El Reglamento general de protección de datos (GDPR), el hito de la Unión Europea privacidad de datos La ley entró en vigor en 2018. Sin embargo, muchas organizaciones todavía luchan por cumplir con los requisitos de cumplimiento y las autoridades de protección de datos de la UE no dudan en imponer sanciones.

Incluso las empresas más grandes del mundo no están libres de los problemas del RGPD. Reguladores irlandeses multa a Meta con 1.2 millones de euros en 2023. Las autoridades italianas están investigando OpenAI por presuntas violaciones, llegando incluso a prohibir ChatGPT brevemente.

A muchas empresas les resulta difícil implementar los requisitos del RGPD porque la ley no sólo es compleja sino que también deja mucho a la discreción. El RGPD establece una letanía de reglas sobre cómo las organizaciones dentro y fuera de Europa manejan los datos personales de los residentes de la UE. Sin embargo, les da a las empresas cierta libertad a la hora de implementar esas reglas.

Los detalles del plan de cualquier organización para cumplir plenamente con el RGPD variarán según los datos que recopile la organización y lo que haga con esos datos. Dicho esto, existen algunos pasos básicos que todas las empresas pueden tomar al implementar el RGPD: 

• Inventario de datos personales
• Identificar y proteger datos de categorías especiales 
• Auditoría de actividades de procesamiento de datos.
• Actualizar formularios de consentimiento del usuario  
• Crear un sistema de mantenimiento de registros
• Designar líderes de cumplimiento
• Redactar una política de privacidad de datos
• Asegúrese de que los socios externos cumplan
• Construir un proceso para evaluaciones de impacto de la protección de datos
• Implementar un plan de respuesta a la violación de datos
• Facilitar a los interesados ​​el ejercicio de sus derechos
• Implementar información medidas de seguridad

¿Necesito implementar GDPR? 

El RGPD se aplica a cualquier organización que procese el datos personales de residentes europeos, independientemente de dónde tenga su sede dicha organización. Dada la naturaleza interconectada e internacional de la economía digital, eso incluye a muchas empresas, tal vez incluso a la mayoría, en la actualidad. Incluso las organizaciones que no entran dentro del ámbito del RGPD pueden adoptar sus requisitos para fortalecer la protección de datos.

Más específicamente, el RGPD se aplica a todos los controladores y procesadores de datos con sede en el Espacio Económico Europeo (EEE). El EEE incluye los 27 estados miembros de la UE más Islandia, Liechtenstein y Noruega. 

A controlador de datos es cualquier organización, grupo o persona que recopila datos personales y determina cómo se utilizan. Piense: un minorista en línea que almacena las direcciones de correo electrónico de los clientes para enviar actualizaciones de pedidos.

A procesador de datos es cualquier organización o grupo que realiza actividades de procesamiento de datos. El RGPD define en términos generales "procesamiento" como cualquier acción realizada sobre datos: almacenarlos, analizarlos, modificarlos, etc. Los procesadores incluyen terceros que procesan datos personales en nombre de un controlador, como una empresa de marketing que analiza los datos de los usuarios para ayudar a una empresa a comprender los datos demográficos clave de los clientes.

El RGPD también se aplica a los responsables y encargados del tratamiento que se encuentran fuera del EEE si cumplen al menos una de las siguientes condiciones: 

• La empresa ofrece periódicamente bienes y servicios a los residentes del EEE, incluso si no hay intercambio de dinero.
• La empresa monitorea periódicamente la actividad de los residentes del EEE, por ejemplo, mediante el uso de cookies de seguimiento. 
• La empresa procesa datos personales en nombre de controladores en el EEE. 
• La empresa tiene empleados en el EEE.

Hay algunas cosas más que vale la pena señalar sobre el alcance del RGPD. En primer lugar, sólo se refiere a los datos personales de personas físicas, también llamados sujetos de datos en el lenguaje del RGPD. A persona natural es un ser humano vivo. El RGPD no protege los datos de personas jurídicas, como corporaciones, ni de personas fallecidas.

En segundo lugar, no es necesario que una persona sea ciudadana de la UE para disfrutar de la protección del RGPD. Simplemente necesitan ser residentes formales del EEE.

Finalmente, el RGPD se aplica al procesamiento de datos personales por prácticamente cualquier motivo: comercial, académico, gubernamental y de otro tipo. Las empresas, los hospitales, las escuelas y las autoridades públicas están sujetos al RGPD. Las únicas operaciones de procesamiento exentas del RGPD son las actividades de seguridad nacional y de aplicación de la ley y los usos puramente personales de los datos.

