La fecha para el cumplimiento del Reglamento General de Protección de Datos (GDPR) está a solo unas semanas, sin embargo, muchas organizaciones, especialmente las que están fuera de Europa, no están preparadas. Resulta que las experiencias de otras regulaciones de cumplimiento de privacidad son menos útiles de lo que se supone, pero las mejores lecciones aprendidas pueden ser de regulaciones que no sean de privacidad.
Otros requisitos de privacidad que no son muy útiles
Por lo general, los reglamentos de cumplimiento están vinculados a las regulaciones y leyes regionales. Por ejemplo, en Canadá, la Ley de Protección de Información Personal y Documentos (PIPEDA), que se convirtió en ley en el año 2000, trata principalmente de privacidad, específicamente en obtener el consentimiento de las personas y dejarles saber por qué se recopila su información. Hasta la fecha no se han conocido sanciones por incumplimiento de PIPEDA que no sean reputacionales.
Los gobiernos están ansiosos por aprobar regulaciones para el cumplimiento, pero a menudo se resisten al momento de implementar sanciones. Este “falso sentido de incumplimiento” será una sorpresa para las organizaciones que eligen enfrentarse con una reglamentación como la GDPR.
GDPR si tiene penalizaciones en primera instancia. En lugar de buscar otras normas de privacidad, el cumplimiento financiero es el mejor ejemplo para convencer a su organización de tomarse en serio la GDPR. Las penalidades en GDPR son reales.
Las lecciones del PCI-DSS (Payment Card Industry Data Security Standard)
La regulación PCI-DSS es la mejor comparación con GDPR: el cumplimiento regional tiene un impacto global y con sanciones. Cuando se introdujo por primera vez el Payment Card Industry, muchas organizaciones asumieron que no se aplicaría a ellos, ya que no eran un procesador de tarjetas de crédito. La siguiente fase fue el cumplimiento-sorpresa, cuando las organizaciones descubrieron que la información del titular de la tarjeta de crédito estaba presente en las nuevas aplicaciones o en aplicaciones existentes, era probable que fueran sometidos a algún tipo de sanción. Un caso digno para mencionar fue una multa de $ 13.3 millones que recibió una compañía por faltar al reglamento.
La lección GDPR, es que incluso si usted no está sujeto al cumplimiento en el día uno, controle los cambios en su empresa para verificar si posteriormente queda sujeto a esta reglamentación.
Lecciones de la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPPA)
Las compañías de EE. UU. generalmente no están preparadas para el cumplimiento de GDPR. Al examinar el historial de cumplimiento con HIPAA, podemos pronosticar cómo se implementará el cumplimiento de GDPR. HIPAA se centra en la privacidad, por lo que tiene algunas lecciones.
Inicialmente, la aplicación de HIPAA fue liviana.
GDPR se aplica a cualquier organización que procesa información de identificación personal perteneciente a ciudadanos de la UE. En Estados Unidos este requisito se había definido en la Junta Directiva Europea de Privacidad de Datos. Estas definiciones básicas permanecen en su lugar. Lo que ha cambiado es:
- El Safe Harbor ha sido suplantado por el Escudo de privacidad de la Unión Europea y Estados Unidos, la cual exige que las empresas estadounidenses se auto certifiquen ante la Comisión Federal de Comercio (consulte https://www.privacyshield.gov/Program-Overview para obtener más información).
- Los requisitos para los informes son mucho más estrictos. Una organización tiene 72 horas después del descubrimiento para informar una infracción.
- Las organizaciones deben demostrar que están usando lo mejor en su clase o tecnología de última generación para proteger la información de identificación personal.
- Las multas son mayores. Hay dos niveles de multas, la primera es hasta un máximo de 10 millones de euros o el 2% de los ingresos globales (el que sea más alto), y el segundo hasta 20 millones de euros o el 4% de los ingresos mundiales (el que sea más alto).
