Ante la cercana aplicación del nuevo Reglamento General de Protección de Datos, Netskope ofrece a continuación una serie de consejos para que su cumplimiento no suponga un inconveniente.
Índice de temas
Planifique el futuro del GDPR, no solo el día de cumplimiento
El próximo 25 de mayo el nuevo Reglamento General de Protección de Datos será de obligada aplicación, y aunque son muchos los que se muestran obsesionados con dicha fecha, lo realmente llamativo es la aceptación casi generalizada de que ningún negocio será capaz de cumplir con todos sus requisitos. Por ello, y olvidando el calendario, el GDPR debería ser percibido por las empresas como el comienzo de una nueva era para la protección de datos, en la que es inevitable prepararse para garantizar el cumplimiento presente y futuro, y no simplemente ir tapando grietas.
Las directrices que acompañan a esta regulación también evolucionarán con el tiempo, por lo que las organizaciones precisan mantenerse al día con respecto a los futuros cambios en los estándares de protección de datos. Los primeros seis meses tras su entrada en vigor serán críticos; las empresas han de aprender, adaptarse y adoptar las mejores prácticas mientras continúan perfeccionando sus obligaciones de protección de datos.
Recordar la debida diligencia y la gobernanza de datos
Ante el GDPR, cualquier situación poco clara en una compañía puede derivar en desastre. Para mantener la transparencia y establecer una gobernanza de datos sólida, las empresas deben contar con una imagen exacta que revele qué datos personales y cómo se están utilizando a fin de identificar cualquier mal uso o procesos empresariales quebrantados.
El gobierno de datos y el cumplimiento normativo no solo son competencia del Responsable de Protección de Datos (DPO, por sus siglas en inglés) o del equipo legal de una compañía, sino de todas las funciones comerciales. El informe Netskope Cloud Report de 2018 refleja que, de media, en las organizaciones se utilizan 139 aplicaciones de Recursos Humanos, sin que necesariamente estén homologadas. Esto subraya la importancia de que los departamentos y empleados actúen para cumplir y apoyar su gobierno de datos y sus compromisos de cumplimiento regulatorio.
La automatización es esencial
Mantener un registro preciso del tratamiento de los datos (Artículo 30) es un requisito crítico del GDPR. Así, toda actividad de procesamiento de datos personales debe registrarse, administrarse y actualizarse a un nivel granular, una tarea importante en el mundo cloud actual. El error humano en el tratamiento de datos continuará siendo un problema, y ??la única forma de eliminarlo eficazmente es automatizando el mantenimiento de este registro cuando sea posible. La automatización ayudará a crear coherencia en la forma en que los datos se recopilan, procesan y, en última instancia, conservan hasta su destrucción.
Informes de infracciones
Si los datos personales son robados o utilizados de forma inadecuada, es fundamental que el controlador active la alarma e informe del incidente a la autoridad de supervisión pertinente en un plazo de 72 horas. Asimismo, y dependiendo de la categoría de esos datos, una organización podría tener que informar a múltiples autoridades de supervisión, lo que además se complica, si la violación afecta al negocio en varios países.
Realmente, hay mucho en juego, tanto desde el punto de vista reputacional como financiero, por lo que obtener la notificación de incumplimiento y la gestión de respuesta correcta es imperativo. Es muy probable que el error humano y el mal uso de los datos emerjan como causas principales de violaciones de datos, lo que significa que la educación debe ser permanente, particularmente en áreas como la seguridad en la nube.
GDPR: una oportunidad
En lugar de simplemente vislumbrar el GDPR como un mal necesario, la nueva ley de la UE debería entenderse como una normativa de gran valor. Las empresas dispuestas a acatar la regulación tendrán la oportunidad de hacer algo más que solo mejorar la protección de datos; implementarán un enfoque más ético para la gestión de datos.
En el futuro del GDPR veremos desarrollos en la regulación que abrirán nuevas oportunidades. Por ejemplo, podría implementarse un sistema de clasificación por estrellas mediante el cual los clientes y los accionistas podrían ver cuán proactivo y bien equipado está un negocio para proteger sus datos. Una iniciativa como esta proporcionaría un impulso adicional a las organizaciones para que no solo controlen sus estándares de protección de datos, sino que busquen la innovación en protección de datos que realmente se pueda ver para permitir y hacer crecer un negocio.