Cómo cumplir con el GDPR: 10 pasos clave

El General Data Protection Regulation (GDPR) está diseñado para proteger los datos personales de los residentes de la UE regulando cómo se recopilan, almacenan, procesan y destruyen dichos datos. La ley de data security y privacidad se aplica a todas las organizaciones que recopilan datos personales de ciudadanos de la Unión Europea, independientemente de su ubicación. Las sanciones por incumplimiento de los requisitos del GDPR son severas.

Muchas organizaciones tienen dificultades para cumplir con el GDPR. En este artículo, encontrarás 10 pasos que ayudarán a tu negocio a lograr, mantener y demostrar el cumplimiento de los requisitos del GDPR.

Cómo cumplir con el GDPR

1. Determine si y cómo la ley se aplica a su organización.

¿Está su organización sujeta al GDPR?

Primero, determine si necesita cumplir con el GDPR. Para una prueba de fuego simple, considere si tiene usuarios o clientes que viven en la UE. Si la respuesta es afirmativa, necesita implementar medidas de cumplimiento.

Para ser más específicos, aquí hay algunos ejemplos de circunstancias comunes que requerirían que su organización cumpla con el GDPR:

• Usted recopila o procesa los datos de residentes de la UE.
• Realizan envíos a la UE, mencionan la UE en su sitio web o aceptan pagos en moneda de la UE.
• Usted ofrece software, como un juego o aplicación, que recopila datos personales como parte del proceso de registro, y el software está disponible en la UE

¿Eres un procesador de datos o un controlador de datos?

Si el GDPR le aplica, su siguiente paso es determinar si usted es un procesador de datos o un controlador de datos, ya que tienen diferentes obligaciones de cumplimiento.

• Los responsables del tratamiento de datos son responsables de proteger los datos, y sus obligaciones incluyen:
  • Obtener consentimiento
  • Gobernando el acceso
  • Asegurando la legalidad del procesamiento de datos
  • Transparencia de la información
  • Protegiendo la precisión
  • Asegurando la confidencialidad

• Los procesadores de datos recopilan y manipulan datos. En algunos casos, puede ser el controlador de datos, pero también puede ser un tercero u otro servicio que analiza los datos. Los procesadores tienen menos autonomía sobre los datos que procesan, pero aún tienen obligaciones, incluyendo:
  • Procesando datos únicamente según las instrucciones del controlador de datos
  • Entrar en un contrato vinculante con el procesador
  • No involucrar a subprocesadores sin el consentimiento del controlador
  • Asegurando la seguridad de los datos
  • Notificar al controlador del data breaches
  • Siguiendo las pautas de responsabilidad
  • Siguiendo los protocolos internacionales de transferencia
  • Cooperando con las autoridades

¿Qué datos necesita proteger?

Finalmente, determine qué datos requiere proteger el GDPR. Bajo el GDPR, los datos personales se definen como, “cualquier información relacionada con una persona natural viva, identificada o identificable”. Esto incluye toda la información que podría ser utilizada para identificar a una persona, como:

• Nombres
• Datos de ubicación
• Identificadores en línea
• Origen racial o étnico
• Creencias religiosas
• Opiniones políticas
• Información de salud
• Vida sexual
• Datos genéticos
• Datos biométricos como huellas dactilares o reconocimiento facial

2. Asigne roles y responsabilidades.

Algunos de los nuevos roles que puede necesitar para el cumplimiento incluyen:

• Oficial de cumplimiento
• Gerente de proyecto
• Delegado de protección de datos (DPO) — Según el Artículo 37, debe designar un DPO si es una empresa pública, las actividades principales de su empresa involucran el manejo de datos, o su empresa procesa y almacena grandes cantidades de datos personales pertenecientes a ciudadanos de la UE.

Defina los roles y responsabilidades para determinar cuáles pueden ser cubiertos por el personal actual y cuáles requerirán nuevas contrataciones.

Consejo: Invierta tiempo en obtener apoyo de su equipo de gestión o del consejo, ya que necesitarán asignar recursos. Asegúrese de que los miembros comprendan los riesgos de medidas de protección de datos insuficientes y los beneficios del cumplimiento del GDPR.

