El nuevo GDPR (Reglamento general de protección de datos; consulte el documento completo aquí ) emitido por la UE a principios de este año plantea muchas preguntas entre los responsables de cumplimiento y privacidad. ¿Quién está obligado a cumplir con el RGPD? ¿Se espera realmente que las empresas renueven toda la forma en que manejan la privacidad de los clientes?
¿Qué es exactamente el RGPD?
La palabra «GDPR» parece crear una sensación de frustración entre los responsables de cumplimiento y privacidad, algo comprensible.
El GDPR (Reglamento General de Protección de Datos), emitido por la UE a principios de este año, cambia por completo la forma en que las organizaciones manejan los datos confidenciales de sus clientes. Teniendo en cuenta que algunas empresas tienen docenas o incluso cientos de aplicaciones que contienen datos confidenciales, esto tendrá un gran impacto en su presupuesto y planes para.
Pero, ¿realmente se espera que las empresas renueven toda la forma en que manejan el procesamiento y los datos de los clientes en menos de dos años?
Bueno… no necesariamente.
Con una comprensión más profunda del RGPD, es posible estar preparado para el RGPD antes de que entre en vigor oficialmente y sin reconstruir por completo la forma en que la organización maneja la información de los clientes.
Lo primero que hay que entender sobre el RGPD es que, esencialmente, tiene como objetivo proteger los datos, principalmente personas e información privada obtenida como parte de la actividad comercial. Esto significa, ante todo, que cualquier organización debe cumplir con el RGPD si tiene información privada sobre personas de la UE.
Sí, incluso si la organización en sí no tiene su sede en la UE.
En segundo lugar, el propio reglamento GDPR se centra en gran medida en los procesos aplicados al procesamiento de datos personales.
El RGPD ordena a las organizaciones que se aseguren de que los datos personales procesados (o vistos) se mantengan y conserven únicamente para el propósito original, y que los interesados hayan dado su consentimiento explícito.
Para garantizar que se cumplan todas las pautas, la regulación requiere la construcción de procesos que garanticen que todos los datos se manejen adecuadamente. /
La organización está obligada a eliminar los datos cuando no sean necesarios o cuando el interesado lo solicite explícitamente.
Además de los procesos de manejo de datos privados que las organizaciones deben construir, hay varios otros dominios que deben abordar técnicamente para proteger los datos de forma predeterminada y por diseño.
Por ejemplo, gestión de identidad y acceso, seudonimización/cifrado, eliminación/borrado (el derecho al olvido) y más.
Soluciones requeridas
Naturalmente, sin una solución adecuada, las organizaciones tendrían que realizar grandes cambios en sus aplicaciones para aplicar controles adecuados de identidad y acceso, gestión de permisos y auditoría completa, de modo que todos los datos confidenciales mantenidos en sus sistemas estén protegidos y auditados completamente al nivel requerido. Esto sería realmente frustrante, por decir lo menos.
Alternativamente, la solución GDPR ideal permitiría el pleno cumplimiento de los requisitos en los dominios anteriores, con cambios mínimos, por lo que es relativamente fácil de implementar, no requiere una renovación completa de la infraestructura de las aplicaciones y el negocio, y se implementaría rápidamente para Las organizaciones pueden cumplir a tiempo, sin riesgo de ser multadas.
Efecto en la industria de la ciberseguridad
Una nota final: la implementación del RGPD requiere recursos sustanciales y atención gerencial. Se espera que centrarse en el cumplimiento del RGPD desvíe recursos y atención de la adquisición de productos de ciberseguridad “clásicos” y, como resultado, prevemos que las empresas de ciberseguridad más pequeñas enfrentarán mayores dificultades para vender a organizaciones de la UE en los próximos años: la atención y la voluntad de examinar y comprar nuevas soluciones simplemente estará en otra parte.
Esta es una publicación invitada de Elad Koren, CISSP, vicepresidente de gestión de productos en SecuPi