Por Steven Vermeulen, Bélgica; Sheila Pancholi, Reino Unido; Rien Hommes, Países Bajos, y Terry McAdam, Irlanda.

¿CUÁL HA SIDO EL IMPACTO EN LOS NEGOCIOS DEL MERCADO MEDIO TRAS LAS SECUELAS DE LA TORMENTA GDPR?

Con la entrada en vigor del GDPR, Sheila Pancholi, socia asesora de riesgos en el Reino Unido presenció el hecho de que muchas organizaciones del mercado medio abandonaron los preparativos para el cumplimiento de GDPR a finales de 2017 y principios de 2018. Esto dio lugar a pánico de último momento y problemas para buscar apoyo profesional externo a medida que la demanda del mercado de soporte especializado se saturó. Dada la compleja naturaleza del GDPR y el hecho de que este era un régimen completamente nuevo para la regulación de la protección de datos, fue difícil para una organización decir con confianza que estaban "listas" o "conformes" para la fecha límite del 25 de mayo de 2018.

Rien Hommes, socio asesor de riesgos en los Países Bajos estuvo de acuerdo y dijo: "De hecho, cuando el reglamento entró en vigencia en los Países Bajos, casi ninguna organización estaba totalmente preparada para el GDPR". Continuó diciendo que "... se iniciaron muchos programas para hacer un balance de lo que aún queda por hacer. Esto siempre resultó ser más de lo que se había estimado inicialmente”. Según Hommes, las razones detrás de la falta de preparación eran que se necesitaban múltiples habilidades y experiencia. Esto incluía habilidades tales como conocimiento legal, habilidades de TI y experiencia organizacional. En última instancia, esto significó que, en general, las soluciones no han demostrado ser tan simples como se estimó originalmente. Un año después de la introducción del GDPR, Hommes advirtió que "estamos viendo gradualmente la caída del polvo desde la primera implementación".

En Irlanda, el nivel de preparación para GDPR varió enormemente, sobre todo en el momento en que la nueva regulación entró en vigencia. Terry McAdam, socio de RSM en Irlanda, observó: "Muchas empresas en los sectores de servicios de salud y servicios financieros invirtieron una cantidad significativa de fondos y tiempo para cumplir con las exigencias posibles". Sin embargo, McAdam continuó diciendo que "...muchas organizaciones del mercado medio estaban mucho menos preparadas cuando el GDPR entró en vigor el 25 de mayo de 2018, al igual que algunos organismos del sector público". Este escenario dio lugar a una gran demanda de servicios relevantes a principios del verano de 2018. Curiosamente, la tormenta apenas ha pasado, ya que esta posición en Irlanda se ha mantenido durante gran parte de 2019. De acuerdo con McAdam y su equipo, aún les están pidiendo ayudar a varias empresas pequeñas, medianas y grandes en el mercado medio para aumentar su cumplimiento con el nuevo estándar de protección de datos o bien, para responder a las consultas de clientes y empleados. También están viendo un aumento en el apetito de aquellos que ya tienen establecido un régimen de cumplimiento, a que se revise su operación, particularmente a la luz de las tendencias que surgen con respecto a las prácticas de protección de datos, ahora que el GDPR ha estado in situ durante un año.

Mientras que Irlanda vio un aumento en la mejora de las prácticas de protección de datos y la preparación para el futuro, Bélgica cuenta con una historia completamente diferente. Steven Vermeulen señaló que, aunque el GDPR entró en vigencia con altas expectativas, la comisión en Bélgica no pudo obtener suficientes profesionales capacitados en protección de datos para realizar las comprobaciones necesarias en las organizaciones. El resultado es que sólo se han completado unos pocos controles y hasta la fecha no se han aplicado multas en Bélgica. El efecto en cadena de esto ha significado que ahora hay un interés decreciente en el GDPR. De hecho, Vermuelen continuó diciendo que "todos están ahora hartos de la palabra GDPR".

Sin embargo, a pesar de las connotaciones negativas que ha tenido el acrónimo, Vermeulen también reconoció que existe un mayor interés en la protección de datos. Hasta que los negocios no tomen en serio el impacto en TI y sus sistemas, no habrá el cambio necesario para garantizar que cumplan con los requisitos del GDPR. Con un nuevo Presidente designado para la comisión, una vez que esté funcionando como debería, es probable que haya otro resurgimiento de intereses para fines de 2019.

