Gdpr comienza hoy! lo que necesitas saber

A partir de hoy, 25 de mayo de 2018, la legislación del Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) se convertirá efectivamente en ley global cuando se trate de preguntas sobre cómo las empresas deben manejar los datos personales. Si bien podría pensar que una ley de protección de datos ratificada en Europa se aplicaría solo a los europeos, estaría equivocado. Esto se debe a que GDPR protege a todos los ciudadanos de la UE, sin importar dónde vivan y con quién hagan negocios, lo que significa que las empresas estadounidenses con clientes de la UE están sujetas a los requisitos de GDPR y, peor aún, a las sanciones. Peor porque, según un informe reciente de Crowd Research Partners, solo el 7 por ciento de las empresas están en camino de cumplir con GDPR en la fecha límite de hoy.

Y aunque hay pasos que puede tomar incluso hoy para mantener a su empresa al menos un poco segura de GDPR, lograr el cumplimiento total no es un proyecto liviano. Los procesos para recopilar datos deben ser relevantes para la forma en que los datos serán utilizados por la empresa (por ejemplo, datos de compras del consumidor pero no datos de historial médico para empresas de comercio electrónico). Las empresas deben estar dispuestas a explicar exactamente qué datos se han recopilado y por qué. Las prácticas de seguridad deben demostrar una capacidad clara para salvaguardar contra pérdidas, daños y destrucción, y los datos no deben almacenarse más tiempo del necesario. Cualquier empresa que no cumpla con la regulación estará sujeta a una pérdida del 4 por ciento de sus ingresos anuales.

"Este no es un conjunto de reglas y regulaciones sin dientes", dijo Ankur Laroia, Líder de Soluciones Estratégicas en el proveedor de sistemas de gestión de información Alfresco. Laroia argumenta que varios problemas dentro de los estatutos de la regulación dificultarán que las empresas sigan cumpliendo. Por ejemplo, algunos problemas incluyen reglas escritas de forma abstracta sobre por qué se recopilan los datos, requisitos excesivos para depurar los datos de los clientes cuando se solicitan, y la necesidad de que algunas compañías modernicen por completo los procedimientos de seguridad con el único fin de garantizar el cumplimiento. Aún así, Laroia no cree que la UE esté jugando.

"La UE irá tras los delincuentes", predice. "Si esto se hubiera promulgado, Equifax se habría metido en muchos problemas".

GDPR, aunque se centra principalmente en los ciudadanos de la UE, también presenta un escenario de pesadilla para los propietarios de negocios estadounidenses., analizaremos lo que los estadounidenses deben saber para comenzar el viaje hacia el cumplimiento de GDPR.

1. Las empresas estadounidenses deberán cumplir

Si su librería familiar nunca ha enviado un paquete fuera de su ciudad natal, entonces probablemente no tendrá que preocuparse por el GDPR. Sin embargo, si tiene incluso un cliente con sede en la UE, deberá comenzar el proceso para cumplir con GDPR de inmediato. Según los estatutos, los datos de ciudadanos de la UE deben estar protegidos y usted debe proporcionar dichos datos al ciudadano si los solicita. Más importante aún, es posible que deba purgar esos datos de sus sistemas si el ciudadano hace la solicitud y cuando lo haga. Si no lo hace y el perro guardián de GDPR se entera, perderá el 4 por ciento de sus ingresos anuales.

"Aunque es una directiva de la UE, afecta a cualquier empresa en todo el mundo que tenga residentes de la UE como clientes", dijo Pete Lindstrom, vicepresidente de investigación de seguridad de IDC. "Si tiene campos de dirección y son una dirección europea, probablemente se considerarán europeos".

No hay distinción entre una empresa con sede en la UE o en una ciudad como Skokie, Illinois. En cambio, la ley se centra en la información de identificación personal (PII) y el lugar donde reside la persona asociada con los datos. Cualquier persona que tenga algún tipo de información PII sobre un cliente europeo tendrá que cumplir.

