El Reglamento General de Protección de Datos (GDPR) tiene el potencial de impulsar grandes cambios culturales en empresas de todo el mundo. Te lo explicamos.
El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) tiene el potencial de impulsar grandes cambios culturales en las empresas de todo el mundo, según algunos informes de proveedores en la nube publicados en las últimas fechas.
La firma independiente encargada de esta investigación de mercados tecnológicos ha sido Vanson Bourne la cual ha encuestado a 900 directivos que eran responsables de la toma de decisiones en empresas de todo el mundo durante 2017. Con esta investigación se ha descubierto que casi tres de cada cuatro encuestados planean incentivar a sus empleados a mejorar la seguridad de los datos y responsabilizarse de que se cumplen todas las normas y leyes que deben cumplir esos datos.
El informe dice que el 88 por ciento de las organizaciones planean impulsar los cambios de comportamiento requeridos por GDPR en los empleados a través de formación, recompensas, sanciones y contratos. Casi la mitad (47 por ciento) llega incluso a añadir cláusulas obligatorias de GDPR en los acuerdos de empleo. El GDPR está programado para entrar en vigencia en mayo.
El incumplimiento de las directrices contractuales podría tener implicaciones significativas, señaló el estudio. Casi la mitad (41 por ciento) de los encuestados también planean implementar procedimientos disciplinarios para los empleados si se infringen las políticas de GDPR. Una cuarta parte de las organizaciones (25 por ciento) consideraría la retención de beneficios, incluidas las bonificaciones, de los empleados que no cumplan.
Al mismo tiempo, el 34 por ciento de las organizaciones dijeron que recompensarán a los empleados por cumplir con las políticas de GDPR, ya que esos empleados están ayudando a promover una gobernanza de datos adecuada dentro de sus organizaciones.
El informe encontró que la gran mayoría de los encuestados (91 por ciento) admiten que su organización no posee una cultura de buena gobernanza de datos o cumplimiento GDPR. Sin embargo, las empresas entienden que la formación es fundamental para generar cambios culturales dentro de sus organizaciones.
El GDPR solicita que las empresas adopten un nuevo enfoque de privacidad y seguridad y sean buenos administradores de los datos que se les han confiado. Además, se les pide que demuestren responsabilidad y transparencia. En teoría, esto no debería ser un gran shock para nadie, ya que los principios de responsabilidad y transparencia deben ser los cimientos básicos del código de ética corporativo de cualquier empresa. Desafortunadamente no todas las empresas han estado aplicando estos principios de sentido común de manera consistente.
Pero quizás el mayor cambio que impone GDPR está relacionado con el enfoque más estricto para la aplicación de las normas que los reguladores han tomado. Las multas que se impondrán por incumplimiento definitivamente reflejan una lógica punitiva. Las multas serán sustanciales y pretenden disuadir a las organizaciones que buscan atajos.
En ese contexto, todos estamos notando una loca carrera hacia el cumplimiento de la GDPR, con cuentas regresivas en todo el Internet que nos recuerdan cuán rápido se acerca la fecha límite del 25 de mayo.
Sin embargo, un cambio cultural no ocurre de la noche a la mañana. La actitud radicalmente nueva solicitada por GDPR y las actualizaciones relacionadas a las políticas y procedimientos no pueden definirse, probarse e implementarse en un solo día. Quienes están familiarizados con la gestión del gobierno corporativo son conscientes de cuán largo y costoso puede ser el proceso de cambiar las reglas y los enfoques internos. Roma no se construyó en un día, y del mismo modo esta revolución de la privacidad no tendrá lugar mágicamente un minuto después de la medianoche del 25 de mayo.
Dada la magnitud del esfuerzo requerido por el cumplimiento de la GDPR, tanto en términos de cambio cultural como de dinero, es poco probable que todas las organizaciones, especialmente las pequeñas y medianas empresas y las administraciones públicas, puedan llegar a tiempo a la fecha límite de mayo.
Esto se debe a que, además de la dificultad objetiva de la tarea, todavía hay algunas disposiciones y requisitos por aclarar, por ejemplo, la Notificación de incumplimiento de datos. Además, hay algunos problemas conocidos y otros ocultos. Por ejemplo, la tensión entre la copia de seguridad de datos y la eliminación de datos que se manifestará cuando las nuevas reglas se pongan en práctica.
Para complicar aún más las cosas, en el período anterior al 25 de mayo, las empresas aún necesitarán hacer negocios y firmar contratos que en la mayoría de los casos no están listos para GDPR, y es probable que se solicite un esfuerzo suplementario para modernizar el ejercicio de cumplimiento.
Llevará tiempo lograr el 100% de cumplimiento y, en algunos casos, incluso eso no será del todo posible. Pero nada de lo anterior es una excusa para no trabajar arduamente para lograr el cumplimiento.
¿Qué hacer?
Lo ideal es ver el proyecto de cumplimiento de GDPR como un viaje que ya comenzó y que no finalizará en mayo. Centrarse en definir las políticas y procedimientos para el cumplimiento de GDPR, y comenzar a implementarlo. Basar el nuevo enfoque, tanto como sea posible, en los estándares y las mejores prácticas. Eso proporciona una buena dirección. Tal vez los estándares no sean la ruta ideal, pero eso no es importante ya que para encontrar la ruta ideal siempre se requiere alguna corrección a la trayectoria general.
Los estándares asegurarán que es probable que los socios comerciales entiendan el enfoque que se está usando y la política que se está definiendo. La interoperabilidad de las políticas entre el proveedor del servicio en la nube y el cliente es un requisito fundamental para un enfoque de buena gestión de la nube, y será un requisito clave para un viaje exitoso de cumplimiento de GDPR.
Entonces, adopción de estándares, interoperabilidad de políticas, y ¿qué más? Bueno, transparencia, por supuesto.
Buscar la transparencia en todos los socios comerciales. Se debe poder confiar en los datos, la evidencia y los hechos, lo que significa que es necesario trabajar con socios que estén dispuestos a colaborar y ser transparentes.
¿Y qué pasa si no estamos 100 por ciento listos en mayo?
Hay que documentar todas las acciones tomadas para construir e implementar el marco de cumplimiento de GDPR. Esto nos ayudará a proporcionar evidencia de nuestra estrategia, buena fe, dirección y objetivo final para los reguladores. Después de todo, la ley no exige privacidad y seguridad perfectas, sino un enfoque de privacidad basado en el riesgo.
La IA y el gobierno de datos transforman organizaciones. Descubre casos reales y beneficios que revolucionan la toma de decisiones empresariales.
Descubre por qué las cuestiones relativas a la seguridad informática en las empresas son cuestión de prevención de data loss y data leakage
El Market Intelligence es toda la información que recopilamos, que se relacionan con el mercado, los clientes y la competencia. Conoce cómo lograrla.