Entregando cumplimiento con protección de datos personales en una escala global

El 4 de mayo de 2016, después de cuatro años en la realización, el Reglamento General de la Unión Europea de Protección de Datos (GDPR) se publicó en el Diario Oficial de la Unión Europea¹ y oficialmente estableció una fecha de aplicación.² Mientras que el reglamento entró en vigor el 24 de mayo de 2016, se aplicará de ahora en adelante a partir del 25 de mayo de 2018. El GDPR está trabajando en conjunto con la Directiva de la UE en la ampliación de requerimientos, en relación con el tratamiento de datos personales para lograr los objetivos comunes de protección de datos personales, la investigación del delito y el enjuiciamiento. Esta asociación está presentando cambios radicales en las normas de protección de datos de los cuales el mundo no ha visto las inclinaciones en más de 20 años.

El nuevo GDPR, presentada por la Comisión Europea en 2012 y el acuerdo general por el Parlamento Europeo y el Consejo en diciembre de ese mismo año, se establece para sustituir la Directiva de Protección de Datos 95/46/CE. En los últimos cuatro años, las empresas proactivas han puesto en marcha los procesos necesarios de privacidad y procedimientos que cumplan con la Directiva 95/46/CE. Las empresas tendrán que hacer lo mismo una vez más por las nuevas medidas de protección para los interesados de la UE cuando la GDPR comienza a ser ejecutada. Multas sustanciales y sanciones serán impuestas a las empresas con los controladores y procesadores de datos que no cumplan.

El impacto de esta nueva regulación es completamente penetrante. Las empresas con más de 250 trabajadores que procesan los datos personales de los ciudadanos de la UE estarán sujetas a la GDPR. No sólo eso, sino que GDPR se aplica a todo el sector privado de procesamiento de datos personales por organizaciones de la UE y organizaciones fuera de la UE que se dirigen a los residentes de la UE. Dondequiera que dichas organizaciones trasladen datos personales a la UE, se sentirá el impacto de la GDPR. Las empresas que cumplen con estas definiciones se verán obligados a cumplir o abandonar cualquier oportunidad de interactuar con la audiencia significativa de clientes de la UE. Duras sanciones por incumplimiento incluyen multas superiores a 20 millones de €, o aproximadamente US $23 millones, y el 4 por ciento de los ingresos globales de la compañía.

Aunque las empresas de todos los tamaños serán desafiadas, el GDPR impacta más significativamente a las compañías globales con una amplia presencia internacional. Estos retos surgen de las empresas que tienen que ampliar el alcance de entornos de TI ya muy complejas y de la transmisión transfronteriza de datos personales.

Convirtiendo costo en valor

Por lo general, cualquier cumplimiento se percibe como un costo. Las empresas eficaces y sus líderes generan con éxito valor para las empresas y sus clientes mediante el diseño y la implementación de programas de privacidad y cumplimiento de datos sensibles.

Por ejemplo, el principal proveedor mundial de gestión y automatización de energía propuso tres objetivos principales para su iniciativa mundial de cumplimiento de la protección de datos personales:

1. Poner el riesgo de US $1.2 mil millones de violar las regulaciones de protección de datos⁴ personales bajo control en la UE y otros países donde la empresa opera.
2. Habilitar y apoyar el crecimiento de los ingresos y una rica experiencia del cliente en el área de soluciones móviles y soluciones conectadas de Internet de las Cosas (IoT) que la compañía ofrece:
   Como los líderes generan valor a través del cumplimiento:

   • Expandir la satisfacción del cliente y construir relaciones de confianza con los clientes
   • Habilitar el crecimiento de los ingresos
   • Reducir el costo de cumplimiento
3. Lograr una reducción en el costo del cumplimiento con una legislación de protección de datos personales. Una forma de hacerlo es utilizando reglas corporativas vinculantes mediante la aplicación de diferentes métodos de cumplimiento, incluida la auto-certificación, con respecto al perfil de riesgo de las aplicaciones informáticas y los sistemas involucrados en el procesamiento de datos personales.

Además, la compañía cree que su responsabilidad global va más allá del cumplimiento normativo. La empresa cuenta con sólidos principios de la realización de negocios de forma ética, sostenible y responsable en todo el mundo. La responsabilidad es el objetivo clave en el centro de gobierno corporativo de la empresa. Esto determina el compromiso de la empresa para establecer y cumplir con los más altos estándares de ética y privacidad, y le permite dar forma al futuro de la industria mediante la introducción de mejores prácticas de mañana hoy.