LOS PRINCIPIOS GDPR MÁS DESAFIANTES PARA LOS NEGOCIOS

En el Reino Unido, Shelia Pancholi ha observado que los negocios que tienen grandes volúmenes de datos personales y los comparten fácilmente con otros externos encuentran difícil establecer estos principios. El descubrimiento de datos personales y la determinación de cuáles pueden ser almacenados y por cuánto tiempo ha sido complejo y agotador para muchos negocios. Otro factor también ha sido debido a los cambios significantes en las responsabilidades de los controladores y procesadores de información. Identificar terceros con quienes es compartida la información y los controles empleados por estos ha sido desafiante. Establecer nuevos términos contractuales lleva tiempo, entradas de especialistas legales y cooperación de todos los involucrados. Para muchos negocios del mercado medio de Reino Unido, ha sido un ejercicio costoso e incómodo.

Cómo trabajar con proveedores externos también ha sido un reto clave en los Países Bajos. Hommes señala: “Muchas de las empresas con las que he trabajado en el último año han experimentado problemas con la responsabilidad de privacidad en la cadena con sus socios comerciales”. La razón detrás de esto es que muchos proveedores enviaron a sus clientes un contrato de procesamiento para minimizar su responsabilidad por la privacidad.

Hommes indica que "a los controladores les resultó difícil asumir esta responsabilidad, especialmente si se produjo una fuga de datos con sus socios de la cadena de suministro, lo que significaría la necesidad de informar a las autoridades y partes interesadas".

En Irlanda muchas empresas en el mercado medio continúan revisando y actualizando periódicamente el contenido de sus declaraciones de privacidad, ya sea en la web o en material impreso. Según Terry McAdam: "les resulta realmente difícil definir sus prácticas de manejo de datos de una manera transparente pero concisa y frecuentemente buscan apoyo". Esta posición parece exacerbarse cuando se encuentran administrando datos personales para una variedad de propósitos diferentes y particularmente, cuando se comparten dichos datos con terceros.

El sector público en Irlanda ha enfrentado una serie de problemas al tratar de cumplir con el régimen actualizado de protección de datos. La gran extensión de sus registros históricos en papel significa que rara vez confían en que han descubierto todos los datos personales bajo su control, mientras que la escala de su base de usuarios de servicio hace que la gestión del consentimiento sea casi imposible sin el despliegue de tecnologías de autoservicio.

Para las empresas en Bélgica, el mayor desafío sigue siendo cómo detectar violaciones de datos. Con el GDPR existe la obligación de notificar a las autoridades dentro de las 72 horas siguientes, sin embargo, en realidad la detección de una infracción puede llevar mucho más tiempo que ese. El remedio para esto es llevar a cabo una auditoría de TI, pero Vermeulen está viendo que "con demasiada frecuencia las empresas rechazan un análisis de vulnerabilidad completo, por temor a lo que pueda encontrarse".

Las empresas suelen optar por una exploración de vulnerabilidad leve, temen que sus sistemas se caigan, pero dejándolos más expuestos al riesgo de un ciberdelito y la posible pérdida de datos. Existe una cierta ironía en el hecho de que si estas empresas decidieran realizar un análisis de vulnerabilidad completo, esto proporcionaría un conjunto claro de acciones de lo que debería hacerse para proteger los sistemas de TI a fin de eliminar riesgos de una violación de datos. Además, esto agregaría el beneficio de poder demostrar que se han realizado todos los esfuerzos para cumplir con el GDPR en caso de una infracción.

GDPR Y LAS OPORTUNIDADES EN EL CAMBIO

En los Países Bajos, Hommes observó: “El GDPR generalmente se considera como otra carga administrativa. Sin embargo, a menudo vemos que configurar un proceso correctamente también proporciona claridad y puede hacer que el proceso sea mucho más claro. He visto que la cantidad de datos contaminados disminuyó dramáticamente en los clientes donde implementamos mejoras de procesos".

Desde la perspectiva del Reino Unido, Pancholi es pragmático y dice: "Con el aumento de los canales digitales, la conectividad y el ciberdelito, la privacidad de los datos se convirtió en un problema mucho antes de que GDPR entrara en vigor en mayo de 2018". El GDPR simplemente ha reforzado y fortalecido las reglas.

