Aunque necesarios, los requisitos legislativos recientes para la protección de datos se han convertido en una carga adicional para las organizaciones. Esto se complica aún más cuando se comparten datos a nivel internacional, ya que también se debe considerar la legislación del país de destino. Dado que esto se aplica tanto a las pequeñas organizaciones como a las grandes corporaciones multinacionales, ahora es más importante que nunca garantizar que se cumplan las leyes de protección de datos.
Tras un número cada vez mayor de violaciones de datos y el daño asociado que han causado, los gobiernos han actualizado su legislación de protección de datos, obligando a las organizaciones a tomar las medidas adecuadas para proteger los datos personales.
“Una creciente conciencia de la necesidad de protección de datos fue causada por un aumento en los jugadores de riesgo y las superficies de riesgo. Covid también tuvo un papel que desempeñar, ya que todos trabajaban desde casa; de repente, todas estas redes inseguras se estaban utilizando para acceder a los datos. Las computadoras portátiles se entregaron a las personas que trabajaban desde casa, sin saber necesariamente cómo debían manejar los datos y cómo debían protegerlos”, dice Nadia Kadhim, directora ejecutiva de Naq Cyber, una de las seis empresas que actualmente reciben el apoyo del centro de innovación y puesta en marcha Plexal’s Cyber. Esquema de encendido de la pista.
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), que se promulgó en la ley del Reino Unido como la Ley de Protección de Datos de 2018, se ha convertido en el modelo de facto para la regulación moderna de protección de datos. “Si observa la legislación de protección de datos en todo el mundo, desde la Ley de Privacidad del Consumidor de California (CCPA) hasta la Ley de Protección de Información Personal (POPIA) en Sudáfrica, todas se basan en GDPR. Incluso los países de Medio Oriente han seguido su ejemplo, observando GDPR y tomando todo lo que pueden de él, antes de hacer sus propias diferencias”, dice Kadhim.
“Lo interesante es que algunos países, incluso dentro de la UE, interpretan el RGPD de diferentes maneras y lo incluyen en su legislación nacional”, dice. “Los cambios no han sido demasiado grandes, porque los países son conscientes de que si se apartan demasiado del RGPD, a las empresas de su país les resultará más difícil hacer negocios con la UE”.
Las legislaciones de protección de datos suelen incorporar tres niveles de protección de datos:
- Personas: Empleados que cuentan con la formación adecuada y acceso a los datos.
- Protección: Políticas que protegen los datos del usuario de la exposición y el uso indebido.
- Tecnología: contar con sistemas de seguridad de datos y redes para mitigar la piratería.
Influencias culturales
A pesar de que GDPR se considera un estándar para la legislación de protección de datos, existen variaciones entre países, ya que las naciones interpretan las disposiciones de manera diferente y ejercen sus propias influencias culturales. Por ejemplo, la Ley de Protección de Datos del Reino Unido de 2018 no requiere representantes de protección de datos, como se describe en el RGPD. Incluso en la UE, existen variaciones. Las organizaciones alemanas están obligadas a tener un oficial de protección de datos registrado oficialmente (DPO), pero en los Países Bajos, esto solo se aplica a una autoridad pública.
Esta falta de unidad entre la legislación de protección de datos puede hacer que compartir datos entre países sea un proceso complejo.
Compartir datos dentro de la UE es relativamente fácil, ya que la alianza permite la libre circulación de datos entre los estados miembros. Sin embargo, para los países que no forman parte de la UE, se debe acordar una decisión de adecuación entre las dos naciones. Aquí es donde ambos países reconocen que la legislación de protección de datos del otro país es adecuada para proteger los datos de sus ciudadanos.
En los casos en que el país no es parte de la UE y no existe un acuerdo de adecuación, se enumeran como tercer país, lo que se refiere a cualquier país fuera de la UE y sus estructuras económicas (el mercado único y la unión aduanera). En este caso, se necesitarán cláusulas contractuales estándar para cada intercambio de datos, que puede ser complejo y lento.
Esto es especialmente difícil para el Reino Unido. Originalmente, el Reino Unido podía compartir información libremente con otros estados miembros. Sin embargo, cuando el Reino Unido abandonó la UE, el 31 deEn enero de 2020, el país se convirtió esencialmente en un “tercer país” en lo que respecta a las leyes de protección de datos de la UE. Esto cambió, nuevamente, el 28 Junio de 2021, cuando el Reino Unido obtuvo un acuerdo de adecuación con la UE. Sin embargo, el intercambio de información relacionada con la inmigración está excluido del ámbito de aplicación de la decisión de adecuación.
Las grandes organizaciones multinacionales fueron originalmente el foco de los organismos de supervisión del cumplimiento de la protección de datos, como la Oficina del Comisionado de Información (ICO). Sin embargo, a medida que aumentaron las capacidades de creación de redes, el intercambio de información se volvió más fácil, lo que permitió a las empresas más pequeñas compartir cantidades cada vez mayores de información. En consecuencia, las empresas más pequeñas ahora están siendo examinadas mucho más, para garantizar que estén tomando todas las medidas apropiadas.
