Tal vez haya escuchado que el 25 de mayo de 2018 va a ser una fecha muy importante. Además de caer algunas semanas antes de que empiece la Copa Mundial de la FIFA en Rusia, también es la fecha en la que entrará en vigor el reglamento “GDPR” (Reglamento general de protección de datos) de la Unión Europea.
El reglamento “GDPR” ya está animando a las empresas a implementar ciertos cambios fundamentales en cuanto a las formas de trabajar y de gestionar el riesgo. Las empresas disponen ahora de menos de un año para adaptar sus infraestructuras y evitar multas millonarias.
Hemos recopilado una lista de 5 cosas que debe saber sobre el “GDPR” y, concretamente, cómo el reglamento va a afectar a su empresa y cómo puede prepararse para el mismo.
1) ¿Qué es el reglamento “GDPR” y cómo hemos llegado hasta aquí?
El Reglamento general de protección de datos (“GDPR”) introducirá nuevas normas que afectarán a empresas de todo el mundo. Será aplicable a todas las empresas con sede en el Espacio Económico Europeo, así como a las que se dirijan a mercados o consumidores de la Unión Europea (UE).
En resumidas cuentas, el reglamento “GDPR” concede nuevos derechos a los ciudadanos de la UE con respecto a sus datos personales, como el derecho a la portabilidad de sus datos y un acceso más fácil a sus datos personales. Obliga a las empresas a asumir una mayor responsabilidad respecto a los datos de usuario que recopilan y a garantizar que hacen todo lo posible por protegerlos.
Dos son los motivos que auspiciaron este reglamento. El primero tiene que ver con volver a dar a las personas el control sobre los datos de los ciudadanos. Las empresas ya no podrán recopilar toda aquella información que deseen si no tienen un motivo válido.
En segundo lugar, actualmente, cada país tiene una legislación propia para controlar los derechos sobre los datos. De modo que, ¿qué ocurre cuando una empresa con sede en España tiene clientes en Italia, Alemania y Francia? ¿Qué legislación es aplicable a esa empresa? Con el reglamento “GDPR”, será menos confuso y más fácil saber qué normas son las aplicables. ¡Sin excusas!
En realidad, algunos países ya tienen leyes muy similares al reglamento “GDPR”, aunque se diferencian en algo fundamental: ¡las aterradoras multas! Las multas por incumplimiento del regolamento “GDPR” son elevadas: pueden llegar a alcanzar un 4% de la facturación total anual o 20 millones de euros, la cifra que sea superior.
Este reglamento ofrece la oportunidad de concretizar lo que puede costar una vulneración de los datos personales en caso de no ser capaces de detectarla y remediarla en un plazo de 72 horas. Por consiguiente, es posible justificar una inversión mayor en términos de recursos y de tecnologías que permitan un uso responsable de los datos personales propios y de terceros.
2) ¿Qué ocurre si la sede de mi empresa está fuera de la Unión Europea? ¿Sigue estando obligada mi empresa a cumplirlo?
El reglamento europeo afecta a todas las empresas que se dirigen de forma activa a clientes y usuarios, incluso solo temporalmente, que se encuentran en la UE; es decir, lo que cuenta no es la sede de la empresa, sino los datos personales que esta trata.
¿Y esto cómo se puede establecer? Existen varias formas de determinarlo. Por ejemplo, ¿tiene su empresa un dominio .eu? ¿Está traducido su sitio web a idiomas europeos? ¿Usa euros como moneda? Si responde “sí” a alguna de estas preguntas, entonces debe seguir el reglamento “GDPR”. Muy probablemente, su empresa procesa datos de ciudadanos europeos de alguna manera u otra. Si cree que su empresa no está obligada, considere lo que entiende el reglamento por datos personales. Estos incluyen no solo los detalles de cuentas bancarias, las direcciones de correo electrónico y la información personal confidencial, sino también las direcciones IP. Si considera todas las empresas que trabajan con direcciones IP, el alcance de aplicación de esta legislación se amplía en gran medida.
Piense con una “perspectiva más amplia”. Al adoptar medidas para proteger los datos, tendrá muchas mayores oportunidades de proteger su negocio de los ciberataques. Representa un gran avance en cuanto a la consideración mundial de la protección de los datos y supone un cambio positivo para sus clientes. En efecto, el reglamento no establece “medidas mínimas” de seguridad, sino que exige a las empresas aplicar un principio bien preciso: ser capaces de valorar el riesgo que puede sufrir la privacidad de los datos que tratan.