3. Elija uno o más marcos.

Cumplir con el GDPR puede ser más fácil si sigues un marco de trabajo que te ayude a implementar las mejores prácticas fundamentales para reducir los riesgos de seguridad y privacidad de datos en tus sistemas y servicios. No hay un marco perfecto, pero existen diversos marcos que pueden ayudarte a cumplir con diferentes aspectos del GDPR. Incluyen:

• ISO 27001 — Un marco de sistema de gestión de seguridad de la información (ISMS) que ayuda a reducir el riesgo de una violación
• ISO/IEC 27701:2019 — Una extensión de ISO/IEC 27001 centrada en la privacidad de los datos
• NIST Privacy Framework — Un marco que ayuda a identificar y gestionar los riesgos de privacidad
• NIST 800-30 Risk Assessment Framework — Una guía para realizar evaluaciones de riesgo (que se discuten a continuación)
• NIST 800-53 Security and Privacy Controls for Information Systems and Organizations — Un catálogo de controles de seguridad y privacidad para sistemas de información y organizaciones para proteger contra muchos tipos de riesgos
• BS 10012 Gestión de Información Personal — Un marco para la gestión de información personal
• Marco de PCI DSS— Un marco utilizado para proteger los datos de tarjetas de pago de los consumidores
• NIST Cybersecurity Framework — Un marco que ayuda a las organizaciones a medir la madurez de sus sistemas de ciberseguridad y gestión de riesgos e identificar pasos para fortalecerlos

4. Realice evaluaciones de riesgo.

Realizar evaluaciones de riesgo es un componente esencial para cumplir con el Artículo 32 y el Artículo 35 del GDPR.

Esto se logra con una Data Protection Impact Assessment (DPIA), que es un método para analizar, identificar y minimizar los riesgos de protección de datos de un proyecto. Debes realizar una DPIA antes de comenzar el procesamiento de datos que probablemente resulte en un alto riesgo para los datos personales. Ejemplos de procesos de alto riesgo incluyen:

• Usar nueva tecnología o utilizar la tecnología existente de una manera nueva
• Decisiones automatizadas que podrían resultar en la denegación de servicios
• Monitoreo a gran escala de lugares públicos u otro perfilamiento a gran escala
• Procesamiento de datos biométricos utilizados para identificar a una persona
• Procesamiento de datos genéticos, a menos que sea realizado por un proveedor individual de atención médica para el cuidado del sujeto de los datos
• Combinar o emparejar datos personales de múltiples fuentes
• Procesando datos que no se obtuvieron del sujeto de los datos
• Rastreo de la geolocalización o comportamiento de una persona, en línea y fuera de línea
• Procesamiento de datos de niños para marketing, perfilado, toma de decisiones automatizada o oferta de servicios
• Procesando datos que podrían resultar en daño físico a una persona si se filtraran

Esta lista no es exhaustiva; depende de usted decidir si realizar una evaluación de impacto de protección de datos (DPIA) para procesos que no están específicamente mencionados en el Artículo 35. Si tiene alguna duda, es mejor hacer una. Idealmente, una DPIA se llevará a cabo durante la etapa de planificación de un proyecto y le ayudará a decidir si hay un riesgo y cómo mitigarlo.

Un DPIA debe hacer todo lo siguiente:

• Identifique la necesidad de un DPIA explicando el objetivo de su proyecto y el tipo de procesamiento involucrado
• Describa el procesamiento, incluyendo su naturaleza, alcance, contexto y propósito
• Involucre la consulta con las partes interesadas relevantes o explique por qué no es necesario
• Evalúe la necesidad y proporcionalidad, incluyendo la legalidad y la minimización de datos
• Identificar y evaluar riesgos
• Identificar medidas para reducir riesgos
• Incluya aprobaciones y registre los resultados

Después de completar una DPIA, debe implementar las medidas que identificó en su proyecto y continuar revisándolas a lo largo del mismo. Para obtener más información sobre cómo realizar una DPIA, lea this article.

5. Establezca la gobernanza de datos.

La gobernanza de datos se refiere a las políticas y procesos sobre el uso adecuado de datos personales a medida que entran y salen de su organización. Los procedimientos de gobernanza de datos aseguran que se mantengan altos estándares durante todo el ciclo de vida de sus datos. Su proceso de gobernanza de datos también debe cumplir con los requisitos del Artículo 30 que se relacionan con los registros de la actividad de procesamiento.

