¿Debe tu empresa cumplir con GDPR?
En mayo de 2018 entró en vigor la Regulación General de Protección de Datos (GDPR, por sus siglas en inglés), una normativa cuyo alcance desborda las fronteras de su legislador, la Unión Europea (UE). Muchas empresas- mexicanas y de otros países-, siguen teniendo dudas sobre si deben o no cumplir o no con esta regulación. Lo que desconocen es que el radio de acción de la ley abarca a todas aquellas organizaciones con negocios en, al menos, un país de la UE y/o que traten datos de personas morales o físicas residentes dentro de este territorio.
No obstante, según la edición 2018 de la Encuesta Global de Seguridad de la Información (GSISS, por siglas en inglés) de PwC, sólo un 24% de las compañías había comenzado el proceso para el cumplimiento del GDPR. En el caso de México, las cifras fueron ligeramente superiores (27.4%).
Puntos clave para las compañías
GDPR se concibe en torno a dos principios: consentimiento y transparencia. Es decir, se traduce en informar a nuestros clientes sobre qué se va a hacer con sus datos y tener actualizado la cesión de los mismos. Más en concreto, las compañías deben ser capaces, entre otras cosas, de:
1. Notificar incidentes que afecten a su seguridad a las autoridades en un plazo inferior a 72 horas.
2. Cifrar información relativas a información sensible, como datos biométricos.
3. Informar a los usuarios sobre el propósito de la recogida de sus datos, su almacenamiento y el tiempo de mantenimiento de los mismos
Asimismo, en caso de que las empresas manejen gran cantidad de datos, la regulación establece que estas cuenten también con un Oficial de Protección de Datos (DPO, por sus siglas en inglés). Este reportará directamente a la dirección de la compañía y operará con independencia. El DPO deberá estar involucrado en las estrategias de diseño de los sistemas de protección de datos, así como participar en las juntas de seguimiento o tomar parte en la capacitación y entrenamiento de su personal.
Sanciones por incumplimiento: escarnio público y multas millonarias
GDPR establece multas de hasta 20 millones de euros (440 millones de pesos) o el 4% de los ingresos anuales globales (el monto mayor) en el caso de los delitos más graves, el incumplimiento de sus obligaciones básicas, como son: procesamiento, consentimiento, transferencias de datos o violaciones de los derechos de los titulares de los mismos. Si las infracciones están relacionadas con los controles, procesos, certificaciones o el monitoreo de datos, el monto será de 10 millones de euros (220 millones de pesos) o el 2% de los ingresos anuales a nivel global.
Los legisladores de la UE también previeron que las empresas deban indemnizar a las personas físicas afectadas por daños y perjuicios causados al ser vulnerados sus datos y, en consecuencia, sus derechos. Por otro lado, las incumplimientos y sanciones serán públicos, lo que repercutirá también en la reputación e imagen de la marca.
Recomendaciones para evitar castigos
Como primer paso, es recomendable que las empresas vuelvan a evaluar sus procesos de su seguridad. Para ello es recomendable tener en cuenta los siguientes pasos:
1. Auditar y analizar los riesgos para el negocio con el objetivo de conocer la situación actual de la compañía y definir siguientes pasos para cumplir con los requerimientos exigidos por GDPR.
2. Crear o implementar la plataforma automatizada de generación de alertas, cuyo enfoque sea la detección de brechas de seguridad y que se encuentre activa 24/7.
3. Contar con herramientas tecnológicas adecuadas al tipo de negocio y que sean capaces de detectar, activar mecanismos de defensa y frenar los posibles ataques, como la Inteligencia Artificial (IA). No obstante, en una reciente investigación de la Firma, el 43% de los líderes de negocio señaló que la IA también podría generar nuevas amenazas en materia de privacidad, mientras que un mismo porcentaje de los encuestados del sector tecnológico declaró que podría generar nuevos ciberataques.
Capacitar y entrenar a los trabajadores para construir una cultura de seguridad dentro de la organización, que permita reconocer y contrarrestar las amenazas.