La buena gobernanza de los datos requiere una alineación efectiva entre las personas, los procesos y la tecnología. Bajo el GDPR esto incluye:

  • Políticas y procedimientos para la gestión de datos, seguridad, protección y retención
  • Educación y concientización de los usuarios regulares, incluida la capacitación de iniciación y actualización para el personal en todos los niveles de la organización
  • Sistemas que admitirán la seguridad de los datos, la separación de tareas, el marcado de protección, el almacenamiento de datos y los procesos de retención

En Irlanda, McAdam cree que el advenimiento del GDPR en Irlanda ha sido un catalizador para que muchas organizaciones revisen críticamente todos los datos que poseen y sus razones para hacerlo. Esto ha llevado a que los proyectos se encarguen a reducir, de manera controlada, el volumen de datos (no sólo datos personales) retenidos, al tiempo que se garantiza la calidad de los datos retenidos. Como resultado, se habilita un mejor servicio al cliente y los datos presentados a los tomadores de decisiones son más confiables. "También estamos viendo un interés renovado en los proyectos centrados en la gestión de registros y los beneficios del mercado que se acumulan para que las entidades obtengan la acreditación en esta área", aconseja McAdam.

Para Bélgica, ahora hay algo de apatía al hablar sobre el GDPR. Sin embargo, Vermeulen ha encontrado y declarado: "Si les dice acerca de la protección de datos, están interesados". Esencialmente, es lo mismo.

Tras la entrada en vigor de GDPR, las empresas en Bélgica están cada vez más interesadas en ISO 27001, una norma de seguridad internacional que establece requisitos para implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI). Un marco de políticas y procedimientos, SGSI incluye controles legales, físicos y técnicos involucrados en la gestión de riesgos de TI de una organización.

¿QUÉ HAY EN EL HORIZONTE PARA LA PROTECCIÓN DE DATOS?

En última instancia, cuanto antes se enfrente a las nuevas leyes y regulaciones de privacidad de datos, mejor será el caso de su organización cuando tome en serio la privacidad de los datos, incluso si aún no ha completado totalmente su programa de cumplimiento. Nos guste o no, el GDPR está aquí para quedarse y ha iniciado una tendencia global en países de todo el mundo que restringen sus leyes de privacidad de datos.

Sin embargo, no sólo es necesario salvaguardar los datos personales, los datos comerciales sensibles que respaldan nuestras operaciones y servicios comerciales centrales son igualmente valiosos. Asegurarse de que sus empleados, clientes, proveedores y socios puedan confiar en usted para realizar negocios con ellos podría definirse por su capacidad para demostrar la buena gobernabilidad y privacidad de los datos.

Las nuevas regulaciones europeas que requieren la certificación de productos con un componente de seguridad han entrado en vigencia recientemente. Esto obliga a los proveedores a implementar la privacidad mediante soluciones de diseño. Las normas de privacidad se integrarán con mayores estándares de seguridad. En última instancia, esto conducirá a productos y soluciones mejores y más seguros.

Aquellas organizaciones que han invertido sumas importantes para maximizar el cumplimiento con las regulaciones actualizadas de protección de datos están dispuestas a mostrar sus esfuerzos a sus clientes y empleados. Desean diferenciarse positivamente de sus compañeros en función de la importancia que conceden a la protección de los datos personales. Dada esta mentalidad, existe un interés cada vez mayor por parte de dichas entidades en los códigos de conducta emergentes que pueden dar reconocimiento a sus continuos esfuerzos de cumplimiento y comodidad para sus clientes. En el corto plazo, mientras estos puntos de referencia continúan tomando forma, muchas organizaciones están abordando el vacío mediante la contratación de asesores para que realicen auditorías independientes de su cumplimiento con la legislación de protección de datos vigente.

"Una de las razones del aumento de interés en ISO 27001 puede ser que cuando las empresas están buscando un cliente o actuando como proveedores externos, se les pide cada vez más que demuestren el cumplimiento de esta norma", afirma Vermeulen.

Para obtener más información sobre la legislación de GDPR y consejos sobre cualquier capacitación relevante de GDPR, contáctenos.