Saltar al contenido

GDPR—Navegando un campo de minas legal

Capgemini
2018-03-12

Aplica los principios correctos para una implementación exitosa de tu programa de cumplimiento don GDPR.

Con la Regulación General de Protección de Datos (GDPR) de la Unión Europea entrando en vigor el 25 de mayo de 2018, adoptar mejores prácticas puede ayudar a las organizaciones a estar preparadas para esta nueva etapa. 

La Regulación General de Protección de Datos (GDPR) representa el cambio más importante en la legislación de privacidad de datos en los últimos 20 años en la Unión Europea. El objetivo de GDPR es proteger a los ciudadanos y residentes de la UE en relación al procesamiento y libre movimiento de su información personal, y aplica a todas las compañías que manejan información de personas residentes de la UE, sin importar la ubicación de la compañía. Bajo la GDPR, las organizaciones que no cumplan pueden ser sujetas a multas del 4% de sus ingresos anuales o 20 millones de Euros, lo que sea mayor.

Con su entrada en vigor el 25 de mayo de 2018, los líderes de negocio deben ser proactivos y formular las siguientes preguntas:

  • ¿Cómo monitoreamos y evaluamos los cambios en el ambiente legislativo después de GDPR?
  • ¿Cuál es el impacto de GDPR en nuestra estrategia y prácticas de administración de riesgos?
  • ¿Contamos con los mecanismos adecuados para brindar retroalimentación oportuna en el progreso contra los factore de riesgo GDPR, que podrían alterar nuestra estrategia?

A pesar de que la mayoría de las organizaciones ya han iniciado varios proyectos GDPR, incluyendo descubrimiento, inventario, minimización y anonimización de datos,   administración de registros, administración de vulneraciones, y revisión de cláusulas, , existen mejores prácticas que las organizaciones pueden adoptar para estar mejor preparadas para el cambio:

  • Aprovechar un enfoque de arriba hacia abajo—considerando el enorme impacto financiero de cualquier violación a GDPR, las organizaciones deben aprovechar un enfoque empresarial. Controles a nivel de entidad relevantes a la nueva regulación permitirán a la administración dirigir, controlar, revisar, medir y monitorear el progreso de forma regular. Los riesgos GDPR debe n ser incluidos en el esquema de administración de riesgos de la empresa para un análisis efectivo y continuo.
  • Identificar los principios relevantes—hacer una lista de los principios mencionados en las mejores prácticas, estándares y esquemas de trabajo que apliquen a los cambios regulatorios permitirá a las organizaciones implementar los principios más adecuados al ambiente de su organización.
  • Adoptar COSO ERM (2017)—el principio 15 de COSO ERM (2017) afirma que las organizaciones deben identificar y analizar los cambios que pueden afectar de forma sustancial sus estrategias y objetivos de negocio. Como tal, es vital que las organizaciones que trabajan con información personal de residentes de la UE, consideren los riesgos GDPR tanto al establecer sus estrategias como al impulsar el desempeño.
  • Implementar COBIT 5—el esquema de trabajo COBIT 5 de ISACA permite identificar y monitorear cambios en las leyes locales e internacionales, regulaciones, y otros requerimientos externos desde la perspectiva de TI. Implementar este esquema de trabajo ayudará a las organizaciones a cumplir con GDPR, incluyendo la identificación, implementación y monitoreo de requerimientos GDPR a través de revisiones y ajustes de políticas, principios, estándares, procedimientos y metodologías.
  • Ejecutar el esquema de trabajo integrado 2013 COSO de control interno—este esquema afirma que las organizaciones deben analizar los factores internos y externos para identificar el riesgo y el impacto para alcanzar sus objetivos. También afirma que una organización debe analizar los cambios en el ambiente externo y que el proceso de identificación de riesgo debe considerar cambios en el ambiente legal, económico y físico en el que la entidad opera.
  • Certificación ISO—ISO 27001 afirma que las organizaciones deben determinar los temas externos e internos relevantes a su propósito, y que afectan su habilidad de alcanzar los resultados deseados para sus sistemas de administración de seguridad. Con este fin, una organización debe buscar actualizar y obtener las certificaciones ISO en el contexto de GDPR.

Considerar estos principios y mejores prácticas ayudará a tu organización a continuar con una implementación efectiva y eficiente de un programa de cumplimiento GDPR antes de la fecha límite en mayo.

Para saber más acerca de nuestros servicios de gobernancia, administración de riesgos y cumplimiento (GRC), contacta a: gopichand.patibandla@capgemini.com

Descubre cómo el portafolio GDPR de Capgemini puede ayudarte a mejorar tu reputación aquí.