Su estrategia de data governance strategy debe incluir lo siguiente:

• Un inventario de datos que proporciona un registro de todas las fuentes de datos que tiene su empresa, qué datos se recopilan y cómo, y qué sucede con ellos
• Netwrix Data Classification, que agrupa los datos en tipos para que puedan ser protegidos de acuerdo con su valor y sensibilidad
• Estrategias para garantizar que sus procesos de recolección de datos sean legales, justos y transparentes
• Métodos para mantener actualizados los registros del procesamiento de datos personales
• Procedimientos para realizar un DPIA siempre que su procesamiento de datos sea probable que resulte en un alto riesgo, como se ha descrito anteriormente
• Registros que están por escrito, incluida la forma electrónica
• Registros que están disponibles para las autoridades supervisoras cuando se solicitan

6. Implemente controles apropiados.

El GDPR no especifica los controles necesarios para el cumplimiento, pero establece que necesita implementar medidas para abordar la “seguridad del procesamiento”:

• Utilice las herramientas de software más actualizadas para proteger los datos de los clientes.
• Documente la naturaleza, el propósito y el alcance del procesamiento de datos.
• Segregue los datos y aplique medidas de seguridad apropiadas al riesgo.
• Cifre y pseudonimice los datos cuando sea posible.
• Ponga los datos a disposición del interesado.
• Proteja los datos personales para evitar que sean leídos o alterados por usuarios no autorizados.
• Evalúe y pruebe regularmente la efectividad de sus controles.
• Considere todos los riesgos al manejar o procesar datos.

La gestión de controles de seguridad, como la mayoría de los otros aspectos del cumplimiento del GDPR, es un proceso continuo. Una vez que hayas implementado tus controles, necesitarás auditar tus actividades de procesamiento de datos y controles de seguridad regularmente. Busca una software solution que automatice la gestión de tantos controles de seguridad como sea posible.

7. Defender los derechos del sujeto de los datos.

También necesitará políticas para mantener los derechos de los sujetos de datos — las personas cuyos datos recopila. En particular, necesita un plan para cómo manejará lo siguiente:

• Recolección y verificación de solicitudes de acceso por parte del interesado (DSARs)
• Responder a las DSARs en el plazo de un mes para evitar sanciones costosas
• Políticas de gestión de consentimiento que incluyen la recolección, retención y borrado de datos
• Su política de cookies, incluyendo formularios de consentimiento y métodos para cambiar las preferencias de cookies
• Políticas y procedimientos para manejar las obligaciones relacionadas con la violación de datos personales, incluyendo la detección, el reporte y la investigación de violaciones

8. Cree y mantenga los documentos requeridos.

Varios artículos del GDPR exigen que crees documentación que describa cómo almacenas y procesas los datos. El GDPR no estipula cómo debes nombrar tus documentos, por lo que puedes elegir títulos diferentes a los que se muestran a continuación. Además, algunos documentos se pueden combinar si es apropiado. Aquí tienes una lista de los documentos que necesitarás:

• Política de protección de datos personales (Artículo 24) — Describe cómo se gestiona la privacidad en su empresa
• Aviso de privacidad (Artículos 12,13,14) — Describe cómo se procesan los datos personales
• Aviso de privacidad del empleado (Artículos 12, 13 y 14) — Explica cómo se procesan los datos personales de los empleados
• Política de retención de datos (Artículos 5, 13, 17 y 30) — Describe el proceso de decidir cuánto tiempo se conservan los datos y cómo se destruyen
• Programa de retención de datos (Artículo 30) — Enumera los datos regulados y explica cuánto tiempo se conservará cada tipo de dato
• Mapeo del flujo de datos (Artículo 30, 25, 6, 28, 35) — Mapea el flujo de la información
• Formulario de consentimiento del interesado (Artículos 6, 7 y 9) — Utilizado para obtener el consentimiento para el tratamiento de datos personales
• Acuerdo de procesamiento de datos del proveedor (Artículos 28, 32 y 82) — Describe las medidas de protección de datos requeridas de los procesadores y otros proveedores
• Registro de DPIA (Artículo 35) — Documenta los resultados de los DPIA
• Procedimiento de respuesta y notificación ante una violación de datos (Artículos 4, 33 y 34) — Describe los procedimientos a realizar antes, durante y después de una violación de datos
• Registro de violaciones de datos (Artículo 33) — Registra todas las violaciones de datos
• Formulario de notificación de violación de datos a la Autoridad de Supervisión (Artículo 33) — El formulario que utiliza para notificar a la Autoridad de Supervisión de una violación de datos
• Formulario de notificación de violación de datos a los sujetos de datos (Artículo 34) — El formulario que utiliza para notificar a los sujetos de datos sobre una violación que involucra su información privada
• Inventario de actividades de procesamiento (Artículo 30) — Un inventario que debe ser mantenido por el responsable
• Descripción del puesto de Data Protection Officer (Artículos 37, 38 y 39) — Detalla las responsabilidades de su DPO (necesario solo si se requiere tener un DPO)

Cree y publique documentos públicos.