Pasos de implementación del RGPD 

No existe un plan único para el cumplimiento del RGPD, pero existen algunas prácticas fundamentales que las organizaciones pueden utilizar para guiar los esfuerzos de implementación del RGPD.

Para obtener una lista de los requisitos clave del RGPD, consulte el Lista de verificación de cumplimiento del RGPD. 

Inventario de datos personales  

Si bien el RGPD no exige explícitamente un inventario de datos, muchas organizaciones comienzan aquí por dos razones. En primer lugar, saber qué datos tiene la empresa y cómo se procesan ayuda a la organización a comprender mejor sus cargas de cumplimiento. Por ejemplo, una empresa que recopila datos de salud de los usuarios necesita protecciones más estrictas que una que recopila únicamente direcciones de correo electrónico.

En segundo lugar, un inventario completo facilita el cumplimiento de las solicitudes de los usuarios de compartir, actualizar o eliminar sus datos. 

Un inventario de datos puede registrar detalles como:

• Tipos de datos recogidos (nombres de usuario, datos de navegación)
• Poblaciones de datos (clientes, empleados, estudiantes)
• Cómo se recopilan los datos (inscripciones a eventos, páginas de destino)
• Dónde se almacenan los datos (servidores locales, servicios en la nube)
• El propósito de la recopilación de datos (campañas de marketing, análisis de comportamiento)
• Cómo se procesan los datos (puntuación automatizada, agregación)
• Quién tiene acceso a los datos (empleados, proveedores)
• Salvaguardias existentes (cifrado, autenticación de múltiples factores) 

Puede resultar difícil rastrear datos personales que se encuentran dispersos por la red de la organización en diversos flujos de trabajo, bases de datos, puntos finales e incluso activos de TI en la sombra. Para que los inventarios de datos sean más manejables, las organizaciones pueden considerar el uso de soluciones de protección de datos que descubran y clasifiquen datos automáticamente. 

Descubra cómo IBM Guardium® Data Protection descubre, clasifica y protege automáticamente datos confidenciales en los principales repositorios como AWS, DBaaS y mainframes locales.

Identificar y proteger datos de categorías especiales 

Al realizar un inventario de datos, las organizaciones deben tomar nota de cualquier dato especialmente confidencial que requiera protección adicional. El RGPD exige precauciones adicionales para tres tipos de datos en particular: datos de categorías especiales, datos de condenas penales y datos de niños.  

• Datos de categoría especial incluye datos biométricos, registros médicos, raza, origen étnico y otra información muy personal. Las organizaciones suelen necesitar el consentimiento explícito del usuario para procesar datos de categorías especiales. 

• Datos de condenas penales sólo pueden ser controlados por las autoridades públicas y procesados ​​bajo su dirección. 

• datos de los niños no se pueden procesar sin el consentimiento de los padres, y las organizaciones necesitan mecanismos para verificar las edades de los interesados ​​y las identidades de sus padres. Cada estado del EEE establece su propia definición de "niño" según el RGPD. Los límites van desde menores de 13 hasta menores de 16 años. Las empresas deben estar preparadas para cumplir con estas diferentes definiciones. 

Auditoría de actividades de procesamiento de datos. 

Durante el inventario de datos, las organizaciones registran cualquier operación de procesamiento a la que se sometan los datos. Luego, las organizaciones deben asegurarse de que estas operaciones cumplan con las reglas de procesamiento del RGPD. Algunos de los principios más importantes del RGPD incluyen los siguientes:

• Todo tratamiento debe tener una base jurídica establecida: El procesamiento de datos solo es aceptable si la organización tiene una base legal aprobada para ese procesamiento. Las bases legales comunes incluyen la obtención del consentimiento del usuario, el procesamiento de datos para ejecutar un contrato con el usuario y el procesamiento de datos para el interés público. Las organizaciones deben documentar la base legal de cada operación de procesamiento antes de comenzar.

Para obtener una lista completa de las bases legales aprobadas, consulte la Página de cumplimiento del RGPD.

• Limitación de la finalidad: Los datos deben recopilarse y utilizarse para un propósito específicamente definido. 

• Minimización de datos: Las organizaciones deben recopilar la cantidad mínima de datos necesarios para su propósito específico. 

• Precisión: Las organizaciones deben asegurarse de que los datos que recopilan sean correctos y estén actualizados. 

• Limitación de almacenamiento: Las organizaciones deben deshacerse de los datos de forma segura tan pronto como se cumpla su propósito. 

Para obtener una lista completa de los principios de procesamiento del RGPD, consulte la Lista de verificación de cumplimiento del RGPD.

