Tabla de contenido:
Video: Matrix 101 Spanish - Updated 2020.03.18 (Noviembre 2024)
Para muchas empresas, especialmente para muchas pequeñas y medianas empresas (PYMES), la ubicación real de sus datos puede ser un misterio. Digamos, por ejemplo, que se está ejecutando en un clúster de servidores basado en la nube ubicado en la región del norte de Virginia que pertenece a Amazon Web Services (AWS). Eso significa que sus datos están en el norte de Virginia, ¿verdad? Bueno, si, probablemente. Pero supongamos que está haciendo negocios con empresas o personas en Europa. Entonces, los datos sobre esas entidades probablemente también estén en esa región. Y en muy poco tiempo, eso puede ser un problema.
Más importante, aparte del GDPR, hay otras regulaciones sobre flujos de datos transfronterizos que también debe tener en cuenta. Esto se debe a que tener los datos de un ciudadano de la UE (o alguien que vive en la UE que no es ciudadano) pasar por otro país en el camino puede ser problemático. Esto significa que necesita saber más allá de dónde está cuando lo almacena: necesita saber dónde va en camino entre usted y donde sea que se encuentre su cliente o empleado.
No voy a entrar en las penas draconianas que pueden esperarte si violas las reglas del GDPR porque se han descrito en esta columna y en muchos otros lugares en el pasado. Entonces, digamos, no desea que se le apliquen estas sanciones.
7 caminos hacia el cumplimiento de GDPR
Pero siempre que tome algunas medidas preventivas, no debería tener que preocuparse por las sanciones. Hay algunas cosas bastante fáciles que puede hacer para evitar problemas. Aquí hay siete de ellos, en orden de más fácil a más difícil de hacer.
No recopile información personal de personas en la UE. Si su sitio web tiene la capacidad de que alguien complete información personal (su nombre y dirección, por ejemplo) en el proceso de registro en su sitio web, entonces no acepte registros de la UE o no los acepte en absoluto.
Si debe aceptar información personal de personas en la UE (quizás porque tiene un sitio web de comercio electrónico que vende cosas allí), entonces tenga los datos almacenados en un servidor en la nube ubicado dentro de las fronteras de la UE. A menudo, esto es simplemente una cuestión de configurar un clúster de servidores de Infraestructura como Servicio (IaaS) utilizando el sitio web europeo de su proveedor de nube actual. Alternativamente, al financiar un breve compromiso con los brazos de servicios profesionales de la mayoría de los proveedores de la nube, verá cómo se encargan de esta tarea por usted. No solo eso, sino que si tiene la suerte de comprometerse con sus consultores con sede en Europa , probablemente también obtendrá pruebas certificadas y la documentación adecuada.
Si bien hay veces que puede mover datos a los EE. UU. O a uno de los pocos países de Europa, existen límites. En los Estados Unidos, se basan en el Escudo de privacidad, que es un acuerdo entre los Estados Unidos, la UE y Suiza que especifica los requisitos de protección para los datos que fluyen entre los Estados Unidos y esos países. Probablemente sea una buena idea para su organización certificar que cumple con los requisitos de protección de datos del GDPR, pero la ley de la UE es tal que la recopilación y retención de datos se limita solo a lo que se requiere para realizar la tarea inmediata. Eso significa que alguien con conocimiento de los detalles de GDPR rastree sus diversos flujos de datos. Si bien es tedioso, esta es la única forma de asegurarse de que cumple.
Si debe procesar datos, ya sea en la UE o en los EE. UU., Entonces debe cumplir con los requisitos específicos, incluido el hecho de que alguien sea nombrado Oficial de Protección de Datos (DPO). También tendrá que organizar un flujo de trabajo dedicado a eliminar datos cuando ya no sea necesario, y esto puede ser especialmente complejo porque parte de esto es asegurarse de que puede eliminar la información personal de cualquier persona que solicite ser olvidada. Francamente, esa es otra razón para pensar dos veces antes de almacenar información sobre personas de la UE.
Si realmente tiene que hacer negocios en la UE, entonces probablemente debería pensar en tener presencia allí en lugar de solo una cuenta en la nube con un servidor o un servicio de intercambio de archivos de nivel empresarial en Europa. Es posible que desee contratar a una empresa para que se ocupe de sus asuntos en Europa o puede que desee abrir una oficina, ya que la contratación de expertos y consultores GDPR será más fácil en ese lado del estanque, sin mencionar que simplemente hacer negocios europeos en un post-GDPR El mundo será inherentemente más fácil en Europa que en cualquier otro lugar.
Si abre una oficina, entonces sus empleados en Europa también deben tener su información manejada de acuerdo con las normas GDPR. Si bien puede mantener registros de empleados en los EE. UU., Deberá seguir las reglas, incluida la no retención de información que no sea estrictamente necesaria para que un empleado haga su trabajo. También deberá obtener el permiso del empleado para almacenar información personal (tal vez para que le paguen), pero su DPO deberá evaluar todos los datos almacenados para asegurarse de que es algo que se requiere. Por ejemplo, no puede solicitar su fotografía a menos que haya una razón, y luego debe dar una justificación muy específica de cómo se utilizará. Y se debe permitir que el empleado disminuya sin repercusiones.
Ahora para la parte complicada: el departamento de TI debe poder determinar dónde se encuentran los datos protegidos en todo momento, a dónde van mientras los está usando, dónde se almacenan y cómo están protegidos. Solo decir que está en su servidor en la nube en Irlanda no es suficiente; sus amigos tendrán que saber cómo llega a ese servidor, qué sucede cuando se usa y cómo está protegido, en detalle. Su mejor opción es contratar expertos para que lo hagan por usted, al menos las asignaciones iniciales y la selección de herramientas de administración que mantendrán esa información. Eventualmente se requerirá un DPO y personal de apoyo, pero en el corto plazo, la mayoría de las empresas harían bien en contratar a un consultor que tenga experiencia comprobable.
Para los procrastinadores
Por supuesto, para no poner demasiado punto en ello, pero ya deberías haber hecho todo esto. Aún así, las realidades de los negocios del día a día son lo que son, lo más probable es que muchos de ustedes que leen esto no lo hayan hecho. Entonces, ahora que la fecha es básicamente suya, comience por al menos saber dónde están sus datos. Y si no está donde se supone que debe estar, entonces vea el punto número 1 arriba hasta que lo haya resuelto.
Mientras hace esto, es una buena idea publicar un formulario de consentimiento antes de que alguien pueda acceder a la parte de su sitio web que solicita información personal. Sagara Gunathunge, vicepresidenta del proyecto de servicios web Apache y directora de WSO2, ofrece algunos ejemplos de formularios de consentimiento disponibles gratuitamente para una variedad de propósitos. Pero recuerde que debe hacer un seguimiento de quién llena esos formularios para poder mostrar un enlace directo a la información que ha recopilado y si está almacenada en la UE o en otro lugar. Asegúrese de que esté redactado con claridad, sea preciso y diga exactamente qué está sucediendo con la información que está recopilando. Sí, es un dolor en el cuello. Pero la otra opción es la opción 1.
