¿Tiene ya una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Conclusiones extraídas durante la preparación para el GDPR

Una empresa austríaca de apuestas deportivas y juego en línea habla sobre la curva de aprendizaje necesaria para prepararse para el GDPR, a pesar de su experiencia en el manejo de datos de clientes.

En la primavera de 2017, Michael Mrak se estaba preparando para el nuevo sunami llamado GDPR. La ley se caracterizaba por ser el conjunto de cambios más revolucionarios en el ámbito de la normativa sobre privacidad de datos de las últimas dos décadas.

Desde que entró en vigor, en mayo de 2018, el Reglamento general sobre la protección de datos (General Data Protection Regulation, GDPR) obliga a todos los estados miembros de la Unión Europea a proteger los datos de los consumidores y las personas de manera más rigurosa. Otro de los objetivos es que se alcance una mayor similitud entre las políticas de protección de datos de los diferentes países de la Unión Europea. Cualquier empresa, incluidas aquellas ubicadas fuera de la Unión Europea, que vendan sus productos o servicios a ciudadanos residentes en la UE, debe cumplir igualmente con el GDPR.

Las multas por no cumplir el Reglamento son considerables: las empresas que no lo hagan podrían enfrentarse a sanciones de hasta un 4 % de sus ingresos o a la suma de 20 millones de euros (la cantidad que sea mayor). En la actualidad, también los EE. UU. están teniendo más cuidado con algunos de los elementos del GDPR. La Ley de privacidad del consumidor de Californiade 2018, que se aprobó en junio de ese año, incluye una protección mayor en virtud del GDPR para el estado de California.

Para los responsables del cumplimiento, los responsables de la información y todos los demás profesionales empresariales y de TI, el GDPR ha ocupado un lugar predominante desde que las empresas comenzaron a prepararlo en abril de 2016, cuando la UE aprobó el reglamento.

Michael Mrak, jefe del departamento de cumplimiento de Casinos Austria AG

"Fue muy estresante", recuerda Michael Mrak, jefe del departamento de cumplimento de Casinos Austria AG, un grupo de empresas de juegos online y apuestas deportivas, durante una sesión sobre las conclusiones extraídas sobre la preparación para el GDPR en la Conferencia RSA 2019. La preocupación de las empresas, afirma, era que no fueran capaces de cumplir los requisitos de la ley.

Pero la verdad es que el GDPR es un proceso, no un punto de destino. “En la planificación original diseñada por el director general y la junta directiva, el objetivo era cumplir la ley al 100 % antes del 25 de mayo de 2018.” señala. “Eso es lo que quieren los responsables máximos de las empresas: "Hay que cumplir los requisitos, . . . así que, consíguelo." Y después llega el baño de realidad.”

Pasa lo mismo en todas las empresas que se esfuerzan en cumplir los requisitos del GDPR. EY y la Asociación internacional de profesionales de la privacidad hicieron una encuesta a 550 profesionales de la privacidad de datos sobre el cumplimiento del GDPR para el Informe anual sobre la gestión de la privacidad IAPP-EY 2018. Más de la mitad de los encuestados, un 56 %, afirmó que no reunían los requisitos y que nunca lo harían por completo. Además, de acuerdo con el último Estudio comparativo de Cisco sobre privacidad de datos 2019, el 42 % de los encuestados dijo que uno de los problemas principales a la hora de respetar el cumplimiento del GDPR es la responsabilidad que suponen muchos de los requisitos sobre seguridad de datos.

Básicamente, las empresas que pasan más tiempo trabajando en sus cuestiones sobre privacidad de datos tienen más facilidad para poder cumplir con los requisitos de la ley. Las empresas que desarrollan procesos de documentación, crean alianzas entre departamentos y ven el cumplimiento como una evolución, tienen mayor probabilidad de conseguir sus objetivos.

“Algunos consultores con los que hablamos afirmaban que era imposible cumplir totalmente con el GDPR,” indica Claudiu Dascalescu en un blog sobre cumplimiento del GDPR. “Se trata de intentar desarrollar una estrategia eficaz sobre protección de datos y privacidad en función de la situación de cada empresa".

Recomendaciones para prepararse para adoptar el GDPR

Mrak compartió algunas de las conclusiones que ha extraído desde 2016.

1.      Desarrollar una comunicación con toda la unidad de negocio. Mrak señala que uno de los elementos más importantes al prepararse para adoptar el GDPR fue crear un equipo de proyecto y trabajar con unidades de negocio individuales y funciones corporativas, algunas de las cuales manejan datos personales de clientes y deben entrar en escena en caso de que se produzca una brecha, como la unidad de auditoría interna o la de comunicaciones corporativas. Mrak afirma que los diferentes departamentos se incorporaron al proceso en las primeras etapas y tenían bien definida su función.

2.       Poner a prueba el plan de GDPR. Casinos Austria puso a prueba su formación y procesos sobre GDPR simulando dos situaciones:

“Una de ellas fue una pérdida de datos y la otra un robo de datos con el consiguiente filtrado a la prensa”, recuerda Mrak. La empresa aplicó de manera correcta todo lo aprendido en estas situaciones de prueba, pero observó que había algunas lagunas en los procesos, como, por ejemplo, no haber comunicado la brecha de datos al centro de atención al cliente. “Era un problema grave, porque el GDPR lo exige así. Hay que informar a los empleados y a los clientes”. Los coordinadores de privacidad trabajan estrechamente con los departamentos de cumplimiento.

