Noticias & Actualidad

GDPR (RGPD): Todo lo Que Realmente Necesitas Saber Sobre el Nuevo Reglamento

El RGPD significa Reglamento General de Protección de Datos o GDPR (por sus siglas en inglés General Data Protection Regulation) tendrá un impacto dramático en la forma en que los datos se gestionan mucho más allá de las fronteras de la UE. Así es como afectará a tu negocio en los EE. UU.

A partir del 25 de mayo de 2018, la legislación de la Unión Europea (UE) sobre el Reglamento General de Protección de Datos (RGPD) se convertirá efectivamente en ley global cuando se trate de cuestiones sobre cómo los negocios deben manejar los datos personales. Aunque se pueda pensar que una ley de protección de datos ratificada en Europa sólo se aplicaría a los europeos, se estaría equivocado. Esto se debe a que el RGPD protege a todos los ciudadanos de la UE sin importar dónde vivan y sin importar con quién estén haciendo negocios, lo que significa que las empresas estadounidenses con clientes de la UE están directamente sujetas a los requisitos del RGPD y, lo que es peor, a las sanciones. Peor porque, según un informe reciente de Crowd Research Partners, solo el 7 por ciento de las empresas cumplieron con el RGPD hasta la fecha límite.

Y si bien hay medidas que puedes tomar para mantener tu empresa al menos un poco segura con RGPD, lograr el cumplimiento total no es un proyecto tan fácil de aplicar. Los procesos de recopilación de datos deben ser relevantes para la forma en que la empresa utilizará los datos (por ejemplo, datos de compras de consumidores pero no datos de historial médico para empresas de comercio electrónico). Las empresas deberían estar dispuestas y ser capaces de explicar qué datos se han recopilado y por qué razones. Las prácticas de seguridad deben demostrar una clara capacidad de protección contra pérdidas, daños y destrucción, y los datos no deben ser conservados más de lo necesario. Cualquier empresa que no cumpla con la regulación estará sujeta a una penalidad del 4% de sus ingresos anuales.

“Esto no se trata de un conjunto de reglas y regulaciones”, dijo Ankur Laroia, de Lider de Soluciones Estratégicas de Alfresco. Laroia argumenta que varios asuntos dentro de los estatutos de la regulación dificultarán que las empresas cumplan con los requisitos. Por ejemplo, algunos problemas incluyen reglas escritas abstractamente sobre por qué se recopilan los datos, requisitos excesivos para la eliminación de los datos de los clientes cuando se solicitan y  la necesidad de que algunas empresas renueven totalmente sus procedimientos de seguridad únicamente con el fin de garantizar el cumplimiento. Aún así, Laroia no cree que la UE esté perdiendo el tiempo.

“La UE irá tras los delincuentes”, predice. “Ya que si esto hubiera sido promulgado, Equifax se habría metido en muchos problemas”.

RGPD, aunque está centrado principalmente en los ciudadanos de la UE, también presenta un escenario de terror para los empresarios de todo el mundo. En este artículo, desglosaremos lo que todos deberíamos de saber para iniciar el buen camino hacia el cumplimiento del RGPD.

1. Las Compañías del Mundo tendrán que Cumplirlas

Si tu álbum de fotos de mamá y papá nunca ha sido enviado en un paquete fuera de tu ciudad natal, entonces probablemente no tendrás que preocuparte por el RGPD. Sin embargo, si tienes un solo cliente basado en la UE, entonces tendrás que comenzar el proceso de cumplir con el RGPD inmediatamente. De acuerdo con los estatutos, los datos de los ciudadanos de la UE deben estar protegidos y debes proporcionarles dichos datos si así lo solicitan. Y lo que es más importante, es posible que se te pida que elimine esos datos de tus sistemas siempre y cuando el ciudadano haga la solicitud. Si no lo haces y el organismo de control del RGPD se entera, entonces perderás el 4% de tus ingresos anuales.

