Privacy Compliance

@beacandano

GDPR in KRiOExisten importantes divergencias a lo largo de todo el mundo cuando se trata de regulaciones de ciberseguridad. Esto supone un enorme problema para muchas organizaciones de dimensión internacional, que están tratando de compatibilizar sus procedimientos con muchos de estos nuevos controles y regulaciones. La mayor parte, no sólo introducen estrictas medidas de seguridad, sino que también suponen importantes sanciones financieras en caso de incumplimiento. Un ejemplo claro de esto último es el nuevo Reglamento de Protección de Datos de la UE (GDPR), que sustituye lo que antes era la Directiva Europea de Protección de Datos de 1995.

La idea de la UE al crear el GDPR fue construir una base consistente para todos los Estados de la Unión Europea. Por ello, el reglamento nació para garantizar que cualquier nación, estado, organización o empresa que tratase información de identificación personal de los ciudadanos europeos, estuviera obligada a cumplir una serie de medidas comunes, adaptadas al volumen, distribución y criticidad de los datos personales que maneja.

Esto último implica que las empresas y organizaciones tendrán que realizar tareas a las que muchas aún no están acostumbradas, y que consisten en realizar Evaluaciones de Impacto a la Protección de Datos (EIPD). Estas evaluaciones les permitirán conocer la proporcionalidad de medidas de seguridad a aplicar para proteger los datos personales que gestionan, incorporando para ello de forma necesaria, controles y sistemas que regulen el “privacy by desing” (privacidad en el diseño) de aplicaciones y procesos.

Otra de las medidas que más llaman la atención, es que las entidades estarán están obligadas a notificar a la autoridad nacional del país en el que operan, dentro de las 72 horas siguientes a la detección, cualquier violación en el acceso o divulgación de información personal de su responsabilidad. Se trata de una nueva forma de asumir la rendición de cuentas cuando se trata de lidiar con los datos de los ciudadanos europeos.

Como resultado de esta nueva responsabilidad corporativa de rendición de cuentas, las empresas que recogen y almacenan cantidades importantes de información personal tienen a día de hoy aún más responsabilidades que antes. Esto se traducirá además en que, en caso de que no se cumpla la normativa y las entidades de control comprueben que las medidas de seguridad aplicables no estaban implantadas, podrán ser aplicadas sanciones y multas muy significativas, de hasta 20 millones de € o el 4% de la facturación anual de una compañía.

Dentro del ámbito de la privacidad, también hemos asistido en los últimos meses a los tiras y aflojas de la UE y Estados Unidos en lo relativo al acuerdo Privacy Shield, sucesor del antiguo Safe Harbor y destinado a que las empresas norteamericanas que traten datos personales de ciudadanos europeos puedan continuar con la prestación de sus servicios, cumpliendo una serie de medidas que, a día de hoy, no están del todo claras.

Todo ello hace que las empresas europeas estén, a día de hoy, mucho más cerca de la fecha límite – 25 de Mayo de 2018 – para cumplir al 100% con los preceptos del GDPR, y las americanas, a verlas venir a la hora de transponer los requisitos del Privacy Shield a la contrapuesta forma de entender la privacidad en EEUU.

Y, mientras tanto, las compañías que operan en todos ellos, a vueltas con el Privacy Compliance. Habrá que empezar a ponerse las pilas.

Posted in: