Pocos temas comerciales de TI desde los días del Y2K han generado tanta preocupación o confusión como GDPR. El Reglamento General de Privacidad de Datos entrará en vigencia el 25 de mayo de 2018. Las empresas, los gobiernos y los reguladores han tenido dos años para prepararse para que GDPR se convierta en una regulación exigible, pero aún existe una genuina confusión sobre si las compañías realmente están listas.

¿Cómo sabes si estás listo? ¿Cómo sabes si necesitas estar listo? Estas son preguntas que podrían tener implicaciones financieras muy serias para las empresas tanto grandes como pequeñas, sin importar dónde se encuentre la empresa.

Si tu empresa se ocupa de Datos personales de un ciudadano de la UE, entonces tu empresa cumple con los requisitos de GDPR. La regulación establece algunas distinciones basadas en el rol de la compañía en el manejo de datos y la cantidad de datos manejados, pero es importante notar que no hay exención para organizaciones pequeñas: si su compañía (u otra organización) recolecta o procesa datos de ciudadanos de la UE ubicados en la UE, entonces GDPR se aplica a usted.

GDPR hace una distinción entre quienes reúnen información personal ("controladores" en el lenguaje de la reglamentación) y aquellos que procesan la información ("procesadores" en la regulación). No es que ninguno obtenga un pase libre de la regulación, pero cuestiones como el permiso para recopilar información y la portabilidad de datos se manejan de manera diferente para los dos tipos de organizaciones.

Nueva preparación oficial

Uno de los puntos en los que el tamaño hace una diferencia es en el nombramiento de un oficial de protección de datos (DPO). Las organizaciones más grandes, u organizaciones de cualquier tamaño que recopilan o procesan grandes cantidades de datos personales, deben designar a un oficial de Protección de datos responsable del cumplimiento de la GDPR.

La oficina de DPO será una inversión importante para las organizaciones porque la persona en la oficina debe ser competente en la gestión de procesos de TI, seguridad de datos (desde prevención hasta respuesta y remediación) y problemas críticos de continuidad empresarial en la recopilación, almacenamiento y procesamiento de datos personales #confidenciales .

En prácticamente todos los casos, esto significará establecer una oficina y un equipo en lugar de simplemente nombrar a un individuo a los fines de completar un #formulario.

La base de GDPR es la idea de que los individuos poseen sus datos. Esto significa que deben establecerse políticas y procesos para garantizar que quienes usan los sitios, productos y servicios de una compañía otorguen un permiso positivo (no simplemente la oportunidad de optar por no participar) para que sus datos sean recopilados y procesados. También significa que tienen el "derecho al olvido": si su empresa está reteniendo datos de un individuo, debe haber un mecanismo para que esa persona se contacte con usted en caso de que quiera que se borren los datos, y esa instrucción debe ser honrado

Preparación del proceso y de la respuesta

Es obvio que, para cumplir con GDPR, los datos deben estar protegidos.

Un mecanismo que la regulación acepta para protección es la "seudonimización" (es decir, la alteración de los datos para que, sin información adicional, no pueda asociarse con un individuo en particular). Tanto el cifrado como la tokenización son métodos aceptables de protección de datos dentro de GDPR

No es infrecuente no divulgar infracciones de datos de manera oportuna, como el incidente de Equifax . Conforme a GDPR, las empresas deben notificar a la autoridad supervisora ​​(la agencia gubernamental responsable del cumplimiento de la GDPR) dentro de las 72 horas de haberse enterado de una infracción. Si un incumplimiento podría dar lugar a ningún consecuencias adversas para los individuos involucrados, entonces deben ser notificados con prontitud.

¡No te pierdas nuestra pagina de Facebook!!