GDPR – un año después…

Por Duncan Brown, Jefe Estratega de Seguridad en Forcepoint EMEA

 

Hace un año, el 25 de mayo, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés General Data Protection Regulation) se convirtió en ley. Sin embargo, no es un asunto que se haya quedado en el pasado: el desafío que plantean la privacidad y el cumplimiento nunca termina. Esta fecha representa una excelente oportunidad para hacer un balance de lo que se ha logrado hasta ahora y reflexionar sobre lo que puede deparar el futuro.

 

Para conmemorar este acontecimiento, me reuní con el Director de Investigación en Seguridad Europea de IDC, Martin Whitworth con el propósito de recapitular las lecciones que hemos aprendido en los últimos doce meses.

 

Nuestra charla giró en torno a dos estrategias muy distintas en las que deben enfocarse las organizaciones globales. Una de ellas es invertir una generosamente en un modelo pragmático, establecer planes claros e involucrar a equipos interdisciplinarios. Estas organizaciones reconocieron que el GDPR es un asunto de privacidad, y han tratado a la protección de datos robusta como a una actividad que ofrece una ventaja competitiva: “Muchas compañías se han esforzado para cumplir con el reglamento -aseguró Martin-, y las empresas medianas y grandes han estado invirtiendo en promedio $3 millones de dólares en sus programas.”

 

La segunda estrategia fue gastar mucho menos y ver al GDPR sencillamente como un asunto de cumplimiento. “En muchos casos, las organizaciones simplemente cubrieron los huecos,” añadió Martin.

 

Los profesionales de la seguridad pueden respirar una vez que se han asentado las aguas alrededor del GDPR, pero no debemos olvidar los principios que sustentan a esta regulación. De acuerdo con Martin, “hubo muchos detractores que percibieron a la regulación como excesivamente costosa, pero olvidan que el GDPR se trata de datos personales, de los ciudadanos y de ejercer sus derechos.” Le preocupa que muchas organizaciones sólo hayan seguido los procedimientos ya que pronto comenzaran a lamentarse.

 

“Ahora estamos viendo que el cumplimiento se realiza de forma manual, donde la gente establece algunos procesos y quizás muy pocas políticas nuevas; en resumen, hemos hecho lo suficiente para satisfacer el trabajo de auditoría interna. Sin embargo, este método de aplicar parches no se ha probado aún.” Hasta el momento hemos visto que las autoridades reguladoras han impuesto algunas penalizaciones, por ejemplo, la CNIL (la autoridad local de protección de datos) de Francia ordenó a Google pagar una multa de €50 millones. Sin embargo, solamente hubo 150 multas, “de interés periodístico”, de una proyección de cerca de 90,000 reportes de incumplimiento en Europa.

 

Con el propósito de ayudar a la gente a revisar y desarrollar sus programas, Martin puso sobre la mesa cinco  lecciones aprendidas a partir de las implementaciones del GDPR hasta la fecha:

 

1.    Estar atentos a los reguladores – Aún se desconoce en detalle cómo se aplica este reglamento. Los reguladores han dado a conocer algunas directrices pero falta determinar hasta qué punto pueden ejercer sus poderes. Recuerde:  no sólo se trata de multas, la aplicación puede contar con muchos enfoques.

 

2.    La privacidad tiene que ser la norma – Los Flujos de Trabajo de la Solicitud de Acceso al Sujeto (SAR, por sus siglas en inglés Subject Access Request) demandan la automatización. Si usted no puede proporcionar toda la información para una solicitud de este tipo, entonces no puede ejercer otros derechos como el “derecho al olvido” o a la rectificación.

 

3.    Los grandes volúmenes de datos (Big Data) son un GRAN desafío – Muchas organizaciones se excedieron en el cumplimiento y eliminaron demasiados datos a costa del negocio.

 

4.    La Protección de Datos regresó a la agenda – La protección de los datos sigue en aumento por muchas razones, pero principalmente por cuestiones de privacidad. Se están creando nuevas leyes en los países no europeos como Estados Unidos, Canadá, Brasil, Australia y China, lo que puede tener un efecto dominó en la gestión de datos a nivel internacional.

 

5.    No sólo se trata de cumplir – El GDPR va más allá de sólo cumplir; se trata de respetar la privacidad del individuo.

 

Existe una amenaza para aquellas organizaciones que no logren entender la importancia del GDPR. Ya transcurrió un año pero sigue vigente, es parte de hacer negocios y es un proceso continuo. Quienes invirtieron y adoptaron un enfoque pragmático estarán listos para afrontar el futuro. Por otra parte, quienes lo tomaron como mero trámite, pronto podrían descubrir que se encuentran expuestos.

 

Escuche el webcast completo o descargue una copia del Resumen Ejecutivo de IDC, “A un año del GDPR: 5 Lecciones Aprendidas”.