GDPR – ¿Carga o beneficio?
Recientemente, organizamos una mesa redonda sobre el RGPD para más de 20 CISO, directores senior de cumplimiento y riesgos de organizaciones empresariales. La conversación abarcó desde la preparación hasta el nuevo proyecto de ley de protección de datos, pasando por conocimientos sobre varios artículos diferentes dentro de GDPR y las herramientas que necesitan las empresas. A continuación se muestran cinco conclusiones clave de la fascinante discusión.
- Desafíos clave de GDPR
Cuando se les preguntó cuál es su mayor desafío en relación con GDPR, varios participantes hablaron sobre sus preocupaciones en torno al telemarketing, ya que a menudo no piden permiso al contactar a los clientes. Otras preocupaciones incluyeron comprender el borrado de datos, así como el mapeo de datos con sistemas heredados y archivos impresos. Dijeron que manejar registros históricos y aplicaciones heredadas puede ser un desafío. Los participantes dijeron que tampoco estaban seguros de cómo implementar el RGPD a nivel local y seguir esto con las empresas matrices en el extranjero. También se preguntaron cómo garantizar que las empresas asociadas se adhieran a la legislación. Cómo interpretar y comprender el riesgo fue otra preocupación como el desafío de establecer la base legal para el procesamiento de datos personales.
Muchas organizaciones no saben por qué han estado acumulando datos personales durante muchos años, creando ‘lagos de datos’ que ahora son una violación del Artículo 5. Las organizaciones están preocupadas por borrar datos personales porque es más complicado de lo que pensaban, dijeron. y muchos no están seguros de cómo asegurarse de que se destruya adecuadamente.
- ¿Por qué necesitamos GDPR?
GDPR representa un avance importante en la ley de protección de datos de la UE, ya que los derechos de los interesados se fortalecen en todos los ámbitos, con un endurecimiento natural de las obligaciones para los datos personales. Hablamos sobre cómo GDPR establece un marco alrededor del mercado digital único más grande del mundo, que se ha desarrollado enormemente desde la Ley de Protección de Datos original de 1998. A medida que adoptamos lo digital, los consumidores tienen libertad sobre qué productos y servicios usan, pero esa libertad dificulta que las organizaciones hagan negocios en un mercado digital. Los avances en la tecnología han permitido muchos cambios, por lo que la Comisión Europea, el Parlamento Europeo y el Consejo de Ministros han aprobado cuatro años para que la Comisión Europea, el Parlamento Europeo y el Consejo de Ministros acuerden el RGPD.
GDPR se centra en el procesamiento de datos personales y proporciona una mayor responsabilidad, transparencia y control. Según el artículo 13, se entrega un aviso de privacidad de datos directamente al interesado y, de acuerdo con el artículo 14, el responsable del tratamiento debe proporcionar al interesado un aviso de privacidad de datos. El aviso de privacidad de datos es la piedra angular de la transparencia y la responsabilidad en el GDPR y si una organización va a procesar los datos de alguien, debe prestar especial atención a esto.
- El viaje de transición al RGPD
El grupo debatió cómo las organizaciones abordan el RGPD. Un viaje de transición típico de GDPR comienza con una evaluación del panorama organizacional existente. La evaluación implica identificar el cumplimiento y las áreas de muy alto riesgo del procesamiento de datos personales. Luego, las organizaciones deben definir un estado futuro y trabajar para diseñar las personas, los procesos y los componentes tecnológicos que mitigarán el riesgo. La tecnología se puede utilizar para reducir de manera efectiva el riesgo en el procesamiento de datos personales y permitir que las organizaciones administren y mejoren continuamente la mitigación de riesgos y la protección de datos por diseño y por defecto (Artículo 25, GDPR).
- GDPR en una caja
El cumplimiento total del artículo 25, que trata sobre la protección de datos por diseño y por defecto, significará que una organización cumple casi al 100%. Un participante habló de que el artículo 25 era «GDPR en una caja».
GDPR es una regulación basada en principios; no explica en detalle qué deben hacer las organizaciones para reducir el riesgo alto al riesgo residual. Si una organización tiene una violación de datos personales, debe proporcionar una narrativa que muestre que la ICO y los reguladores han tomado medidas para mitigar el riesgo a través de las medidas técnicas y organizativas adecuadas. Esto llevó la conversación al rol del Oficial de Protección de Datos (DPO) y cómo este rol puede ayudar al asegurarse de que la organización esté en el camino correcto. Además, si hay una violación de datos personales, la autoridad supervisora puede señalar el hecho de que la organización no tenía un DPO como un factor agravante.
- ¿Carga o beneficio?
Entonces, ¿es GDPR una carga o hay beneficios? ¿Podrán las organizaciones hacer más con los datos personales creando un sentido de confianza personal con sus clientes? ¿O están implementando GDPR para asegurarse de que no sean multados o sancionados? El consenso fue que, en este momento, la mayor preocupación es no ser multado, y un participante comentó: “GDPR es tan vasto y tan confuso que existe el temor de tropezar, por lo que estamos enfocados en tener lo básico en su lugar para que no nos multen. Esta es la primera base y pensaremos en el siguiente nivel después de eso «.
Concluimos la mesa redonda preguntando quiénes sentían que estaban preparados para el RGPD. Un participante estaba seguro de que su organización estaba preparada en un 90%. Otro afirmó haber comenzado su viaje GDPR recién ayer. Al pensar en lo que implementarían de inmediato, los participantes hablaron sobre incorporar GDPR en todo su ciclo de vida de administración de productos, alineando la tecnología con diferentes artículos y eliminando los «lagos de datos» al considerar seriamente la retención de datos y su eliminación.