3.       Crear una matriz de eliminación de datos. En el marco normativo, es posible que las necesidades de almacenamiento de datos sean contrarias. “Hay dos grupos de reglamentos de datos que tenemos que cumplir y que están en conflicto entre sí”, recalca Mrak.

Por ejemplo, según determinadas normativas, Casinos Austria debe almacenar los datos de las transacciones de los clientes durante varios periodos de tiempo determinados (los datos sobre impuestos se deben guardar durante siete años y es posible que otros datos de clientes deban guardarse solamente durante cinco). Pero el GDPR obliga a eliminar esos datos en los plazos establecidos. El derecho al olvido, otra de las normativas europeas, también obliga a eliminar los datos inexactos de un usuario en caso de que este lo solicite. Estas normativas se contradicen: por un lado, se pide que se guarde la información para que las empresas puedan comprobar los datos de los cientes y el historial de transacciones, pero, por otro, se deben eliminar los datos para protegerlos frente a las brechas o al uso indebido. Por ese motivo, en ocasiones es necesario contar con una matriz de eliminación que permita a los responsables del cumplimento entender cuándo deben eliminar los datos y si realmente lo deben hacer.

4.      Actualizar los sistemas heredados que no tengan funciones de eliminación automatizadas. Es posible que muchos sistemas de bases de datos heredados que incluyen datos de clientes no puedan eliminar datos automáticamente según la fecha de caducidad o las solicitudes de los clientes. Si no hay automatización, los responsables de cumplimiento pueden verse desbordados por tareas de gestión de plazos de tiempo y solicitudes puntuales. Las empresas deben crear soluciones intermedias para automatizar estos procesos de eliminación y que no haya elementos que se queden en el limbo. Al automatizar la gestión de procesos, la inteligencia artificial jugará un papel primordial en este ámbito en el futuro, afirma Mrak.

5.       Garantizar el cumplimiento de otros reglamentos. Cumplir otras normativas y reglamentos puede ayudar a prepararse mejor para el GDPR. Por ejemplo, la Organización internacional de estandarización cuenta con la norma ISO 27001, que está centrada en la seguridad de la información. “Aunque la seguridad de la información y la protección de datos son áreas distintas”, señala Mrak, "pueden gestionarse del mismo modo". Aquí es donde confluyen ambas normativas. Si ya se aplican las recomendaciones de la ISO 27001, será más sencillo cumplir los aspectos técnicos de los requisitos del GDPR.”

6.       Conseguir un mayor apoyo de la dirección ejecutiva Como en muchos otros casos, el apoyo a nivel ejecutivo es fundamental para que el cumplimento del GDPR sea eficaz y efectivo. La dirección de Casinos Austria conocía bastante bien las implicaciones del GDPR. Por eso, el proyecto tenía caracter multifuncional, la más alta prioridad y el resultado fue relativamente satisfactorio. “La cantidad de reuniones que tuvimos con los responsables de los sistemas y la dirección ejecutiva fue algo mayor de lo que esperaba”, indica Mrak.

Prepararse para el GDPR es un proceso, no un simple logro.

Al mismo tiempo, es necesario recordar periódicamente tanto a las unidades de negocio como a las tareas de apoyo que deben introducir procesos eficaces y reducir los errores. “El esfuerzo en comunicaciones internas sigue siendo enorme”, afirma Mrak. “Todavía estoy en contacto con los departamentos comprobando que el proceso sigue en marcha. Les sigo diciendo que tenemos que agilizar y automatizar procesos”.

Según Mrak, es posible que la integración de la eliminación automática y las fechas de caducidad en los sistemas heredados dure hasta 2020. En general se trata de una tarea difícil de implantar porque el GDPR no reporta ningún beneficio al balance de ingresos de la empresa.

“¿Te cuento un secreto? El GDPR no nos hace ganar dinero”, ironiza Mrak. Sin embargo, piensa que el cumplimiento está directamente relacionado con la fidelización de clientes y la calidad de los servicios.

El estudio de Cisco sobre la privacidad de los datos también refleja esta conclusión. El 41 % de los encuestados afirma que ha aumentado su ventaja competitiva después de invertir en los procesos de privacidad necesarios para poder cumplir con el GDPR.

“Si puedes decir: "Hacemos todo cuanto está en nuestra mano para mantener sus datos a salvo. ¿En quien confía cuando invierte en algo?", entonces [companies] pueden conseguir clientes más fácilmente,” agrega.

Por otra parte, las empresas corren el peligro de perder muchas posibilidades de negocio si no logran tener procesos de privacidad de datos eficaces.

“Si crees que cumplir con el GPDR es caro, te equivocas.” sostiene Mrak, “Más caro es no cumplirlo.”

Lauren Horwitz

Lauren Horwitz es editora jefe de Cisco.com, donde escribe sobre el mercado de la infraestructura de TI y desarrolla estrategias de contenido. Anteriormente, Horwitz era editora ejecutiva en el grupo de Aplicaciones y arquitectura de negocio en TechTarget, editora senior en Cutter Consortium, empresa de investigación de TI y editora en la revista política American Prospect. Ha recibido numerosos premios, como el de la American Society of Business Publication Editors (ASBPE), el premio Min Best of the Web Award, y el premio Kimmerling Prize a la mejor tesina por su trabajo de edición del artículo "The Fluid Jurisprudence of Israel's Emergency Powers.”