GDPR: La Guía más Exhaustiva para Cumplir con la Normativa
Requisitos, directrices, tácticas operativas, todo lo que necesita saber con el fin de estar listo para GDPR.
Evite las infracciones y las sanciones costosas
La ruta hacia el
cumplimiento de la GDPR
1. ¿Qué es la GDPR?
La Regulación General de la Protección de Datos de la UE (GDPR) es una regulación emitida por la Comisión Europea, el Parlamento Europeo y el Consejo de Ministros de la Unión Europea con el fin de reforzar y unificar la protección de datos de los individuos de la UE. Es el cambio más importante en la regulación de privacidad de datos en los últimos 20 años, según el portal de GDPR. La preparación y el debate tardaron cuatro años hasta que finalmente fue aprobada por el Parlamento de la UE el 14 de Abril de 2016.
La Regulación de la Protección General de Datos hace una gran declaración sobre los datos privados de los individuos y su derecho a solicitar a los controladores y procesadores de datos que eliminen, corrijan y reenvíen sus datos. En consecuencia, la GDPR presenta importantes cambios en comparación con la Directiva de Protección de Datos 95/46/CE, que implican cambios operativos en las organizaciones. Éstas impondrán multas más estrictas en caso de no proteger adecuadamente a los ciudadanos de la UE.
2. Nivel de preparaciónpara la GDPR
Las organizaciones han empezado a sentir la presión porque el día en que la ley entrará en vigor se acerca rápidamente. Muchas de ellas están lejos del cumplimiento de la GDPR y los cambios que tienen que aplicar requieren un gran esfuerzo en todos los niveles del negocio. De hecho, a finales de 2016, una encuesta realizada por AvePoint sobre 223 encuestados de organizaciones multinacionales reveló que sólo el 26 por ciento de ellas mantienen registros de procesamientos y transferencias de datos, sólo el 33 por ciento clasifican los datos y sólo el 10 por ciento de los 33 usan la clasificación automática de datos. Los porcentajes son preocupantes ya que todos estos son requisitos esenciales de la GDPR. El estudio también mostró que las empresas están en diferentes etapas de preparación para la próxima regulación, con un lento avance. Por ejemplo, algunos han asignado un DPO, mientras que otros todavía están evaluando el impacto de la GDPR sobre sus operaciones.
El propósito de este documento es ayudar a eliminar parte de la presión de las organizaciones, ofreciendo directrices sobre tácticas operacionales para la preparación para la GDPR.
3. Artículos clave y cómo afectan a las empresas
Jurisdicción extendida
La GDPR define claramente la aplicabilidad territorial, afirmando que se aplica a todas las organizaciones que colectan y procesan datos personales de individuos residentes en la UE, independientemente de la ubicación de la empresa. Por lo tanto no importa si el procesamiento se lleva a cabo en la UE o no. Por ejemplo, una empresa con sede en Estados Unidos, que ofrece bienes o servicios a ciudadanos de la UE, está bajo la jurisdicción de la GDPR.
Consentimiento
No más avisos evasivos de consentimiento. Todas las organizaciones estarán obligadas a obtener el consentimiento de las personas para almacenar y utilizar sus datos y deben explicar cómo se utilizan. En cualquier momento después de que la regulación entre en vigor, los recolectores de datos deben ser capaces de probar que se ha obtenido el consentimiento. Para los individuos será más fácil retirar su aprobación.
Notificación obligatoria de violación
"Las compañías están obligadas a notificar la autoridad supervisora dentro de las 72 horas siguientes al descubrimiento de la brecha de datos, a menos que la brecha sea poco probable que “suponga un riesgo para los derechos y la libertad de las personas.” La notificación debe incluir información específica sobre la naturaleza de la brecha, el número y el tipo de registros violados, el nombre del Oficial de Protección de Datos, las medidas adoptadas para mitigar los riesgos y otros detalles.
Oficiales de Protección de Datos
Tanto los controladores como los procesadores de datos deben nombrar a un Oficial de Protección de Datos. Quien puede asumir el papel de DPO y cuál es su responsabilidad se detallan en los artículos 37 a 39 de la GDPR. En resumen, el DPO puede ser miembro del personal de la organización o puede ser contratado para estos servicios.
