Has logrado el cumplimiento de GDPR, ¿y ahora qué?

Para aquellas organizaciones afectadas por el Reglamento General de Protección de Datos (GDPR), los meses y semanas previos al 25 de mayo fueron rápidos y furiosos. A medida que se acercaba la fecha límite, el enfoque era simple: hacer lo que sea necesario para lograr el cumplimiento.

Ahora que la fecha límite ha pasado, en muchos sentidos, la presión ha desaparecido. Pero de otras formas, es solo el comienzo. A medida que se adapta al cumplimiento del día a día, puede descubrir que las tácticas que lo llevaron a la línea de meta no son las mejores soluciones para sus necesidades continuas.

“Las empresas están recurriendo a controles temporales y procesos manuales para garantizar el cumplimiento hasta que implementen soluciones de TI más permanentes ... Queda mucho trabajo por hacer después de la fecha límite de mayo si las empresas quieren superar desafíos como estos y desarrollar soluciones que sean sostenibles a largo plazo. "

—McKinsey & Company

Para garantizar que pueda mantener el cumplimiento de GDPR a largo plazo, es posible que deba profundizar en cuatro áreas clave: marco de cumplimiento, gestión de incidentes, gestión de solicitudes y visibilidad ejecutiva.

Marco de Cumplimiento

En la carrera por cumplir con la fecha límite de cumplimiento, es posible que haya reunido soluciones manuales y soluciones alternativas, como hojas de cálculo. Pero continuar usando métodos ineficientes y ad hoc de gobernanza y gestión lo pondrá en riesgo indebido.

Las empresas pueden recibir una multa de hasta el 4% de sus ingresos globales anuales o 20 millones de euros, lo que sea mayor, si no cumplen con los estándares de GDPR.

Dadas las multas potencialmente devastadoras asociadas con el incumplimiento, las hojas de cálculo simplemente no son una solución sostenible. Necesita una forma sencilla de asignar los artículos del RGPD, como los que detallan el consentimiento (7), el acceso a los datos (15, 16, 17, 20), la protección (25) y la seguridad (32), a los controles de la empresa para asegurarse de tener sus bases. cubierto.

Gestión de Incidentes

En su prisa por cumplir, es posible que esté utilizando soluciones provisionales, como duplicar el uso de su software de mesa de ayuda, para administrar eventos e incidentes de GDPR. Pero si ocurre un incidente real, la identificación instantánea, el bloqueo del acceso a los datos del incidente y las comunicaciones rápidas son primordiales.

"Las empresas también deben asegurarse de que los procesos diseñados durante la preparación del RGPD funcionen en la práctica y brinden los resultados esperados". —McKinsey & Company

Según el Artículo 33, debe notificar a la autoridad supervisora ​​dentro de las 72 horas de una violación de datos personales. Además, debe comunicar las infracciones de alto riesgo al interesado sin demora indebida, como se detalla en el Artículo 34. Para protegerse contra multas adicionales (hasta el 2% de los ingresos globales anuales) por incumplimiento de estos requisitos, necesita un Proceso confiable para garantizar que todos los eventos e incidentes se gestionen, comuniquen y auditen.

Gestión de solicitudes

Si bien tiene muchas capas, GDPR se trata en última instancia del control de datos personales. Proporcionar a sus interesados ​​acceso a los datos que almacena sobre ellos y darles el control sobre cómo se usan esos datos (artículos 15-20) son los cimientos de la regulación.

"... las empresas deberán asegurarse de tener suficiente personal, capacitación adecuada, un proceso apropiado y un sistema de tickets equipado para manejar solicitudes relacionadas". —McKinsey & Company

Dado que también es la pieza del rompecabezas de cumplimiento más orientada al consumidor, su capacidad para habilitar y administrar el acceso a los datos personales es fundamental. Si bien la guía sobre cómo hacer esto puede ser confusa, las reglas de participación son sencillas. Aquellos que ofrezcan la mejor experiencia al cliente a través de un sencillo portal de autoservicio ganarán. Y aquellos que no se arriesgan a perder clientes ante competidores más capaces.

Visibilidad ejecutiva

Los requisitos del RGPD en torno a las evaluaciones de impacto de la protección de datos (DPIA), como los que se detallan en los artículos 35, 37, 38 y 39, no se pueden mantener con atajos. Si confía en sistemas manuales y / o dispares para aspectos de GDPR, también se verá desafiado por las auditorías de datos, revisiones y ejercicios de administración de datos regulares necesarios para mantener el cumplimiento.

Debe proporcionar a la administración ejecutiva y a su oficial de protección de datos (DPO), si corresponde, una visión unificada del gobierno y la administración del cumplimiento. Más allá del cumplimiento, su visibilidad de la cantidad y los tipos de solicitudes e incidentes que está administrando es clave para realizar evaluaciones de riesgos continuas y análisis de brechas, para que pueda optimizar y perfeccionar su postura de cumplimiento.
Conclusión

Como profesional de TI, no es ajeno al desafío de la protección y la privacidad de los datos. Pero GDPR agrega una capa completamente nueva a sus requisitos de gestión de riesgos y gobierno de seguridad. Más que nunca, necesita que su mesa de servicio y los procedimientos de seguridad estén estrechamente acoplados.

La Solución de gestión de seguridad de la información de Cherwell (SGSI) integra un conjunto de capacidades de gestión de seguridad empresarial que abordan las demandas tanto de los líderes de seguridad como de la mesa de servicio. Cuando confía en el SGSI de Cherwell para su gestión y gestión de datos, puede:

• Simplifique la asignación de artículos GDPR a sus controles de seguridad.
• Agilice su cumplimiento de seguridad, aliviando la carga de su próxima auditoría.
• Acelere el manejo de incidentes y eventos de seguridad para ayudarlo a cumplir.
• Amplíe las capacidades del portal de autoservicio para proporcionar acceso al sujeto de datos.
• Automatice las evaluaciones de riesgos para anticipar y mitigar mejor el riesgo.

Ha logrado el cumplimiento de GDPR. Ahora es el momento de hacerlo sostenible. 

Conozca la solución de gestión de seguridad de la información de Cherwell.

Aprende ahora

Citas de McKinsey & Company obtenidas de: Daniel Mikkelsen, Henning Soller Malin, Strandell-Jansson, Marie Wahlers, "Cumplimiento de GDPR después de mayo de 2018: un desafío continuo", McKinsey & Company, abril de 2018.