2018-08-01T15:42:50+01:0009/04/2018|Etiquetas: , , |

GDPR

By Chris Mermigas, Senior Corporate Counsel, USA Region

El Reglamento General de Protección de Datos («GDPR») se aplicará pronto. Sin embargo, ¿cuántos empleados o miembros ejecutivos de su organización saben qué es el GDPR y por qué tienen que tenerlo en cuenta? ¿Es un asunto de TI? ¿Es un asunto del departamento legal? ¿Es un asunto del departamento de ventas? ¿A quién corresponde ocuparse del GDPR? Con la fecha de entrada en vigencia ya muy próxima, 25 de mayo, ahora es el momento de que las organizaciones se aseguren de contar con la información correcta para cumplir el GDPR.

¿A quién se aplica?
El GDPR es un reglamento de la legislación de la Unión Europea que establece derechos y protecciones para los Datos Personales de los ciudadanos de la UE. El GDPR se aplica a todos los que manejan o poseen datos personales de los ciudadanos de la UE o supervisan su comportamiento.

¿Qué está cubierto?
Se considera como Datos personales cualquier información relacionada con una persona natural de la UE que puede utilizarse para identificar a esa persona, directa o indirectamente. Esto incluye de una manera enunciativa pero no limitativa lo siguiente: nombres, números de cuenta, fotografías, dirección de correo electrónico y direcciones IP («Datos Personales»). No importa si estos datos fueron generados por el mismo usuario que introdujo sus datos personales o por terceros que proporcionan esos datos personales.

¿Cuándo se aplica?
Aunque el GDPR existe desde 2016, finalmente será obligatorio a partir del 25 de mayo de 2018.

¿Dónde se aplica?
El GDPR tiene alcance mundial y se aplica a los datos personales de los ciudadanos de la UE, originados en la UE, independientemente del lugar físico de la compañía o del lugar dónde se encuentren esos Datos Personales.

¿Cómo lograr cumplir el GDPR?
Las obligaciones para cumplir el GDPR dependen de la característica de la organización, es decir, si se trata de Controlador de Datos o Procesador de Datos.
• Un «Controlador de Datos» es una entidad que determina los propósitos y los medios del procesamiento de los Datos Personales.
• Un «Procesador de Datos» es una entidad de procesamiento de Datos Personales que actúa bajo encargo de un Controlador de Datos.
En términos generales, los Controladores de Datos y los Procesadores de datos son necesarios para proteger los Datos Personales. Esto significa garantizar que todos los Datos Personales sean: (1) cifrados tanto en reposo como en movimiento, (2) recolectados solo en la cantidad mínima de Datos Personales requeridos para las operaciones necesarias y (3) manejados observando una estructura de «privacidad por diseño». La privacidad por diseño promueve la privacidad y la seguridad de los datos desde el principio hasta el final del proceso de diseño de la base de datos y de redes. Además, los Controladores de Datos son necesarios para verificar que sus Procesadores de Datos sean compatibles con el GDPR.

¿Por qué eso es importante para nosotros?
Las empresas que violen el GDPR pueden enfrentar una multa máxima de hasta 20 millones de euros, o 4% de sus ingresos brutos anuales, lo que sea más alto.

Para tener éxito y lograr el cumplimiento del GDPR se necesita congregar el esfuerzo de toda la organización, con la cooperación del Departamento Legal, de Marketing, Ventas, Recursos Humanos, TI y de Finanzas, buscando diseñar e implementar un plan de manejo de Datos.

Una vez que la atención del líder de la organización se dirija a ese fin, cada organización debe entonces examinar cómo identificar, clasificar y gestionar los Datos Personales. En un mundo perfecto, los Datos Personales serán separados con base en la ciudadanía de las personas identificadas en los datos y en la ubicación desde donde se recolectan los datos.

Los Datos Personales se encuentran en diferentes sistemas dentro de su organización y se comparten con partes externas. Esto incluye sistemas que anteriormente no tenían previsto el cumplimiento del GDPR para Datos Personales, como por ejemplo los sistemas de Recursos Humanos y las unidades de red compartidas dentro de la organización. La identificación de la distribución de los datos dentro de su organización puede parecer una tarea abrumadora, pero si no se sabe con seguridad dónde están localizados todos los datos que deben cumplir el GDPR, entonces es necesario tratar todos los Datos Personales y los sistemas implementados como susceptibles al GDPR. Esto no significa que todos los datos de cada sistema deben cumplir el GDPR, sino solo aquellos sistemas que contengan o puedan contener Datos Personales de ciudadanos de la UE, originados en la UE, los cuales tendrán que cumplir el GDPR. Este enfoque considera el tiempo que una organización tardaría para identificar a los ciudadanos de la UE en cada sistema y un tiempo adicional para que la organización establezca flujos de datos y proteja los Datos Personales en todos los sistemas que deben cumplir el GDPR. Una vez que la organización haya identificado los sistemas de datos que deben cumplir el GDPR, debe a continuación desarrollar un plan de implementación y evaluación dinámica.

PASO 1: Designar a un Oficial de Protección de Datos / Concientizador

Un «Oficial de Protección de Datos (DPO)» es necesario para todos los Controladores de Datos y Procesadores de Datos en cualquier caso en el que:
• el procesamiento lo lleva a cabo una autoridad u organismo público, con excepción de los tribunales que actúan dentro de su capacidad judicial;
• las principales actividades consisten en operaciones de procesamiento que requieren un seguimiento regular y sistemático de los datos sujetos a gran escala; o
• las principales actividades consisten en el tratamiento de datos sensibles o Datos Personales.

