Pasar al contenido principal

GDPR: Lo que tiene que saber acerca del reglamento general de protección de datos

Imagen Blog ¿Que es GDPR?

A partir de mayo del 2018 entrará en circulación el reglamento general de protección de datos de la Unión Europea. Esta regulación tendrá un gran impacto para las empresas a nivel mundial en la manera en que manejan los datos.

El GDPR (Reglamento General de Protección de Datos, por sus siglas en inglés) afecta a las organizaciones que procesan datos personales de la Unión Europea, generando un impacto en el almacenamiento, acceso, procesamiento, divulgación y transferencia de registros personales de un individuo.

¿Qué significa GDPR, a quién se aplica y sobre qué información?

GDPR (Reglamento General de Protección de Datos), conocido también como “reglamento 2016/679”, es un estatuto por el que el parlamento Europeo, la comisión Europea y el Consejo de la Unión Europea buscan fortalecer y unir la protección de los datos para todos los individuos que están dentro de la Unión Europea (UE).

El GDPR tiene como principal objetivo brindar a los ciudadanos y residentes el control sobre sus datos personales y simplificar la regulación de negocios internacionales uniendo la regulación en la UE.

En el futuro, cuando el GDPR entre en efecto, reemplazará a la directiva de protección de datos (Directiva 95/46/CE) de 1995. Estas reglas, que fueron adoptadas el 27 de abril de 2016 y entran en vigencia a partir del 25 de mayo de 2018, no son obligatorias para todos los los gobiernos, a nivel nacional cada uno debe aprobar una legislación habilitante, por lo tanto es abiertamente vinculante y adaptable.

Este reglamento unifica los reglamentos de protección de datos en la UE, permitiendo que las organizaciones que no son europeas cumplan estas reglas.

¿Por qué se redactó el GDPR?

Por una parte, la UE desea que las personas tengan control en la forma como se usan sus datos personales. Ya que algunas compañías como Google y Facebook llevan años compartiendo los datos de las personas que utilización de sus servicios, sin ninguna regulación.

La legislación actual fue redactada antes de que la tecnología de la nube y en Internet se crean continuamente nuevas formas de explotar los datos. El GDPR busca responder a esta nueva realidad y fortalecer las leyes sobre la protección de los datos y aplicar sanciones severas a quienes inclumpan los lineamientos, la UE busca mejorar la credibilidad en la emergente economía digital.

Por otra parte, la UE quiere brindar a las compañías un ambiente jurídico sencillo y claro para funcionar, la UE estipula que se ahorrará a las compañías 2.300 millones de euros en el año, con la unificación de procesos y marcos legales de operación.

¿A quién se aplica el GDPR?

En principio si su organización procesa datos de residentes en la Unión Europea, debe cumplir la GDPR, independiente de dónde esté. Por ejemplo un sitio de turismo en Colombia que recibe reservaciones de residentes en la UE.

Los procesadores y controladores de datos deberán hacer cumplir la regulación del GDPR. El controlador de los datos indicará cómo se procesan y por qué se procesan los datos personales; mientras que un procesador es el que hará el procesamiento verdadero de los datos.

El controlador puede ser cualquier organismo, desde una organización benéfica o gubernamental, hasta una empresa con ánimo de lucro. Por otra parte, el procesador puede ser una organización de TI que realice el procesamiento de datos como tal. Incluso si los procesadores y controladores se encuentren fuera de la UE, el GDPR va a seguir aplicándose a ellos cuando se trate de los datos de residentes de la Unión Europea.

El controlador tiene la responsabilidad de asegurarse de que su procesador cumpla con la ley de protección de los datos, mientras que los procesadores deben seguir las reglas con el fin de mantener los registros de las actividades de procesamiento. Si ocurre una violación de datos por parte de los procesadores, estos tienen una mayor responsabilidad bajo la GDPR por estar rigiéndose por la Ley de Protección de Datos.

Bajo el GDPR ¿qué son datos personales?

La UE ha ampliado la definición de datos personales en relación a esta regulación. Las direcciones IP como identificadores online, son considerados actualmente como datos personales, los datos relacionados con la economía, salud mental o cultural son considerados también información de datos personales.

¿Qué debe hacer su empresa?

Las empresas deben determinar qué datos de la UE tienen en este momento, así como cómo y dónde se almacenan estos datos. Además, deben proponer políticas legales de cómo se recogerán, gestionarán y eliminarán esos datos.

Su organización puede poseer grandes cantidades de datos estructurados y no estructurados, que pueden estar alejados en diversos dispositivos: servidores de producción, aplicaciones en la nube, copias de seguridad dentro y fuera del sitio, entre otros.

Es importante definir un plan de acción a medida con el fin de implementar estrategias para ordenar los datos GDPR. Esto también ayudará a acercarse a GDPR como un ejercicio en la gestión de riesgos. Conocer dónde se encuentran las brechas más significativas en el esquema de seguridad debe ser su principal objetivo para concretar un acuerdo con GDPR.

Se puede pedir también que se establezca un oficial de protección de datos (OPD) que debe estar presente en todos los asuntos que tengan relación con la protección de datos. La designación de una OPD es una situación arriesgada porque requiere un profundo nivel de investigación y seguridad.

