Normativa de la UE de protección de datos y ciber seguridad

Normativa de la UE de protección de datos y ciber seguridad

Insurance Distribution16

fernandoPARTE I: LA SEGURIDAD Y LA PRIVACIDAD DE DATOS EN LA UNIÓN EUROPEA: NUEVA NORMATIVA DE PROTECCIÓN DE DATOS

INTRODUCCIÓN: LA PROTECCIÓN DE DATOS EN EL MUNDO

Casi 100 países han adoptado legislaciones de protección y privacidad de datos

Es principalmente en Estados Unidos, pero también otros países como Hong Kong, Singapur y Australia, donde la legislación de protección de datos es rigurosa, donde el tema se está tomando más en serio.

En Europa, la nueva directiva de Protección de datos que acaba de entrar en vigor y que tendrá plenos efectos en 2018 va a producir una revolución en el mundo corporativo.

LA SEGURIDAD Y LA PRIVACIDAD DE DATOS EN LA UNIÓN EUROPEA: LAS IMPLICACIONES PARA LAS EMPRESAS

El 4 de mayo se publicó el nuevo Reglamento del Parlamento y del Consejo 2016/679, de 27 de abril, relativo a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.  El Reglamento será directamente aplicable y de obligado cumplimiento en todos los Estados miembros de la Unión Europea transcurridos dos años de su entrada en vigor, es decir, el 25 de mayo de 2018.

El nuevo Reglamento General de Protección de Datos de La Unión Europea ( GDPR-siglas en inglés o RGPD-en castellano)  cambiará la manera en la que las compañías deben tratar los datos que manejan. Según los expertos, la mayoría de empresas no están preparados para los nuevos requerimientos de privacidad que establece la misma. La Directiva, y esto es nuevo frente a la anterior normativa, crea una única normativa de protección de datos para los 28 (27 próximamente) estados miembros. También tiene implicaciones fuera de las fronteras de la UE, por cuanto se aplica a organizaciones que tratan datos personales de residentes en la UE.

Los objetivos del Reglamento RGPD son mejorar el nivel de protección de los datos personales de los residentes en la Unión Europea y modernizar la normativa para adaptarla a las nuevas tecnologías existentes hoy en día ( por ejemplo redes sociales, nubes, etc.) y a las tecnologías emergentes. Finalmente, clarificar las responsabilidades del almacenamiento y tratamiento de datos, haciendo más sencillo a las organizaciones su cumplimiento y evitar las sanciones.

El incumplimiento de las obligaciones establecidas por la nueva normativa podría llevar a sufrir auditorias periódicas o incluso a sanciones de hasta 20 millones de euros o el 4% de la facturación anual mundial (incluyendo todas las subsidiarias) de la empresa. Para estimar el impacto posible, es cuestión de hacer números y calcular a cuánto podría llegar el importe de la sanción para una gran empresa cotizada del DAX, CAG, IBEX 35, etc.

CONOCER LOS RIESGOS

La directiva impone una serie de obligaciones a las empresas, empezando por conocer y entender los riesgos a los que están expuestos, sus obligaciones y los requerimientos que establece la Directiva,  y a hacer seguimiento. Han de conocer los datos que disponen y donde están almacenados o localizados, realizando un inventario y mapeo de datos, evaluando los cambios tecnológicos y operacionales requeridos para cumplir con la norma.

Requiere asimismo la creación de la estructura interna y como mínimo el nombramiento de un DPO ( Data Protecction officer/Responsable de Protección de datos ), persona que ha de ser experto en la normativa de protección de datos. El DPO podrá ser un empleado o un colaborador a través de un contrato de prestación de servicios. Además, deben confirmar que todas las notificaciones privadas se han presentado en lenguaje claro y entendible y disponer de un fácil acceso a los datos. Finalmente, Revisar los mecanismos de consentimiento y elección por parte del cliente, asegurándose de tener implementados los mecanismos correctos y que están actualizados para obtener el consentimiento expreso.

MITIGAR LOS RIESGOS

En segundo lugar, las empresas vendrán obligadas a mitigar sus riesgos, diseñando e implementando procedimientos para los nuevos sistemas que implementen y servicios que presten, para asegurar que los requerimientos de privacidad están subsumidos desde el primer momento del desarrollo del nuevo sistema o servicio. Documentaran todo el proceso de operaciones que incluyan datos personales, a través del uso de “Data Privacy Impact Assessments” (DPIAs). Han de implementar y documentar las medidas de seguridad adecuadas- técnicas, físicas y administrativas- a los riesgos identificados por el DPIAs.

Deben crear protocolos de respuesta y notificación, poniendo en marcha investigaciones de perdida de datos cuando ocurran, así como procesos y procedimientos de contención y respuesta, y asegurarse de testear su efectividad. Finalmente, establecer un proceso de auditorio sólido para controlar el cumplimiento de la norma y sus obligaciones y para mitigar el riesgo.

Otras obligaciones de mitigación incluyen el deber de revisar todas las transferencias de datos transfronterizas, confirmando que la empresa tiene legitimidad de transferir datos a jurisdicciones de fuera de la UE que no tienen regulaciones de protección de datos adecuadas. También ha de revisar los contratos con externos, identificando que obligaciones contractuales necesitan ser modificadas para reflejar algún cambio en los servicios o en el coste, en línea con las mejora de responsabilidades en controles y procesos. Ultima en mencionarse, pero de las más importantes, han de formar a los empleados, creando planes de formación para informarles de sus obligaciones cuando acceden o procesan datos personales. Finalmente, asegurarse de presupuestar lo suficiente para apoyar estos cambios en la gestión y protección de datos

En definitiva, va a suponer que las empresas tengan que ser proactivas, creando programas para el cumplimiento de la del Reglamento de Protección de datos y para reducir el riesgo, que sean robustos y auditables

Te invitamos a formar parte de la Comunidad del conocimiento de seguros en RED de los profesionales iberoamericanos

El domingo, 13 de noviembre publicamos la II parte de este artículo

Suscríbete a la newsletter semanal

Acerca del autor

Somos una Empresa de comunicación y gestión del conocimiento asegurador en RED dirigida a las empresas y profesionales iberoamericanos, especializada en Comunicación Corporativa, Gestión del Conocimiento, Consultoría Estratégica y Eventos para la Industria Aseguradora.

Artículos relacionados

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

uno × cuatro =

eBook Perspectivas del Seguro 2017: 19 directivos nos dan su visión
Perspectivas del seguro español 2017Hemos entrevistado a destacados líderes de la industria aseguradora de nuestro país para conocer más de cerca cuáles son las perspectivas y los principales retos a los que nos enfrentaremos en este año 2017. Únete a nuestra comunidad y consigue el informe. ¡Acceso inmediato!
We respect your privacy.