Con la entrada en vigor del nuevo Reglamento de Protección de Datos de la UE surgen importantes retos para cumplirlo. Sin embargo, estos retos también abren nuevas oportunidades para las empresas

GDPR: Reglamento General de Protección de Datos de la UE

El Reglamento General de Protección de Datos de la UE (GDPR) será una realidad en menos de seis meses. También podría decirse que el mayor desafío al que se enfrentan las empresas en todo el mundo es; localizar fuentes de datos personales en sus sistemas y clasificarlos correctamente.

La mayoría de las empresas tendrán algún tipo de datos ya almacenados, ya sean en papel o digitales. Y antes de tomar cualquier medida técnica es esencial asegurarse de que estos datos personales encerrados en los sistemas ERP y CRM se clasifiquen adecuadamente.

Aunque el impulso general de GDPR ha sido ampliamente debatido en los medios y entre los profesionales de la industria de seguridad de la información, gran parte de la cobertura se ha centrado en las enormes sanciones por incumplimiento, en lugar de mirar las oportunidades para las empresas que puede aportar el descubrimiento de datos (Data Discovery) y mejoras de procesos para las organizaciones de todas las formas y tamaños.

Estudio Reciente

De hecho, un estudio reciente encontró que el 60% de las organizaciones de la UE dice que enfrentará serios problemas para cumplir con GDPR, y el 40% de los encuestados informa que sus organizaciones no consideran el cumplimiento con GDPR dentro del plazo como una prioridad.

De modo que, muchas empresas están pasando por alto que; el elemento más importante de una estrategia GDPR robusta es evaluar primero a las personas y los procesos. La tecnología es un facilitador de los procesos que deben implementarse.

Esta iniciativa no es un enfoque de cumplimiento de ir ‘marcando o completando casillas’. Ya que no hay un complemento o herramienta que simplemente haga que todo desaparezca. En el lado positivo, hay muchas oportunidades para las empresas para aprovechar este momento decisivo en la gestión de datos personales y analizar la armonización de las políticas de datos de la empresa, que a menudo han crecido con el tiempo y se superponen significativamente.

Retos y oportunidades para las empresas

Descubrimiento de datos (Data Discovery)

Encontrar la ubicación precisa de los datos definidos como ‘personales’ en GDPR de entre las miles de tablas y columnas (o campos) en sistemas complejos y personalizados, representa un desafío significativo. Las herramientas y los métodos tradicionales, como la búsqueda de documentación, el uso de plantillas y modelos de referencia o el empleo de consultores externos, no abordan el desafío de manera efectiva y oportuna.

Como vimos en el artículo acerca de Qué es Data Discovery y cómo funciona, las herramientas de Data Discovery aportan velocidad y precisión en el descubrimiento de datos y además aumentan la facilidad de uso. Y no solo pueden facilitar la identificación y clasificación de los datos de carácter personal; sino que también apoyarán la toma de decisiones en base a datos reales y en tiempo real.

Evaluación de impacto de protección de datos

Los datos no estructurados (emails, publicaciones en redes sociales, documentos visuales, etc.) serán un desafío importante para muchas organizaciones debido a su naturaleza heterogénea y la dificultad de obtención de información completa. Un ejemplo son algunos CRMs que habitualmente absorben enormes cantidades de información que podría no ser esencial para el negocio; pero será muy relevante en un contexto de GDPR (donde las empresas están obligadas a informar del propósito para el que recopilan los datos y usar esos datos únicamente para el propósito que marcaron).

El resultado es un riesgo oculto, donde en el caso de una violación de datos, las empresas podrían verse expuestas a sanciones mucho mayores de lo que creen si la información no está categorizada correctamente. Todos los nuevos sistemas de datos deben tener una evaluación de impacto de protección de datos completa; según lo ordenado en el artículo 35 de GDPR, que. Una evaluación de impacto de protección de datos es una excelente técnica para evitar incumplimientos y sanciones y minimizar los riesgos de vulneración de los datos, contando con sistemas más seguros.

Registro de activos de información

Otro elemento vital para la preparación y el cumplimiento de GDPR es; la creación de un registro de Activos de Información, que se detalla específicamente en el artículo 30. El objetivo es inventariar todos los sistemas, electrónicos y en papel, que contienen información personal. Los glosarios de datos y/o diccionarios de datos son compatibles con este registro; además hay muchas herramientas que pueden ayudar con esto, incluidos muchos sistemas de gestión de contenidos. Este inventario también permitirá a las empresas tener un mayor control de sus activos y del uso que hacen de cada uno de ellos.

En general, la inminente llegada de GDPR debe verse como oportunidades para las empresas como la de; poner en marcha políticas de gestión de datos internas, armonizar sus sistemas, integrar y estructurar la información de forma adecuada. Y, a partir de aquí, comenzar a usar los datos para hacer crecer su negocio.

En Clase10 podemos ayudarte a convertir los datos en una ventaja competitiva, cuéntanos tu reto.