Actualizar formularios de consentimiento del usuario  

El consentimiento del usuario es una base jurídica común para el procesamiento. Sin embargo, el consentimiento sólo es válido según el RGPD si es informado, afirmativo y se otorga libremente. Es posible que las organizaciones necesiten actualizar los formularios de consentimiento para cumplir con estos requisitos.

• Para garantizar que el consentimiento sea informado, la organización debe explicar claramente qué recopila y cómo utilizará esos datos en el momento de su recopilación.

• Para garantizar que el consentimiento sea afirmativo, las organizaciones deben adoptar un enfoque de aceptación voluntaria, en el que los usuarios deben marcar activamente una casilla o firmar una declaración para indicar el consentimiento. Los consentimientos tampoco se pueden agrupar. Los usuarios deben aceptar cada actividad de procesamiento individualmente.  

• Para garantizar que el consentimiento sea gratuito, las organizaciones solo pueden exigirlo para actividades de procesamiento de datos que sean genuinamente parte integral de un servicio. En otras palabras, una empresa no puede obligar a los usuarios a revelar sus opiniones políticas para comprar una camiseta. Los usuarios deben poder revocar el consentimiento en cualquier momento.  

Crear un sistema de mantenimiento de registros 

Las organizaciones con más de 250 empleados y las empresas de cualquier tamaño que procesen datos regularmente o manejen datos de alto riesgo deben mantener registros electrónicos escritos de sus actividades de procesamiento. 

Sin embargo, es posible que todas las organizaciones quieran conservar dichos registros. Esto no solo ayuda a realizar un seguimiento de los esfuerzos de privacidad y seguridad, sino que también puede demostrar el cumplimiento si se produce una auditoría o una infracción. Las empresas pueden reducir o evitar las sanciones si pueden demostrar que hicieron un esfuerzo de buena fe para cumplir.  

Es posible que los controladores de datos deseen mantener registros particularmente sólidos, ya que el RGPD los responsabiliza del cumplimiento de sus socios y proveedores. 

Designar líderes de cumplimiento del RGPD  

Todas las autoridades públicas y cualquier organización que procese periódicamente datos de categorías especiales o realice un seguimiento de temas a gran escala deberán designar un Delegado de protección de datos (DPO). Un DPO es un funcionario corporativo independiente a cargo del cumplimiento del RGPD. Las responsabilidades comunes incluyen supervisar las evaluaciones de riesgos, capacitar a los empleados sobre los principios de protección de datos y trabajar con las autoridades gubernamentales.

Si bien solo algunas organizaciones están obligadas a nombrar DPO, es posible que todas quieran considerar hacerlo. Tener un líder de cumplimiento del RGPD designado puede ayudar a agilizar la implementación.

Los DPO pueden ser empleados de una empresa o consultores externos que ofrecen sus servicios por contrato. Las OPD deben reportar directamente al nivel más alto de gestión. La empresa no puede tomar represalias contra un DPD por cumplir con sus funciones. 

Las organizaciones fuera del EEE deben nombrar un representante dentro del EEE si procesan regularmente los datos de residentes del EEE o manejan datos altamente confidenciales. El Representante del EEE Su función principal es coordinar con las autoridades de protección de datos en nombre de la empresa durante las investigaciones. El representante puede ser un empleado, una empresa afiliada o un servicio contratado. 

El RPD y el representante del EEE desempeñan funciones diferentes con responsabilidades diferentes. En particular, el representante actúa bajo la dirección de la organización, mientras que el DPD debe ser un funcionario independiente. Una organización no puede designar a una parte para actuar como DPO y representante del EEE.

Si una organización opera en varios estados del EEE, debe identificar una autoridad supervisora ​​principal. La autoridad supervisora ​​principal es la principal autoridad de protección de datos (DPA) que supervisa el cumplimiento del RGPD para esa empresa en toda Europa. 

Normalmente, la autoridad supervisora ​​principal es la DPA del estado miembro donde la organización tiene su sede o lleva a cabo sus actividades principales de procesamiento. 

Redactar una política de privacidad de datos 

El RGPD exige que las organizaciones mantengan a las personas informadas sobre cómo utilizan sus datos. Las empresas pueden cumplir con este requisito redactando políticas de privacidad que describan claramente sus operaciones de procesamiento, incluido lo que recopila la empresa, las políticas de retención y eliminación, los derechos de los usuarios y otros detalles relevantes.

