El GDPR requiere una reconsideración completa de sus procesos de manejo de datos. Esta revisión implica ubicar cada lugar donde se recopilan y almacenan los datos personales, y los procesos involucrados. Se tendrán que diseñar sistemas para que todos los procesos comerciales futuros cumplan con los requisitos de diseño de privacidad del GDPR.
Es indispensable conocer las principales obligaciones que trae la Seguridad de Protección de Datos y cómo se debe de usar este requisito en una estrategia de ciberseguridad.
El enfoque está creciendo para el "Reglamento general de protección de datos" de la Unión Europea o GDPR (General Data Protection Regulation), las organizaciones están empezando a comprender la magnitud del cambio que generarán estas importantes regulaciones.
No son sólo las organizaciones de la UE las que están sujetas a los requisitos de GDPR. Si una empresa almacena o maneja cualquier información de identificación personal, tan sencilla como nombres, direcciones de correo electrónico, entre otros, está obligada a cumplir con las normas y, si no lo hace, puede incurrir en sanciones.
Digamos que desea ser una de las organizaciones que siente el dolor de ser juzgada por incumplir regulaciones ¿cuáles serían las sanciones por incumplimiento? el GDPR autoriza multas de hasta 20 millones de euros, o el 4% de las ventas mundiales totales de una empresa, (cualquiera que sea mayor). Estos son grandes números que impactan en el negocio, sin mencionar el daño a la reputación que se sufrirá si rompe esta nueva ley.
El principio de conducción detrás del GDPR es que los datos que se relacionan específicamente con una persona pertenecen a esa persona, no a la organización que la crea, la retiene o la procesa. Las empresas se convierten en custodios de los datos de cada usuario, con todas las responsabilidades que se esperaría de alguien que tiene a su cargo algo muy valioso.
Para las organizaciones, esto significa obtener un permiso explícito para retener la información personal de alguien; limitando su uso al contexto en el que se otorgó ese permiso; dejar que el propietario de los datos lo revise, lo corrija o incluso lo exporte y elimine en el momento que lo desee; asegurando que se mantendrán a salvo y protegidos ante un uso indebido por parte de sus empleados o de terceros.
En términos prácticos, el GDPR requiere una reconsideración completa de sus procesos de manejo de datos. Esta revisión implica ubicar cada lugar donde se recopilan y almacenan los datos personales, y los procesos involucrados. Se tendrán que diseñar sistemas para que todos los procesos comerciales futuros cumplan con los requisitos de diseño de privacidad del GDPR.
Como puede ver, estas actividades tocarán prácticamente todas las partes de la organización, consumiendo mucha atención y recursos a medida que se acerque la fecha límite de mayo de 2018. Hay otro componente igualmente crítico del GDPR que también debe abordarse: el requisito de protección de datos.
Es notable que la protección de datos y no la privacidad de los datos, es lo que representa el "DP" en GDPR. Esto se debe a que, sin importar qué tan bien implementado estén sus procesos para manejar la información personal, si se pierde en una violación de datos, nada más importa. El GDPR entiende esto, y ha enmarcado los requisitos en consecuencia.
El mayor cambio, en términos de protección de datos, es el nuevo requisito de divulgación de violación de datos. La mayoría de las empresas deberán nombrar un Oficial de Protección de Datos (DPO), cuya función será supervisar la implementación de los procesos de manejo de datos, pero también deberá interactuar con el régimen regulatorio de la UE. Un nuevo requisito: en el caso de una violación de datos, el DPO debe informar formalmente dentro de las 72 horas posteriores al descubrimiento o tener una muy buena explicación de por qué no lo hizo.
Las penas más duras se reservan para violaciones repetidas, o en casos donde la protección de los datos del usuario es insuficiente. Las penas máximas para los primeros infractores son normalmente la mitad del máximo del GDPR (hasta 10 millones de euros frente a 20 millones de euros, o 2% frente a 4% de los ingresos).
A la luz de estos requisitos, y de los riesgos que asumen, las organizaciones deben usar este tiempo para revisar su estrategia y herramientas para la detección y respuesta de amenazas. Si bien siempre es un buen negocio proteger contra la creciente sofisticación y el impacto del cambiante panorama de amenazas, el GDPR cambia la ecuación de riesgo de manera significativa.
RSA Security, una empresa del grupo Dell Technologies ayuda a sus clientes a cumplir con sus responsabilidades de protección de datos bajo GDPR. RSA NetWitness Suite es un conjunto de herramientas de detección y respuesta a amenazas, mientras que nuestras unidades RSA® Incident Response y RSA Advanced Cyber Defense ofrecen servicios de planificación e implementación de primer nivel. Mientras se prepara para el GDPR, un proceso de protección de datos de clase mundial es la base.
La sugerencia es, sin duda, empezar a diseñar e implementar un programa de Protección de Datos basado en un una estrategia con enfoque en su negocio.