A pesar de los retos únicos que ha planteado el año 2020, el ritmo de la legislación y la regulación en materia de protección de datos en todo el mundo ha seguido creciendo a buen ritmo.
La Ley de Privacidad del Consumidor de California (CCPA) cumple ahora su segundo año, y las empresas están empezando a familiarizarse con ella tanto en Estados Unidos como a nivel mundial, dado el alcance de muchas empresas con sede en el estado. El estado de Nueva York está preparando la Ley de Privacidad de Nueva York (NYPA), y el Gobierno federal de Estados Unidos también está estudiando sus opciones en este ámbito.
En Europa, el Reglamento General de Protección de Datos (RGPD), más consolidado y en vigor desde 2018, sigue suponiendo un reto para muchas organizaciones. Las expectativas de los reguladores de protección de datos en toda la Unión Europea (UE) son cada vez mayores, a medida que las empresas siguen adaptándose a los requisitos.
La reciente encuesta realizada por DLA Piper sobre las multas y las violaciones de datos relacionadas con el RGPD sugiere que sigue siendo un reto para muchos de ellos, incluso después de casi tres años, ya que las sanciones impuestas en virtud del RGPD aumentaron más de un 40 % en 2020, hasta alcanzar los 193 millones de dólares.
A partir de las conversaciones con nuestros clientes, sabemos que las empresas comprenden en general los requisitos del RGPD y que cuentan con los elementos básicos para gestionar los fundamentos del RGPD. Como demuestran estas multas, el reto fundamental para muchas empresas es integrar estos fundamentos en los procesos operativos de la empresa.
¿Qué conclusiones podemos sacar?
Entre los problemas críticos detectados en la investigación se encuentran los relacionados con los avisos de privacidad excesivamente complicados, que afectan a las disposiciones en materia de transparencia. Muchas organizaciones siguen sin obtener el consentimiento para tratar datos personales. Otras no protegen adecuadamente los datos personales, lo que incluye la supervisión del acceso y el uso de las bases de datos que almacenan datos personales. Otro problema es la incapacidad de minimizar la cantidad de datos conservados para reducir el impacto en las personas en caso de que se produzca una violación de la seguridad.
Los reguladores impusieron las multas principalmente a las grandes empresas, que recopilan diariamente los mayores volúmenes de datos relacionados con el RGPD. También han realizado las inversiones más significativas en personal, sistemas y herramientas para gestionar su cumplimiento. Esto ilustra el reto que supone abordar todos los detalles del RGPD, en todo momento, a medida que una empresa cambia y sigue recopilando cada vez más datos. También pone de relieve los retos operativos a los que se enfrentan aquellos que disponen de menos tiempo, recursos y presupuesto.
Las cuestiones planteadas en la investigación son diversas. No obstante, hay temas comunes, principalmente en torno a garantizar que el personal operativo, que utiliza datos sensibles al RGPD en sus tareas habituales, actúe de manera conforme. Aunque en general conocen el RGPD, la falta de comprensión por parte de la dirección y el personal de los detalles de la normativa, tal y como se aplica a sus sistemas y procesos operativos —especialmente con aplicaciones heredadas o aquellas que están fuera del control de la función de TI— puede exponer a las empresas mejor preparadas a incumplimientos y, potencialmente , a multas.
Cómo resolver los problemas relacionados con el cumplimiento de la normativa sobre privacidad de datos
Hay varias formas de abordar estas cuestiones:
Un marco de gestión de políticas unificado puede ayudar a integrar los principios y requisitos del RGPD desde el principio en los procesos y aplicaciones básicos. Un repositorio de políticas centralizado permite que la dirección y los equipos del RGPD revisen las políticas y procedimientos basados en los datos del RGPD para garantizar su cumplimiento. A medida que la política cambia, ambos pueden revisarla y aprobarla para garantizar que siga cumpliendo con la normativa o, de lo contrario, ayudar a identificar cualquier problema de cumplimiento que surja.
Este enfoque centralizado ayuda a evitar que se utilicen simultáneamente múltiples versiones —e inconsistentes— de una política, una situación que sin duda provocaría un incumplimiento del RGPD. También permite evaluar a los usuarios sobre cómo aplican el RGPD, lo que ayuda a supervisar la formación y la evaluación generales en materia de cumplimiento. Además, sirve como motor de certificación para que los directivos demuestren el cumplimiento, proporcionando métricas que se incorporan al marco corporativo de GRC.
Otra área en la que hay que centrarse es aquella en la que la información personal se almacena fuera del entorno informático corporativo. Las aplicaciones de informática para usuarios finales (EUC), normalmente hojas de cálculo, se utilizan a menudo como soluciones rápidas a problemas empresariales urgentes, por lo que pueden contener información personal según el RGPD. A menudo pasan desapercibidas, no están controladas ni supervisadas por los equipos del RGPD. Si contienen esta información, según el RGPD, deben identificarse y supervisarse de forma proactiva, con personal capaz de identificar los cambios en los datos que afectan al RGPD.
Aunque estas cuestiones se refieren exclusivamente al RGPD, es igualmente evidente que surgirán con normativas similares en todo el mundo, incluidas la CCPA y la NYPA. Cualquier organización que opere en los mercados de Estados Unidos y la Unión Europea debe ser consciente de estas cuestiones y de la mejor manera de abordarlas, independientemente de su tamaño y ubicación.
Enterprises should find a partner/provider with the comprehensive tools that make supporting data privacy straightforward and which are quick to implement. Those solutions should encompass GDPR, CCPA, The Privacy Act, the Data Protection Act, and many other regulations.
Con ClusterSeven, tome el control de los activos informáticos de usuario final ocultos en su empresa que pueden crear riesgos ocultos.
