Varios especialistas de firmas reconocidas del mundo alertan a las diferentes empresas que la Unión Europea publicó el Reglamento General de Datos Personales con el claro propósito de que sus ciudadanos tengan mayor control sobre la gestión y la utilización que se le brinda a sus datos personales:
Si bien este reglamento es de estricto cumplimiento en países europeos, en Perú existen numerosas filiales que operan y están de hecho obligadas a cumplirlas, en éste incluye el de sus clientes, hay una serie de aristas que se debería tomar en consideración.
Así, Symantec, Sophos, Trend Micro, A10 Networks, LOL, entre otros, dan sus puntos de vista.
¿Están nuestras empresas preparadas para la Regulación General de Protección de Datos?
La Unión Europea lanzó el Reglamento General de Datos Personales (GDPR) con el objetivo de que los ciudadanos de la comunidad europea tengan un mayor control sobre la gestión que se hace de sus datos personales.
(americasistemas.com.pe. Lima, Perú – 21 de marzo 2018) Entrará en vigor el 25 de mayo de 2018 y ampliará las obligaciones de implantación de medidas de seguridad para todas las empresas europeas, los autónomos y la administración pública, entre otros sectores.
La GDPR busca proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen, cuando esos datos ya no son requeridos. La ley provee control individual en relación a cómo las compañías pueden usar la información que está directa y personalmente relacionada con los individuos, y otorga ocho derechos específicos:
El derecho a ser informado
El derecho al acceso
El derecho de la rectificación
El derecho al borrado de datos
El derecho a restringir el procesamiento
El derecho de portabilidad de los datos
El derecho de objeción
El derecho en relación con la creación de perfiles y toma de decisiones automatizadas.
Aunque este reglamento es de cumplimiento obligatorio únicamente en Europa, las empresas de América Latina que cuentan con filiales y/o almacenan y procesan información personal sobre ciudadanos de la UE deberán prepararse también para su cumplimiento, y proteger los datos personales de sus clientes, estén donde estén, incluso en la nube.
La economía mundial de Internet está borrando rápidamente las barreras para hacer negocios entre países o continentes, y no es raro que las empresas en cualquier parte del mundo hagan negocios con cualquier otra región. En este sentido, según Sophos, “si una empresa latinoamericana tiene la intención de hacer negocios con clientes europeos, es muy probable que se vea afectada y deberán cumplir con las regulaciones especificadas en el GDPR. Las organizaciones en América Latina están gobernadas por el GDPR si ofrecen bienes o servicios a individuos de la UE, ya sean gratuitos o pagados, o si almacenan datos o monitorean el comportamiento de estas personas”.
Respecto al tipo de empresas que serán alcanzada por esta legislación, desde Veeam aclaran: “no hay una tipificación de industria afectada a GDPR, aunque hay algunos segmentos que tal vez se vean más impactados que otros, por ejemplo sector financiero, salud y gobierno entre otras, en tanto el tipo de dato que procesen sea sensible hacia las personas que consuman sus servicios o productos. GDPR aplica para TODAS las compañías que procesen datos considerados sensibles de ciudadanos de la UE, por lo que prácticamente cualquier compañía en el mundo es alcanzable”.
Seguridad, nube y protección de datos
No hay dudas de que la nube permite traspasar fronteras tecnológicas, geográficas y administrativas, asegurando la disponibilidad, accesibilidad y compartición de los datos. Sin embargo, también impulsa un importante abanico de amenazas. Uno de los mayores problemas que surge en torno a esta infraestructura es que los datos personales se procesan en la nube, por lo que los equipos de seguridad y de TI no tienen percepción ni control sobre lo que sucede con ellos. Al no poder las empresas limitar el uso de servicios cloud por parte de sus empleados, puede significar que los datos sensibles acaben en manos equivocadas, exponiendo en consecuencia todo el ecosistema empresarial.
Con el GPRD a la vuelta de la esquina, obtener una visibilidad completa del uso y actividades de los servicios y aplicaciones cloud nunca había sido tan importante. A partir de ahora, todas las empresas, cualquiera que sea su localización o ubicación, deberán responsabilizarse de la protección de los datos de sus clientes. En el caso de las empresas que contratan servicios en la nube, serán los responsables últimos de la seguridad de los datos de carácter personal, y no el prestador del servicio.
La difícil tarea de preparar a una organización para cumplir las nuevas normas
El GDPR es un marco legal masivo que cubre muchos desafíos individuales con respecto a la seguridad y gobernabilidad de los datos. Es importante entender que no existe una solución fácil o una “solución mágica” para resolver todos los requisitos y cumplir con la regulación.
De acuerdo con un informe de Gartner, muchas empresas no estarán listas para cumplir con los requisitos exigidos para la fecha prevista. Symantec coincide. “Muchos clientes no están preparados para el GDPR. No es inusual preguntarse qué se debe hacer. GDPR está haciendo que muchas organizaciones revisen completamente, y en algunos casos, examinen sus procesos. Con tan poco tiempo, es más importante que nunca elaborar una estrategia coherente”.
Para que las empresas puedan permanecer dentro del cumplimiento normativo, deberán aplicar importantes cambios en su cultura organizacional, frente a este nuevo panorama, Veeam detalla: “las organizaciones deberán hacer modificaciones en varios aspectos, el principal está relacionado al cumplimiento de procesos en el manejo, transferencia y disposición de los datos. Ya no es suficiente con la protección de los mismos en el sentido del resguardo, sino que se incorporan exigencias como encripción de punta a punta, descarte segurizado y “derecho al olvido” entre otras cosas desde lo funcional, y desde lo organizacional, por ejemplo, la existencia de un responsable de protección de datos (Data Protection Officer) que deberá velar por el cumplimiento de estas normas y procedimientos”.
