La privacidad se ha convertido en un riesgo de cumplimiento normativo de primer orden en organizaciones de todo el mundo. GDPR (Europa), CCPA (California), APP (Australia), PIPEDA (Canadá), PDO (Hong Kong), PIPA (Japón), ECTA (Sudáfrica)... el mundo del cumplimiento de la privacidad es como un plato de sopa de letras, aunque esta lista solo destaca algunas de las muchas normativas sobre privacidad que afectan a las organizaciones.
El reto que plantea el cumplimiento de la normativa sobre privacidad es que las empresas son dinámicas. Cambia minuto a minuto y segundo a segundo. Los datos personales están omnipresentes en todos los datos y procesos de una organización (por ejemplo, datos de empleados, datos de clientes y datos de ventas). Es posible que haya estado al tanto de sus obligaciones de privacidad a finales de 2019, pero la organización ha cambiado significativamente en las últimas semanas y ahora también tiene que preocuparse por el cumplimiento de la CCPA. Los procesos han cambiado, el negocio ha cambiado, los empleados han cambiado, los terceros han cambiado, sus clientes han cambiado.
La gestión del cumplimiento de la privacidad debe gestionarse y supervisarse continuamente en las organizaciones. No se trata de un esfuerzo puntual, sino que debe abordarse en el contexto de un cambio organizativo continuo. El cumplimiento de la privacidad consiste en identificar y mitigar los riesgos de cumplimiento, de marca y de negocio asociados al tratamiento de datos personales. Se trata de gestionar los riesgos a lo largo de todo el ciclo de vida de los datos en una organización y su red de procesos, transacciones, relaciones e interacciones.
He aquí 7 hábitos de los programas de cumplimiento de la privacidad más eficaces que le ayudarán a mantenerse en el buen camino:
1. Nombrar un Director de Protección de Datos
Con arreglo al RGPD, se trata de un responsable de la protección y el tratamiento de datos. Alguien tiene que estar a cargo de garantizar que el riesgo de privacidad y el cumplimiento se aborden en todas las organizaciones y sus jurisdicciones. Para las grandes organizaciones distribuidas, esto puede requerir que se establezcan responsables de privacidad regionales que informen al responsable de privacidad global de la organización.
2. Documentar los flujos de procesos de datos
Fundamental para el cumplimiento de la privacidad - ya sea GDPR, CCPA, o muchos de los otros - es la documentación de los flujos de trabajo del proceso de datos y cómo la información personal (por ejemplo, empleados, clientes) entra y fluye a través de la organización, se utiliza y se accede en la organización, la disposición y los controles en estas etapas, y la interacción de estos flujos de trabajo a través de relaciones con terceros.
3. Definir y comunicar las políticas de privacidad
Al fin y al cabo, son los empleados (y terceros) de todos los niveles de la organización los que interactúan con la información personal. El cumplimiento de las normas de privacidad tiene más que ver con el front-office de la organización que con la función de back-office del cumplimiento. Las organizaciones tienen que asegurarse de que cuentan con las políticas de privacidad y protección y uso de datos adecuadas y de que las personas las entienden en el contexto de su función en la organización. El cumplimiento de la privacidad exige que las organizaciones dispongan de un registro claro y defendible de la gestión de políticas, comunicaciones, atestados, recordatorios y actividades de formación.
4. Realizar evaluaciones de impacto sobre la privacidad de los datos.
Las organizaciones deben tener un conocimiento claro del estado del cumplimiento de la privacidad y del riesgo para la información personal en sus entornos dinámicos. Esto requiere que se lleve a cabo una evaluación periódica regular del impacto sobre la privacidad de los datos, así como activadores para hacer una evaluación entre evaluaciones periódicas cuando determinados acontecimientos o indicadores de riesgo alarmen a la organización.
5. Supervisar los controles y el uso de la información personal
La supervisión continua del entorno es fundamental para garantizar que se aplican controles y se protege la información personal en el entorno. Esto requiere que la organización tenga conocimiento de dónde se almacenan y utilizan los datos personales, vigilar su filtración y uso inadecuado y disponer de pistas de auditoría completas de las interacciones con los datos personales.
6. Establecimiento de procedimientos de respuesta a incidentes
Los mejores planes de ratones y hombres fracasarán. Incluso las mejores organizaciones, con la cultura y el compromiso más sólidos con la privacidad y la integridad, tendrán problemas. Ya sean malintencionadas o involuntarias, las violaciones de la privacidad ocurrirán. Es fundamental que la organización cuente con procedimientos claros de notificación de problemas y gestión de casos para gestionar las violaciones de la privacidad, desde las más pequeñas a las más grandes. Deben identificarse los pasos y planes de respuesta adecuados antes de que se produzca un incidente, para que la organización sepa cómo gestionarlo y no cometa errores costosos.
7. Gobernar las relaciones con terceros
Más de la mitad de las filtraciones de datos proceden de terceros: contratistas, consultores, subcontratistas, vendedores, trabajadores temporales, proveedores de servicios y otros. Las organizaciones deben asegurarse de que sus terceros también cumplan la normativa y sigan políticas y controles estrictos que estén alineados con las políticas y controles de privacidad de las organizaciones. Los procesadores de datos (por ejemplo, terceros) tienen responsabilidad legal en virtud del GDPR y otras regulaciones y tienen obligaciones directas de cumplimiento legal. Un requisito adicional es que el procesador de datos no puede utilizar un "cuarto partido" para procesar cualquier información personal identificable sin obtener la autorización previa de su cliente (es decir, el controlador de datos).
¿El próximo reto para el cumplimiento de la privacidad?
Una vez establecidos estos 7 hábitos para un programa de cumplimiento de la privacidad altamente eficaz, el siguiente reto es mantenerlo actualizado. El cumplimiento de la privacidad (y todos sus elementos) es un proceso que debe gestionarse continuamente en la organización distribuida y dinámica de hoy en día. No es un esfuerzo puntual, sino que tiene que estar sincronizado con la empresa a medida que evoluciona, se adapta, cambia y se transforma.
Los negocios cambian minuto a minuto y segundo a segundo. Esto requiere una función permanente que garantice que cada nuevo servicio o proceso empresarial que haga uso de información de identidad personal dentro de la organización debe tener en cuenta la protección de los datos personales a la hora de diseñar nuevos procesos operativos o de actualizarlos.
Para lograr un cumplimiento sostenible de la normativa sobre privacidad, las organizaciones necesitan disponer de tecnologías de cumplimiento de la normativa sobre privacidad que sean eficientes, eficaces y ágiles para seguir el ritmo de un entorno empresarial dinámico. No se trata de un esfuerzo puntual, sino que requiere una diligencia continua para lograr el cumplimiento. Hacer esto en procesos manuales con documentos, hojas de cálculo y correos electrónicos sólo conducirá a lagunas, errores y, finalmente, a problemas significativos de incumplimiento que resultarán en posibles sanciones.
