El Reglamento General de Protección de Datos (en inglés, General Data Protection Regulation o GDPR) será introducido el 25 de mayo de 2018 y no solo impactará en todos los estados miembro de la Unión Europea, sino también en todas las naciones que manejen datos de sus ciudadanos.
Sin embargo, con poco más de un año por delante, una investigación de DMA (Direct Marketing Association, de Reino Unido) sugiere que el 26% de los vendedores cree que su negocio no está preparado para el GDPR.
Entonces, ¿qué pueden hacer las compañías para asegurarse de que cumplen la normativa? Aquí hay 10 consejos que pueden seguir.
1. No dejes que el Brexit se interponga
Steve Wood, jefe de estrategia internacional e inteligencia en la Oficina del Comisionado de Información (ICO) del Reino Unido, escribió el año pasado un artículo para disipar las dudas en relación al Brexit. Dijo que "una vez implementado en la Unión Europea, el GDPR será relevante para muchas organizaciones en el Reino Unido".
Significa que si bien el país se está preparando para salir del bloque, muchas de sus organizaciones seguirán estando sujetas a cumplir con la normativa. Después de todo, las empresas del Reino Unido seguirán manejando datos de ciudadanos de la Unión Europea.
2. Concientiza a los demás
Es importante asegurarte de que todos los responsables de tomar decisiones en tu compañía están al tanto de las implicancias del GDPR y lo que suponen para la operatoria diaria.
En la encuesta UK Cyber Readiness Survey de Gigamon, solo el 41% de los profesionales de TI dijo que conocía totalmente los derivados de la ley, mientras que el 9% dijo que no sabía nada.
Estos números sugieren que hay bastante trabajo que hacer para asegurar que todas las organizaciones están al tanto de las nuevas propuestas.
3. Establece la forma en que tu organización maneja los datos
Bajo la Directiva de Protección de Datos actual (Directiva 95/46/EC), solo los controladores de datos son responsables cuando se trata del cumplimiento de la normativa.
es importante establecer si tu organización es controladora o procesadora de datos
Pero como explica el ICO, el GDPR impone obligaciones legales directas también a los procesadores de datos.
Por lo tanto, es importante establecer si tu organización es controladora o procesadora de datos, teniendo en cuenta que podría ser ambas.
Auditar tus métodos actuales es una de las mejores formas en las que puedes prepararte, ya que comprender en profundidad cómo se ocupa tu organización de los datos es de suma importancia.
4. Examina cada aspecto del manejo de datos en tu organización
Es importante establecer dónde se almacenan los datos personales, evaluar la seguridad de esa ubicación, determinar quién es el responsable de controlar la información y si se está compartiendo.
Lograr que tu departamento de TI se involucre es crucial para este proceso, y te hará conocer mejor las habilidades actuales de tu organización.
5. Analiza brechas anteriores
Examinar brechas de seguridad anteriormente ocurridas en tu sistema te dará un panorama más claro de las capacidades de tu organización para reaccionar a futuros ataques. Además, te mostrará si esos procedimientos están a la altura de los requerimientos.
las brechas deberán ser reportadas dentro de las 72 horas posteriores a su descubrimiento
Una de las principales medidas que serán introducidas con el GDPR es la necesidad de que las brechas sean reportadas dentro de las 72 horas posteriores a su descubrimiento, junto con información detallando la naturaleza y severidad del ataque.
Dada la amenaza de otorgar significativas multas a quienes no cumplan, existe un amplio incentivo para que las organizaciones logren ordenarse.
6. Designa un oficial de protección de datos
Según la Asociación Internacional de Profesionales de la Privacidad (IAPP), los oficiales de protección de datos o Data Protecion Officers (DPO) serán esenciales para las autoridades públicas u otras organizaciones dedicadas a actividades regulares de seguimiento de datos a gran escala.
Estas personas actuarán en forma independiente y reportarán al nivel más alto de la jerarquía de una organización.
Su principal responsabilidad será comprender de punta a punta el GDPR e implementar los requerimientos necesarios para cumplir el reglamento.
7. Ten en cuenta las reglas relacionadas a los derechos de los individuos
Uno de los diferenciales de la normativa es que fortalece los derechos de los individuos en torno a la privacidad, incluyendo el derecho al olvido y a la portabilidad de datos, lo que significa que podrían solicitarte proveer datos que serán entregados a un competidor.
Las compañías están obligadas a promover estos derechos, por lo que es importante asegurarte de que hay procedimientos pensados para hacerlo posible.
8. Conoce más sobre el tema del consentimiento
El GDPR apunta a ofrecer más claridad en lo que respecta al consentimiento. Nuevas medidas requerirán que las compañías obtengan una declaración explícita o "acción afirmativa clara" cuando se vaya a procesar datos de una persona.
Las compañías estarán sujetas a nuevas medidas que restringen la capacidad de los niños para dar su consentimiento sin la autorización de sus padres o responsables.
Por lo tanto, vale la pena examinar qué prácticas ya están aplicadas y cuáles están ausentes cuando se trata de dar a conocer a las personas cómo se usará y procesará su información.
9. Identifica a tu autoridad supervisora principal
la normativa fortalece los derechos de los individuos en torno a la privacidad
Muchas de las organizaciones afectadas por la normativa operan a nivel internacional, y por lo tanto podrían estar también sujetas a otras directivas.
Puede ser complicado definir qué autoridad supervisora deberá llevar la delantera cuando se investigue un reclamo, pero según el artículo 56 del GDPR, se determina por la ubicación de la administración principal de la organización dentro de la Unión Europea.
Quizá sea confuso para quienes tengan múltiples oficinas, por lo que si hay dudas, es importante definir dónde se tomarán las decisiones importantes relacionadas al procesamiento de datos, ya que esa será la clave para llegar a una determinada autoridad local.
10. Asigna más recursos
Todas estas consideraciones pueden suponer una gran carga en la infraestructura de una organización, por lo que es esencial que las compañías distribuyan y añadan recursos con los que cumplir estas demandas.
Un paper de reciente publicación de ESET, disponible en inglés, advierte que sin planificación, las compañías podrían encontrarse con la necesidad de implementar nuevos requisitos pero sin haber reservado los recursos necesarios para lograrlo.
La asignación de recursos al comienzo del proceso es, por lo tanto, una gran manera de aliviar cualquier presión potencial más adelante.
Para más información sobre el General Data Protection Regulation, ESET preparó una página especial para que cuando llegue el momento, te asegures de tener todo cubierto.