Imagen 1 Organice sus datos01 Organice sus datos

 

Los datos que entran bajo GDPR pueden encontrarse en muchos entornos dentro de su organización. Aquellos datos estructurados, como los documentos de Excel y sistemas de contabilidad, se pueden localizar muy fácilmente y son fáciles de asegurar.

La clasificación y organización de datos también se puede convertir en archivos adicionales para su organización, debido a que proporcionan más análisis y permiten “minar y refinar” los datos, brindando mayor información a su organización y usando estos datos para su beneficio.

Las reglas GDPR pueden proporcionar oportunidades de análisis. Al organizar y limpiar los datos en sus empresas, posee la capacidad de proporcionar nuevos conocimientos sobre sus operaciones, y a partir de esta información puede innovar y automatizar procesos costosos.

Imagen 2 Actúe02 Actúe

 

Una vez estén identificados los datos, se podrán tomar ciertas medidas. El paso principal sería reducir la carga de trabajo. Todos aquellos datos redundantes, triviales y viejos deben ser eliminados.

Ordene los datos que queden y clasifíquelos dentro del ámbito de GDPR. Ésto podrá ahorrarle dinero a su negocio mediante la reestructuración y reducción de los repositorios de datos actuales, además de la migración a sistemas de administración de información de manera más rápida.

El GDPR se puede usar a su favor como una oportunidad de limpiar el desorden en su base de datos y reorganizar de manera segura su infraestructura existente. Las reglas de GDPR también pueden generar la oportunidad de beneficiarse de la inteligencia empresarial y el análisis.

Imagen 3 Aplicar políticas03 Aplicar políticas

 

Una vez que se tengan identificados y categorizados todos los datos GDPR, puede decidir cómo se maneja la información que posee sobre las personas, así como controlar la información que se continuará recolectando.

La forma en cómo se recoge información acerca de sus clientes, empleados, proveedores y todos los públicos vinculados a la organización, por cuánto tiempo se almacena, en qué lugar se almacena y cómo puede ser eliminada, son los elementos que se deben aclarar y tener bajo un procedimiento claro. Por ejemplo, GDPR establece que los clientes "tienen derecho a ser olvidados" y que las organizaciones tienen el poder de eliminar todos los datos de una persona en el transcurso de 24 horas.

Esto incluye los datos que están en las copias de seguridad, por lo que una tarea que aparenta ser sencilla se vuelve más complicada. Esto incluye también los datos retenidos por terceros, algo que la mayoría de las empresas de Estados Unidos deberán cumplir si quieren seguir trabajando con sus socios en Europa. Hay una gran cantidad de aplicaciones y procesos que pueden implementarse y diseñarse para ayudar a regular estas políticas.

Esto abre las puertas a la automatización, las tareas que podrían tomar horas de trabajo manual, como recolectar información de un cliente, ahora pueden ser automatizadas y completadas por un programa, reduciendo el tiempo de trabajo de sus empleados. Hay una cantidad de herramientas que permiten la recolección y el manejo de información en un método garantizado y protegido. No dude en hablar con un miembro del equipo para que lo ayude a decidir qué aplicaciones le convienen según las necesidades de su organización.

Imagen 4 Asegure sus datos04 Asegure sus datos

 

GDPR fue creado para proteger los datos personales de todos los ciudadanos de la UE. Lo que se busca es brindar una garantía de ciber-seguridad.

Debido a los recientes ataques de ransomware y a la filtraciones de datos en ciertas compañías, la seguridad cibernética nunca ha sido tan importante como lo és en este momento.

Las principales prácticas para prevenir ransomware incluyen la protección temprana, las copia de seguridad de datos, los filtros de spam / web, el monitoreo preventivo, CASB y el entrenamiento de conciencia de los empleados. Dado que la regulación establece una multa por violación de seguridad de hasta el 4% de sus ingresos netos, una buena inversión en políticas de seguridad muchas veces podría pagarse sola.

Al escoger una copia de seguridad, también debe tomar en consideración que hay muchas empresas de resguardo de información que ofrecen muchas configuraciones posibles. Tener solo una copia de seguridad ya no será suficiente. Hemos observado eventos en los que las copias de seguridad se ven comprometidas, ya sea por negligencia o por una configuración incorrecta.

Esto también ocurre con la seguridad del punto final, las actualizaciones y la capacitación de los empleados. El pagar por una licencia para un producto o tener una sesión de capacitación para sus trabajadores ya no es suficiente. Los ataques se vuelven más fuertes, lo que significa que su seguridad debe ser vigilada continuamente para asegurarse de estar protegido y aislado de las amenazas en evolución.

Imagen 5 Generar informes05 Generar Informes

 

El último paso para certificar el cumplimiento de su GRPR es poder documentar e informar detalladamente el proceso. Es necesario enseñarle a los reguladores que su organización está tomando las medidas suficientes para cumplir con los requisitos.

Estas políticas pueden tardar muchos años en formalizarse y hay muy poca probabilidad de que las grandes organizaciones puedan cumplir con la fecha establecida como límite que es en mayo de 2018.

Si puede demostrar y especificar los pasos que está tomando para cumplir con el GDPR, esto lo situará en una posición sólida para responder ante el escrutinio de los reguladores.

 

Si su organización tiene interés en implementar proyectos de automatización de servicios y desarrollo de aplicaciones de la mano de expertos, lo invitamos a contactarnos.