NO todas las empresas están obligadas a disponer de un DPO, sino únicamente a aquellos «controladores y procesadores cuyas actividades básicas consisten en operaciones de procesamiento que requieren un control periódico y sistemático de los sujetos de datos a gran escala o de categorías especiales de datos o datos relativos a condenas penales y delitos," según EUGDPR.org. Las principales responsabilidades del DPO son de asegurar la aplicación de la GDPR, mantener un registro de las operaciones de procesamiento de datos privados, asesorar e informar a los controladores y procesadores sobre sus obligaciones derivadas de la GDPR.
Derecho de acceso
Este artículo es una gran base para la transparencia, ofreciendo a los individuos el derecho a solicitar información a las organizaciones sobre qué datos personales sobre ellos están procesando, dónde se almacenan y con qué propósito. Las empresas deben ser capaces de proporcionar una copia de los registros privados de los individuos en formato electrónico.
Derecho al olvido
También denominado “derecho a ser borrado”, este artículo permite a los ciudadanos de la UE a solicitar al controlador que eliminen sus datos personales y, además, dejen de compartirlos con terceros, que también están obligados a dejar de procesarlos. El artículo 17 del GDPR incluye una lista de situaciones en las que se aplica el derecho al olvido: los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o procesados, el individuo retira el consentimiento, los datos han sido procesados ilegalmente y otras situaciones.
Portabilidad de datos
En caso de que un individuo quiera transmitir sus datos de un controlador a otro, este reglamento de la GDPR le da el derecho y marco para hacerlo. Por lo tanto, las organizaciones deben ser capaces de proporcionar datos personales en un "formato de uso común y legible por máquina" si lo solicitan los individuos
Privacidad por diseño
Al igual que la "seguridad por diseño", la privacidad por diseño se refiere a incluir la seguridad de la información en todos los procesos, sistemas, productos o servicios desde el principio, lo que resulta en implementaciones de protección de datos fuertes y consistentes, evitando las lagunas causadas por las adiciones de seguridad más adelante. La clave aquí es que la privacidad por diseño es un requisito legal con la GDPR, no sólo una recomendación.
4. Sanciones
Dependiendo de la naturaleza, la gravedad, la duración de la infracción, el número de personas afectadas y el nivel de los daños y varios otros factores, las sanciones son las siguientes:
• Hasta 10 000 000 EUR, o en caso de un emprendimiento, hasta el 2 % del volumen de negocios anual mundial del ejercicio económico anterior, el que sea superior
• Hasta 20 000 000 EUR, o en caso de un emprendimiento, hasta el 4 % del volumen de negocios anual mundial del ejercicio económico anterior, el que sea superior
5. Dos principios básicos en el proceso de cumplir con la GDPR
Para poder aplicar las reglas más estrictas y a la vez, mejoradas, las organizaciones deben realizar una auditoría de sus soluciones actuales de seguridad de datos y la implementación de los procesos y construir encima de ellos. La auditoría debe revelar qué datos se recogen de las personas, si existen procedimientos de consentimiento adecuados, dónde se almacenan los datos privados, quién tiene acceso a ellos, cómo se garantiza la integridad de los datos privados, etc. A base de la información descubierta, un sólido plan para actualizar a la nueva regulación se puede delinear y compartir con todas las partes involucradas.
Vamos a ver cómo se vería el plan de juego con el fin de maximizar sus posibilidades de llegar a la meta sin gastar demasiados recursos.
Ejecución correcta
La estrategia no vale nada sin una ejecución correcta. Saber qué soluciones de seguridad y gestión de datos deben seleccionarse e implementarse para garantizar el cumplimiento y la seguridad no es tan fácil como parece. Hay numerosos factores que pesan y el factor humano es el más complejo. Un ejemplo simple sería el oficial de Protección de Datos que debe ser designado. Las empresas tienen una decisión difícil de tomar, teniendo en cuenta el nivel de responsabilidad asignado a un DPO. El oficial tiene que asegurarse de que la empresa cumple con la GDPR, por lo que su papel es crucial y difícil, teniendo que tratar con los empleados de un lado y los gerentes de los departamentos en el otro lado.
