Manifiesto GDPR

RegulaciónSeguridad

Patrick Grillo, Director de Ventas y Marketing de Fortinet en EMEA, escribe para los lectores de Silicon interesantes detalles sobre una regulación que sigue en boca de todos pero que tiene consecuencias que pocos conocen.

interesante en Internet y las redes sociales hayan sobrevivido, es un buen momento para reflexionar sobre por qué se pensó que algo tan drástico como el GDPR era necesario y proporcionar información sobre todo aquello que las organizaciones aún deben tener en cuenta en un ecosistema digital gobernado por el GDPR.

…y la protección de datos se convirtió en un gran negocio

Muy lentamente y con el paso de los años.

Cuando se desarrollaron las primeras regulaciones de protección de datos previas al GDPR, el concepto de datos de usuario en formato digital estaba en pañales. A mediados de la década de los 90, la mayoría de los usuarios formaban parte de comunidades y servicios cerrados como AOL, si es que estaban conectados. Y al igual que con cualquier nueva tecnología, el foco estaba puesto en que podrían hacer en lugar de en sus posibles consecuencias.

Pero a medida que la tecnología evolucionaba y era más fiable, aumentó la disponibilidad del acceso a Internet de alta velocidad y los servicios continuaron creciendo. Empresas como Google o Facebook construyeron su modelo de negocio basándolo en la recopilación, el análisis y la manipulación de los datos de los usuarios. Toda esto se aceleró con la introducción de los smartphones y la adopción masiva de las apps, traspasando las fronteras de los ordenadores.

Mientras sucedía todo esto, los hackers y cibercriminales descubrían el verdadero valor de los datos personales. Seamos claros, el robo de información personal no es una novedad. Sin embargo, el gran volumen de datos, la falta de concienciación por parte del afectado y la mínima atención en asegurar los datos por parte de las empresas que los recopilaban, desató la tormenta perfecta de la que podían aprovecharse fácilmente.

El tercer aspecto de ‘‘por qué GDPR’’ es que incluso cuando hubo violaciones de datos de alto perfil, las consecuencias regulatorias para las empresas que se encontraban en el centro de las violaciones fueron mínimas o inexistentes. A pesar de que una grave violación de datos tiene un coste tangible – tanto directo, como indirecto y de reputación – la mayoría de las organizaciones sobrevivieron a la crisis y continuaron con sus actividades habituales. De manera sencilla, independientemente de los costes – incluyendo las multas – no había suficiente incentivo para marcar la diferencia. Sufrir un robo de datos era un riesgo empresarial calculado y manejable en comparación con el valor de los datos de los usuarios, los cuales podrían ser usados una y otra vez.

Fue dentro de este entorno donde nació lo que ahora conocemos como GDPR y que fue diseñado para abordar todos estos problemas y plantear la siguiente pregunta: ¿por qué la protección de datos es tan importante?

¿Qué implica el GDPR para el ciudadano de a pie?

Aunque el GDPR parece haber pasado de puntillas para el usuario medio y la empresa tradicional, el impacto que se suponía que iba a tener ocupó las portadas de los medios mucho antes de su entrada en vigor gracias al incidente de datos de Cambridge Analytica y Facebook,  en el que se descubrió que en 2016 se recogieron datos de 87 millones de usuarios de Facebook con fines políticos. Aunque de manera desafortunada, sirvió de recordatorio de por qué era necesario una mayor concienciación sobre la recopilación de datos personales y una atención más detallada por parte de la compañía que guarda y gestiona dicha información.

La pregunta de los 64. 000 dólares es si esta mayor conciencia se mantendrá o no, especialmente por parte del propietario de los datos, o volveremos a la mentalidad del pasado. Para las organizaciones que recopilan los datos, este incidente, que se produjo en el momento previo a la aplicación del GDPR, dejó claro que las violaciones a la regulación acarrearían consecuencias.

¿Qué implica el GDPR para una organización con sede en Europa?

A pesar de un período de gracia de casi dos años antes de su entrada en vigor el 25 de mayo de 2018, solo una pequeña parte de las empresas se consideraban preparadas para hacer frente a las implicaciones establecidas por la regulación. Las razones pueden ser muy válidas pero la realidad es que están fuera de plazo y deben analizar honestamente su lógica, procesos y procedimientos para recopilar los datos personales de los usuarios.

Debido al rápido crecimiento del mercado online combinado con la falta de regulaciones de protección de datos antes del GDPR, la mayoría de las organizaciones desarrollaron sus procedimientos de recogida de datos de manera desordenada incluso con múltiples entidades dentro de la misma organización que administraban la información personal. Este enfoque naturalmente condujo a una falta de conocimiento sobre qué datos, de quién y cómo se estaban usando.

