Prepararse para saber cómo el RGPD puede ser bueno para las empresas
Publicado: 2018-05-24La privacidad y la protección de datos no son solo palabras de moda. Son preocupaciones serias de los consumidores que son impulsadas por un número creciente de violaciones de datos y amenazas de ciberseguridad, que luego comprometen la información personal de los consumidores y erosionan la confianza de los consumidores.
Según la Encuesta de seguridad y privacidad de datos de RSA, que encuestó a 7.500 personas en cinco países, los consumidores informan que están prestando más atención a las brechas de seguridad en línea. Y están responsabilizando a las empresas cuando se roba su información.
Aquí hay dos hallazgos clave de esa encuesta:
- El 73 por ciento de los encuestados son más conscientes de las violaciones de datos que hace cinco años.
- El 62 por ciento dijo que culparía a la empresa que perdió sus datos antes de culpar a los piratas informáticos.
En general, los consumidores están demostrando que se están volviendo más protectores de su privacidad digital. Recuerde, una violación de los datos del consumidor no tiene por qué implicar un robo premeditado o una violación masiva de información privada. Cuando un tercero compra la lista de suscriptores de correo electrónico de una empresa y luego envía correos electrónicos no solicitados a esa lista, eso también puede constituir una violación de datos.
Ninguna de esas actividades les sienta bien a los consumidores, y esos sentimientos de los consumidores están obligando a las empresas a reconsiderar cómo protegen los datos de los consumidores en línea.
Esos sentimientos también están obligando a los gobiernos a adoptar un enfoque más activo en la regulación de la protección de la información del consumidor. Algunos gobiernos están comenzando a promulgar leyes que otorgan a los consumidores una mayor propiedad de sus datos, sin importar quién los almacene.
Una de esas regulaciones es el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que entrará en vigencia el 25 de mayo de 2018. Este estándar de protección de datos, diseñado para capacitar a los consumidores para que puedan otorgar o negar el consentimiento con respecto a quién puede acceder a sus datos, presenta serios desafíos. para empresas de comercio electrónico.
Pero es un desafío que las empresas deberían acoger como una oportunidad para forjar mejores relaciones con los consumidores.
Si es más probable que los consumidores culpen a una empresa por las violaciones de datos, también es más probable que elogien a una empresa que trabaja con ellos para proteger sus datos. Por lo tanto, las organizaciones harían bien en demostrar que quieren proteger a sus consumidores trabajando rápidamente para cumplir con el RGPD.
El alcance de GDPR
El Reglamento general de protección de datos estandariza las leyes de protección de datos en los 28 estados miembros de la Unión Europea. El objetivo clave de la regulación es crear una protección más consistente de los datos de los consumidores en las naciones de la UE.
El RGPD es un reglamento muy completo, que contiene más de 200 páginas y más de 90 artículos. Nate Lord de Digital Guardian señala algunos de los requisitos clave de GDPR que tendrán un impacto significativo en las empresas:
- Consentimiento para el procesamiento de datos
- Datos anonimizados y transparentes
- Notificaciones de violaciones de datos
- Derecho a borrar
- Delegados de protección de datos
- Sanciones por incumplimiento
Como señala MarTech Today, en su esencia, las protecciones de GDPR imponen procesos y comunicaciones claros y concisos, que se realizan con el consentimiento explícito y afirmativo de los consumidores. Con ese fin, GDPR protege cualquier información que pueda usarse para identificar directa o indirectamente a una persona. Esto incluye información de identificación básica, datos web, datos de salud, datos étnicos y opiniones políticas.
Para cumplir con el RGPD, las empresas deben manejar cualquier dato que sea personal para los consumidores con cuidado y brindarles a los consumidores varias formas de controlar, monitorear y eliminar su información si así lo desean.
