes. Pero, a menos que sea Google, Facebook u otro gigante tecnológico, es probable que pueda continuar preparándose para GDPR.

Dicho esto, es fundamental que todas las organizaciones, independientemente de su tamaño, continúen su trabajo de preparación. Si su empresa no está actualmente lista para adherirse a un programa de cumplimiento GDPR, es esencial poner sus preparativos en marcha. Para las organizaciones que no han hecho nada para prepararse para las regulaciones, ahora es el momento de ponerse al día.

Un enfoque basado en el riesgo es clave

GDPR es una regulación extremadamente compleja, pero en esencia, es una ley de protección de datos. Esto significa que GDPR tiene que ver con la protección de la información que su empresa recopila, crea, usa y comparte, ya sea que se recopile de sus empleados, clientes o proveedores de terceros. Debido a que esta información se origina en tantos sistemas y ubicaciones diferentes, debe tomar un enfoque basado en el riesgo para la protección de datos para evaluar y mitigar mejor los principales riesgos de su compañía bajo GDPR.

Lo primero que debe hacer es tomarse el tiempo para comprender la naturaleza de los datos personales y la información que posee. ¿Qué tipo de datos e información crea y recopila su empresa? ¿Cómo lo usas todo? ¿Con quién lo compartes?

Solo después de descubrir todos los datos que posee su organización podrá determinar si la usa y la almacena de manera que no cree riesgos para sus clientes, empleados y proveedores externos. Una vez que haya identificado todos sus datos y determinado cómo lo usa, aquí hay algunos otros pasos que puede seguir para implementar de la mejor manera un enfoque basado en el riesgo para la protección de datos en todos los programas y sistemas.

Llevar a cabo evaluaciones de impacto de protección de datos (privacidad)

Las empresas deben realizar evaluaciones de impacto de privacidad (PIA) o evaluaciones de impacto de protección de datos (DPIA), que son procesos sistemáticos para evaluar si crean riesgos de privacidad para las personas debido a la forma en que recopilan, usan y divulgan sus datos personales. DPIAs específicamente ayudan a identificar riesgos de privacidad y problemas futuros; también pueden ayudar a identificar soluciones.

Si bien GDPR exige que las organizaciones realicen DPIA en el caso de actividades de procesamiento de alto riesgo, muchas empresas ya realizan PIA como parte de obligaciones legales o reglamentarias. Otras evaluaciones de impacto, como evaluaciones de seguridad, proporcionan una buena base para que las empresas evalúen los riesgos potenciales y continuos que pueden afectar sus sistemas, permitiendo que sus equipos de privacidad y seguridad de datos monitoreen y recomienden los controles apropiados cuando sea necesario.

Al implementar un proceso para comprender si es necesario realizar DPIA, las organizaciones podrán demostrar responsabilidad a los reguladores, acercándose así al cumplimiento total de GDPR.

Garantizar la privacidad y la seguridad por diseño y por defecto

El GDPR requiere privacidad y seguridad no solo por diseño, sino también "de manera predeterminada". Esto significa que las operaciones que antes se consideraban "mejores prácticas" ahora serán actividades obligatorias y deberán ser operacionalmente demostrables. Es por eso que las organizaciones deben tomar medidas para establecer la privacidad como un principio fundamental en sus estrategias. Con esto en mente, los oficiales de privacidad y protección de datos deberían asociarse con sus colegas de TI y comerciales para garantizar que se implemente un proceso estandarizado y repetible al comienzo de un proyecto, en lugar de casi al final. De esta forma, todas las partes involucradas podrán brindar asesoramiento, orientación y revisión durante cada paso del proceso.

Es importante tener en cuenta que los equipos de privacidad simplemente no tienen tiempo para asistir a todas las reuniones y debates en los que se está considerando un nuevo sistema de TI, programa o campaña. En cambio, los funcionarios de privacidad pueden hacer su parte mediante el desarrollo de un marco que pueda ser utilizado por TI para incorporar las mejores prácticas de privacidad por diseño y por defecto dentro de sus programas y sistemas. Además, considere usar la automatización para permitir a los empleados solicitar PIA de los sistemas que planean construir e implementar para que la organización pueda proporcionarles estimaciones y plazos razonables para sus proyectos con anticipación. La participación temprana salvará a estos empleados de la necesidad de tomar decisiones y cambios de diseño de último minuto en el fuego.

Demostrar responsabilidad a los reguladores

Finalmente, GDPR requiere que las organizaciones mantengan documentación detallada de sus esfuerzos de cumplimiento. Para cumplir con esta directriz en particular, las empresas no solo deben estar preparadas para mostrar a los reguladores evidencia de sus políticas documentadas; también deberían poder demostrar que esas políticas se están supervisando y aplicando con regularidad.

La gestión del riesgo de la privacidad y la seguridad se cruzan con otros programas de gestión del ciclo de vida de los datos dentro de las organizaciones, lo que dificulta el seguimiento y la documentación de los datos para los reguladores de GDPR. La tecnología puede aliviar este desafío al permitir que las organizaciones combinen áreas de ciclo de vida de datos relacionados para optimizar mejor los recursos y gestionar diversos riesgos. Como resultado, las organizaciones podrán asegurarse de que están recopilando, utilizando, compartiendo, manteniendo y eliminando información de manera responsable, ética y legal.

Al final del día, el cumplimiento de GDPR es simple: las empresas deben ser transparentes sobre sus motivos para recopilar datos, y deben ofrecer a los clientes una verdadera opción en cuanto a si desean o no dar sus datos a las empresas. Luego, las organizaciones deben cumplir y asegurarse de que solo utilicen los datos que recopilan para los fines que describieron inicialmente, dentro de los límites del consentimiento brindado por sus clientes.

Al seguir los pasos descritos anteriormente, puede mostrar un verdadero impulso hacia el cumplimiento de GDPR para los reguladores el 25 de mayo y más allá.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.