Incluso si su empresa tiene unos pocos clientes con sede en la UE, es muy poco probable que su librería local sea auditada por los vigilantes de GDPR. Pero las grandes empresas, como Facebook y Yahoo, no podrán reclamar la lealtad estadounidense como una forma de eludir el GDPR.

"Si eres mamá y papá y tienes una violación, eres legalmente responsable", dijo Laroia. "Es difícil decir si vendrán tras usted de manera realista… cada estado miembro de la UE tendrá una oficina de cumplimiento. Esa oficina comenzará a pedir el esquema de cumplimiento de todos. Crearán un inventario de empresas que hacen negocios en sus geografías". Van a ver a los tipos más grandes y comenzarán a hacer preguntas ".

Las empresas estadounidenses que no cumplan no deberían esperar que el gobierno de EE. UU. Las proteja cuando los estados de la UE respaldados por el GDPR intentan recaudar esos ingresos perdidos. "El gobierno de los Estados Unidos está obligado a asegurarse de que esos juicios se cumplan", dijo Laroia. "Aún no se ha visto si se aplican, pero el gobierno de la UE tendrá que luchar".

2. 25 de mayo Significa 25 de mayo

Aunque la regulación entra en vigencia hoy, 25 de mayo de 2018, la ley fue ratificada por el Parlamento de la UE el 14 de abril de 2016. Esto significa que, en lo que respecta a la UE, las empresas han tenido tiempo de sobra para implementar prácticas que cumplan con GDPR. Entonces, si su empresa es golpeada por un ciberataque masivo mañana y una gran cantidad de datos que ha recopilado sobre clientes, visitantes del sitio web e incluso socios salen a la nefasta web oscura, entonces no puede reclamar "tiempo insuficiente" como un excusa para divulgar datos de ciudadanos de la UE.

"Los estatutos entraron en vigencia", dijo Laroia. "Se le puede pedir que muestre su camino hacia el cumplimiento. ¿Ha inventariado? ¿Cuál es su protocolo para que un ciudadano de la UE pregunte sobre sus datos? A estas empresas se les puede pedir esta información ahora mismo. Comenzarán a ser multados el próximo año si no pueden demostrar cumplimiento después de mayo ".

3. No esperes una extensión

A diferencia de la mayoría de las batallas de regulación legal que tenemos en los EE. UU. (Por ejemplo, la neutralidad de la red), nadie en la UE intervino el 24 de mayo de 2018 para desafiar el GDPR y, por lo tanto, posponer la regulación indefinidamente. Los europeos querían esto y ahora lo tienen.

"Esta es la belleza de la forma en que se han establecido las regulaciones", dijo Laroia. "Debido a que les dieron a las corporaciones un año para actuar correctamente, no ha habido ningún desafío desde una perspectiva de litigio. Si hubiéramos visto eso, ya habría sucedido. ¿Podría alguien hacer eso después de ser demandado? Estoy seguro de que lo intentarán, pero les quedará mal en ese momento ".

4. Qué necesitará hacer para cumplir

Como lo exige la regulación, deberá poner a alguien a cargo de administrar el proceso de cumplimiento. Esta persona, a quien la ley GDPR denomina el "Oficial de Protección de Datos" (DPO), será la persona responsable de guiar al equipo de supervisión GDPR a través de las formas en que su empresa ha estado asegurando sus datos. Esta persona también será responsable de reunir las diferentes líneas de negocios dentro de su empresa para producir una metodología para obtener y cumplir con GDPR.

