Por: Carlos Cordero.   17 julio
Para cerciorarse de que se cumple el GDPR hay realizar una evaluación del grado de protección que su empresa y sus proveedores tecnológicos brindan a la información que gestionan.
Para cerciorarse de que se cumple el GDPR hay realizar una evaluación del grado de protección que su empresa y sus proveedores tecnológicos brindan a la información que gestionan.

¿Tiene una empresa de exportación con mercados en la Unión Europea, de turismo que atrae clientes desde esa región o está en el sector financiero?

Debe cerciorarse que su compañía cumple con el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), el cual está vigente desde el pasado 25 de mayo.

No hacerlo puede implicar multas que van del 4% de sus ingresos anuales a los 20 millones de euros, entendiendo que la autoridad europea le cobrará la suma que sea superior.

Para asegurarse de que se cumple el GDPR hay realizar una evaluación del grado de protección que su empresa y sus proveedores tecnológicos brindan a la información que gestionan.

También puede recurrir a herramientas que le aseguren la protección de los datos en los términos exigidos por el GDPR.

“Para evitar estas multas realmente debe existir una estrategia a lo interno para la protección de datos y el cumplimiento”, advirtió Esteban Azofeifa, consultor regional de sistemas de seguridad de GBM.

El nuevo reglamento europeo de protección de datos establece que los usuarios tienen derecho sobre su información. También tienen derecho a saber qué se guarda de ellos y a pedir la eliminación, modificación y actualización de sus datos personales.

“El GDPR amplía los derechos de los usuarios”, recalcó Ximena Tapia, especialista en seguridad para América Latina de Microsoft.

En la región solamente Argentina y Uruguay tienen mayor nivel de preparación para cumplir el reglamento, de acuerdo con un estudio de la Comisión Europea. Colombia, México y Brasil estarían dando avances hacia el cumplimiento de las normas.

El GDPR exige cambios en la forma cómo las empresas están recopilando, almacenando y utilizando los datos personales, cómo aplican los nuevos requisitos de transparencia, cómo detectan y comunican las filtraciones de información y cómo capacitan a su personal.

Además, exige tener claridad sobre cómo la protección de los datos se extiende a dispositivos personales, servidores, servicios en la nube e incluso Internet de las cosas.

La responsabilidad de las empresas en la seguridad de los datos aumenta considerablemente con estas normas.
La responsabilidad de las empresas en la seguridad de los datos aumenta considerablemente con estas normas.
Herramientas

La responsabilidad de las empresas en la seguridad de los datos aumenta considerablemente con estas normas, por lo que lo es urgente utilizar herramientas que realicen diagnósticos y análisis, hagan recomendaciones y activen los distintos niveles de protección.

Lo primero que debe hacer es acercarse a sus proveedores de tecnología y de telecomunicaciones para revisar los servicios contratados, identificar brechas, evaluar cómo resolverlas y ver cómo activar esas herramientas.

En el caso de los servicios de Microsoft, basados en la plataforma Azure y del Office 360, Tapia explicó que se tienen distintos niveles de profundidad en la protección de la información y que hay herramientas que ya están activadas en cada tipo de licenciamiento.

Las herramientas permiten identificar la información que se almacena y dónde; cómo se usan los datos y quién tiene acceso; proteger los datos; y reportar incidentes.

Una de las tareas que exige la normativa es que si hay una vulnerabilidad de la información, la empresa debe comunicarlo, incluso a los afectados, para que adopten las medidas pertinentes.

“Es importante conservar la documentación necesaria para responder a la solicitudes de información que hagan las autoridades de la Unión Europea”, advirtió Tapia.

GBM también cuenta con herramientas para acelerar la protección de la información y el cumplimiento de la GDPR, tales como aceleradores para detectar dónde se encuentran los datos, clasificarlos, y realizar el monitoreo y el registro de la auditoría.

Se puede descubrir las vulnerabilidades en servidores, bases de datos y aplicaciones de negocios.

Otra función clave de estas herramientas es gestionar roles e identidades para alinearlos a los requerimientos y crear controles según las funciones de los colaboradores para evitar contaminaciones en los derechos de acceso.

Utilizando analítica y tecnologías de aprendizaje de máquina se puede identificar actividades sospechosas.

Las empresas deben realizar y documentar evaluaciones, definición de roles, planes, medidas de reducción de riesgos, políticas y procedimientos, controles de privacidad y seguridad, prácticas de gobierno de datos y de cumplimiento de la GDPR.

Lo recomendable es ir paso a paso para cumplir las acciones de forma eficiente y efectiva.

“Deben organizarse a lo interno, desde las perspectivas organizacional, técnica y legal para abordar estos requerimientos regulatorios”, dijo Azofeifa.

Preguntas básicas
¿Qué es el GDPR? Es un reglamento que establece normas de la Comisión Europea para la protección de la privacidad y la seguridad de los datos personales.
¿Cuál es el objetivo del reglamento? Devolverles el poder a los ciudadanos sobre cómo terceros procesan y usan sus datos.
¿Cómo beneficia a las personas? Las empresas necesitan de la autorización de los ciudadanos para recolectar sus datos y solo deben solicitar los datos que sean necesarios para sus servicios.
¿Cómo afecta a empresas fuera de Europa? Sus efectos no tienen fronteras. Obliga a todas las empresas a realizar cambios en sus sitios web, especialmente sireciben visitantes y tienen clientes del Viejo Continente, así como a reformular sus políticas de privacidad.
¿Cuál es la recomendación para las empresas? Revise que si su sitio web tiene visitantes de la Unión Europea y que elabore un plan para cumplir el GDPR.
Fuente: Archivo EF