¿Estás preparado para el GDPR?

Prepárate para el GDPR.

Si haces negocios en cualquier parte del mundo, es muy probable que tu organización procese datos sobre personas en el contexto de la venta de bienes o servicios a ciudadanos de un país de la Unión Europea (UE). Y si es así, tendrás que cumplir el Reglamento General de Protección de Datos (RGPD). ¿Qué es el GDPR? Es un reglamento destinado a reforzar y unificar la protección de datos de las personas dentro de la UE. Fue aprobado y adoptado por el Parlamento de la UE en abril de 2016 y entrará en vigor en mayo de 2018.

Garantizar el cumplimiento del RGPD, que pretende reforzar y unificar la protección de datos de las personas dentro de la Unión Europea, implicará algo más que pulsar un interruptor. Y tanto si tu empresa está situada en la UE como si no, si procesa datos sobre personas físicas en el contexto de la venta de bienes o servicios a ciudadanos de un país de la UE, tu empresa tendrá que cumplirlo.

Los datos a los que se refiere incluyen cualquier información relacionada con una persona que pueda utilizarse para identificarla directa o indirectamente. Puede ser cualquier cosa, desde:

• un nombre,
• una foto,
• una dirección de correo electrónico,
• datos bancarios,
• publicaciones en redes sociales,
• información médica,
• dirección IP del ordenador.

Aquí tienes tres estrategias para poner en marcha el proceso:

1. Procesa tusprocesos: Tómate tiempo para reflexionar sobre tus procesos actuales y cómo deben modificarse para cumplir las normas del GDPR. Realiza una auditoría interna para evaluar los procesos, sistemas, personal interno y terceros que existen o deben existir para garantizar el cumplimiento de la seguridad de los datos. Determina cómo trabajan juntos para establecer flujos de trabajo formales. Genera un proceso para gestionar los problemas y las acciones relacionadas, incluidas las notificaciones de infracciones. Prepara planes de acción detallados para abordar cualquier laguna identificada en la seguridad de los datos.
2. Dar prioridad a las personas: Designa a un responsable de protección de datos que pueda establecer la propiedad en torno a la seguridad de los datos y la formación del personal. Además, cuando evalúes tus flujos de trabajo actuales y futuros, presta especial atención a quién debe participar en qué datos o qué procesos y cuándo. Comprender las funciones que desempeñan los individuos y cuándo entran en escena es importante para establecer una cadencia fluida de comunicaciones y flujos de trabajo en torno a la seguridad de los datos.
3. Elige bien las herramientas. Por desgracia, las personas no son suficientes. Si la ingente tarea de cumplir con el GDPR antes de mayo de 2018 te obliga a desviar recursos de otras áreas de tu empresa, podrías estar poniendo en peligro tu negocio de otras maneras. Evalúa si dispones de tecnología, o si necesitas invertir en ella, que te ayude a cumplir la normativa y ser eficiente al mismo tiempo.

La tecnología adecuada debe poder ayudarte a desplegar estas tres estrategias con facilidad y eficacia. Dicha tecnología debe ser fácil de usar, flexible y, lo que es más importante, integrada, para satisfacer las exigencias de cumplimiento de la seguridad de los datos de la empresa. Si actualmente utilizas tecnología de gestión de riesgos, o estás pensando en invertir en un sistema de este tipo, es posible que ya tenga las capacidades que necesitas, entre ellas:

• Interacción normativa: ¿Se pueden gestionar dentro de la solución las interacciones con las partes interesadas reguladoras e internas para obtener una visión completa de las necesidades de seguridad de los datos en un solo lugar?
• Gestión de contratos y políticas corporativas: ¿Puede la solución servir como repositorio central de todos los contratos y políticas?
• Gestión continua de las solicitudes de intercambio de datos: ¿Puedes automatizar eficientemente los procesos de solicitud de datos compartidos con transferencias basadas en los contratos de datos compartidos existentes?
• Gestión de solicitudes de datos y gobernanza: ¿Puedes gestionar las solicitudes de información?
• Gestión de riesgos de proveedores: ¿Puedes gestionar a terceros y sus requisitos y evaluaciones continuas de acceso a la seguridad de los datos?
• Informes y cuadros de mando: ¿Puede la solución proporcionar análisis exhaustivos y una pista de auditoría de las actividades de seguridad de los datos dentro de la organización para la supervisión/evaluación continua y las necesidades normativas, según sea necesario?

Ten cuidado de no invertir tiempo, energía y gastos en una solución de cumplimiento puntual. En lugar de eso, considera una tecnología de gestión de riesgos para toda la empresa que pueda integrar el RGPD con todos tus demás riesgos. Para saber más sobre el GDPR y las estrategias para que tu empresa cumpla la normativa, lee nuestro libro blanco.

Existe un enfoque escalonado de las multas y las organizaciones pueden ser multadas con hasta el 4% (20 millones de euros) de la facturación global anual por incumplir el RGPD. Esta es la multa máxima que puede imponerse por la infracción más grave, como no tener suficiente consentimiento del cliente para procesar datos o infringir los conceptos básicos. Las infracciones menos graves tienen una multa máxima de 10 millones de euros. Es importante señalar que estas normas se aplican tanto a los responsables como a los encargados del tratamiento, lo que significa que las «nubes» no estarán exentas de la aplicación del RGPD. Existe una disposición para la acción colectiva y el procesamiento individual en función de la infracción.

Además de las multas y sanciones, también hay que tener en cuenta el coste del cumplimiento. Por ejemplo, si todos los visitantes de la UE a un parque temático estadounidense en los últimos años solicitaran la supresión de alguno de sus datos, la empresa propietaria del parque podría verse obligada a gastar una fortuna para identificar a todos los clientes y las fotos que se les hicieron en los sistemas de todo el parque y suprimirlos.

Como tendencia general, el entorno normativo es cada vez más complejo y prescriptivo. Se reconoce que los datos son un activo y, por tanto, la atención a los datos seguirá aumentando. Con poco menos de seis trimestres hasta que el reglamento entre en vigor, el tiempo es crítico y las empresas deben empezar ya a planificar el GDPR. Más información sobre la preparación para el GDPR en nuestro libro blanco.