También difícil de ejecutar es el artículo que se refiere a las transferencias fronterizas que se extienden más allá de las fronteras físicas donde están la sede o las sucursales de una empresa. Una empresa que opera en Alemania puede tener clientes en Francia, EE.UU. o cualquier otro país. Esto viene con una gran responsabilidad en lo que concierne a la seguridad de los datos de los individuos. La GDPR se aplicará al procesamiento de datos personales de individuos que residan en la UE, incluso si el controlador o procesador no se encuentra en la UE. Por lo tanto, si su negocio no está en la Unión Europea, todavía puede estar sujeto a esta regulación.
Concienciación
Los Directores de Seguridad, Gerentes de IT, CEOs, gerentes de unidades de negocio, etc. tienen que ser informados de los cambios legales que la GDPR impone y deben asegurarse de que los traduzcan en medidas sencillas a aplicar para respetar esta regulación.
Cuanto más claros sean los objetivos, más pronto todos entenderán cuál es su función y actuarán en consecuencia. Todos los directores de departamento, altos directivos y otros responsables de la toma de decisiones deben leer atentamente la GDPR, o recibir asesoramiento de un abogado con respecto a las obligaciones establecidas en el reglamento.
La terminología utilizada en este tipo de regulaciones suele ser difícil de entender, por lo que se recomienda el asesoramiento de un abogado, aunque no es obligatorio. Tener plena concienciación de las obligaciones de una empresa con respecto a la protección de datos privados representa una base sólida para los próximos pasos.
Trate el cumplimiento GDPR como un proyecto, donde la fase de iniciación y planificación se definen.
¡Obtenga consejo de un abogado!
Su misión es identificar los datos que su compañía almacena y procesa para los ciudadanos Europeos: su ubicación, su trayectoria, los sistemas que los procesan, etc. Con estos pasos, puede darse cuenta si tiene las herramientas necesarias para proteger los datos privados o qué herramientas puede necesitar para apoyarte con el cumplimiento con la GDPR.
Un cambio de juego real será producido por el principio de "protección de datos por diseño y por defecto". Esto requerirá que los servicios o productos incluyan características de privacidad y seguridad desde el principio del concepto y del desarrollo. Eso debería ser interesante, especialmente para los desarrolladores de aplicaciones móviles y el sector IoT.
La nueva regulación será un gran motivador para que los proveedores alineen la seguridad de los datos con la innovación y construyan no sólo productos ingeniosos sino también productos seguros.
Más allá de la referencia del producto o servicio, el principio de privacidad por diseño debe aplicarse también a los procesos, de acuerdo con las reglas de GDPR. Básicamente, para cualquier proceso organizacional, ya sea operacional, logística, comunicación interna, RH, y cualquier otro proceso que involucre datos privados, las empresas deben tomar en consideración la seguridad como un pilar con la misma importancia que cualquier otro elemento. Como ejemplo, al crear un departamento de recursos humanos, además de determinar el número de personas necesarias, responsabilidades, procedimientos, una empresa debe establecer también la política de privacidad y cómo se implementa.
6. Como ayudan las soluciones de Endpoint Protector a llegar más rápido al cumplimiento de la GDPR
La Regulación General de Protección de Datos puede causar graves dolores de cabeza hasta que se logre el cumplimiento total, pero después de ese proceso, las organizaciones podrán ver cómo los beneficios superan los esfuerzos. Será más fácil para las empresas entrar en nuevos mercados en Europa porque la regulación de protección de datos será la misma que en su país de origen. La Comisión Europea ejemplifica en un comunicado de prensa cómo las empresas pueden reducir costes gracias a la reforma.
Una cadena de tiendas tiene la sede en Francia y tiendas franquiciadas en otros 14 países de la UE. Cada tienda recopila datos relativos a los clientes y los transfiere a la sede en Francia para procesamiento adicional.