Para Trend Micro, “el GDPR es una regulación multifacética que incluye directrices sobre personas, procesos y tecnología, todas enfocadas en la protección de datos. La seguridad de última generación puede desempeñar un papel fundamental en el cumplimiento, ayudando a garantizar que la tecnología que se casa con las personas y el proceso sea efectiva”.
Desde A10 Networks postulan que dentro de los componentes más importantes para cumplir con esta legislación estarán los sistemas de prevención de perdida de información (DLP) y los mecanismos de control de acceso de usuarios (Federación de autenticación).
Con respecto a DLP, una preocupación muy importante que deben tener las empresas que deben cumplir con GDPR es la visibilidad del tráfico. “Si la empresa no tiene visibilidad del tráfico no puede saber si le han extraído información relevante”, explican desde A10.
Por el lado de Imperva lo principal es que el esfuerzo por el cumplimiento nazca y permee desde los mandos ejecutivos hacia abajo a los diferentes niveles de la organización. “De otra manera, se convierte siempre en una responsabilidad indeseada por las áreas a las que invariablemente les cae el requerimiento”.
Tiempo de oportunidades para el canal
Teniendo en cuenta que un gran porcentaje de empresas desconoce o no tiene recursos suficientes para asegurar el cumplimiento normativo que exige la GDPR, esto supone grandes oportunidades para el sector de software de gestión empresarial.
Desde el punto de vista de Forcepoint, “gracias a nuestros partners, podremos brindar nuestros servicios a través de los cuales las empresas podrán descubrir brechas en sus sistemas de seguridad”. En el caso de Veritas, la marca asegura estar lista para ayudar al gran número de empresas e instituciones que se verán obligadas al cumplimiento de la normativa GDPR a través de sus soluciones de Information Management. “Esta regulación es una gran tendencia a nivel mundial y demuestra la preocupación de los clientes por tener una administración responsable de los datos. En este sentido, representa una gran oportunidad para el ecosistema de partners de Veritas”.
Trend Micro entiende que los socios deben ofrecer soluciones de vanguardia a través de una estrategia de seguridad, “permitiendo a las organizaciones aprovechar la oferta de ciberseguridad que aborda las amenazas de hoy y de mañana, adaptándose a las necesidades de su negocio”. Ligado a ello, en Imperva asumen que el rol principal del canal es de concientizador. “La mayoría de las empresas ignoran que la GDPR les podría aplicar y tener consecuencias reales para su negocio”, argumentan al respecto y agregan: “el rol secundario es de trusted advisor, para ayudar a los clientes a encontrar la estrategia más efectiva de selección y aplicación de tecnologías para el cumplimiento y mejora de su postura general de seguridad de datos”.
Sebastián Losada, Gerente Regional de Marketing y Alianzas Estratégicas de Licencias OnLine, adhiere de manera contundente sobre la importancia del rol de los canales. “Sus servicios de consultoría con la dirección y con el staff ejecutivo de sus clientes será un factor crítico que probablemente genere nuevos diálogos para adaptar tecnologías complementarias, mejorar procesos de TI y optimizar el manejo de información en múltiples departamentos dentro de las organizaciones. Para ello, necesitarán entender las soluciones que permiten a los clientes el cumplimiento de la norma y transmitir el sentido de urgencia que merece, por lo que deberán estudiar muy bien los alcances e impactos de la regulación”.
Cumplir con el Reglamento General de Datos Personales supone un avance significativo, pero también implicará una mayor inversión en procesos y tecnología necesarios para asegurar los datos, tanto los que permanecen al amparo del perímetro de TI como los que se depositan en la nube. En este sentido, eleva las condiciones de seguridad y privacidad que protegen los datos de los ciudadanos europeos y exige una ardua tarea para los responsables de infraestructuras. Al mismo tiempo, se presenta como una oportunidad para los partners tecnológicos en tanto que habilita una puerta de entrada a nuevos proyectos en materia de almacenamiento, seguridad y diseño estratégico de las compañías.
El Reglamento General de Datos Personales normalizará la protección de datos en toda la Unión europea y, si bien puede parecer oneroso, en un mundo con tantas brechas como las que hemos tenido en los últimos años, es el tipo de regulación que necesitamos.
Un Comentario
Carlos FERREYROS
Con el respeto que merecen las opiniones vertidas, creo que el problema se esta tomando, no por los alcances en la aplicación del Reglamento en terceros países; como Perú, sino por las acciones a realizar. Primero, debemos definir el perímetro de la aplicabilidad del Reglamento, por : A. Ámbito de aplicación material, y luego por el B. Ámbito de aplicación territorial, arts. 2 y 3 del Reglamento . Segundo, tenemos que analizar su aplicabilidad en función del Derecho Internacional publico y si éste no colisiona con el derecho peruano. Tercero, La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) del Ministerio de Justicia y Derechos Humanos del Perú debiera avocarse – si no lo ha hecho ya – a preparar un Proyecto de Adaptación y un Plan de contingencia sobre el ámbito de la aplicabilidad del Reglamento en el Perú. Por ultimo, de ser aplicable el Reglamento, deberán realizarse determinadas acciones dirigidas a las personas, empresas y organizaciones, particularmente por y en la DGTAIPD.