En pocas palabras, los deberes del DPO se dividirán en cuatro categorías clave:

• Primero, deben estar lo suficientemente familiarizados con los detalles de GDPR para actuar como la persona clave no solo para el proceso de cumplimiento inicial sino también para todas las preguntas de manejo de datos relacionadas con GDPR en el futuro, y ciertamente lo suficiente como para que puedan responder las preguntas de ambos senior ejecutivos y manejo de datos operativos de TI en el terreno.
• En segundo lugar, deben ser capaces de monitorear todos los procesos de manejo de datos en curso en su organización y evaluar su efectividad con respecto a la seguridad de los datos personales.
• En tercer lugar, deben tener capacidades de auditoría y monitoreo sobre cualquier área de su negocio que pueda verse afectada por el RGPD y evaluar su cumplimiento periódicamente.
• Y por último, deben estar en contacto con las autoridades de GDPR para su industria, cooperar con ellos y actuar como persona de contacto para cualquier solicitud que provenga de esa autoridad.

Todo eso se reduce a una persona que comprende los flujos de datos y las medidas y tecnologías de protección de datos, así como no solo el conocimiento de los detalles de la legislación GDPR, sino también el conocimiento de la legislación de la UE relacionada y relevante, como su Directiva de privacidad electrónica. La probable falta de estas habilidades ha creado una oportunidad de campo verde para las empresas y las consultorías de TI, pero, si está buscando desarrollar este talento internamente, entonces una buena apuesta es buscar recursos de aprendizaje en línea europeos y de habla inglesa, muchos de los cuales han desarrollado cursos GDPR DPO para este propósito. Además, hay organizaciones multinacionales de la industria, como la Asociación Internacional de Profesionales de la Privacidad (IAPP), que ofrecen certificaciones y cursos de capacitación GDPR.

En una nota más técnica, para mantener el cumplimiento, deberá emplear al menos un método de cifrado para servidores físicos, almacenamiento conectado a la red (NAS), discos y unidades, y acceso a la red. Deberá verificar las identidades de los empleados e instituir la autenticación multifactor (MFA) al acceder a PII y para transacciones que incluyen datos de PII. Deberá eliminar cualquier práctica que acceda o procese datos para fines no autorizados, supervise y verifique constantemente los datos para garantizar su relevancia y purgue de manera completa e irreversible los datos del cliente cuando se le solicite. Se requerirá que las organizaciones realicen evaluaciones completas de riesgos y trabajen con socios, especialmente aquellos conectados a través de interfaces de programación de aplicaciones (API), para garantizar el cumplimiento continuo.

Finalmente, si se violan los datos de su organización, deberá notificar a su supervisor GDPR asociado de inmediato para describir la violación y sus consecuencias en su totalidad. Y deberá comunicar las ramificaciones de la violación a los clientes afectados.

5. Clientes de EE. UU.

Laroia dijo que, en última instancia, es un buen sentido comercial salvaguardar y ser buenos administradores de la información del cliente. "Hay que ver esto desde el punto de vista del cliente final", dijo Laroia. "Son la razón por la que estas compañías están en el negocio. Sí, aunque es doloroso para el negocio, las compañías no han invertido en tecnología ni han seguido el ritmo de la innovación".

Desafortunadamente, regulaciones similares de los Estados Unidos no están en los libros. Las empresas que hacen negocios en Nueva York bajo los requisitos de seguridad cibernética del Departamento de Servicios Financieros de Nueva York están cubiertas en cierta medida. Esta regulación requiere que las empresas con sede en Nueva York implementen y mantengan una política o políticas escritas, aprobadas por un funcionario superior o la junta directiva de la entidad cubierta (o un comité apropiado de la misma) o un órgano rector equivalente. Esto establece las políticas y procedimientos de la Entidad Cubierta para la protección de sus Sistemas de Información e Información No Pública almacenados en esos Sistemas de Información, de acuerdo con la ley escrita.

Otros estados, como Colorado, han discutido la implementación de regulaciones similares. Sin embargo, no existe una ley federal general de los Estados Unidos. Pero Laroia es optimista de que Estados Unidos será el próximo. "Los estadounidenses no tienen esos derechos", dijo. "Pero dale cinco años".