El GDPR requiere que las organizaciones hagan pública la siguiente información en un lenguaje claro y fácil de entender:

• Política de privacidad
• Política de retención de datos
• Términos de transferencia de datos a otros países
• Política de protección de datos
• Información de contacto, incluyendo cómo contactar a su DPO si tiene uno
• Términos de uso
• Política de pago & política de cookies

9. Capacite a sus empleados.

Capacitar a su personal es una regla clave del cumplimiento del GDPR. Seguir las regulaciones no es solo un asunto de TI. Necesitará una estrategia de comunicación y capacitación integral que incluya a todos en cada nivel de la empresa.

Además, la formación no debe considerarse como algo que se hace una sola vez y ya está. Debe comenzar desde la cúpula de la empresa con un enfoque en crear una cultura de cumplimiento. La formación en línea debe complementarse con educación específica basada en el rol dirigida a las responsabilidades y áreas de riesgo de cada departamento.

10. Realice análisis de brechas y remediación de forma regular.

Un análisis de brechas evaluará sus medidas actuales en comparación con los estándares de cumplimiento. Le proporcionará una comprensión más profunda de los pasos que necesita seguir para implementar los procesos, controles y otras medidas necesarias para garantizar el cumplimiento.

Una lista de verificación de cumplimiento de GDPR puede proporcionar un punto de partida. Otra forma de obtener información sobre las áreas que pueden estar fuera de cumplimiento en su organización es monitoreando por qué otras compañías son multadas por incumplimiento.

Multas por violaciones del GDPR

El incumplimiento del GDPR puede resultar en multas considerables: hasta 24.1 millones de dólares o el 4 por ciento del volumen de negocios global anual de la empresa, lo que sea mayor.

Existen circunstancias atenuantes y agravantes que afectan la cuantía de la multa. Las violaciones intencionales se sancionan más severamente que las negligentes. Reportar las violaciones lo antes posible y cooperar con las autoridades son circunstancias atenuantes. Las violaciones más graves, como aquellas que involucran los derechos y el consentimiento de los sujetos de datos, están sujetas a multas más elevadas.

Aquí están algunas de las multas más elevadas impuestas hasta la fecha:

• H&M Clothing— Esta compañía sueca fue multada con $41M por grabar reuniones de empleados y hacer las grabaciones accesibles a más de 50 gerentes. Los datos sensibles obtenidos de estas grabaciones se utilizaron para evaluar el rendimiento de los empleados y tomar otras decisiones laborales.
• Google— Google fue multado con $56.6 millones por violaciones relacionadas con la forma en que proporcionaban avisos de privacidad y cómo solicitaban consentimiento para usar datos personales en publicidad personalizada y otros procesamientos de datos. Esta multa podría haberse evitado si Google hubiera proporcionado más información y dado a los sujetos de datos más control sobre cómo se utilizaba su información. La apelación de Google no tuvo éxito.
• Amazon — La multa de 877 millones de dólares de Amazon es la más grande jamás registrada, por un factor de 15. La violación tenía que ver con el consentimiento de cookies, y no era la primera vez que Amazon había sido multado por esto, lo que probablemente es una razón por la cual la multa fue tan elevada. La mejor manera de evitar multas relacionadas con cookies es obtener un consentimiento libre, informado y claro antes de instalar cualquier cookie en el dispositivo de un usuario.

¿Cómo puede ayudar Netwrix?

Con las soluciones de Netwrix, puedes lograr, mantener y demostrar GDPR compliance con menos esfuerzo y gasto hoy en día. Productos de Netwrix:

• Automatice la auditoría de cambios, acceso y configuración.
• Asegure una detección y clasificación precisas de los datos regulados.
• Proporcione información práctica sobre la seguridad de sus datos e infraestructura.
• Agilice las solicitudes de los sujetos de datos automatizando el proceso de recolección de datos — un paso crucial e intensivo en recursos.

Preguntas Frecuentes

1. ¿Qué se requiere para el cumplimiento del GDPR?

El GDPR exige a las empresas implementar medidas para proteger la privacidad de los datos personales de los residentes de la UE.

2. ¿Cómo demuestra que cumple con el GDPR?

Necesita proporcionar documentos específicos que demuestren que se adhiere a los principios de protección de datos, realiza las Evaluaciones de Impacto sobre la Protección de Datos (DPIAs) según se requiere, tiene los roles de trabajo necesarios asignados, está listo para informar de las brechas de seguridad con prontitud, y así sucesivamente.