El GDPR obliga a las organizaciones a pensar en la recogida de datos desde una perspectiva de “Derechos vs Responsabilidades”. Antes del GDPR, ésta se realizaba de forma predeterminada siendo muy complejo para el interesado no aceptarla. Con la nueva regulación, cambia el proceso. Ahora es el usuario el que tiene los derechos sobre sus datos personales y controla quién puede conocerlos y quién no. Las organizaciones que quieren guardar datos personales deben respetar ese derecho y ser sinceras sobre cómo y por qué los necesitan. Una vez que se obtiene el permiso, y el GDPR requiere que sea tan fácil para el interesado conceder como revocar ese permiso, entran en juego una serie de responsabilidades que debe cumplir la empresa.

Para cumplir con estas responsabilidades, las organizaciones han tenido que racionalizar sus estrategias de recogida de datos a partir de cómo obtuvieron el permiso del interesado. Una vez que se obtiene, se vuelve crítico que una organización pueda identificar y administrar los datos personales reuniendo sistemas dispares para tener una visión consolidada de la información que tienen y cómo se usa. Esta información es absolutamente necesaria cuando se responden solicitudes para transferir datos personales de un sujeto o para borrarlos por completo. Además de ilustrar quién tiene el control de los datos, éste es probablemente el mayor desafío que el GDPR plantea a las organizaciones.

En la lista de responsabilidades, también se encuentra la protección de los datos recogidos de los ciberataques y las infracciones. Este es el componente del GDPR que obtuvo la mayor atención antes de que se hiciera efectivo debido a las multas que puede provocar una brecha de seguridad. Las regulaciones anteriores no contemplaban este tema, pero la GDPR sí le da importancia. Quizás esta es la primera vez en la que no sufrir un ataque debe considerarse un premio en sí mismo.

En el caso de una violación de datos, las organizaciones tienen un máximo de 72 horas después de su descubrimiento para informar. Sin embargo, un giro interesante en la regulación es que la organización puede tomar una decisión sobre si la filtración de datos es lo suficientemente grave como para informar que “es poco probable que la violación de datos personales genere un riesgo para los derechos y libertades de las personas físicas”. Si decide denunciar el incumplimiento -y notificar una infracción no equivale automáticamente a una multa – debe acompañar a la notificación una gran cantidad de información. Esto hace que saber dónde se encuentran los datos personales sea aún más importante que nunca y aumenta el desafío para las organizaciones ante el GDPR.

Las significativas multas asociadas con el GDPR (4% de la facturación mundial anual o 20 millones de dólares) están diseñadas para que las organizaciones estén atentas a su obligación de mantener la seguridad de los datos. Aunque nadie puede predecir cómo reaccionarán las diferentes agencias de protección de datos cuando se produzca la primera violación importante en la era posterior al GDPR, al menos tienen un fuerte potencial de aplicación que faltaba en las reglamentaciones anteriores. De hecho, en algunos estados miembros de la UE, las multas máximas previas a la GDPR estaban limitadas por las propias reglamentaciones.

¿Qué implica el GDPR para una organización sin sede en Europa?

 Este es probablemente el aspecto más polémico, así como el más interesante del GDPR. Partiendo del supuesto de que los datos personales son propiedad del interesado, la UE decidió que cualquier persona residente en cualquiera de sus estados miembros -ciudadanos o no- estaba protegida por las disposiciones del reglamento. La ubicación física de la organización que recopila esos datos era irrelevante. Sin embargo, la aplicación de las reglamentaciones y posibles multas en caso de violación de datos todavía es una incógnita y es muy probable que ya haya equipos de abogados preparándose para el primer gran desafío al GDPR.

En el caso de grandes empresas multinacionales con operaciones en la UE, el escenario es razonablemente sencillo y se evalúan las multas contra estas organizaciones. Sin embargo, la verdadera pregunta concierne a aquellas organizaciones que pueden ofrecer bienes o servicios a un residente de la UE pero que no tienen una presencia física dentro de la UE.

 “On the Internet, nobody knows you’re a dog.” (The New Yorker, 1993)

De la misma manera que Internet inspiró esta serie de dibujos animados, también ha abierto oportunidades comerciales significativas para organizaciones de todos los tamaños, pero especialmente para pequeñas y medianas empresas. Sin embargo, en términos de protección de datos, estas mismas organizaciones son estadísticamente más vulnerables a los ciberataques y violaciones de datos.

Afortunadamente, la UE distingue entre aquellas organizaciones cuyos sitios web ponen a disposición sus productos y servicios a nivel mundial, de aquellas que realizan un esfuerzo cuando hacen negocios con residentes de la UE. Tales esfuerzos pueden incluir la oferta de bienes y servicios en moneda local, el idioma o los nombres de dominio, así como el seguimiento / control del comportamiento de los visitantes online.

Sin embargo, en estos primeros meses nadie está completamente seguro de cómo abordará la UE el trato con una organización no perteneciente a la Unión y que ha violado la regulación.

