OpiniónSeguridad

¿Es tarde para llegar a GPDR?

El 25 de mayo de 2018, todas las empresas, independientemente de su país de origen, deben cumplir con las nuevas Regulaciones Generales de Protección de Datos (GDPR).

Por Nicolas Linsart, Consultor de Software AG

Este nuevo reglamento refuerza las obligaciones de las empresas en relación con el procesamiento de datos de los ciudadanos europeos. Las pymes, las nuevas empresas y los grandes grupos deben hacer los ajustes necesarios para proteger mejor los datos personales recopilados internamente, ya que el objetivo del GDPR es reducir los riesgos de explotar los datos comerciales en caso de piratas informáticos y fortalecer, así, los derechos individuales, además de construir un marco jurídico uniforme para todos los Estados miembros de la Unión Europea.

El GDPR se anunció como un desafío, porque para poder llevarlo a cabo, las empresas debían revisar internamente sus procesos de organización y procesamiento de datos. La mayoría de las compañías necesitaban contar con una auditoría de seguridad para poder integrar soluciones apropiadas que garantizaran la seguridad de los mismos. Los temores de las compañías no tardaron en llegar y la mayoría calificaron al GDPR de una verdadera ‘bomba de relojería’., ya que este cambio no se trata de un juego, cuando hablamos de que las regulaciones estipulan que aquellos que no cumplan con el plazo, serán condenados a pagar una multa de hasta 20 millones de euros o el 4% de su facturación global.

Los temores de las compañías no tardaron en llegar y la mayoría calificaron al GDPR de una verdadera ‘bomba de relojería’

En la actualidad, la mayoría de las compañías no están listas. En abril de 2017, solo el 2% de las que dijeron que estaban preparadas para el RGPD fueron realmente las que cumplieron con los requisitos de la legislación. Más tarde, en febrero de 2018, el 26% de las empresas europeas cumplieron totalmente con el nuevo reglamento. Las razones de este retraso son muchas: por un lado, una ley no necesariamente bien explicada desde el principio, que hizo que la mayoría de las empresas percibieran el RGPD como una regulación puramente legal, y, por lo tanto, se enfocarán principalmente en mantener un registro del procesamiento de datos, a lo que se agregó el coste de los proyectos de cumplimiento lo cual ha generado mayor lentitud.

Por lo que solo ahora, es cuando se están dando cuenta del alcance del trabajo que queda aún por hacer desde un punto de vista técnico y de organización interna.

Con todo esto, ahora está claro que gran parte de las compañías no van a estar preparadas para el 25 de mayo de 2018. Sin embargo, todavía no hay por lo que preocuparse ya que según comenta Isabelle Falque-Pierrotin presidenta de la Comisión Nacional de Información y Libertades (Cnil), se mostraría flexibilidad en el control, además de afirmar su voluntad de acompañar a las empresas en su transición durante varios meses. En caso de un control por parte de la autoridad responsable, las empresas deben demostrar que han iniciado las medidas necesarias para garantizar que los datos recopilados estén bien protegidos.

El principal objetivo de las empresas es ahora utilizar bien las pocas semanas que les separa de la fecha límite para ‘asentar las bases’ y prepararse para cumplir con los requisitos reglamentarios. Para lograr esto, lo primero es inculcar internamente una cultura de cumplimiento para garantizar que todos los empleados, independientemente de su actividad, hayan comprendido los problemas que conlleva este nuevo reglamento. Por lo tanto, en primera instancia se trata de diseñar el equipo que será responsable del proceso de cumplimiento. Este debe apuntar absolutamente a todos los comercios involucrados (TI, legal, comercial, marketing, etc.), y tener en la cabeza un perfil sensible a estas múltiples habilidades. El objetivo, además de crear un buen impulso para el cambio mediante la creación de este tipo de células de trabajo, responsable de iniciar la transición entre los diferentes departamentos, es también la organización de sesiones de formación y sensibilización internas. La adquisición de estas nuevas habilidades podría verificarse, por ejemplo, mediante un cuestionario rápido enviado a los empleados para garantizar su participación. Finalmente, las empresas incluso podrían otorgar bonus a los empleados que mejor cumplan con las regulaciones.

Con empleados concienciados de este cambio, los clientes y el público general tendrán más confianza en las empresas. Asimismo, las empresas no deberían dudar en comunicar su compromiso, revelando, de manera transparente, cómo se utilizan los datos y qué cuidado se toma para preservarlos y garantizar la confidencialidad. Adoptar este enfoque de transparencia les permitirá no solo establecer su sólida identidad de marca, sino también establecer un clima de confianza e iniciar nuevas experiencias con sus clientes.

El RGPD es una oportunidad para que las empresas no se conviertan en propietarias sino en vigilantes de datos personales. Por lo tanto, es fundamental comenzar con un cambio ético para transmitir el valor de los datos a los empleados y tranquilizar a los clientes. Y es, solo tras haber iniciado este cambio de cultura internamente, cuando las compañías podrán empezar los cambios puramente técnicos.

Computing 816