El RGPD se aplica a dos grupos principales de entidades:
- Empresas ubicadas en la UE
- Empresas no ubicadas en la UE que ofrecen bienes o servicios gratuitos o de pago, o que controlan el comportamiento de los residentes de la UE
Por lo tanto, incluso para las empresas de comercio electrónico con sede en EE. UU. Que venden principalmente a consumidores estadounidenses, algo tan simple como una campaña de retargeting de AdWords podría calificar como monitorear el comportamiento de los residentes de la UE.
Para las empresas de comercio electrónico no pertenecientes a la UE, existen dos opciones: cumplir con el RGPD o perder completamente el acceso al mercado de consumo de la UE.
La segunda opción sería engorrosa y miope. Solo piense en cuánto trabajo se necesitaría para impedir que los ciudadanos de la UE busquen escaparates en su sitio.
En cambio, el movimiento inteligente es cumplir con GDPR y, en consecuencia, cumplir con las demandas de los consumidores a los que comercializa y vende.
Por qué el RGPD es bueno para el comercio electrónico
Kris Lahiri, cofundador y director de seguridad de Egnyte, dice que el RGPD brinda a los consumidores un control significativamente mayor sobre los datos que han confiado a las empresas.
La idea clave aquí es la "confianza": GDPR tiene la intención de establecer nuevas reglas básicas para las relaciones entre empresas y consumidores, y en este nuevo panorama, el éxito de las ventas directas al consumidor dependerá de la capacidad del minorista para demostrar confiabilidad. Como hemos visto, casi dos tercios de los consumidores argumentan que la responsabilidad de la protección de datos recae en la empresa que los recopila. Al tomar esa responsabilidad tan en serio como lo exige la ley, los minoristas en línea pueden demostrar su confiabilidad a los consumidores.
Nuevamente, GDPR no es simplemente una medida de seguridad de datos. Se trata de una ley progresista que obliga a las empresas a respetar los derechos de los consumidores de la UE a la propiedad de sus propios datos. Esta ley dice, entre otras cosas, que un ciudadano de la UE tiene derecho a no ser blanco de mensajes de marketing sin antes participar en esa conversación.
En industrias como el comercio electrónico, donde la lealtad del consumidor debe ganarse con el tiempo, respetar el derecho del consumidor a la privacidad no es simplemente algo bueno.
Es un elemento fundamental de la confianza.
Crunching Numbers: El caso empresarial para ser proactivo en materia de cumplimiento
La carga de trabajo de las empresas para cumplir con las normas es potencialmente pesada, dependiendo de las estructuras y procesos de seguridad actuales de una organización, y de cuán divergentes sean del GDPR. El cumplimiento de GDPR también tiene el potencial de ser muy costoso para las empresas. Según una encuesta de Propeller Insights de marzo de 2018, el 36 por ciento de las empresas planean gastar entre $ 50,000 y $ 100,000 en esfuerzos de cumplimiento de GDPR. Otro 24 por ciento gastará entre $ 100,000 y $ 1 millón.
Pero esas inversiones monetarias podrían palidecer en comparación con la pérdida de negocios si los consumidores pierden la confianza en una organización. Tener su privacidad protegida en línea es primordial para los consumidores, y ellos tienen el poder de dañar a las empresas que no están haciendo lo suficiente para protegerlos.
Al hacer los esfuerzos para el cumplimiento de GDPR, las organizaciones pueden convertir la regulación en prácticas comerciales sólidas que pueden usar para construir mejores relaciones con los consumidores.
Además, desde una perspectiva comercial, invertir el tiempo y el dinero por adelantado para el cumplimiento puede ahorrarle dinero a las empresas a largo plazo al evitar costosas infracciones. Según el Estudio sobre el costo de la filtración de datos de 2017 del Ponemon Institute, el costo promedio de una filtración de datos es de $ 3.62 millones. Esa es una cantidad significativa de dinero para una causa prevenible.
Al implementar los requisitos de seguridad de GDPR, las empresas podrían estar gastando una suma de cinco cifras ahora para evitar tener que pagar una suma de siete cifras más adelante.