3) ¿Cómo empiezo a planificarme para cumplir los criterios?
En primer lugar, es necesario entender que no se trata de un asunto que solo compete al departamento legal o tecnológico. El enfoque debe ser multifuncional para poder efectuar un análisis preciso de los procesos de tratamiento de los datos personales. Hecho esto, es importante identificar dónde se encuentran los datos y qué pasos se deben seguir para conseguir ser conformes al reglamento, ya que existen algunas directrices muy específicas. Después, es necesario comparar estas informaciones con los procesos y estructuras actuales para identificar las eventuales deficiencias o lagunas.
Sobre la base de estos resultados se puede elaborar un plan de trabajo. Debéis aseguraros sobre todo de subrayar la importancia que tiene adoptar en todo momento un comportamiento correcto con relación al tratamiento de los datos a todo el personal de la empresa. Cuanto más retraséis esta fase, más riesgo tendréis de encontraros en situaciones difíciles de gestionar y controlar.
4) ¿Puedo cumplir este reglamento adquiriendo algún tipo concreto de tecnología?
No. El reglamento “GDPR” aborda más que nada los procesos de seguridad y la gestión del riesgo. La tecnología juega su parte, pero no hay ningún producto que solucione todos sus problemas. La tecnología no servirá de nada a menos que todo funcione conjuntamente.
Muchos piensan todavía que la seguridad informática es un problema tecnológico al que se debe dar una respuesta tecnológica, pero esto no es cierto. Sin un uso responsable y consciente de esta tecnología no se pueden proteger los datos antes, durante y después de un ataque. En efecto, los criminales informáticos son cada vez más sofisticados en sus ataques, porque analizan toda mínima vulnerabilidad para encontrar el modo de entrar en una red: la tecnología sola no puede detenerles.
Lea nuestro Informe de ciberseguridad del primer semestre de este año, publicado recientemente, para conocer los tipos de actividades escaladas que emplean actualmente los cibercriminales. El juego ha cambiado y protegerse frente a las filtraciones de datos es algo a lo que todas las empresas deben dar la máxima prioridad.
El reglamento “GDPR” también establece que las empresas tienen que nombrar un responsable de protección de los datos que sea distinto del responsable del riesgo y de la mayoría de las demás puestos de TI actualmente existentes.
Los responsables de protección de los datos tienen un mandato específico, pero lo más importante es que esta figura debe estar fuera del organigrama de TI y de la sala de juntas, de modo que tengan autonomía para hacer lo que sea mejor para el cumplimiento del reglamento.
De nuevo, todo gira entorno a garantizar que las empresas reconozcan toda la responsabilidad que tienen cuando recopilan y transfieren datos de terceros.
5) ¿Cómo afectará el reglamento “GDPR” a cómo gestiono la filtración de datos?
Actualmente, en algunos países de la UE, cuando una empresa sufre una filtración no está obligada a informar de ella. No obstante, ética y moralmente, algunas empresas se sienten obligadas a hacerlo, especialmente si la filtración afecta directamente a sus clientes.
El reglamento “GDPR” obligará a hacerlo. Habrá multas para aquellas empresas que no informen de una filtración en 72 horas.
Si las empresas no implantan los procesos y la tecnología adecuados, no podrán informar en todo momento de la gravedad de una filtración.
Por ello, cuando tengan que revelarlo y responder a preguntas como “¿Qué se ha visto afectado?”, “¿Qué piensan hacer al respecto?” o “¿Cómo van a garantizarme que esto no vuelve a ocurrir?”, sus respuestas no van a ser del todo convincentes.
En segundo lugar, se tarda una media de 100-200 días en detectar una filtración en una empresa, es decir, muchísimo tiempo. En Cisco, reducimos este tiempo a 3,5 horas en todo el mundo, una diferencia de tiempo muy significativa.
Es muy importante cambiar el enfoque. Las empresas deben ser conscientes del panorama actual de las amenazas y prepararse para responder a un potencial intento de robo de datos. Es un proceso muy orientado; se trata de reconocer primero la brecha y ocuparse después de ella. Eso es precisamente lo que persigue fomentar el reglamento “GDPR”. Es decir, aplicar un enfoque basado en la capacidad de valorar el riesgo.
Para obtener más información y descubrir lo que puede hacer Cisco para ayudarles a cumplir el reglamento GDPR, visiten la página: www.cisco.com/es/go/gdpr
1 Comentarios
Quiero la lista de reglas para los ciudadanos de la UE para terminar mi tarea