El objetivo de cada empresa es el cumplimiento, pero también buscarlo de tal manera que sustente el crecimiento y la rentabilidad. Esta no es una tarea fácil, ya que cada empresa se enfrentará a varios retos en un intento de alcanzar el cumplimiento.

Desafíos

El GDPR y reglamentos nacionales de protección de datos personales empujan la necesidad de las organizaciones para desarrollar e implementar marcos de riesgo y cumplimiento que abarcan numerosos departamentos internos, incluyendo legales, de seguridad y de TI, a la vez que se mantenga en conformidad con diferentes legislaciones a través de múltiples jurisdicciones en todo el mundo. Si bien hay diferentes puntos de vista sobre los procesos que las organizaciones globales pueden adoptar para establecer y gestionar los factores de riesgo de regulación y cumplimiento, los desafíos que las empresas necesitan en realidad son muy comunes. Son:

• Complejidad—El volumen y la complejidad creciente del panorama de la regulación de protección de datos personales han cobrado impulso, sobre todo en la Unión Europea, los Estados Unidos y algunos países emergentes. Las empresas globales necesitan cumplir con una variedad de la legislación reguladora a nivel nacional y garantizar el cumplimiento en todas las dimensiones del negocio tales como países, tipos de datos y volúmenes, y varias residencias de procesadores de datos.
• Agilidad y consistencia—Agilidad es un factor necesario. Las leyes y regulaciones cambian constantemente, y el tiempo que toma a los nuevos productos TI llegar al mercado se está reduciendo. El cumplimiento de estos cambios también debe reflejar un período de tiempo condensado para ser eficaz. Las empresas deben dar consistencia a sus estructuras de cumplimiento. Tiene que ser en tiempo real y reflejar con precisión los cambios en las reglas y las nuevas regulaciones. Cada empresa tiene que desarrollar y estar alineados con ciclos rápidos de entrega de los sistemas de TI y productos. El cumplimiento de las nuevas regulaciones significa asegurarse de que múltiples sistemas y procesos múltiples son compatibles, no sólo en la aplicación, pero a lo largo del ciclo de vida de la estructura.
• La capacidad y disponibilidad de los expertos—La falta de experiencia en seguridad de TI y la escasez de expertos en el campo de la protección de datos personales ralentizan y complican el proceso de construcción de los marcos de cumplimiento. Las compañías globales luchan por el limitado número de expertos que pueden conducir programas de cumplimiento de protección de datos complejas y, a menudo experimentan dificultades en la educación de los empleados acerca de la protección de datos personales.

Aunque las empresas se enfrentan a grandes desafíos como la escala, la diversidad geográfica, prioridades y las comunicaciones, las perspectivas de estas empresas no es todo sombrío. Hay ciertos factores que ayudarán a forjar un marco de cumplimiento con una gran oportunidad para el éxito.

Marcos de la vida real

Uno de los ejemplos de las estructuras de cumplimiento exitosas lo demostró una compañía global que introdujo el marco de certificación para garantizar la seguridad y el cumplimiento de las aplicaciones y sistemas informáticos, garantizando así a los clientes, los empleados y clientes de la adecuada protección de sus datos personales y datos corporativos, la autorización a los derechos otorgados por la legislación y el cumplimiento de las normas y políticas corporativas e industriales. El marco fue diseñado para abarcar más de 1.000 aplicaciones de software lanzadas anualmente, que almacenan miles de millones de registros de datos estructurados y no estructurados y son accesados por millones de personas en todo el mundo.

En una etapa temprana del desarrollo del marco, se reconoció que el proceso de cumplimiento debería abarcar exhaustivamente el trayecto de la aplicación a lo largo de todo el ciclo de vida, desde la idea hasta la jubilación y garantizar el concepto y los datos de privacidad por diseño y la protección de datos en cada etapa. El marco se basa en un proceso de cuatro pasos que incluye la evaluación de riesgos, mitigación de riesgos, certificación y auditoría fases posteriores a la certificación (figura 1).