“Aunque es una norma de la UE, afecta a cualquier empresa de todo el mundo que tenga como clientes a residentes de la UE”, dijo Pete Lindstrom, Vicepresidente de Investigación de Seguridad de IDC. “Si tienes campos de dirección y están rellenados con una dirección europea, es probable que sean considerados europeos”.

No hay distinción entre una empresa con sede en la UE o en otra ciudad fuera de su jurisdicción. En cambio, la ley se centra en la información de identificación personal (IIP) y en dónde reside la persona asociada con los datos. Cualquiera que tenga algún tipo de datos de IIP de un cliente europeo tendrá que cumplirlos.

Incluso si tu empresa tiene algunos clientes en la UE, es muy poco probable que seas auditado por los organismos de control de RGPD. Pero las grandes empresas, como Google, Facebook y Yahoo, no podrán eludir el RGPD.

“Si tienes una tienda familiar y tienes una infracción, eres legalmente responsable”, dijo Laroia. “Es difícil predecir si serás perseguido por el reglamento… cada estado miembro de la UE tendrá una oficina de cumplimiento. Esa oficina empezará a solicitar el plan de cumplimiento de todos. Crearán un inventario de empresas que hagan negocios en tu región. Van a revisar a los más grandes y empezar a hacer preguntas”.

Las empresas estadounidenses que no cumplan, no deberían esperar que el gobierno de EE.UU. las proteja cuando los estados de la UE respaldados por el RGPD intenten recaudar los ingresos perdidos. “El gobierno de Estados Unidos está obligado a asegurar que esas sentencias se cumplan”, dijo Laroia. “Todavía está por verse si se aplican o no, pero el gobierno de la UE tendrá que luchar y los EE.UU. tendrán que ayudar a hacerlos cumplir”.

2. 25 de Mayo Significa 25 de Mayo

Aunque el reglamento entró en vigor el 25 de mayo de 2018, la ley fue ratificada por el Parlamento de la UE el 14 de abril de 2016. Esto significa que, en lo que respecta a la UE, las empresas han tenido tiempo de sobra para poner en práctica las normas conformes a los RGPD. Por lo tanto, si tu empresa se ve afectada por un ataque cibernético y recopilan una gran cantidad de datos de tus clientes, los visitantes de tu sitio web e incluso tus socios aparecen en la Dark Web, entonces no puedes alegar “tiempo insuficiente” como excusa para divulgar los datos de los ciudadanos de la UE.

“Los estatutos entraron en vigor en 2016”, dijo Laroia. “Se te puede pedir que demuestres tu proceso hacia la conformidad ahora mismo. ¿Has hecho un inventario? ¿Cuál es tu protocolo para que un ciudadano de la UE te pregunte sobre sus datos? A estas compañías se les puede pedir esa información ahora mismo. Comenzarán a ser multados si no pueden demostrar el cumplimiento después de mayo”.

3. No Esperes una Extensión

A diferencia de la mayoría de las batallas de regulación legal que se tienen en muchas partes del mundo (por ejemplo, la Neutralidad de la Red), nadie en la UE intervino el 24 de mayo de 2018 para desafiar al RGPD y por lo tanto posponer la regulación indefinidamente. Los europeos querían esto y ahora lo tienen.

“Esta es la belleza de la forma en que se han establecido las normas”, dijo Laroia. “Debido a que le dieron a las empresas un año para actuar correctamente, no ha habido ningún desafío desde la perspectiva de litigio. Si fuéramos a ver eso, ya habría ocurrido. ¿Podría alguien hacer eso luego de ser demandado? Estoy seguro de que lo intentarán, pero no se verán bien en ese momento”.

4. Lo Que Tendrás Que Hacer Para Cumplir Con la Ley

Como lo exige la normativa, tendrás que poner a alguien a cargo de la gestión del proceso de cumplimiento. Esta persona, a quien la ley de RGPD llama el “Data Protection Officer” (DPO) o “Oficial de Protección de Datos”, será la persona responsable de guiar al equipo de supervisión del RGPD a través de las formas en que tu empresa ha estado asegurando sus datos. Esta persona también será responsable de reunir las diferentes líneas de negocio dentro de tu empresa para producir una metodología para obtener y mantener el cumplimiento del RGPD.

