Gdpr es troba a 1 dia: sabeu on es troben les vostres dades?

Per a moltes empreses, especialment per a les empreses petites i mitjanes empreses (PMB), la ubicació real de les seves dades pot ser un misteri. Suposem, per exemple, que esteu executant un clúster de servidors basat en núvol situat a la regió de Virgínia del Nord que pertany a Amazon Web Services (AWS). Això vol dir que les vostres dades es troben al nord de Virgínia, oi? Bé, sí, probablement. Però diguem que fas negocis amb empreses o particulars a Europa. Aleshores, les dades sobre aquestes entitats probablement també es trobin en aquesta regió. I en molt poc temps, això pot ser un problema.

El divendres 25 de maig entra en vigor el Reglament general de protecció de dades (GDPR) de la Unió Europea (UE). En aquest moment, la vostra empresa es troba sota la normativa imposada per la UE que cobreix els nous requisits per a la protecció de les dades personals dels ciutadans. Tot i que no esteu ubicats a Europa, la vostra empresa segueix amb aquestes regulacions si teniu dades personals sobre els residents de la UE. El problema és que, fins i tot si penseu que es tornen a recuperar les dades a la vostra ubicació corporativa dels Estats Units, es mantindrà millor protegida, és possible que no us permeti emmagatzemar aquestes dades als Estats Units.

És més important que, a part de GDPR, hi ha altres regulacions sobre fluxos de dades transfrontereres que també cal tenir en compte. Això es deu al fet que les dades d’un ciutadà de la UE (o algú que viu a la UE que no sigui ciutadà) passin per un altre país en el camí pot ser problemàtic. Això vol dir que necessites saber més que allà on l’emmagatzemen: heu de saber cap a on passa el camí entre vosaltres i allà on passa el vostre client o empleat.

No vaig a entrar en les sancions draconianes que us poden esperar si incompleix les regles del GDPR perquè s'han esboçat en aquesta columna i en molts altres llocs del passat. Per tant, diguem-ne que no voleu que se us apliquin aquestes penalitzacions.

7 Camins cap al compliment de GDPR

Però sempre que es facin algunes mesures preventives, no haureu de preocupar-vos de cap sanció. Hi ha algunes coses força fàcils per fer per evitar problemes. A continuació, en presenten set, amb la finalitat de fer més fàcil i més difícil de fer.

No recopileu informació personal de persones de la UE. Si el vostre lloc web té la possibilitat que algú empleni informació personal (el seu nom i adreça, per exemple) en el procés de registre al vostre lloc web, no accepten registres de la UE o no els accepteu.

Si heu d’acceptar informació personal de persones de la UE (potser perquè teniu un lloc web de comerç electrònic que ven coses allà), tingueu les dades emmagatzemades en un servidor núvol situat a les fronteres de la UE. Sovint, es tracta simplement de configurar un clúster de servidors de infraestructura com a servei (IaaS) mitjançant el lloc web europeu del vostre proveïdor de núvol actual. Alternativament, finançar un compromís breu amb els serveis professionals de la majoria dels proveïdors de núvol els permetrà que s’encarreguin d’aquesta tasca. No només això, però si teniu la sort de relacionar-vos amb els seus consultors europeus , probablement també tindreu proves certificades i la documentació adequada.

Tot i que hi ha vegades que podeu traslladar dades als EUA o a alguns altres països d’Europa, hi ha límits. Als EUA es basen en la protecció de la privadesa, que és un acord entre els EUA, la UE i Suïssa que especifica els requisits de protecció de les dades que circulen entre els EUA i aquests països. És probable que la vostra organització certifiqui que compleix els requisits de protecció de dades de GDPR, però la legislació de la UE és tal que la recollida i retenció de dades es limita només a allò que es necessita per realitzar la tasca immediata. Això significa que algú que tingui coneixement dels detalls de GDPR segueixi els diversos fluxos de dades. Tot i que tediós, aquesta és l’única manera d’assegurar-vos que compliu.

Si heu de processar dades, ja siguin a la UE o als Estats Units, haureu de complir els requisits específics, inclòs tenir algú anomenat com a responsable de protecció de dades (DPO). També haureu d’organitzar un flux de treball dedicat a l’eliminació de dades quan ja no calgui, i això pot resultar especialment complex perquè una part d’això s’assegura que podeu eliminar la informació personal de qualsevol que demani que s’oblidi. Francament, aquesta és una altra raó per pensar dues vegades sobre com emmagatzemar informació sobre persones de la UE.

Si realment heu de fer negocis a la UE, probablement haureu de pensar en tenir-hi presència en lloc d’un simple compte de núvol amb un servidor o servei d’intercanvi de fitxers de qualitat empresarial a Europa. Potser voldreu involucrar una empresa per gestionar els vostres assumptes a Europa o potser voldreu obrir una oficina, ja que el personal de professionals i consultors de GDPR serà més senzill per aquest costat de l'estany, sense mencionar que simplement feu negocis europeus en un post-GDPR el món serà inherentment més fàcil a Europa que en qualsevol altre lloc.

Si obre una oficina, els empleats a Europa també han de tenir la seva informació segons les regles de GDPR. Si bé podeu tenir registres d’empleats als Estats Units, haureu de seguir les regles, inclosa la no informació que no sigui estrictament necessària perquè un empleat faci la seva feina. També haureu d’obtenir permís de l’empleat per emmagatzemar informació personal (potser així pot obtenir el seu pagament), però el vostre DPO haurà d’avaluar totes les dades emmagatzemades per assegurar-vos que es requereix alguna cosa. Per exemple, no podeu demanar la seva fotografia tret que hi hagi algun motiu, i heu de donar una justificació molt específica de com s’utilitzarà. I s'ha de permetre que l'empleat declivi sense repercussions.

Ara, per la part complicada: el departament informàtic ha de poder determinar on es troben les dades protegides en tot moment, on van mentre s’utilitzen, on s’emmagatzemen i com es protegeixen. Només per dir que no és suficient al vostre servidor de núvol a Irlanda; els vostres usuaris hauran de saber com arriba a aquest servidor, què li passa quan s’utilitza i com es protegeix, en detall. La vostra millor aposta és contractar experts que ho facin per tu, almenys els mapatges inicials i la selecció d’eines de gestió que mantindran aquesta informació. El PDA i el personal de suport eventualment seran necessaris, però a curt termini, la majoria de les empreses farien bé com a mínim contractar un consultor amb experiència verificable.

Pels procrastinadors

Per descomptat, no és un tema massa fi, però ja ho hauríeu d'haver fet. Tot i així, la realitat del dia a dia del negoci és el que són, el més probable és que molts de vosaltres que llegiu això no ho facin. Així que ara que la data us correspon bàsicament, comenceu per saber com a mínim on es troben les vostres dades. I si no és on se suposa que sigui, mireu el punt número 1 més amunt fins que no ho hagueu assabentat.

Mentre feu aquest treball, és una bona idea publicar un formulari de consentiment abans que qualsevol pugui accedir a la part del vostre lloc web que sol·liciti informació personal. Sagara Gunathunge, vicepresidenta del projecte Apache Web Services i directora de WSO2, ofereix alguns exemples de formularis de consentiment disponibles per a diversos propòsits. Però recordeu que heu de fer un seguiment de qui emplena aquests formularis perquè pugueu mostrar un enllaç directe a la informació que heu recollit i si es guarda a la UE o en qualsevol altre lloc. Assegureu-vos de fer una redacció clara, precisa i dir exactament el que passa a la informació que recopileu. Sí, és un dolor al coll. Però l’altra opció és l’opció 1.