Gdpr comença avui! què cal saber

A partir d’avui, 25 de maig de 2018, la legislació general del Reglament de protecció de dades (GDPR) de la Unió Europea (GDPR) es convertirà efectivament en dret global quan es tracta de preguntes sobre com han de ser gestionades les dades personals per part de les empreses. Si bé podríeu pensar que una llei de protecció de dades ratificada a Europa s'aplicaria només als europeus, us equivocaríeu. Això és degut a que GDPR protegeix tots els ciutadans de la UE, sigui on visquin i no importa amb qui facin negoci, cosa que significa que les empreses nord-americanes amb clients de la UE estan totalment sotmeses als requisits de GDPR i, el que és pitjor, a les penalitzacions. Pitjor perquè, segons un informe recent de Crowd Research Partners, només el 7 per cent de les empreses estan en vies de conformitat amb el GDPR fins a la data límit d’avui.

I, tot i que hi ha mesures que podeu fer fins avui, perquè la vostra empresa sigui almenys una mica GDPR segura, assolir el compliment total no és un projecte lleuger. Els processos de recollida de dades han de ser rellevants per a l’ús de les dades per part de l’empresa (per exemple, les dades de compra del consumidor, però no les dades d’historial mèdic per a les empreses de comerç electrònic). Les empreses han d’estar disposades i capaces d’explicar exactament quines dades s’han recollit i per què. Les pràctiques de seguretat han de demostrar una clara capacitat de protecció contra la pèrdua, els danys i la destrucció i les dades no han de contenir-se més del que sigui necessari. Qualsevol empresa que incompleixi la normativa estarà sotmesa a una baixa del 4 per cent dels seus ingressos anuals.

"Aquest no és un conjunt de normes i regulacions inútils", va dir Ankur Laroia, líder de solucions estratègiques del proveïdor de sistemes de gestió de la informació Alfresco. Laroia posa de manifest que diverses qüestions dins dels estatuts normatius dificultaran el compliment de les empreses. Per exemple, alguns temes inclouen regles escrites de manera abstracta per què es recopilen dades, superar els requisits de rentat de dades del client quan se’ls sol·licita i la necessitat d’algunes empreses de renovar totalment els procediments de seguretat només amb l’objectiu d’assegurar el seu compliment. Tot i així, Laroia no creu que la UE faci malbé.

"La UE anirà després dels infractors", vaticina. "Si s'hagués promulgat això, Equifax hauria tingut molts problemes".

GDPR, tot i que se centra sobretot en els ciutadans de la UE, també presenta un escenari de malson per als propietaris de negocis nord-americans., es desglossarà el que han de saber els nord-americans per començar el viatge cap al compliment de GDPR.

1. Les empreses americanes hauran de complir

Si la vostra llibreria mamà i mai no ha enviat mai cap paquet fora de la vostra ciutat natal, probablement no haureu de preocupar-vos del GDPR. Tanmateix, si teniu fins i tot un client basat en la UE, haureu de començar immediatament el procés per complir el GDPR. Segons els estatuts, cal protegir les dades del ciutadà de la UE i haureu de proporcionar al ciutadà aquestes dades si ho sol·licita. Més important encara, pot ser que se us demani que elimineu les dades dels vostres sistemes si i quan el ciutadà realitza la sol·licitud. Si no ho teniu i el guàrdia de GDPR s’assabenta, perdreu el 4 per cent dels vostres ingressos anuals.

"Tot i que és una directiva de la UE, afecta qualsevol empresa de tot el món que tingui residents a la UE com a clients", va dir Pete Lindstrom, vicepresident de recerca en seguretat de l'IDC. "Si teniu camps d'adreces i són una adreça europea, probablement es consideraran europeus".

No hi ha cap distinció entre una empresa amb seu a la UE o en una ciutat com Skokie, Illinois. En canvi, la llei se centra en la informació d'identificació personal (PII) i on resideix la persona associada a les dades. Qualsevol que tingui qualsevol tipus de dades de PII sobre un client europeu haurà de complir.

Encara que la vostra empresa tingui uns quants clients basats en la UE, és molt poc probable que la vostra llibreria local sigui auditada pels vigilants de GDPR. Però les grans empreses, com Facebook i Yahoo, no podran reclamar la fidelitat nord-americana com una forma de contraposar el GDPR.

"Si ets una mare i un pop i tens un incompliment, és legalment responsable", va dir Laroia. "És difícil dir si realistes vindran després de tu… cada estat membre de la UE tindrà una oficina de compliment. Aquesta oficina començarà a demanar el règim de compliment de tothom. Crearà un inventari d'empreses que desenvolupen negocis en les seves geografies. Van a comprovar per primera vegada els nois més grans i començaran a fer-se preguntes ".

Les empreses nord-americanes que no compleixen no haurien d’esperar que el govern dels Estats Units els blindés quan els estats de la UE recolzats per GDPR intentin cobrar els ingressos perduts. "El govern dels Estats Units es veu obligat a assegurar-se que es facin complir aquestes sentències", va dir Laroia. "Encara no s'ha de veure si els fan complir, però el govern de la UE haurà de lluitar".

2. 25 de maig Mitjana 25 de maig

Tot i que la regulació entra en vigor avui, 25 de maig de 2018, la llei ha estat ratificada pel Parlament de la UE el 14 d’abril de 2016. Això significa que, pel que fa a la UE, les empreses han tingut molt temps per posar en pràctica les pràctiques que respecten el GDPR.. Per tant, si demà la vostra empresa pot afectar un gran ciberataque i les dades que heu recollit sobre clients, visitants del lloc web i fins i tot els socis surten a la nefesta web fosca, no podreu reclamar "temps insuficient" com a excusa per divulgar dades de ciutadans de la UE.