En pocas palabras, las funciones del DPO se dividirán en cuatro categorías clave:

  • En primer lugar, deben estar lo suficientemente familiarizados con los detalles de RGPD como para actuar como la persona de referencia no sólo para el proceso de cumplimiento inicial, sino para todas las cuestiones relacionadas con el manejo de datos de RGPD en el futuro, y sin duda lo suficiente como para que puedan responder a las preguntas tanto de los altos ejecutivos como de los operadores de TI que manejan datos sobre el terreno.
  • En segundo lugar, deben ser capaces de supervisar todos los procesos de tratamiento de datos en curso en su organización y evaluar su eficacia con respecto a la seguridad de los datos personales.
  • Tercero, necesitan tener capacidades de auditoría y monitoreo sobre cualquier área de su negocio que pueda ser impactada por el RGPDy evaluarlas para su cumplimiento de manera regular.
  • Y por último, necesitan estar en contacto con las autoridades del RGPD para su industria, cooperar con ellos y actuar como una persona clave para cualquier solicitud que provenga de esa autoridad.

Todo esto se reduce a un individuo que entiende los flujos de datos y las medidas y tecnologías de protección de datos, así como no sólo el conocimiento de los detalles de la legislación de RGPD, sino también el conocimiento de la legislación relacionada y relevante de la UE, como su Directiva sobre privacidad electrónica. La probable falta de estas habilidades ha creado una especie de oportunidad de campo verde para las empresas y las consultoras de TI, pero si está buscando desarrollar este talento internamente, entonces una buena apuesta es buscar recursos de aprendizaje en línea, con la unica limitación que actualmente están en ingles, muchos de estos, han desarrollado el software didáctico GDPR DPO para este propósito. Además, hay organizaciones multinacionales de la industria, como la Asociación Internacional de Profesionales en Privacidad (IAPP), que ofrecen cursos de formación y certificaciones de RGPD.

Desde un punto de vista más técnico, para mantener la conformidad, necesitarás emplear al menos un método de cifrado para servidores físicos, almacenamiento conectado a la red (NAS), discos y unidades y acceso a la red. Deberás verificar las identidades de los empleados e instituir la Autenticación multifactor (MFA) cuando acceda a la Información de identificación personal (IIP) y para las transacciones que incluyan datos de IIP. Tendrás que eliminar cualquier práctica que acceda a los datos o los procese con fines no autorizados, supervisar y verificar constantemente los datos para garantizar su pertinencia y purgar completa e irreversiblemente los datos de los clientes cuando se le pida que lo haga. Se exigirá a las organizaciones que lleven a cabo evaluaciones completas de riesgos y que trabajen con socios, especialmente aquellos conectados a través de interfaces de programación de aplicaciones (API), para garantizar el cumplimiento continuo.

Finalmente, si los datos de tu organización son robados, entonces tendrás que notificar a tu supervisor asociado de RGPD inmediatamente para describir el robo y sus consecuencias en su totalidad. Y tendrás que comunicar los detalles completos de la violación a los clientes afectados.

5. Clientes No Europeos en el Mundo.

Laroia dijo que, en última instancia, tiene sentido comercial salvaguardar y ser buenos administradores de la información de los clientes. “Hay que ver esto desde el punto de vista del cliente final”, dijo Laroia. “Ellos son la razón por la que estas compañías están en el negocio. Sí, aunque es doloroso para el negocio, algunas empresas no han invertido en tecnología ni han seguido el ritmo de la innovación”.

Esta nueva regulación sería 100% beneficiosa para todo el mundo, aunque sean las empresas a las que no les guste. Aunque por ahora, sólo los ciudadanos de la Union Europea son aplicables a ellos, se espera que los demás paises fueran promulgar leyes similares para salvaguardas los datos de todas las personas.