Cómo prepararse para el cumplimiento de GDPR
La preparación para GDPR variará según la organización, pero aquí hay algunos pasos básicos que las empresas de comercio electrónico pueden tomar para avanzar en la dirección correcta.
1. Involucrar a todas las partes interesadas
Lo primero que debe hacer es configurar un grupo de trabajo GDPR que incluya miembros del equipo de todos los niveles de la organización. Debe incluirse cualquier grupo dentro de la empresa que recopile, analice, procese o interactúe de otro modo con los datos de los consumidores. Estos miembros del equipo pueden compartir fácilmente cualquier información que pueda ser útil para implementar los cambios necesarios para el cumplimiento de GDPR, así como para lidiar con el impacto en sus respectivos equipos.
Para motivar al grupo de trabajo, Peter Beshar de Marsh & McLennan alienta a las empresas a establecer un tono de conciencia y urgencia a nivel ejecutivo que fluya a través de la organización y promueva la importancia del cumplimiento.
Personalice la regulación para un mayor impacto. Nadie quiere que su información privada se vea comprometida. Use ese ángulo cuando enfatice la importancia del cumplimiento. Al hacerlo personal, los miembros de su equipo comprenderán mejor el valor del trabajo necesario para que la organización cumpla con las normas.
El GDPR es extenso. Todas las partes interesadas deben recibir capacitación sobre los requisitos de GDPR, lo que implica desarrollar sesiones de capacitación, proporcionar recursos informativos y consultar con los empleados de manera regular, explica David Lat, editor fundador de Above the Law. Es crucial que la información se presente de manera que todos puedan comprender y digerir los materiales, por lo que elementos visuales como carteles y videos pueden ser excelentes herramientas para explicar las complejidades de GDPR.
2. Implementar una herramienta SIEM
GDPR requiere que los controladores rastreen y registren todas las actividades de procesamiento bajo sus responsabilidades, y la mayoría de las organizaciones utilizan una herramienta de Gestión de Eventos e Información de Seguridad (SIEM) para hacerlo, señala Javvad Malik, defensor de la seguridad en la empresa de seguridad de la información AlienVault.
Una herramienta SIEM recopila datos de una red de sistemas de hardware y software y analiza los datos en tiempo real para correlacionar eventos y detectar anomalías o patrones de comportamiento que pueden indicar una brecha de seguridad, explica el escritor de tecnología Paul Rubens en un informe para eSecurity Planet. Las herramientas SIEM administran registros de seguridad en varios dispositivos, detectan amenazas, previenen y detectan brechas y brindan evidencia forense para determinar cómo ocurrió un evento de seguridad y su impacto potencial, señala Rubens.
Antes de implementar una herramienta SIEM, asegúrese de crear un inventario de todos los activos críticos que tienen acceso a la información personal de los consumidores, sugiere Malik. Y no olvide incluir dispositivos móviles en el inventario. Una encuesta realizada por la empresa de seguridad móvil Lookout, Inc. muestra que el 63 por ciento de los empleados empresariales acceden a los datos de clientes, socios y empleados desde un dispositivo móvil.
El conocimiento de esta información garantiza que todos los sistemas necesarios estén incluidos para la recopilación de datos mediante un sistema SIEM.
3. Realizar evaluaciones de riesgos
En un sentido muy amplio, las regulaciones de GDPR requieren que las empresas implementen medidas de seguridad que sean apropiadas para los riesgos que enfrentan sus sistemas. Las regulaciones no definen el riesgo a propósito, dejando a la organización la determinación de la mejor manera de abordar el riesgo y lograr el cumplimiento del RGPD.
Una evaluación de riesgos exhaustiva incluye tanto la identificación de riesgos como la creación de planes de mitigación para combatir esos riesgos identificados. Matt Middleton-Leal, director general para EMEA de la empresa de ciberseguridad y cumplimiento Netwrix, sugiere algunos pasos para las empresas en sus esfuerzos por realizar evaluaciones de riesgos:
- Revise los estándares de cumplimiento alternativos para inspirarse (por ejemplo, PCI, DSS).
