El próximo 25 de mayo de 2018 entrará en vigor en la Unión Europea la nueva ley GDPR (General Data Protection Regulation), la cual busca modernizar la aplicación de la seguridad de los datos en la UE.
Según explica Rebeca Servín, directora de asuntos legales, corporativos y de filantropía en Microsoft México, esta nueva ley impone obligaciones más robustas para todas las empresas públicas y privadas que ofrecen bienes y servicios a los ciudadanos de la Unión Europea, o bien, que recopilan y analizan datos vinculados a sus residentes, sin importar su ubicación geográfica.
De igual manera, su aplicación abarca a todas las empresas dentro y fuera de la UE que den tratamiento a datos de ciudadanos de esta región.
Por ello, antes de la fecha señalada, todas las organizaciones deberán realizar ajustes a sus sistemas, productos, políticas, etc., para dar el tratamiento adecuado a los datos de los ciudadanos europeos, aclara Servín.
En el caso particular de los datos biométricos, las organizaciones deberán contar con un sistema especial de cifrado, además de un sistema que no asocie dichos datos con la persona en cuestión.
Las empresas también deben informar sobre el tiempo, sitio, el propósito específico para poseer estos datos y si además estos saldrán de la Unión Europea.
Adicionalmente, las organizaciones que hayan sufrido algún tipo de incidente cibernético o de fuga de datos están obligadas a dar aviso de inmediato, con un plazo máximo de 72 horas, de lo contrario, se harán acreedoras a fuertes sanciones monetarias.
Principales cambios que traerá la GDPR
1. Privacidad personal
El nuevo esquema de privacidad que trae consigo esta ley busca proteger toda la información que se pueda asociar para identificar a una persona, la cual tiene todo el derecho a saber qué datos se están recopilando y el motivo.
2. Controles y notificaciones
Las organizaciones deben informar cuánto tiempo conservarán los datos y cómo los destruirán posteriormente.
Los ciudadanos, por su parte, tendrán todo el derecho a modificar sus datos personales y a saber quiénes tienen acceso a estos dentro de la compañía que los posee, así como conocer sus reglas y gobernanza.
3. Políticas transparentes
Los ciudadanos tienen el derecho ser informados sobre qué datos son recopilados a través de los buscadores de Internet y de qué manera serán tratados.
4. TI y entrenamiento
Las organizaciones deben considerar una plataforma robusta que sea capaz de cubrir todo este nuevo aspecto tecnológico. Además, tendrán que establecer políticas y realizar un entrenamiento a sus empleados.
¿Por dónde empezar?
En primer lugar, las organizaciones deben evaluar su postura ante el cumplimiento de las regulaciones.
Después, tendrán que administrar y proteger los datos, identificando los archivos sensibles de forma proactiva y establecer controles de seguridad para prevenir, detectar y responder a las vulnerabilidades.
Finalmente, deberán ser capaces de agilizar el proceso de presentación de informes. Para ello, tendrán que mantener la documentación requerida para realizar un seguimiento de la información sensible, administrar los datos solicitados y las notificaciones.
El rol de Microsoft
Según explica Ulises Cabrera, director del negocio de Windows México, Microsoft ya está trabajando en la modificación de sus sistemas para ofrecer controles que cumplan con los reglamentos que dicta esta nueva ley.
A través de un proceso de ‘assessment‘ de 26 preguntas, Microsoft ayuda a las compañías a evaluar el nivel de preparación en el que se encuentran para el cumplimiento de los requisitos de la GDPR, y después emite un reporte completo, así como una guía para identificar las acciones necesarias.
‘El GDPR establece un nuevo paradigma en los derechos de privacidad, de seguridad y de cumplimiento; y aunque puede parecer un desafío, Microsoft está aquí para ayudar a todos nuestros clientes’, afirma Brad Smith, President & Chief Legal Officer de Microsoft Corporation.
