Por Michael Shatter y Jaime Lam, RSM Australia

¿CUÁL HA SIDO EL IMPACTO EN LOS NEGOCIOS DEL MERCADO MEDIO TRAS LAS SECUELAS DE LA TORMENTA GDPR?

Si bien el tema del GDPR ha sido bien comunicado por los asesores en la región de Asia Pacífico, sólo ha habido una pequeña cantidad de organizaciones que uno podría considerar, para estar listo para el GDPR. En la región de Asia y el Pacífico estamos viendo una gran variedad de entidades, tanto del sector público como del privado, que tienen distintos niveles de madurez de cumplimiento con los requisitos del GDPR.

Cuando entró en vigencia el 25 de mayo de 2018, sólo una pequeña minoría de organizaciones en la región podría considerarse totalmente compatible. De hecho, el CIO de NZ informó que, como faltaba una semana para el cumplimiento del GDPR, sólo el 29 por ciento de las empresas en la región de Asia Pacífico estaban listas, según una nueva encuesta global realizada por ISACA.

Las empresas que residen en países con un mayor enfoque en la privacidad y la protección de datos, por ejemplo, Australia, Nueva Zelanda y Singapur, tienen un mayor nivel de preparación y cumplimiento.

Sin embargo, la región en su conjunto está avanzando hacia un cumplimiento lento pero progresivo de los requisitos del GDPR. Hemos visto que las empresas internacionales más grandes en la región requieren que sus subsidiarias contraten a consultores para que realicen auditorías de cumplimiento independientes, con el objetivo de evaluar la preparación y el cumplimiento de los requisitos. Vemos esto como una tendencia creciente que avanza.

En todos los casos, vemos que existe una confianza significativa en la asesoría legal para determinar el nivel de exposición legal y regulatoria al tener que cumplir con los requisitos. Esto es especialmente porque muchas de las entidades pueden no estar tratando directamente con ciudadanos de la UE o haciendo negocios en la UE. Por lo tanto, parece que se ha adoptado un enfoque basado en el riesgo en cuanto a si hay mérito en invertir en proyectos para determinar los niveles de cumplimiento.

¿CUÁLES DE LOS PRINCIPIOS GDPR HAN SIDO MÁS DESAFIANTES PARA LAS ORGANIZACIONES?

Todos los principios tienen sus propios desafíos dentro de la región Asia Pacífico, algunos más que otros. El único desafío clave que enfrenta la región es mantener seguros los datos personales.

Al mantener seguros los datos personales no podemos separarlos en países y/o regiones. Los datos son valiosos y atraviesan fácilmente el ecosistema digital. Hemos visto un aumento en la cantidad de actividades alrededor de las violaciones cibernéticas en la región.

El informe de riesgo global del Foro Económico Mundial 2019 ha calificado los ciberataques y las violaciones de datos como el cuarto y quinto riesgo más serio que enfrenta el mundo actualmente. Este es el segundo año consecutivo en que estos riesgos se han presentado en la lista de los 5 principales riesgos. Para combatir estos riesgos, en septiembre de 2018, 10 miembros del bloque ASEAN acordaron 11 normas de conducta voluntarias y no vinculantes para fortalecer la ciberseguridad.

Muchos clientes del mercado medio aún no han realizado pruebas de su resistencia cibernética o han identificado áreas de exposición. Sin embargo, estas empresas tienen un nivel material de confianza en la seguridad para proteger sus operaciones y sus datos.

Otro principio desafiante incluye no mantener los datos por más tiempo del requerido. Esto es un resultado de la integración de datos en múltiples sistemas utilizados para diversos propósitos. Dado que la mayoría de los sistemas no se han desarrollado teniendo en cuenta el cumplimiento de GDPR, esto se traduce en estructuras de retención de datos que se profundizan en aplicaciones críticas para el negocio. En consecuencia, el esfuerzo y el gasto para remediar este principio es costoso y complejo.

GDPR Y LAS OPORTUNIDADES EN EL CAMBIO

La intención del GDPR es armonizar y mejorar la protección de datos en toda la UE. Obviamente, esto ha tenido repercusiones en todo el mundo, incluida la región de Asia Pacífico.

Cuando se compara con los requisitos de privacidad locales de Asia Pacífico (legislación/reglamentación/orientación), el GDPR requiere un nivel significativamente mayor de actividad de cumplimiento. Esto significa que los procesos y controles organizacionales, de hecho, se fortalecen para considerar no sólo los derechos de los ciudadanos europeos, sino que en realidad cambian el enfoque para centrarse más en los datos. Entonces, ¿por qué esto es positivo? Cada organización en todo el mundo está estudiando cómo mejorar la resistencia y seguridad de su información para proteger a sus clientes y usuarios. Centrarse en los datos para cumplir con un estándar más alto de gobierno y seguridad sólo puede mejorar la postura de seguridad de cualquier organización.

Con el GDPR destacando el gobierno de los datos, la seguridad y la gestión de violaciones, las organizaciones están siendo motivadas a repensar el concepto de "privacidad por diseño".

¿QUÉ HAY EN EL HORIZONTE PARA LA PROTECCIÓN DE DATOS?

Sería poco realista esperar una dilución o simplificación de los requisitos de privacidad y gobernabilidad de los datos. La seguridad de los datos, el control y la propiedad no son problemas desafiantes para una región del mundo más que para otras. Más bien, vemos que a medida que el mundo de los negocios se vuelve más pequeño debido a la conectividad de los datos y los avances tecnológicos, la armonización es la expectativa del sentido común.

Teniendo en cuenta la necesidad crítica de aumentar la seguridad de los datos, la privacidad y la propiedad de los datos, los estándares más altos para la gestión de datos se convierten en una obligación más que en un lujo.

Para trabajar en una economía de colaboración global, las organizaciones deben poder sintetizar los requisitos de gestión y control de datos de una región a otra. Por lo tanto, puede ser estratégica y operacionalmente valioso realizar una evaluación comparativa de los sistemas y procesos actualmente implementados en comparación con las evaluaciones comparativas más altas, como el cumplimiento con el GDPR.

Para obtener más información sobre la legislación de GDPR y consejos sobre cualquier capacitación relevante de GDPR, contáctenos.