La resistencia es inútil:proteger a su empresa del incumplimiento de las normas de protección de datos

David Hodgson de Syncsort

El 25 de mayo de 2018 llegó y se fue, dejando a muchas empresas sin estar preparadas para el nivel de cumplimiento que requiere el Reglamento General de Protección de Datos (GDPR). Incluso con cuatro años de antelación, los tecnólogos de TI responsables de las estrategias de resiliencia empresarial todavía están luchando por agregar nuevas sofisticaciones a la lista de objetivos de protección de datos. Syncsort El Informe sobre el estado de resiliencia de 2018 muestra que la seguridad y la privacidad de los datos son una prioridad para la mayoría de los departamentos de TI, especialmente cuando adoptan plataformas en la nube para recopilar, almacenar y analizar datos, dice David Hodgson, director de productos de Syncsort.

El brazo largo de la ley

Según los autores del RGPD, "el procesamiento de datos personales debe estar diseñado para servir a la humanidad". GDPR se basa y reemplaza la directiva de protección de datos anterior 95/46 / EC y fue diseñado principalmente para unificar y estandarizar las leyes de privacidad de datos en toda Europa. Pero eleva el listón de la privacidad de los datos para las organizaciones tanto dentro de la región como fuera de la región que deseen hacer negocios con países de la UE.

En pocas palabras:sería conveniente que cualquier empresa, en cualquier lugar, reconsiderara sus prácticas de gestión de datos a la luz del RGPD. ¿Sabe qué datos tiene, sobre quién, cómo los usa o comparte con otros? ¿Está debidamente protegido contra robos? La misma encuesta, con casi 6.000 encuestados en todo el mundo, encontró que la mayoría de las empresas todavía están lidiando con estos problemas.

Volviendo a poner al individuo a cargo

GDPR garantiza el derecho de un individuo a saber que una empresa está guardando datos personales sobre ellos, cuáles son esos datos, el derecho a inspeccionarlos y corregirlos y, lo más importante, el derecho a que se eliminen o el derecho al olvido.

El nuevo enfoque comienza con el derecho al consentimiento. Muchas personas han experimentado esto personalmente con empresas que envían correos electrónicos para confirmar la aprobación para conservar datos personales. Ciertamente, a pesar de que los datos son el combustible para muchos modelos de negocios nuevos, los datos ahora también son la nueva piel de plátano que puede causar algunos deslices.

El primer paso es rastrear claramente qué datos tiene, sobre quién y confirmar el consentimiento. Una parte clave de esto es unificar su visión de un individuo a través de diferentes sistemas, bases de datos y fuentes de datos. ¿Es David Hodgson lo mismo que David M Hodgson o son dos personas diferentes? Para lograr esta visibilidad, asegúrese de tener las herramientas adecuadas que puedan entregar y mantener la integridad de los datos.

Las herramientas de calidad de datos que pueden identificar los datos personales y ayudar a mantenerlos precisos, limpios y eliminados son esenciales para lograr el cumplimiento. Igualmente importante es la capacidad de mantener un seguimiento de auditoría de quién ha accedido a los datos personales. Sin embargo, estos requisitos solo se hacen más difíciles en los ámbitos de big data y transmisión de datos.

¿Qué son los datos personales y cómo se pueden utilizar de forma segura?

La difusión de prácticas de recopilación de datos que individualizan rutinariamente nuestras experiencias en línea ha apuntalado la Revolución Digital, pero también ha impulsado las preocupaciones que han llevado al GDPR.

El artículo 4 (1) del RGPD define la información de identificación personal (PII) como datos que identifican, describen o son exclusivos de una persona. Esto incluye lo obvio (nombre, edad y números de seguro social), pero también elementos como direcciones IP e ID de dispositivo y campos de datos cifrados o con hash si su propósito es identificar a una persona.

GDPR requiere que las empresas protejan la privacidad de las personas y aconseja que la mayor parte del procesamiento se realice con la eliminación de identificadores directos para que no pueda haber ningún vínculo con una persona específica. Este concepto se conoce como seudonimización de datos y puede reducir los impactos de las violaciones de seguridad que resultan en el robo de datos.

Construir nuevos sistemas que cumplan con las normas por diseño siempre es más fácil y más efectivo que adaptar las capacidades a los sistemas más antiguos. Las herramientas de anonimización, enmascaramiento y ofuscación deben ser componentes clave en cualquier caso, pero la realidad basada en los costos es que la mayoría de las empresas buscarán herramientas para integrarse fácilmente con los puntos de acceso a datos existentes.

La mayoría de las empresas tienen varias bases de datos y comparten cada vez más datos entre ellas para casos de uso en tiempo real. Estos casos de uso suelen ser impulsores esenciales del crecimiento empresarial de las empresas, pero también son la fuente de vulnerabilidades. Las herramientas que rastrean los datos que se comparten deben hacer frente a la escala y el cambio rápido que permiten estas nuevas arquitecturas.

El futuro siempre llega más rápido de lo que cree

La velocidad del tiempo generalmente nos deja desprevenidos, y esto siempre parece ser cierto en el mundo de las TI. El incumplimiento de GDPR puede resultar en una multa de € 20 millones o el 4% de la facturación global de una organización que no cumple, sin mencionar el impacto en la reputación de la empresa. Ahora que ha pasado la fecha límite de mayo, a menos que las empresas logren el cumplimiento total, es solo cuestión de tiempo antes de que veamos las primeras multas de ejecución.

El autor de este blog es David Hodgson, director de producto de Syncsort