La legislación debe mantenerse al día
Otro problema es que las normas de protección de datos normalmente las redactan los legisladores y no personas con experiencia en tecnología. Dado que la tecnología siempre está evolucionando, la legislación debe mantenerse al día, pero a menudo va a la zaga del desarrollo.
“GDPR ha sido escrito por personas en Europa que no necesariamente entienden cómo funciona la seguridad cibernética en redes, dispositivos y aplicaciones en la nube”, dice Kadhim. “Lo han tenido en cuenta al decir que debe haber medidas técnicas de seguridad cibernética apropiadas, pero las organizaciones pueden decidir por sí mismas qué es apropiado en función del riesgo. En cuanto a la aplicación, ahora se fijan cada vez más en las empresas más pequeñas, ya que las organizaciones deben rendir cuentas de lo que hacen o dejan de hacer en relación con los datos de las personas”.
Las organizaciones también deben considerar la protección de datos específicos del negocio, como los que operan en los sectores de educación, finanzas, defensa y atención médica. Los requisitos de protección de datos del sector empresarial a menudo se llevan a cabo como un ejercicio de marcar casillas en una hoja de cálculo. Como tales, son una descripción general de una empresa en un momento estático y no tienen en cuenta cómo evolucionan o se expanden las redes con el tiempo, o cuándo vencen las licencias.
“Si un acuerdo multimillonario con el NHS o el Ministerio de Defensa depende de una revisión exitosa de una hoja de cálculo, entonces la respuesta generalmente será sí a todo”, dice Kadhim. “Esta es exactamente la razón por la que no soy un fanático de los cuestionarios de diligencia debida o las certificaciones, porque incluso las certificaciones son un reflejo de un momento en el tiempo de algo que podría o no ser completamente cierto e implementado. Soy de la opinión de que algo debería estar en lugar que ofrece una visión general continua en tiempo real de la postura de seguridad”.
A esto se suma el tema del control de exportaciones: legislación que regula la exportación de bienes restringidos, incluyendo software, tecnología e información. Este es otro conjunto de cumplimientos de datos que las organizaciones deben conocer y cumplir, además de exigir a los exportadores que soliciten una licencia para exportar datos cubiertos por estos controles.
Agilizando el proceso
A pesar de la multitud de desafíos que rodean las regulaciones de protección de datos, el cumplimiento siempre es bueno, ya que agiliza el proceso de intercambio de información. Además, las organizaciones que hacen hincapié en el cumplimiento de la protección de datos destacarán a los clientes que se toman en serio sus responsabilidades “Pueden ser una organización responsable y usar esto como una ventaja competitiva, especialmente cuando se trata de empresas B2B donde se puede usar como una inversión en conseguir ofertas”, dice Kadhim. “Para otras empresas, deben ser conscientes de que es lo más responsable”.
Por el contrario, también existen sanciones financieras y el daño reputacional asociado al incumplimiento de la legislación de protección de datos. A medida que los reguladores como el ICO amplían su supervisión para incorporar empresas más pequeñas, aumenta el riesgo de que se descubra que las organizaciones infringen la regulación de protección de datos.
Dado el tiempo y la experiencia necesarios para cumplir con las diversas políticas de protección de datos, se están desarrollando tecnologías para automatizar muchas de las responsabilidades que esperan las organizaciones. Por ejemplo, la herramienta de cumplimiento de GDPR de Naq genera automáticamente la documentación relevante para una organización, además de ofrecer los módulos de capacitación necesarios y garantizar que se implementen las medidas de seguridad adecuadas.
El futuro de la protección de datos sigue siendo un desafío complejo y fluido. Las capacidades de generación e intercambio de información de la inteligencia artificial (IA) y el aprendizaje automático plantean la pregunta de quién posee los datos que han estado usando IA: ¿es el propietario de la IA, la persona cuyos datos se usaron para generar la información o alguien más?
La UE busca abordar algunos de estos problemas con la próxima Ley de Datos. La ley introducirá nuevas reglas que harán que más datos estén disponibles para su reutilización al abordar los problemas legales, económicos y técnicos que conducen a la infrautilización de los datos. Una posible consecuencia de esta ley será que las organizaciones deberán asegurarse de que sus datos no se mantengan en un formato propietario y que puedan transferirse fácilmente a otra organización.
“La legislación nunca será tan rápida como los nuevos desarrollos en la industria y van a tratar de arreglar y legislar retrospectivamente cosas que ya sucedieron”, dice Kadhim.
Cumplir con una multitud de legislaciones de protección de datos puede ser complejo y llevar mucho tiempo para las organizaciones. Esto es especialmente cierto para las empresas más pequeñas, que pueden no tener la experiencia necesaria para comprender los requisitos legislativos que se esperan de ellas. Las herramientas de cumplimiento de datos pueden automatizar el proceso, generando la documentación necesaria y asegurando que las organizaciones cuenten con políticas de protección de datos adecuadas, además de poder seguirlas.