- Las organizaciones deben nombrar un Oficial de Protección de Datos (DPO), que tiene un mandato amplio para investigar e informar sobre violaciones de datos. Esta persona no puede ser despedida o sancionada por su organización por hacer ese trabajo.
Las personas tienen derecho a solicitar que se corrija o borre su información, mediante una solicitud al DPO.
Pero las sanciones por incumplimiento HIPAA han crecido constantemente en los últimos 10 años:
[image url=”/wp-content/uploads/2018/07/captura-blog-1.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”312″ height=”206″]
Hay que tener en cuenta que, bajo los términos del Escudo de privacidad, las personas y las agencias gubernamentales (específicamente la Comisión Federal de Comercio) pueden presentar acciones contra las organizaciones en los tribunales de Estados Unidos. Los mecanismos para cobrar multas ya están en su lugar. Las organizaciones que no se preparan para cumplir el GDPR enfrentarán las consecuencias financieras por el incumplimiento.
A diferencia de HIPAA, GDPR es familiar para muchas multinacionales, las organizaciones se han enfrentado a sanciones en virtud de la actual Directiva de Protección de Datos por más de una década. La curva de aprendizaje será mucho más corta esta vez. No espere una brecha de varios años antes de que las organizaciones con sede en EE. UU enfrenten consecuencias financieras sustanciales las cuales podrían ser aplicadas dentro de los próximos 18 a 24 meses.
Lecciones de GDPR a partir del aumento de la madurez de cumplimiento
No todo el cumplimiento se crea por igual. Para otras regulaciones de privacidad, es común que no exista ninguna sanción por incumplimiento, incluso infracciones dolosas, mientras que, en algunas regiones, las infracciones de privacidad pueden ocasionar incomodidades significativas.
Por lo tanto, existe una brecha de madurez en términos del cumplimiento, no por la categoría de cumplimiento (por ejemplo, financiera, privacidad), sino por la norma o norma específica. Esto no significa que cada régimen de cumplimiento necesita sanciones, formalidad y supervisión significativa, pero existen notables diferencias en la “seriedad” o impacto del cumplimiento con cada sistema. Se prevé que las organizaciones madurarán en su cumplimiento siguiendo este modelo propuesto:
[lightTable]
| Nivel de madurez | Características | Ejemplos |
| 0 | Utilidad mínima en el cumplimiento, se puede utilizar como excusa para evitar hacer la diligencia debida. | OWASP (Open Web Application Security Project) Top 10 |
| 1 | Orientación y listas de verificación | Instituto Nacional de Estándares y Tecnología, ISO 27001 |
| 2 | Regulaciones y leyes formales sin sanciones | Ley de Protección de Información Personal y Documentos Electrónicos – Versión actual |
| 3 | Impacto del incumplimiento, multas, importantes | PCI-DSS, HIPAA, GDPR |
| 4 | Integrado en el negocio. | Estándares Federales de Procesamiento de la Información 140-2 |
[/lightTable]
De acuerdo con este modelo, se logrará avanzar rápidamente a través de las etapas 0 y 1 hasta la etapa 2. En la actualidad, ya se conocen casos de organizaciones que informan sobre las infracciones, investigaciones en curso y multas impuestas por HIPAA. El sitio Privacy Shield hace un seguimiento de las organizaciones registradas y proporciona una plataforma para informar sobre infracciones y multas.
La línea de fondo
Aunque las fechas límite de GDPR se acercan rápidamente, este no es un territorio totalmente desconocido. Use las prácticas ya establecidas para su cumplimiento de la no privacidad. Es claro que GDPR es un modelo más maduro de cumplimiento de privacidad al que la mayoría de las organizaciones de América del Norte están acostumbradas, pero el cumplimiento ya establecido para otras regulaciones y leyes puede ser una hoja de ruta para acatarlo de manera rápida.
Los mecanismos para cobrar multas ya están en su lugar. Las organizaciones que no se preparan para GDPR enfrentarán las consecuencias financieras del incumplimiento, es decir, la Etapa 3, en poco tiempo.
Leave a Reply