12 tendencias comunes que desvela el Benchmarking Global Readiness para GDPR
- Seguridad Inteligente
El Reglamento General de Protección de Datos de la Unión Europea (GDPR) lleva años fabricándose. La versión final entrará en vigor el 25 de mayo. Sin embargo, muchas organizaciones no están preparadas.
Para evaluar la preparación global para GDPR, se realizó una encuesta en 2016 y otra en 2018 con el Centro de Liderazgo en Políticas de Información (CIPL), un grupo de expertos en políticas de privacidad a nivel mundial, para solicitar a empresas de todo el mundo que evalúen su preparación para el GDPR.
Los resultados de la encuesta de 2018 revelaron 12 tendencias clave, resumidas en los siguientes extractos de nuestro Informe de referencia de GDPR 2018 completo.
1. Impacto GDPR, preparación organizacional y recursos
La creación y el mantenimiento de un programa integral de cumplimiento de la privacidad, las normas relacionadas con la seguridad de los datos y la notificación de incumplimiento y el cumplimiento de los derechos individuales continúan siendo áreas de gran impacto para el cambio en las organizaciones. Más de la mitad de los encuestados han comprometido un presupuesto adicional para la implementación de GDPR, con incrementos que van desde cientos de miles de dólares hasta más de 50 millones de dólares. Esta amplia gama refleja el estado variable de la implementación de GDPR dentro de las organizaciones, cubriendo el espectro entre las organizaciones con programas de privacidad maduros y los que acaban de comenzar.
2. Áreas que necesitan mayor claridad
Los encuestados señalaron que el interés legítimo sigue siendo el área que necesita mayor claridad en virtud del GDPR, seguido de las evaluaciones de impacto de protección de datos y el riesgo, notificación de incumplimiento, aviso y consentimiento, y privacidad por diseño. Estos son temas complejos y garantizar su correcta implementación no es una tarea fácil.
3. Consentimiento e interés legítimo
GDPR introduce nuevos requisitos que las organizaciones deberán cumplir para garantizar que obtengan el consentimiento válido de las personas antes de procesar sus datos. Las organizaciones informaron que garantizar que las personas puedan retirar el consentimiento en cualquier momento, garantizar que el consentimiento se demuestre y documente, y garantizar que el consentimiento sea independiente para cada operación de procesamiento tendrá un mayor impacto en sus prácticas actuales para obtener el consentimiento. Casi la mitad de las organizaciones informaron que dependerán cada vez más del interés legítimo para procesar los datos una vez que el GDPR entre en vigor.
4. Registros de procesamiento y mapeo de datos
Las herramientas y el software tecnológico son la prioridad número uno para el gasto presupuestario centrado en la GDPR. Los encuestados aún dependen en gran medida de los métodos manuales para generar y mantener inventarios de su procesamiento de datos. Solo una quinta parte de los encuestados usa herramientas de software automatizadas para rastrear el ciclo de vida completo de sus datos, y casi el 60 por ciento de las organizaciones no cuenta con ningún procedimiento para identificar y etiquetar los datos. De los que sí lo hacen, solo el 9 por ciento usa el etiquetado automático.
5. DPIA y evaluaciones de diseño de seguridad
Casi el 50 por ciento de las organizaciones informó haber llevado a cabo DPIA [evaluaciones de impacto de protección de datos] en circunstancias previstas por el GDPR. Sin embargo, casi una cuarta parte cree que los DPIA no son aplicables a su organización. Al igual que con la clasificación de datos y el etiquetado, la inversión en tecnología apropiada será esencial para garantizar el cumplimiento de las nuevas actividades de procesamiento de datos.
6. Toma de decisiones automatizada
Más de dos tercios de las organizaciones informaron que llevan a cabo algún tipo de toma de decisiones automática. Las organizaciones deben evaluar críticamente si sus decisiones automatizadas de hecho, produce efectos legales o de importancia similar, teniendo en cuenta que este es un alto estándar que cumplir y que la aplicación del Artículo 22 está reservada solo para decisiones automatizadas verdaderamente impactantes.
7. Relación y acuerdo entre el controlador y el procesador
Más de dos quintas partes de las organizaciones comenzaron a revisar y renegociar sus contratos de procesamiento. Sin embargo, casi una cuarta parte de las organizaciones aún no han implementado ningún proceso para actualizar sus contratos o revisar o renegociar los acuerdos existentes.
8. Transferencias internacionales de datos
A pesar de que hay poca información disponible sobre los nuevos mecanismos de transferencia GDPR, como salvaguardias y certificaciones adecuadas, por segundo año consecutivo, los encuestados indicaron que es probable que usen estos mecanismos, y casi la quinta parte de las organizaciones informa que dependerán de estos últimos. GDPR.
9. Notificación de incumplimiento
La mayoría de las organizaciones ha implementado procedimientos de informe interno y planes de respuesta a incidentes. Sin embargo, las organizaciones aún tienen trabajo por hacer en la implementación de otros procedimientos de respuesta a la brecha de datos, como la realización de ejecuciones en seco y la retención de relaciones públicas y consultores de medios. Casi dos quintas partes de los encuestados han obtenido cobertura de seguro cibernético.
10. Establecimiento principal
Una proporción significativa de organizaciones podrá beneficiarse del establecimiento principal y las disposiciones de la autoridad supervisora principal del GDPR. Alrededor de dos tercios de los encuestados informaron que tendrán un establecimiento principal, y algo más de un tercio informa que tendrán múltiples establecimientos en varios Estados miembros de la UE.
11. Derecho de portabilidad de datos
Sigue habiendo confusión en torno a la aplicación del derecho de portabilidad de datos: el 54 por ciento de las organizaciones no consideran que el derecho de portabilidad de datos sea relevante para ellos, o que no están seguros de si lo es. Sin embargo, un mayor porcentaje de organizaciones está implementando procedimientos para permitir que un individuo transmita sus datos a otro controlador en un formato legible por máquina (22 por ciento). Este es un aumento positivo en comparación con 2016, cuando solo el 10 por ciento de los encuestados informó haber implementado dichos procedimientos.
12. Sellos y certificación
Más del 50 por ciento de las organizaciones informaron que confiarían en las certificaciones para demostrar su programa de cumplimiento, un aumento significativo sobre las dos quintas partes de 2016.
Equilibrar la transparencia con la privacidad
El GDPR, como la mayoría de otras leyes de privacidad y seguridad, replantea o reimagina las mejores prácticas que las empresas han implementado durante muchos años. Pero ahora es el momento de poner en marcha buenas políticas, procedimientos y controles técnicos. Una estrategia GDPR en combinación con educación sólida, automatización técnica y medición permitirá a las organizaciones equilibrar adecuadamente la colaboración y la transparencia con la protección de datos y la privacidad.