Las políticas de privacidad deben utilizar un lenguaje sencillo que cualquiera pueda entender. Ocultar información importante detrás de una jerga densa puede violar el RGPD. Las organizaciones pueden garantizar que los usuarios vean sus políticas compartiendo avisos de privacidad en el momento de la recopilación de datos. Las organizaciones también pueden alojar sus políticas de privacidad en páginas públicas y fáciles de encontrar en sus sitios web. 

Asegúrese de que los socios externos cumplan 

Los controladores son en última instancia responsables de los datos personales que recopilan, incluida la forma en que los utilizan sus procesadores, proveedores y otros terceros. Si los socios no cumplen, los controladores pueden ser sancionados. 

Las organizaciones deben revisar sus contratos con terceros que tengan acceso a sus datos. Estos contratos deben establecer claramente los derechos y responsabilidades de todas las partes con respecto al RGPD de forma jurídicamente vinculante.

Si una organización trabaja con procesadores fuera del EEE, esos procesadores aún deben cumplir con los requisitos del RGPD. De hecho, las transferencias de datos fuera del EEE están sujetas a normas estrictas. Los responsables del tratamiento en el EEE solo pueden compartir datos con procesadores fuera del EEE si se cumple uno de los siguientes criterios:

• La Comisión Europea considera adecuadas las leyes de privacidad del país
• La Comisión Europea ha considerado que el encargado del tratamiento dispone de protecciones de datos suficientes
• El responsable del tratamiento ha tomado medidas para garantizar que los datos estén protegidos.

Una forma de garantizar que todas las asociaciones y transferencias de datos cumplan con el RGPD es utilizar cláusulas contractuales estándar. Estas cláusulas escritas previamente están aprobadas previamente por la Comisión Europea y están disponibles gratuitamente para que las utilice cualquier organización. Insertar estas cláusulas en un contrato lo hace compatible con el RGPD, siempre que cada parte las respete. Para obtener más información sobre las cláusulas contractuales estándar, ver el sitio web de la Comisión Europea (el enlace se encuentra fuera de ibm.com).

Construir un proceso para evaluaciones de impacto de la protección de datos

El RGPD exige que las organizaciones realicen evaluaciones de impacto de la protección de datos (DPIA) antes de cualquier procesamiento de alto riesgo. Si bien el RGPD ofrece algunos ejemplos (uso de nuevas tecnologías, procesamiento a gran escala de datos confidenciales), no enumera de manera exhaustiva todas las actividades de alto riesgo.

Las organizaciones pueden considerar realizar una EIPD antes de cualquier nueva operación de procesamiento para que sea segura. Otros pueden utilizar una evaluación previa simplificada para determinar si el riesgo es lo suficientemente alto como para justificar una EIPD.

Como mínimo, una EIPD debe describir el procesamiento y su propósito, evaluar la necesidad del procesamiento, evaluar los riesgos para los interesados ​​e identificar medidas de mitigación. Si el riesgo sigue siendo alto después de la mitigación, la organización debe consultar con una autoridad de protección de datos antes de seguir adelante. 

Descubra cómo IBM Guardium® Insights puede ayudar a optimizar los informes de cumplimiento con flujos de trabajo preconfigurados para GDPR, CCPA y otras regulaciones clave.

Implementar un plan de respuesta a la violación de datos 

Las organizaciones deben reportar la información más personal. violaciones de datos a una autoridad de control en un plazo de 72 horas. Si la violación representa un riesgo para los interesados, como el robo de identidad, la empresa también debe notificar a los interesados. Las notificaciones deben enviarse directamente a las víctimas, a menos que hacerlo sea inviable. En ese caso, basta con la notificación pública.

Las organizaciones necesitan respuesta al incidente planes que identifican rápidamente infracciones en curso, erradican amenazas y notifican a las autoridades. Los planes de respuesta a incidentes deben incluir herramientas y tácticas para recuperar sistemas y restaurarlos. seguridad de la información. Cuanto más rápido una organización recupere el control, es menos probable que sufra acciones regulatorias graves.

Las organizaciones también pueden aprovechar esta oportunidad para fortalecer seguridad de datos medidas. Si es poco probable que una infracción perjudique a los usuarios (por ejemplo, si los datos robados están tan cifrados que los piratas informáticos no pueden utilizarlos) la empresa no necesita notificar a los interesados. Esto puede ayudar a evitar el daño a la reputación y a los ingresos que puede producirse tras una filtración de datos.

Facilitar a los interesados ​​el ejercicio de sus derechos 

El RGPD otorga a los interesados ​​derechos sobre cómo las organizaciones utilizan sus datos. Por ejemplo, el derecho de rectificación permite a los usuarios corregir datos inexactos o no actualizados. El derecho de supresión permite al usuario eliminar sus datos.