Hay cuatro retos principales en impulsar la adopción del diseño del marco:

1. La complejidad de los entornos regulatorios externos e internos. El marco había tomado más de 200 leyes, políticas, normas y directrices en cuenta y luego simplificarlos en los procedimientos, recomendaciones y controles de evaluación de riesgos aplicables.
2. La madurez inicial de las políticas requirió la participación intensiva de expertos para evaluar el riesgo, guiar a los equipos de ejecución de proyectos en la implementación y aplicar los controles. Este fue un grave impedimento para la ampliación del marco, por lo tanto, el equipo abordó el desafío mediante la aplicación de un enfoque de experimentación. Esto permitió al equipo desarrollar las mejores prácticas y documentarlas en las formas de directrices prácticas para los equipos de entrega de proyectos y los propietarios de aplicaciones.
3. La complejidad de un entorno de TI existente donde se procesan los datos se convirtió en un desafío adicional. Debido a este obstáculo, el equipo puso mucho esfuerzo en aprender sobre la arquitectura existente y los datos de mapeo.
4. La gran escala de implementación del programa, la diversidad geográfica de despliegue y el inconsistente nivel de conciencia sobre la privacidad de los datos entre 2.500 actores clave repartidos en las 24 zonas horarias crearon un desafío significativo para el rápido despliegue del marco.

El marco fue el resultado de un trabajo perfectamente orquestado y consolidado de miembros de equipo de todos los continentes que representan verticales funcionales clave. El equipo ha trabajado sin descanso a través de culturas, idiomas y zonas horarias, a la vez de mantener la concentración en el diseño y la implementación de este marco.

Factor de éxito

Diseño e implementación de programas de cumplimiento varían enormemente. Cada organización debe asegurarse de que el cumplimiento está incorporado adecuadamente en los procesos actuales de la organización. Cuanto más compleja sea la organización, más difícil será para garantizar que los programas o iniciativas de privacidad se integran en, o en toda la organización.

El nivel más alto de integración de un marco de cumplimiento en los procesos existentes de gestión de proyectos y programas garantiza la solidez y exhaustividad de sus controles de redundancia libre. A modo de ejemplo, el marco debe estar en consonancia con los procesos que pueden tener diferentes nombres en las organizaciones, tales como la excelencia del proyecto de extremo a extremo y la gestión del ciclo de vida del desarrollo de software. Esto ayudará a asegurarse de que las aplicaciones de procesamiento de datos sigan el marco para garantizar la seguridad y el cumplimiento en cada etapa del ciclo de vida, junto con los principios de la ejecución de la privacidad por diseño y de seguridad por diseño.

La comunicación es una parte crítica de la integración exitosa del marco en las operaciones de la empresa y la rutina de entrega de proyectos. La comunicación a gran escala del proyecto es un ejercicio desafiante. Para lograr el éxito, los equipos necesitan asociarse con una variedad de partes interesadas, luego diseñar y conducir una campaña de comunicación de ondas múltiples como parte de un proceso de gestión del cambio para aumentar la concientización sobre el marco y educar a los equipos de ejecución de proyectos sobre la privacidad de datos clave y el riesgo de seguridad.

Comunicación apoya la colaboración, que una reciente encuesta de la Asociación Internacional de Profesionales de la Privacidad (IAPP) de 550 profesionales de la privacidad, la información y la seguridad de la información indicó como crítica para abordar las brechas de datos. De hecho, el 90 por ciento de los encuestados consideró la colaboración entre los departamentos de privacidad, seguridad y TI, junto con un fuerte equipo de respuesta a la brecha de datos, lo más importante para mitigar el riesgo de una violación de datos.⁵

El cumplimiento de los problemas de privacidad de datos personales no es únicamente la competencia de los departamentos de TI. Todas las facetas de una organización deben estar comprometidas con la implementación de nuevas reglas y regulaciones e integrar esos nuevos factores en todos los departamentos y en cada nivel de organización de la empresa.

Más allá del cumplimiento

Líderes de la compañía demuestran el liderazgo ético en sus industrias y el uso de la conducta ética como un motor de crecimiento y de diferenciación competitiva. Un marco de cumplimiento puede servir como un componente clave de la cartera mundial de seguridad cibernética y el cumplimiento de las iniciativas. Su objetivo es permitir y apoyar el crecimiento de los ingresos y brindar experiencias impecables, seguras y protegidas para los clientes y los empleados. Mientras que los clientes piden la mejora de la productividad, precisión y eficiencia, las empresas deben responder a esas necesidades a través de relaciones de confianza que garantizan a los clientes y socios el máximo nivel de privacidad de los datos, así como la confidencialidad, integridad y disponibilidad de la información.

Además, los marcos de cumplimiento pueden desempeñar un papel crucial en la reducción de los ciclos de vida de los proyectos y la entrega de productos para apoyar el crecimiento estratégico del negocio en las áreas objetivo del mercado primario de soluciones móviles y ofertas IoT conectadas.