El DPO debe tener «conocimientos y experiencia en las leyes y las prácticas de protección de datos», debe reportarse a los más altos niveles de gestión y no se le debe asignar ninguna otra tarea que pudiera conformar un conflicto de intereses. Las organizaciones podrán designar a uno o varios DPOs con el propósito que cada DPO sea fácilmente accesible.

Inicialmente, el DPO se asegurará de que los tomadores de decisión y los miembros claves de la organización sean conscientes que la ley está cambiando y que es necesario anticiparse adecuadamente a los riesgos potenciales y al impacto del GDPR. Enseguida, el DPO trabajará en conjunto con Recursos Humanos y Marketing en campañas de concientización dirigidas a toda la organización.

PASO 2: Análisis del Flujo de Datos

Todos los Controladores de Datos, Procesadores de Datos y/o Sub-Procesadores deben realizar una auditoría del flujo de datos, documentando y entendiendo de dónde provienen los datos, cómo fueron recolectados, dónde son almacenados, con quién se comparten y cómo se accede a ellos. Ese análisis del flujo de datos permitirá identificar todas las fuentes de datos, todos los tipos de relaciones de datos y qué tipo de seguridad se aplica a ellos, tanto en reposo como en movimiento.

La auditoría del flujo de datos también incluirá el ciclo de vida de los datos, desde su recopilación, protección, uso, transferencia, procesamiento y almacenamiento/archivo hasta su eliminación. Esto es necesario para que la cadena de evidencias sea compatible con los requisitos de retención de registros de la organización.

PASO 3: Análisis de Brechas / Análisis de Riesgos

Cuando todos los flujos de datos se hayan completado, el «análisis de brechas» entre el estado actual de la protección de datos y el cumplimiento de las obligaciones derivadas del GDPR también estará completado. El análisis de brechas determinará a través de sus hallazgos qué sistemas necesitan cumplir el GDPR, qué tipo de seguridad es necesaria en esos sistemas y cuáles serán priorizados en cuanto al cumplimiento del GDPR: con el propósito de organizar los recursos de la organización adecuadamente.

La priorización (sin ningún orden particular) de la implementación se debe determinar ponderando cada sistema que contenga Datos Personales sujetos al GDPR, teniendo en cuenta:
1. el riesgo en las operaciones,
2. el costo de implementación,
3. la línea de tiempo de implementación,
4. el riesgo regulatorio y legal,
5. el contacto potencial con los Datos Personales de los ciudadanos de la UE, originados en la UE, y
6. los derechos del individuo cuyos Datos Personales se encuentran en el sistema.

PASO 4: Elaborar un Plan de Implementación y conformar un Grupo de Implementación

Si se determina, a partir de los resultados de los pasos 1 a 3 anteriores, que la organización debe implementar medidas de seguridad para cumplir el GDPR, entonces el DPO deberá utilizar la información recopilada en los Pasos 1-3 para crear un plan de implementación y un grupo enfocado al cumplimiento del GDPR en su organización.

Un exitoso plan de implementación debe alcanzar todos los objetivos siguientes:
1. fortalecer los derechos individuales para los Datos Personales,
2. fortalecer los requisitos de TI y de seguridad física,
3. fortalecer requisitos de gobernanza y
4. fortalecer los requisitos contractuales con clientes, consultores y proveedores.

PASO 5: Implementación del GDPR

Junto con la organización del grupo de cumplimiento y la implementación del plan de implementación para cumplir el GDPR, la organización deberá implementar:
1. Un Sistema de Gestión de Protección de Datos, que incluirá:
a. una estructura de protección de datos,
b. conceptos, políticas y procedimientos operativos estándar,
c. capacitación aplicable a los empleados acerca de las obligaciones y responsabilidades derivadas del GDPR que se deben observar, y
d. documentación para demostrar la conformidad con los requisitos del GDPR.
2. Un Sistema/Estrategia de Gestión de Contratos
3. Un Sistema/Estrategia de gestión de proveedores

PASO 6: Evaluación del Impacto de la Protección de Datos

Posteriormente y sobre una base continua, el DPO, solo o en coordinación con un consultor externo, deberá realizar evaluaciones del Impacto de la Protección de Datos («DPIA») con el propósito de evaluar la seguridad, las salvaguardias y los mecanismos de gobernanza. Los DPIAs tienen el objetivo de mitigar los riesgos relacionados con el GDPR y a la vez garantizar protección a los Datos Personales y demostrar el cumplimiento del GDPR.

Tras completar el DPIAs, el DPO reportará las posibles hallazgos y riesgos encontrados. El DPO utilizará los hallazgos encontrados para preparar una evaluación que se presentará a la alta gerencia.

Después de la evaluación, el DPO podrá dar apoyo a la unidad de negocio en la que se implementará la propuesta de medidas de protección y remediación.

PASO 7: Mantener ese Cumplimiento

El DPO deberá seguir gestionando el cumplimiento de la siguiente manera:
1. crear y actualizar políticas en la medida que el GDPR evoluciona,
2. mantener los controles para implementar esas políticas,
3. efectuar auditoría y monitoreo para asegurar que los controles funcionen efectivamente a lo largo del tiempo, y
4. proporcionar gobernanza para documentar y comunicar los resultados de la auditoría.

No se debe subestimar el GDPR, pero tampoco se trata de algo que hay que temer. Es una oportunidad para que las empresas con información sólida, seguridad y gobernanza puedan sobresalir y, en otros casos, para que puedan mejorar. Este es el momento de romper las barreras dentro de la organización y de crear alianzas con clientes y proveedores. El cumplimiento del GDPR requiere un esfuerzo conjunto: desde el proveedor más pequeño hasta el cliente más grande. Todos los Datos Personales sujetos al GDPR deben estar protegidos. El objetivo es crear y mantener un escudo de seguridad, y alcanzar el cumplimiento del GDPR.