Cumplir con GDPR: evitar ciertos errores para alcanzar el reto
- Gestión de información
Desde que el Reglamento General de Protección de Datos (GDPR) de la UE entró en vigor en mayo, es de esperar que las organizaciones ya hayan salido de la fase de estrategia y ahora están en fase de implementación. Sin embargo, en el ajetreo por alcanzar el cumplimiento, es probable que se hayan cometido errores. En el proceso de planificación y ejecución de GDPR, hay cuatro áreas que las empresas deben desconfiar. Si no se administran con cuidado, pueden obstaculizar el proceso de lograr y mantener los objetivos de cumplimiento.
No capacitar a los empleados en conceptos clave de información de identificación personal (PII). Solo una quinta parte de las organizaciones ha implementado políticas formales de GDPR y capacitación, y los empleados necesitan saber cómo manejar los datos de PII. Más del 60% de los empleados no entienden las políticas de privacidad por diseño, y como los controles de ciberseguridad tienen un amplio ámbito, las implicaciones desde el punto de vista de la solución a menudo varían según la organización. Es importante considerar que los clientes ahora también tendrán control sobre la portabilidad de sus datos. Piense en eso como la posibilidad de que su cliente le proporcione los datos que ha recopilado a un competidor. Saber cómo GDPR afectará sus operaciones es crítico para cualquier persona que haga negocios en una base global. Ya no será suficiente simplemente asegurar y rastrear esta información, pero cómo será manejada o "procesada" también será muy importante.
Cumplir con algunas disposiciones, no todas. GDPR tiene 11 capítulos y 99 artículos con múltiples disposiciones, y las organizaciones deben cumplir con cada una de ellas. Muchas organizaciones han estado eligiendo cuidadosamente la aplicación de cumplimiento en función de sus puntos fuertes y lo que les conviene desde el punto de vista comercial, lo que solo los hace más susceptibles a las vulnerabilidades de cumplimiento. En primer lugar, es fundamental tener un conocimiento básico de lo que es cada disposición antes de elaborar un plan.
La falta de procesos comerciales para el borrado de datos. El Derecho de Borrado, Artículo 17, define que un sujeto de datos tiene derecho a que la empresa borre datos personales y tome las medidas razonables para informar a terceros que también borren los datos. Ya no se puede marcar simplemente a un usuario en una base de datos como inactivo o "no contactar". Esta disposición establece que el cliente tiene derecho a que se borre cualquiera de sus datos dentro de un marco de tiempo razonable. El desafío es que esto no será fácil para las organizaciones que han utilizado estrategias tradicionales de administración de datos, que se basan en el archivo de datos, no en eliminarlos. Hay muchas discusiones sobre el Artículo 17, ya que todavía es un área bastante gris ya que no se sabe completamente qué sucederá con las redes sociales. ¿Puede o debe un sujeto de datos tener el derecho de eliminar sus comentarios sociales una vez que se publica o se consideran datos de conocimiento público? Será interesante ver cómo se desarrollará esto en los tribunales, como eliminar viejas publicaciones en Twitter, cuentas antiguas y posiblemente tratar de ocultar malas decisiones del pasado, etc., y plantea una gran cantidad de preguntas morales y legales.
Débiles procesos de gobierno de datos que presentan riesgos de ciberseguridad y problemas de administración de datos. El perímetro de seguridad de datos de una organización es más amplio que nunca. Hoy en día, su "ventaja" de red más lejana probablemente esté representada por nubes y dispositivos móviles e IoT, lo que significa que hay más problemas de administración de datos y vulnerabilidad que nunca. La mayoría de las organizaciones preparadas para GDPR tienen una solución unificada para la gestión de metadatos y mecanismos de gestión de datos que gestionan todos sus datos, sin importar dónde se encuentren. Esto incluye una vista única de los activos de datos globales en aplicaciones en la nube y locales, bases de datos y plataformas de almacenamiento. Del lado positivo, los requisitos GDPR obligan a las empresas a definir estrategias avanzadas que deberían contribuir a mejorar la postura general de ciberseguridad de una organización y reducir el potencial de pérdida de datos, interrupción operativa y daño físico, sin mencionar la reputación y el daño de la marca.
GDPR debe verse como una oportunidad comercial. Todos se benefician al combinar sistemas dispares en un único flujo de información unificado. La información del cliente, independientemente de dónde esté alojada, está disponible para cualquiera que la requiera: un cliente, un jefe de información o un director de marketing. La automatización pone a la organización en control de las solicitudes y habilita el gobierno de punta a punta. También proporciona al director ejecutivo la tranquilidad de saber que el riesgo se comprende y se gestiona en toda la organización.
La automatización de procesos digitales reúne los sistemas desconectados y consolida los datos fragmentados. Con sistemas e información conectados, las empresas están en una mejor posición para servir a sus clientes. Las nuevas tecnologías y capacidades que pueden entregar información centrada en el cliente en el momento adecuado le darán una ventaja competitiva. Al igual que con cualquier nuevo paradigma, habrá ganadores y perdedores, y aquellos que aprovechen esta oportunidad para aprovechar estos cambios para beneficiar a sus clientes serán los que saldrán en la cima.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.