Conclusión

Empresas de todos los tamaños es probable que encuentren que el cumplimiento y la aplicación GDPR no serán fáciles. Requerirá una integración completa y perfecta en los procesos únicos de cada empresa, lo que, a su vez, requerirá énfasis en una comunicación adecuada y educación regulatoria.

La mayoría de las compañías globales ya están buscando construir sólidos marcos de cumplimiento basados en la Organización Internacional para estándares de normalización (ISO)⁶ y están a la espera de la publicación de la ISO/Comisión Electrotécnica Internacional (CEI) 29151: 2015 Tecnologías de la información-Técnicas de seguridad-Código de prácticas para la protección de información de identificación personal⁷ e ISO/IEC DIS 29134: Evaluación del impacto sobre la privacidad-Directrices.⁸

La volatilidad del entorno regulatorio y los cambios geopolíticos rápidos e impredecibles exigen que las organizaciones mundiales tengan marcos de cumplimiento verdaderamente sólidos para abordar los posibles cambios en las necesidades de cumplimiento de la organización, así como requisitos externos. Brexit es un ejemplo perfecto de cómo el Reino Unido que abandona la UE, junto con el GDPR, hará que el cumplimiento sea más difícil para las empresas globales.

Debido a que la salida efectiva del Reino Unido de la UE tendrá lugar después del 25 de mayo de 2018, es importante señalar que las empresas de la UE tendrán que seguir cumpliendo con el GDPR. Todas las empresas que procesen datos de ciudadanos británicos en ese momento deberán cumplir con la legislación del Reino Unido Steve Wood, comisionado adjunto interino en el Reino Unido Oficina del Comisionado de Información (ICO), dice: “El papel del ICO ha implicado siempre en estrecha colaboración con los reguladores de otros países, y que seguirá siendo el caso. Tener leyes claras con garantías en su lugar es más importante que nunca dada la economía digital en crecimiento, y estaremos hablando con el gobierno británico para explicar nuestra opinión de que la reforma de la ley de protección de datos del Reino Unido sigue siendo necesaria”.⁹ En esencia, esto significa que el Reino Unido va a evolucionar las leyes de protección de datos y exigir a las organizaciones que sirven a clientes del Reino Unido para garantizar el cumplimiento, además de la GDPR. Es importante recordar que las normativas de protección de datos personales son en su mayoría diseñados para ayudar a las organizaciones a lograr las mejores prácticas para la protección de datos; en realidad son un buen conjunto de reglas a seguir. Fundamentalmente, la mayoría de los requisitos de cumplimiento de protección de datos personales exige la privacidad por diseño, buenas políticas de gestión de la información, y las medidas de seguridad razonables, procedimientos y tecnologías para minimizar los posibles incidentes de pérdida de datos. Por lo tanto, las organizaciones que han diseñado y desplegado sólidos marcos de cumplimiento con una granularidad razonable de los controles podrán aplicarlos ampliamente, al tiempo que abordarán los posibles cambios normativos y cambiará las necesidades de cumplimiento para proteger con seguridad los datos personales y permitir oportunidades de negocio.

Notas finales

¹ Official Journal of the European Community, www.ojec.com/
² Official Journal of the European Union, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons With Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation),” 4 May 2016, http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
³ Baker and McKenzie, “Preparing for New Privacy Regimes: Privacy Professionals’ Views on the General Data Protection Regulation and Privacy Shield,” April 2016, http://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf
⁴ European Commission, “Protection of Personal Data,” http://ec.europa.eu/justice/data-protection/
⁵ International Association of Privacy Professionals, “How IT and Infosec Value Privacy,” https://iapp.org/resources/article/how-it-and-infosec-value-privacy/
⁶ International Organization for Standardization, ISO/IEC 27018:2014 Information technology—Security techniques—Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, 1 August 2014, www.iso.org/iso/catalogue_detail.htm?csnumber=61498
⁷ International Organization for Standardization, ISO/IEC DIS 29151 Information technology—Security techniques—Code of practice for personally identifiable information protection, 5 July 2016, www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62726
⁸ International Organization for Standardization, ISO/IEC DIS 29134 Information technology—Security techniques—Privacy impact assessment—Guidelines, 18 July 2016, www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62289
⁹ Wood, S.; “GDPR Still Relevant for the UK,” Information Commissioner’s Office, 7 July 2016, https://iconewsblog.wordpress.com/2016/07/07/gdpr-still-relevant-for-the-uk/