"Els estatuts van entrar en vigor", va dir Laroia. "Ja se us pot demanar que mostreu el vostre viatge conforme. Ja us heu inventat? Quin és el vostre protocol perquè un ciutadà de la UE us pregunti sobre les vostres dades? Es pot demanar aquesta informació a aquestes empreses ara mateix. Començaran a multar l'any que ve si no poden demostrar compliment després de maig ".

3. No esperis una extensió

A diferència de la majoria de les batalles de regulació legal que tenim als EUA (per exemple, la neutralitat neta), ningú de la UE va intervenir el 24 de maig de 2018 per desafiar GDPR i ajornar el reglament indefinidament. Els europeus volien això i ara ho tenen.

"Aquesta és la bellesa de la forma en què s'ha establert la normativa", va dir Laroia. "Com que van donar a les empreses a un any que justifiquessin la seva actuació, no hi ha hagut cap desafiament des d'una perspectiva litigiosa. Si anéssim a veure això, ja hauria passat. Podria algú fer-ho després de ser demandat? Estic segur que ho intentaran, però en aquest moment els semblarà mal."

4. Què heu de fer per complir

Segons el reglament, haureu de posar a algú encarregat de gestionar el procés de compliment. Aquesta persona, que la llei GDPR considera el "Responsable de Protecció de Dades" (DPO), serà la persona responsable de dirigir l'equip de supervisió de GDPR a través de les formes en què la vostra empresa ha assegurat les seves dades. Aquesta persona també serà l’encarregada d’agrupar les diferents línies de negoci de la vostra empresa per produir una metodologia per aconseguir i mantenir el compliment de GDPR.

En poques paraules, els deures de la DPO es desglossen en quatre categories clau:

• En primer lloc, han de tenir prou familiaritat amb els detalls de GDPR per actuar com a persona puntual no només per al procés inicial de compliment, sinó per a totes les preguntes de maneig de dades relacionades amb GDPR en el futur, i certament prou perquè puguin plantejar preguntes per part dels dos majors. executius i operadors informàtics de gestió de dades sobre el terreny.
• En segon lloc, han de ser capaços de controlar tots els processos de maneig de dades en curs de la vostra organització i avaluar-ne l'efectivitat en matèria de seguretat de dades personals.
• En tercer lloc, han de tenir capacitats d'auditoria i supervisió sobre qualsevol àrea del vostre negoci que pugui afectar GDPR i avaluar-les per al compliment regularment.
• I, per últim, han d’estar en contacte amb les autoritats de GDPR per a la vostra indústria, cooperar amb elles i actuar com a persona puntual per a les peticions que provenen d’aquesta autoritat.

Tot això es refereix a una persona que entén els fluxos de dades i les mesures i tecnologies de protecció de dades, a més de conèixer els detalls de la legislació de GDPR, sinó també conèixer la legislació de la UE relacionada i rellevant, com la Directiva sobre privadesa electrònica. La possible manca d’aquestes habilitats ha creat una oportunitat de camp verd per a consultories empresarials i informàtiques, però, si voleu desenvolupar aquest talent intern, una bona aposta és buscar recursos d’aprenentatge en línia europeus anglòfons, molts dels quals han desenvolupat cursos de DPO GDPR per a aquest propòsit. A més, hi ha organitzacions multinacionals de la indústria, com la International Association of Private Professionals (IAPP), que ofereixen cursos i certificacions de formació GDPR.

Per obtenir més complements, haureu d’utilitzar almenys un mètode de xifrat per a servidors físics, emmagatzematge adjunt a la xarxa (NAS), discos i unitats i accés a la xarxa. Haureu de verificar la identitat dels empleats i instituir l'autenticació multifactor (MFA) quan accedeixi a PII i per a transaccions que incloguin dades PII. Haureu de retallar qualsevol pràctica que accedeixi o processi les dades amb finalitats no autoritzades, controli i verifiqui constantment les dades per tal de garantir-ne la rellevància, i esborri de forma completa i irreversible les dades dels clients quan se’ls sol·liciti. Les organitzacions hauran de fer avaluacions completes de risc i treballar amb els socis, especialment els connectats a través d’interfícies de programació d’aplicacions (API), per assegurar el seu compliment continu.

Finalment, si es trenquen les dades de l’organització, haureu de notificar immediatament al supervisor associat de GDPR per descriure l’incompliment i les seves conseqüències completament. Haureu de comunicar als clients afectats les ramificacions de la violació.

5. Clients dels EUA

Laroia va dir que és, en definitiva, un bon sentit empresarial protegir i ser bons administradors de la informació del client. "Cal mirar-ho des del punt de vista del client final", va dir Laroia. "Són la raó per la qual aquestes empreses estan en el negoci. Sí, tot i que és dolorós per al negoci, les empreses no han invertit en tecnologia ni han seguit el ritme de la innovació".

Malauradament, no hi ha reglaments similars als EUA. Les empreses que desenvolupen negocis a Nova York en virtut dels requisits de ciberseguretat en el departament de serveis financers de Nova York. Aquest reglament exigeix ​​que les empreses de Nova York implementin i mantinguin una política o polítiques escrites, aprovades per un oficial o el consell d'administració de l'entitat coberta (o un comitè adequat d'aquest) o un òrgan de govern equivalent. Aquestes polítiques i els procediments de l’entitat coberta per a la protecció dels seus sistemes d’informació i informació no pública emmagatzemats en aquests sistemes d’informació, d’acord amb la llei escrita.

Altres estats, com Colorado, han discutit la implementació de regulacions similars. Tanmateix, no hi ha cap llei federal federal. Però Laroia és optimista, que serà als EUA. "Els nord-americans no tenen aquests drets", va dir. "Però dóna-li cinc anys."