Con las normas vigentes:Las leyes de protección de datos de Francia se aplicarán al procesamiento realizado por la oficina central, pero las tiendas individuales aun tendrían que informar a su autoridad nacional de protección de datos para confirmar que estaban procesando datos de acuerdo con las leyes nacionales en el país donde estaban localizados. Esto significa que la sede de la empresa tendría que consultar abogados locales para todas sus sucursales para garantizar el cumplimiento de la ley. Los costes totales derivados de los requisitos de presentación de informes en todos los países podrían superar los 12.000 euros.
Con la Reforma de Protección de Datos:La ley de protección de datos en todos los 14 países de la UE será la misma - una Unión Europea - una ley. Esto eliminará la necesidad de consultar con abogados locales para asegurar el cumplimiento local de las tiendas franquiciadas. El resultado es el ahorro directo de costes y la seguridad jurídica.
7. Conclusiones
La GDPR está causando mucho ruido entre las empresas, especialmente las europeas. Muchas aún no están seguras en qué posición están, si son un controlador o procesador. Muchas empresas están retrasando el inicio para lograr el cumplimiento de la ley siendo desbordadas por los cambios necesarios y otras simplemente no son conscientes de las implicaciones.
Independientemente de la posición en la que se encuentre, en mayo de 2018 todo tiene que estar en su lugar y a partir de ese momento tiene que ser capaz de demostrar en cualquier momento que es conforme y que lleve a cabo con seguridad su actividad sin poner en peligro la privacidad de sus empleados, clientes, socios y otras partes interesadas.
Si no ha comenzado a trabajar en el cumplimiento de la GDPR, la concienciación a través de las unidades de negocio es lo primero que debe lograr, seguido por una auditoría sólida y una gran ejecución.
Elija cuidadosamente qué software puede ayudarle en cada etapa del proceso y siempre complemente la implementación de software con las particularidades de su organización, el marco legal y el factor humano.
De acuerdo, entonces, ¿cómo puede Endpoint Protector ayudarle a alcanzar el cumplimiento de GDPR?
En resumen:
En más detalles:
Fundamentos de Auditoría
En las fases iniciales del proceso de conformidad con GDPR, puede usar Endpoint Protector DLP y Device Control (USB y otros dispositivos extraíbles) con políticas establecidas solo para informes, de modo que los datos que se transfieren fuera de la empresa se están rastreando y informado. Obtenga información valiosa sobre qué usuarios transfieren datos confidenciales, como información de identificación personal, números de tarjetas de crédito, números de seguridad social y otra información confidencial.
Restricciones de movimiento de datos
Una vez finalizada la auditoría, debe fortalecer la seguridad y abordar las vulnerabilidades. Las políticas de monitoreo de Endpoint Protector se pueden convertir en políticas restrictivas, bloqueando transferencias de archivos no deseados, datos no autorizados copiados / pegados, capturas de pantalla, etc. y todo esto dependiendo de los diversos canales de transferencia y los usuarios, computadoras y grupos que forman parte de la organización estructura. Dado que los datos privados de las personas son tan cruciales para protegerlos de acuerdo con la regulación actualizada, pueden protegerse contra fugas y robos con las capacidades de control de contenido y filtrado de contenido disponibles en Endpoint Protector DLP.
Protección para redes multiplataforma
El GDPR establece que se debe garantizar la privacidad de los datos, sin detalles sobre la plataforma, si es Windows, macOS o Linux, iOS, Android, Windows Phone, etc. o los canales de salida: correo electrónico, intercambio de archivos en la nube, dispositivos extraíbles, etc. . No es importante, después de todo. La parte esencial es que los datos deben estar seguros sin importar qué. Por lo tanto, para cualquier herramienta de seguridad de datos que elija implementar, asegúrese de que cubra toda su infraestructura, todos los endpoints, dispositivos móviles o puntos de salida.
¡Empiece hoy mismo!
Obtenga su última dosis de
Noticias y perspectivas sobreGDPR
Noticias y perspectivas sobre