A pesar de los singulares retos de 2020, el ritmo de la legislación y la normativa sobre protección de datos en todo el mundo ha seguido creciendo a buen ritmo.
La Ley de Privacidad del Consumidor de California(CCPA) cumple ahora su segundo año, y las empresas se están familiarizando con ella tanto en EE.UU. como en el resto del mundo, dado el alcance de muchas empresas con sede en el Estado. El Estado de Nueva York está planeando la Ley de Privacidad de Nueva York (NYPA), y el Gobierno Federal de EE.UU. también está considerando sus opciones en este ámbito.
En Europa, el Reglamento General de Protección de Datos (RGPD ) más consolidado -en vigor desde 2018- sigue suponiendo un reto para muchas organizaciones. Las expectativas de los reguladores de protección de datos en toda la Unión Europea (UE) van en aumento, mientras las empresas siguen dominando los requisitos.
La reciente encuesta de DLA Piper sobre multas GDPR y violaciones de datos sugiere que continúa desafiando a muchos de ellos, incluso después de casi tres años, con sanciones impuestas bajo GDPR aumentando en más del 40% en 2020 a $ 193M.
Por las conversaciones mantenidas con nuestros clientes, sabemos que las empresas entienden bien en general los requisitos del RGPD y que se han establecido las bases para gestionar sus aspectos fundamentales. Como demuestran estas multas, el reto fundamental para muchas empresas es integrar estos aspectos fundamentales en los procesos operativos de la empresa.
¿Qué conclusiones podemos sacar?
Entre las cuestiones críticas descubiertas en la investigación figuran los problemas asociados a los avisos de privacidad excesivamente complicados, que inciden en las disposiciones sobre transparencia. Muchas organizaciones siguen sin obtener el consentimiento para procesar información personal. Otras no protegen adecuadamente la información personal, lo que incluye la supervisión del acceso y el uso de las bases de datos que almacenan datos personales. Otro problema fue la incapacidad de minimizar la cantidad de datos conservados para reducir el impacto sobre los individuos si se produce una violación de la seguridad.
Los reguladores impusieron las multas principalmente a las grandes empresas, que recogen diariamente los mayores volúmenes de datos relacionados con el RGPD. También han realizado las inversiones más importantes en personal, sistemas y herramientas para gestionar su cumplimiento. Ilustra el reto de abordar todos los detalles del RGPD, en todo momento, a medida que una empresa cambia y sigue recopilando cada vez más datos. También pone de relieve las dificultades operativas que afrontan los que disponen de menos tiempo, recursos y presupuesto.
Las cuestiones planteadas en la investigación son diversas. Sin embargo, hay temas comunes, principalmente en lo que respecta a garantizar que el personal operativo que utiliza datos sensibles al RGPD en sus tareas habituales actúe de conformidad con la normativa. Aunque en general se tiene conocimiento del RGPD, la falta de comprensión entre la dirección y el personal de los detalles de la normativa, tal como se aplica a sus sistemas y procesos operativos -especialmente con aplicaciones heredadas o fuera del control de la función de TI- puede exponer a la empresa mejor preparada al incumplimiento, y potencialmente a multas.
Cómo resolver los problemas de cumplimiento de la protección de datos
Hay varias formas de abordar estas cuestiones:
Un marco unificado de gestión de políticas puede ayudar a integrar los principios y requisitos del GDPR desde la base en los procesos y aplicaciones principales. Un repositorio de políticas centralizado permite que una política y un procedimiento basados en datos del RGPD sean revisados por la dirección y los equipos del RGPD para garantizar su cumplimiento. A medida que la política cambia, puede ser revisada y aprobada por ambos para garantizar que sigue siendo conforme, o bien ayuda a identificar cualquier problema de cumplimiento que surja.
Este enfoque centralizado ayuda a evitar que se utilicen simultáneamente varias versiones de una política, que pueden ser incoherentes, lo que supondría una infracción del RGPD. También permite poner a prueba a los usuarios sobre cómo aplican el GDPR, para ayudar a supervisar la formación y la evaluación del cumplimiento en general. También sirve como motor de atestación para que los responsables demuestren el cumplimiento, proporcionando métricas que alimentan el marco corporativo de GRC.
Otro ámbito en el que hay que centrarse es aquel en el que la información personal se almacena fuera del entorno informático corporativo. Las aplicaciones informáticas de usuario final (EUC), normalmente hojas de cálculo, se utilizan a menudo como soluciones rápidas a problemas empresariales acuciantes, por lo que pueden contener información personal con arreglo al RGPD. A menudo no son reconocidas, controladas ni supervisadas por los equipos de GDPR. Si contienen esta información, en virtud del GDPR, deben ser identificadas y supervisadas de forma proactiva, con personal capaz de identificar los cambios en los datos que afectan al GDPR.
Aunque estas cuestiones se refieren únicamente al GDPR, es igualmente evidente que surgirán con normativas similares en todo el mundo, incluidas la CCPA y la NYPA. Cualquier organización que opere en los mercados de Estados Unidos y la Unión Europea debe ser consciente de estos problemas y de la mejor manera de abordarlos, independientemente de su tamaño y ubicación.
Las empresas deben encontrar un socio/proveedor con las herramientas completas que faciliten y agilicen el apoyo a la privacidad de los datos. Estas soluciones deben abarcar el GDPR, la CCPA, la Ley de Privacidad, la Ley de Protección de Datos y muchas otras normativas.
[bctt tweet="Las sanciones impuestas en virtud del GDPR aumentaron más de un 40% en 2020, hasta los 193M$." via="no"]
Gestione sus hojas de cálculo de Shadow IT
Con ClusterSeven, tome el control de los activos informáticos de usuario final ocultos en su empresa que pueden crear riesgos ocultos.
