¿Ya está su empresa en línea con las nuevas tendencias de protección de datos?

0

Desde el primero de mayo, la GDPR (Reglamento General de Protección de Datos de la Unión Europea) pasó a ser de cumplimiento obligatorio. Eso significa que todas las organizaciones que manejan datos de ciudadanos europeos (sin importar dónde estén ubicadas) deben cumplir con los más altos estándares de transparencia y privacidad para garantizar la seguridad de la información y un manejo ético de la misma.

A pesar de que la regulación es europea, su impacto tiene repercusiones en todo el mundo pues la ley claramente señala que cualquier organización que trate con datos de residentes de la Unión Europea debe cumplir con sus disposiciones: esto incluye a empresas globales y a todas las grandes corporaciones como Apple, Google, Facebook, Microsoft, etc.

La GDPR es el cambio más importante en la regulación de privacidad de datos en más de 20 años, pues refuerza los derechos fundamentales que las personas tienen sobre su información y exige que las organizaciones presten más atención a la protección de datos que nunca.

Las empresas deben hacer ajustes en materia de GDPR y deberán seguir demostrando que cumplen con la regulación y tienen implementados los procesos exigidos por el reglamento, de lo contrario enfrentarán severas multas de hasta 20 millones de euros o el 4% de su facturación anual global.

La entrada en vigor de la GDPR desencadenará una ola imparable de cambios en todas las industrias y en todos los rincones del planeta, podría llegar el día en que las empresas no se atrevan a desplegar operaciones en internet sin tener un consentimiento válido y explícito para hacer uso de los datos que recopilan.

Hoy en día tanto autoridades como consumidores exigen a las empresas que quienes manejan sus datos tengan la capacidad de poder demostrar prácticas robustas en cualquier momento que se requiera. Click To Tweet

Los principales puntos que las empresas deben considerar son:

  • Deben poder cumplir con el derecho al olvido (que todo ciudadano debe tener para impedir la difusión de su información personal a través de la red cuando su publicación no cumple requisitos legales determinados).
  • Deben facilitar a sus clientes el derecho de transferir sus datos a otro proveedor de servicios.
  • Deben cumplir con la obligación de dar aviso a sus usuarios en caso de que su información personal datos haya sido comprometida.
  • Deben garantizar que sus políticas de privacidad se expliquen en un lenguaje claro y comprensible.
  • Deben nombrar un director de protección de datos en caso de que tengan más de 250 empleados.

Todas las normas anteriores ya son de observancia obligatoria para todas las empresas de los países en la Unión Europea, pero en próximos meses veremos el surgimiento de leyes similares que en otras regiones del mundo.

Para las compañías puede parecer abrumador, pero hay formas de hacer que el cumplimiento sea más fácil de manejar. Aquí hay cinco pasos que ayudan a las empresas a cumplir con la GDPR.

  • El primer paso hacia el cumplimiento de la GDPR es acceder a todas sus fuentes de datos. Independientemente de la tecnología, los almacenes de datos tradicionales, la información estructurada y no estructurada, los datos en reposo y los que están en movimiento. La compañía debe investigar y auditar qué se almacena y utilizan en todo el panorama de datos. El acceso continuo a todas las fuentes de información es un requisito previo para crear un inventario que permita detectar vulnerabilidades de privacidad. Para cumplir plenamente con la GDPR, no puede confiar en el conocimiento común o la percepción de dónde cree que pueden estar los datos personales. La ley exige que las organizaciones demuestren que saben dónde se encuentran los datos personales y dónde no.
  • Una vez que tenga acceso a todas las fuentes de datos, el siguiente paso es inspeccionarlos para identificar los campos. Es importante analizar dichos campos para extraer, clasificar y catalogar elementos de información personal, como nombres, direcciones de correo electrónico y números de seguridad social. Dado que la mayor parte de los casos se tratará de big data estos procesos no pueden ser manuales, se requerirán soluciones de analítica.
  • Es fundamental reflexionar sobre las implicaciones y la responsabilidad que implica manejar los datos personales y sensibilizar a toda la organización. Para el cumplimiento de GDPR, las reglas de privacidad deben documentarse y compartirse en todas las líneas de negocio. Esta es la forma de garantizar que solo aquellos con los privilegios derechos adecuados puedan acceder a los datos personales. Para lograr esto, se deben establecer roles y definiciones en un modelo de gobierno. Luego, puede vincular los términos comerciales a las fuentes de datos físicos y establecer el linaje de datos desde el punto de creación hasta el punto de consumo. Esto le proporciona el nivel de control requerido.
  • Una vez que se establece el inventario de datos personales y el modelo de gobernabilidad, se procede a establecer niveles de acceso y a los datos. Para el cumplimiento de la GDPR, puede utilizar tres técnicas: cifrado, pseudonimización y anonimización. Debe aplicar la técnica adecuada en función de los derechos del usuario y el contexto de uso, sin comprometer sus crecientes necesidades de análisis, previsiones, consultas e informes. La forma más fácil de proteger la privacidad es eliminar lo que no tiene sentido conservar: manteniendo solo la información que necesita para ejecutar procesos de negocio críticos y análisis de valor agregado.
  • Auditoría. El quinto paso en su viaje hacia el cumplimiento de la GDPR implica la auditoría. En esta etapa, deberá poder producir informes para mostrar claramente a los reguladores que:
  • Usted sabe qué datos personales tiene y dónde se encuentran.
  • Usted administra adecuadamente el proceso para obtener el consentimiento de las personas involucradas.
  • Puede probar cómo se usan los datos personales, quién los usa y con qué propósito.
  • Tiene implementados los procesos adecuados para administrar cosas como el derecho a ser olvidado, las notificaciones de violación de datos y más.

La GDPR hará que las empresas piensen dos veces sobre la información que están recolectando, pues necesitarán justificar su propósito e informar sobre él. Es un paso adelante para que se adopten mejores prácticas de recolección, almacenamiento y administración de datos.

Adoptar estándares como la GDPR, ayudará a su empresa a incrementar una mayor confianza por parte de sus clientes, pues abonará a que su marca sea percibida como ética, transparente, responsable y, operativamente le dará herramientas para mejorar sus prácticas de seguridad y calidad de la información.

Share

About Author

Iván López

Experto en Data Management, SAS Latinoamérica

Ivan López es Data Management Domain Expert siendo su responsabilidad el brindar soporte tecnológico y de negocio a las propuestas en esta disciplina, gracias a que ha sido el experto en la implementación de soluciones para el soporte de toma de decisiones durante casi 10 años en la industria de Tecnologías de la Información. En su trayectoria profesional, ha realizado implementaciones exitosas de Master Data Management, Data Quality y diseño de soluciones con diferentes componentes de la plataforma SAS. En los años recientes ha participado en la implementación de soluciones en proyectos de Fraude en México y Estados Unidos. Asimismo, cuenta con experiencia en la creación de repositorios de datos para soporte a estrategias utilizando técnicas analíticas para interpretar datos operacionales que se conviertan en resultados de negocio.

Leave A Reply

Back to Top