Categorías
Seguridad Informática

Empezar a prepararse para el nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR)

Las implicaciones del nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR) pondrán a prueba a todos los actores: por un lado, a las empresas que tendrán que cumplir con el reglamento; pero también a los responsables de la regulación y de la aplicación de la ley, que se enfrentan a nuevas funciones.

En el ámbito de la privacidad y la protección de datos interviene una gama muy amplia de capacidades técnicas y componentes tecnológicos. Casi todos los perfiles profesionales que tienen relación con el proceso de datos se verán afectados por el GDPR.

En lo que se refiere a las soluciones técnicas para gestión de la información, Nuix ofrece un completo catálogo de herramientas de software –de eDiscovery a investigación electrónica y gobernanza de la información– y casi todas ellas son relevantes a la hora de tratar con alguno de los aspectos del GDPR, para ayudar a las empresas a garantizar el cumplimiento de este nuevo reglamento.

A continuación ofrecemos una visión general del nuevo escenario y sus implicaciones.

El nuevo Reglamento General de Protección de Datos de la UE

Después de más de tres años de conversaciones a muchos niveles, el Parlamento Europeo, el Consejo y la Comisión finalmente acordaron en diciembre 2015 un nuevo marco de protección de datos. El Reglamento General de Protección de Datos (GDPR) sustituye a la anterior directiva de protección de datos y se aplicará en todos los estados miembros de la UE sin necesidad de poner en práctica una legislación nacional.

A pesar de que no entrará en vigor de inmediato –ya que habrá una de fase de transición de dos años de duración, hasta mayo 2018– el GDPR tendrá un impacto inmediato debido a que contiene algunas obligaciones bastante onerosas.

Obligación de notificar las violaciones de datos

Entre otros requisitos, el GDPR exige que cualquier organización que sufra una violación de la seguridad que comprometa datos de los ciudadanos, tendrá 72 horas para informar de la violación al comisionado de información en ese país. El proceso de reporte será más fácil que bajo el régimen actualmente existente: las organizaciones sólo tendrán que informar del incumplimiento una vez, no en cada una de las naciones en cuestión. Esto también se aplica a las repercusiones financieras: las organizaciones que hayan sufrido brechas de seguridad no se enfrentarán a la repetición de sanciones por parte de cada uno de los países a los que pertenezcan los ciudadanos cuyos datos se han visto comprometidos.

Las organizaciones que sufran «violaciones totales» se enfrentarán a una onerosa sanción económica de hasta 20 millones de euros, o del 4% de la facturación anual de la empresa. Sin embargo, los reguladores deberán tener en cuenta los mecanismos que la organización violada hubiera aplicado para proteger la información, como el cifrado; y esto podría reducir el importe de la sanción.

Comenzar a prepararse ahora

Es recomendable que todas las organizaciones que hacen negocios en los estados miembros de la UE empiecen a trabajar ya para estar listas para el GDPR, especialmente para poder cumplir el requisito de notificación de una violación de datos en 72 horas.
Las empresas deben contar con políticas claras y procedimientos bien ensayados para garantizar que pueden reaccionar rápidamente a cualquier violación de datos, potencial o real, y notificarla puntualmente al comisionado de información en su país.

Panel de expertos: “¿Qué se puede averiguar en 72 horas?”

Con este nuevo reglamento, todos los actores tienen un papel cada vez más importante en mantener la información segura, actuar rápidamente cuando se produce una filtración de datos y responder a las exigencias de los litigios que puedan surgir como resultado de una violación de datos.

La perspectiva de nuestro panel de expertos en eDiscovery, investigación digital e informática forense, nos ayuda a obtener una nueva comprensión del lenguaje y de las pruebas de una violación de datos, y a saber cómo abordar el proceso de litigio posterior a la violación de datos. El panel abarca cuestiones como:

  • ¿Qué significa el GDPR para las empresas, las fuerzas policiales y los reguladores?
  • ¿Qué debe hacer una empresa ahora con respecto a sus procesos y procedimientos para garantizar el cumplimiento?
  • ¿Cómo fomentará el GDPR la innovación y el uso de grandes volúmenes de datos (big data)?

Para escuchar al panel de expertos:

_____________________________

Vea también: