GDPR: Lo que debe saber

El Reglamento General de Protección de Datos ( GDPR ) en la Unión Europea entró en vigencia en Mayo 25 de 2018. Este reglamento afectó organizaciones a nivel mundial, cambió y seguirá cambiando significativamente la forma en que empresas públicas y privadas tratan la información.

Propuesta en 2016 y dispuesta para entrar en efecto completo en Mayo de este año, el reglamento incluye el principio de que los residentes de la Unión Europea son dueños de su propia información. El GDPR representa un gran paso en el desarrollo de la privacidad como concepto.

¿El GDPR aplica para mi empresa?

Una de las cosas más difíciles de saber es si su empresa aplica para el GDPR. Usando el diagrama de flujo podrá encontrar una respuesta aproximada para saber si le afecta o no. El GDPR afecta cualquier organización que tenga negocios, rastree el comportamiento o maneje información personal de cualquier residente de la Unión Europea.

¿El incumplimiento es sancionable?

Sí, a través de multas, sanciones y compensación de la parte afectada. Las multas están en un rango de entre €10 millones o 2% de la ganancia total de la empresa por infracciones menores hasta  €20 millones o 4% de la ganancia total de la empresa, cualquiera que sea mayor.

Mi organización entra en el GDPR. ¿Qué hago ahora?

Cualquier empresa que entre en el Reglamento debe enfocarse principalmente en dos cosas:

Reconfigurar los procesos de negocios y la arquitectura de IT para reducir la exposición de información Personal:  Esta meta incluye trazar las fuentes, el procesamiento, la comunicación y el almacenamiento de información personal. Su organización debe saber de donde viene, cómo se usa por los grupos y los procesos de negocios dentro de su organización, cómo y donde está almacenada y qué le sucede a largo plazo.

También, debe saber qué tan lejos está dispuesto a ir para ganar el permiso explícito de su cliente para recoger y guardar la información personal, atender solicitudes para borrar la información o notificar individualmente al dueño de la información que pudo haber estado comprometido en una violación de información.

Fortalecer la seguridad y mejorar la visibilidad: Uno de los principales requerimientos del GDPR es que la organización reporte que ha tenido una violación de seguridad en las 72 horas siguientes a haber sido descubierta. Para cumplir con este requisito, la detección de amenazas, la visibilidad y la respuesta deberán mejorar sustancialmente en la mayoría de las organizaciones.

Sí, no, tal vez: Recomendaciones.

Mejorar la seguridad de la PII en contra de entradas sin autorización, hackeo y ataques de ransomware es primordial tanto en físico como en la nube. Esto puede ser llevado a cabo por medio de soluciones de protección de información como las ofrecidas por Acronis.

Debe examinar los aspectos del manejo de datos en su organización: dónde se almacenan los datos personales, qué tan seguro es, quién es el responsable, Etc. También debe analizar brechas anteriores,  lo que le dará un panorama más amplio de la capacidad de su organización para reaccionar a futuros ataques y reportarlos a tiempo.

La preparación para el GDPR no tiene por qué ser traumática. La asesoría y el conocimiento del Reglamento en su empresa pueden ayudar a que la transición sea más tranquila. Además, dentro de nuestro apartado de seguridad puede encontrar más herramientas, como los Test de penetración, que le pueden ayudar a asegurar la información de su empresa y sus clientes.

Si desea saber más, puede escribirnos en nuestro chat de ayuda.

Fuentes:

• Acronis: Entendiendo el GDPR

• Welivesecurity: ¿Qué deben hacer las empresas para cumplir el GDPR?

• Forbes: How to get prepared for the 2018 GDPR Deadline

• Fortinet: The GDPR: Adding teeth to data privacy