Estamos a sólo dos meses del cambio más completo en la política europea de protección de datos que se ha producido en décadas. Cuando el Reglamento General de Protección de Datos (RGPD o GDPR, por General Data Protection Regulation) de la UE entre en vigor el próximo mayo, reemplazará a la actual Directiva de Protección de Datos y cada conjunto de leyes nacionales promulgadas, elevando los estándares regulatorios para la protección de datos en toda la región.

Las empresas se han convertido en los guardianes de los datos de los clientes, y GDPR envía un mensaje claro de que también es su obligación usar esta información en el mejor interés para ellos. Las compañías que no cumplan con el RGPD se enfrentarán a severas sanciones, hasta un 4% de su facturación global en algunos casos, y todo apunta a un serio castigo una vez la regulación esté vigente.

El desafío es que adherirse a RGPD requerirá que algunas compañías realicen mejoras significativas en la forma en que gestionan y ponen a buen recaudo los datos personales, implementando medidas que tradicionalmente no han sido necesarias.

Las empresas entienden la urgencia de esta situación, pero el 91% de las compañías en Alemania, Francia y Reino Unido tiene dudas sobre su capacidad para cumplir con el RGPD y más del 70% no están preparadas para el cambio. Peor aún, Gartner prevé que el 50% de las compañías  afectadas por el RGPD no cumplirán plenamente siete meses después de que la ley entre en vigor, a finales de 2018.

Rompiendo el GDPR
Ahora que el reglamento está cerca de entrar en vigor, vale la pena examinar lo que implicará para las empresas cumplir en plazo. Para comenzar, necesitamos entender los controles de seguridad que RGPD está solicitando. La regulación, por supuesto, está abierta a la interpretación, pero sus requisitos se pueden dividir en tres categorías: evaluación, prevención y detección.

Los controles relacionados con la evaluación son bastante simples. El objetivo aquí es que las empresas realicen una auditoría de sus datos y entiendan dónde se almacenan, así como también cómo fluyen dentro de su organización. Es crucial que las empresas sepan cuál es su posición para poder establecer dónde se encuentran los riesgos dentro de sus actuales modelos de negocio, y abordarlos directamente.

La protección de datos se encuentra en el corazón de RGPD. La Comisión Europea considera que las organizaciones son los guardianes de los datos de los clientes y, como tales, son responsables de diseñar y configurar los procesos que protegen esta información contra robos o mal uso. Esto incluye el cifrado de los datos del cliente para reducir la posibilidad de robo, y hacerlo indescifrable en caso de que alguna vez se vea comprometido. En este punto, vale la pena reseñar que una vez que las empresas son capaces de enmascarar o anonimizar efectivamente sus datos en un entorno particular, por ejemplo si usan la información del cliente para desarrollar un nuevo servicio, este entorno puede quedar fuera del alcance del RGPD, puesto que ya no se ve que contenga información sensible.

Los controles basados en la detección del RGPD están destinados a hacer que las empresas estén más vigilantes en el interés de apoyar a su responsable o delegado de Protección de Datos (DPO). Todas las empresas necesitarán designar un DPO. También se espera que cuenten con sistemas que les permitan detectar rápidamente actividades no autorizadas, recopilar pruebas en caso de incumplimiento y enviar informes oportunos al DPO. Esto promoverá un enfoque más proactivo para la seguridad de los datos y obligará a las organizaciones a mantener un registro de su desempeño.

Sin tiempo que perder
Aquellas compañías que aún no han tomado medidas para cumplir con las disposiciones del RGPD librarán una batalla cuesta arriba. La regulación de 150 páginas afectará virtualmente a todas las organizaciones globales, además de las que operan exclusivamente en la UE, y exigirá un gran avance en la forma en que administran los datos.

No son sólo los datos de los clientes los que necesitan protección. Es igualmente importante que las empresas se aseguren de que sus sistemas de TI y bases de datos puedan soportar los ataques y que su personal administre la información confidencial de una manera más responsable. El cambio al GDPR trata tanto de mejorar personas y procesos como de salvaguardar la información. Las empresas tienen a su disposición recursos para guiarse en esta transición. Los proveedores de TI, incluyendo a Oracle, han tomado la iniciativa para ayudarlas a adaptar sus arquitecturas de seguridad a las demandas del RGPD.

En un nivel más práctico, la firma de abogados global DLA Piper ha creado una aplicación móvil que permite a los usuarios acceder al texto completo del RGPD bajo demanda. La aplicación también vincula los artículos de la nueva regulación con sus artículos correspondientes en la Directiva de Protección de Datos de la UE, lo que hace que sea más fácil para las marcas ver exactamente lo que necesitan cambiar en sus modelos actuales.

Tanto si eligen usar estos recursos o hacerlo solos, la cuenta atrás para el RGPD está en su tramo final y las empresas no pueden permitirse el lujo de perder más tiempo. El tumultuoso tiempo en que vivimos puede haber retraído temporalmente el foco global en la privacidad de los datos, pero los gobiernos y consumidores no son menos inflexibles sobre la necesidad del cambio, y las empresas deben prepararse para cumplir con estas expectativas.

Mauricio Gumiel, (en Twitter, @gumiel_mauricio) es director del Área de Negocio de Seguridad, Oracle Ibérica (@oracle_es)

 

Más información
⇒ Leer el artículo Incumplir el RGPD puede implicar una sanción monetaria y consecuencias de carácter penal