En términos generales, las organizaciones deben cumplir con las solicitudes de los interesados ​​en un plazo de 30 días. Para que las solicitudes sean más manejables, las organizaciones pueden crear portales de autoservicio donde los sujetos puedan acceder a sus datos, realizar cambios y restringir su uso. Los portales deben incluir una forma de verificar las identidades de los sujetos. El RGPD impone a las organizaciones la carga de verificar que los solicitantes son quienes dicen ser.

Decisiones y perfiles automatizados 

Los interesados ​​tienen derechos especiales en relación con el procesamiento automatizado. Específicamente, las organizaciones no pueden utilizar la automatización para tomar decisiones importantes sin el consentimiento del usuario. Los usuarios tienen derecho a impugnar las decisiones automatizadas y solicitar que un humano revise la decisión. 

Las organizaciones pueden utilizar portales de autoservicio para brindar a los interesados ​​una forma de impugnar las decisiones automatizadas. Las empresas también deben estar preparadas para nombrar revisores humanos según sea necesario. 

la portabilidad de datos 

Los interesados ​​tienen derecho a transferir sus datos a cualquier lugar que deseen, y las organizaciones deben facilitar esas transferencias. 

Además de facilitar a los usuarios la solicitud de transferencias, las organizaciones deben almacenar datos en un formato que se pueda compartir. El uso de formatos propietarios puede dificultar las transferencias e impedir los derechos de los usuarios. 

Para obtener una lista completa de los derechos de los interesados, consulte la página de cumplimiento del RGPD.

Implementar medidas de seguridad de la información.

El RGPD exige que las organizaciones utilicen medidas razonables de protección de datos para cerrar las vulnerabilidades del sistema y evitar el acceso no autorizado o el uso ilegal. El RGPD no exige medidas específicas, pero sí establece que las organizaciones necesitan controles tanto técnicos como organizativos.

Los controles técnicos de seguridad incluyen software, hardware y otras herramientas tecnológicas, como SIEM y soluciones de prevención de pérdida de datos. El RGPD recomienda en gran medida el cifrado y la seudonimización, por lo que es posible que las organizaciones quieran implementar estos controles en particular. 

Las medidas organizativas incluyen procesos como formar a los empleados sobre las normas del RGPD y aplicar medidas formales. el gobierno de datos políticas. 

El RGPD también ordena a las empresas que adopten el principio de protección de datos desde el diseño y por defecto. “Por diseño” significa que las empresas deben incorporar la privacidad de los datos en los sistemas y procesos desde el principio. "Por defecto" significa que la configuración predeterminada para cualquier sistema debe ser la que mantenga la mayor privacidad del usuario. 

Descubra cómo las soluciones de protección y seguridad de datos de IBM protegen los datos en nubes híbridas y simplifican los requisitos de cumplimiento.

Por qué es importante el cumplimiento del RGPD 

Cualquier organización que quiera operar en el Espacio Económico Europeo (EEE) debe cumplir con el GPDR. El incumplimiento puede tener graves consecuencias. Las infracciones más importantes pueden dar lugar a multas de hasta 20,000,000 EUR o el 4% de los ingresos mundiales de la organización durante el año anterior, lo que sea mayor.

Pero cumplimiento de datos No se trata sólo de evitar las consecuencias. También tiene beneficios. Aparte del hecho de que el cumplimiento del RGPD permite a las organizaciones acceder a uno de los mercados más grandes del mundo, los principios del RGPD pueden fortalecer significativamente las medidas de seguridad de los datos. Las organizaciones pueden detener más violaciones de datos antes de que ocurran, evitando un costo promedio de 4.45 millones de dólares por incumplimiento.

El cumplimiento del RGPD también puede mejorar la reputación de una empresa y generar confianza entre los consumidores. La gente generalmente prefiere hacer negocios con organizaciones que proteger significativamente los datos de los clientes.

El RGPD ha inspirado leyes de protección de datos similares en otras regiones, incluida la Ley de privacidad del consumidor de California y la Ley de Protección de Datos Personales Digitales de la India. El RGPD a menudo se considera una de las leyes más estrictas, por lo que su cumplimiento puede posicionar a las organizaciones para cumplir también con otras regulaciones.

Finalmente, si una empresa infringe el RGPD, demostrar cierto nivel de cumplimiento puede ayudar a suavizar las repercusiones. Los organismos reguladores sopesan factores como los existentes. controles de ciberseguridad y cooperación con las autoridades supervisoras a la hora de determinar las sanciones.

Explorar la protección de datos de IBM Guardium