- Clasifique los datos para que todos conozcan y comprendan todos los puntos de datos y su sensibilidad.
- Identificar riesgos específicos y sopesarlos en una relación riesgo / beneficio.
- Evaluar continuamente.
Es mejor consultar con su equipo legal durante todo el proceso de cumplimiento de GDPR, pero este paso en particular es uno en el que el legal puede ser un socio crucial. Legal puede ayudar a dirigir su evaluación de riesgos, ayudar con la planificación continua y verificar continuamente su cumplimiento.
4. Implementar controles de detección de amenazas
El RGPD requiere que las empresas informen sobre las infracciones de seguridad en un plazo de 72 horas. Para satisfacer esta demanda, las organizaciones deben tener los controles de detección de amenazas adecuados para activar alertas inmediatas cuando se produce una infracción. Los controles deben ser suficientes para permitir una respuesta dentro de esa pequeña ventana de tiempo.
Sara Pan, de la empresa de seguridad de datos Imperva, sugiere hacer preguntas como:
- "¿Quién accede a los datos?"
- "¿El acceso es apropiado para el usuario?"
- "¿Cómo logramos la respuesta de incidencia más rápida?"
La detección de amenazas no es un proceso de configurar y olvidar. Requiere un monitoreo continuo de amenazas internas y externas, por lo que es importante que las empresas también configuren procesos para evaluaciones continuas y tengan un plan detallado de respuesta a incidentes. El plan de respuesta debe centrarse en investigar el incidente para determinar la fuente y el proceso para contenerlo.
Al probar regularmente estos procesos y planes, las empresas están mejor posicionadas para responder a amenazas y ataques de una manera compatible con GDPR.
Esta es una oportunidad para defender la protección de datos del consumidor
El GDPR planea imponer sanciones monetarias a las empresas que no cumplan a partir del 25 de mayo de 2018. Hay dos niveles de multas que las organizaciones deben conocer y se explican con más detalle en GDPREU.org.
- Nivel inferior: hasta 10 millones de euros o el 2 por ciento de los ingresos anuales mundiales del año financiero anterior, el que sea mayor.
- Nivel superior: hasta 20 millones de euros o el 4 por ciento de los ingresos anuales mundiales del año financiero anterior, el que sea mayor.
Aunque las multas son elevadas, las empresas deben centrarse más en implementar los procesos adecuados para garantizar la protección de datos y la privacidad, no en tomar atajos solo para evitar sanciones. Al intentar eludir los procesos solo para evitar multas, las organizaciones se arriesgan a la ira no solo de las agencias reguladoras, sino también de los consumidores que las mantienen en el negocio. El GDPR no se aprobó para castigar a las empresas, sino para proteger a los consumidores.
Con ese objetivo en mente, las organizaciones deben estar motivadas para mostrar a los consumidores que se preocupan por proteger la información privada y que están dispuestas a implementar medidas de seguridad que tengan en cuenta los mejores intereses de los consumidores. Toda la energía y los recursos gastados en el cumplimiento se verán recompensados cuando los consumidores estén más dispuestos a hacer negocios con las empresas en las que confían.
Pero será necesario un esfuerzo dedicado por parte de las empresas. Con la fecha límite del 25 de mayo que se avecina, las organizaciones deben buscar activamente el cumplimiento de GDPR.
Descargo de responsabilidad: esta publicación no constituye ningún tipo de asesoramiento legal y no debería impedirle obtener su propio asesoramiento legal de un abogado calificado. Además, este artículo no es un documento legalmente vinculante y no debe ejecutarse. El contenido proporcionado en este artículo está sujeto a cambios y no refleja en su totalidad los requisitos bajo la legislación aplicable. Al proporcionar esta publicación, Scalefast no garantiza que ejecutará ningún documento legalmente vinculante y se reserva el derecho de retirarse de las discusiones sin incurrir en ningún tipo de responsabilidad en ningún momento.
Imágenes de: Comfreak, rawpixel.com, Free-Photos