GDPR y la Continuidad de Negocio

Cumplir con GDPR demanda tener adecuadas previsiones de Recuperación ante Desastres (DR), como lo indica el artículo 32(1):

Tomando en cuenta el avance tecnológico, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de posibilidad variante y severidad de los derechos y libertades de personas naturales, el controlador y procesador deberán implementar medidas técnicas y organizacionales apropiadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo entre otros:

  • La seudonimización y encripción de datos personales.
  • La habilidad de garantizar la confidencialidad de manera continua, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento.
  • La habilidad de restaurar la disponibilidad y acceso a los datos personales de manera oportuna en caso de un evento de un incidente físico o técnico.
  • Un proceso para probar frecuentemente, evaluar la efectividad de las medidas técnicas y organizacionales para garantizar la seguridad del procesamiento.

 

Con base en lo anterior, todas las organizaciones que manejen datos de clientes deben tener una solución adecuada de DR que pueda recuperar tanto la disponibilidad como el acceso a los datos personales en el tiempo comprometido. En adición al sistema productivo, el sistema de DR también deberá cumplir con GDPR, ya que al obtener, mantener y extraer datos el proveedor de DR será considerado como un “procesador de datos”.

Si el proveedor de DR no cumple con la normativa de GDPR puede ocasionar que el cliente quede en estado de “no cumplimiento”, lo que puede implicar posibles penalizaciones financieras de monto significativo. Por ende, es crítico que el proveedor de DR cumpla con la normativa de GDPR.

Otro aspecto relevante en lo referente al cumplimiento de GDPR es que las empresas con más de 250 empleados, forzosamente, deberán nombrar a un Data Protection Officer (DPO) para administrar los cambios necesarios.

El rol del DPO incluye educar a la compañía y a los empleados sobre requerimientos de cumplimiento importantes, entrenar al personal involucrado en el procesamiento de datos y administrar registros completos de todas las actividades de procesamiento de datos realizadas por la organización, incluyendo todas las actividades de procesamiento que deben hacerse públicas bajo petición.

En adición, GDPR, en su artículo 33, habla sobre violación de los datos. En específico el artículo menciona las acciones que deben ser ejecutadas por las organizaciones que estén experimentando una violación a sus datos, estas son:

  • Informar a la autoridad de supervisión respectiva.
  • Informar a cualquier residente de la Unión Europea que tenga una afectación negativa a sus datos personales.
  • Ofrecer recomendaciones para mitigar los efectos.
  • Dirigir a los residentes de la Unión Europea a donde puedan obtener más información.
  • Documentar todo el evento (para garantizar cumplimiento normativo).

 

Todo lo anterior debe ocurrir dentro de las primeras 72 horas de haberse presentado la violación a la información, lo que apunta a que las organizaciones deben contar con planes de Continuidad de Negocio, de Recuperación ante Desastres (DR) y de manejo de crisis, listos para ser ejecutados a lo largo y ancho de la organización.

 

Penalizaciones de incumplimiento con GDPR

El incumplimiento con GDPR traerá consecuencias financieras significativas, ya que las empresas que caigan en esta situación pueden enfrentar multas hasta por 20 millones de Euros, o bien, el 4% de su ingreso anual, lo que sea más alto. Para poner esa cifra en perspectiva, desde que entró en vigor la Ley Federal de Protección de Datos en Posesión de Particulares en el año 2012, se han recaudado cerca de $360 millones de pesos por cuestiones de multas.

20 millones de Euros o $440 millones de pesos podría ser el nuevo monto a pagar por tan solo una organización que incumpla con las regulaciones planteadas por GDPR. Esto pone de manifiesto la relevancia del tema que llevaría a otros países a proponer leyes similares a GDPR en el corto plazo.

Las multas económicas no son la única consecuencia que las empresas deberían tener en mente. También se debe considerar el daño reputacional que acarreará el incumplimiento de una regulación de esta notoriedad. En el peor de los casos, una organización que busque ignorar los requerimientos de GDPR podría terminar cerrando.

Por otro lado, aun cuando las penalizaciones por incumplimiento con GDPR son potencialmente estratosféricas, es probable que se brinde asistencia para aquellos negocios que buscan cumplir con GDPR y generan la documentación necesaria para probarlo, como lo dice Ian Trum, Estratega Global de Ciber Seguridad en Solar Winds:

“Si tu organización tiene un incidente no autorizado de divulgación por cualquier razón, poder mostrar a la autoridad supervisora y decir que la organización estaba ejerciendo las prácticas necesarias para proteger la información, detectar la violación e informar a las partes afectadas, es una mucho mejor estrategia que simplemente decir “no sabíamos”. El punto central de GDPR es que decir “no sabíamos” ya no es una defensa aceptable ante la violación de datos personales.

Las organizaciones deben recordar que invierten no solo para cumplir con GDPR, sino también para hacer su negocio e información más seguros, lo cual puede ser un valioso diferenciador en el mercado.

Acérquese a nosotros para ayudarle a revisar, diseñar y difundir sus planes de Continuidad de Negocio, Recuperación ante Desastres y Manejo de Crisis asociados a la iniciativa de Protección de Datos.

 

Quizás te pueda interesar:

El impacto de las normas de protección de datos sobre DR

Snowden y el llamado a la protección de datos personales

No Comments

Post A Comment