A pesar de las importantes multas y daños a la reputación asociados con el incumplimiento de GDPR, algunas empresas (organizaciones con sede o no en la UE) pueden sentirse tentadas a no divulgar la totalidad o parte de las infracciones. Esto sería un gran error. Es importante recordar que el GDPR se trata de obligar a las organizaciones a ser más transparentes y responsables.

Hasta ahora, para la mayoría de nosotros, la señal más visible de que el GDPR surte efecto es la cantidad de correos electrónicos que solicitan que revise la política de privacidad de datos revisada de la organización y / o acepte explícitamente continuar recibiendo información.

Otro efecto secundario interesante es el número de sitios web no pertenecientes a la UE que han decidido bloquear su contenido a residentes en la UE. Que sea una medida permanente o una estrategia temporal a la espera de cómo se desarrollará el GDPR, el tiempo lo dirá.

26 de mayo, ¿y ahora qué?

Para la mayoría de las organizaciones lo primero es tratar de solucionar las deficiencias más obvias. Y para la mayoría de las organizaciones eso significa asegurarse de que la parte más visible de la organización, su sitio web, cumpla con las regulaciones. Si se trata de una organización que utiliza datos personales como parte de las actividades de marketing, es imperativo que se hayan comunicado con esos contactos para obtener su permiso para continuar guardando y utilizando sus datos personales.

Sin embargo, a nivel interno cada organización necesita hacer un balance de sus procesos y procedimientos de recogida de datos y trabajar en la compleja tarea de identificar y organizar los datos personales que poseen. Es de suponer  o esperar que los nuevos datos, es decir, los datos obtenidos después del 25 de mayo de 2018, se gestionarán de una manera apropiada de acuerdo al GDPR. Dependiendo de factores como qué tipo de sistemas de TI heredados aún están en uso y / o la estrategia en la nube de una organización, este proceso podría ser significativo.

Pero hay otro aspecto que puede suponer un juego peligroso para las organizaciones: las ciberdefensas. Dado que la mayoría de las organizaciones, las grandes empresas, los proveedores de servicios y las entidades gubernamentales ya cuentan con tecnologías de seguridad de red, tienden a confiar en las capacidades existentes mientras abordan otros aspectos relativos al cumplimiento de GDPR.

El problema de este enfoque es si sus capacidades actuales pueden o no responder al desafío de evitar que los ataques se conviertan en una brecha de datos y cumplir con la obligación de informar dentro de las 72 horas marcadas por la ley. Puesto que las organizaciones son más propensas a ser multadas por una violación de datos que por otro tema, es necesario que consideren sus capacidades actuales en detalle para identificar aquellas áreas que requieren atención y desarrollar un plan integral que les permita abordar estos problemas.

Pero lo más importante es que las organizaciones deberían aprovechar el GDPR como la oportunidad de iniciar una revisión mucho más amplia de sus capacidades de ciberseguridad desde un enfoque más holístico en lugar de qué productos / tecnologías / proveedores tienen y cuáles necesitan obtener.

En este entorno de mayor escrutinio y regulación y con un panorama de amenazas que ha aumentado en volumen y complejidad, las organizaciones deben tener absoluta confianza en que su infraestructura de seguridad tiene la capacidad de proteger su red de forma integral. Esto implica bloquear tantos ataques como sea posible, independientemente de dónde se produzcan, y detectar rápidamente cualquier intrusión que atraviese la primera línea de defensa. Una vez detectado, debe ser capaz de responder a la intrusión para minimizar cualquier daño potencial. Al hacerlo, las organizaciones podrán determinar mejor si se justifica o no el informe del incidente a la autoridad de protección de datos correspondiente.

Sin embargo, no hay una sola tecnología que ofrezca todo esto. Las organizaciones que revisen sus capacidades operativas a la luz del cumplimiento de los estrictos requisitos del GDPR deberían aprovechar esta oportunidad para ver más allá del GDPR. Concretamente urge ver si su política de seguridad puede soportar completamente sus requisitos de negocio actuales y futuros.

Para algunos, el GDPR es el inicio de una nueva era que restablece la relación entre el sujeto de los datos y el que los recopila. Para otros, es un ejemplo más de una regulación innecesaria y de gran alcance, sobre todo a ojos de organizaciones no pertenecientes a la UE. Aunque el tiempo dirá si el GDPR es efectivo, es más que probable que la mayor conciencia acerca de la recogida, el uso y la protección de los datos personales redunde en una mejora de las prácticas actuales.

En definitiva, las organizaciones deben aprovechar el GDPR como una oportunidad de negocio en lugar de como un esfuerzo de cumplimiento único.

El cumplimiento de GDPR es un proceso continuo que requiere constante evaluación y ajuste a lo largo del tiempo.

Autor
Saber más 
Saber más