2 de julio de 2018
Propuesta en 2012 y ahora en vigor, la Reglamento General de Protección de Datos (GDPR) Es el último hito en la legislación sobre protección de datos. La legislación de cumplimiento del RGPD está diseñada para proteger mejor los datos personales de las personas en la Unión Europea (UE), obligando a las empresas a ser más responsables de cómo recopilan, utilizan, comparten y almacenan datos. Las multas por incumplimiento pueden alcanzar hasta 20 millones de euros, o el 4 % de los ingresos anuales mundiales del ejercicio anterior.
Preparado para el éxito
Como empresa dedicada al desarrollo de soluciones para la gestión de calidad y cumplimiento, AssurX abordó el amplio alcance de la preparación para el cumplimiento del RGPD con la experiencia para identificar, documentar y remediar cualquier problema de proceso donde la privacidad de los datos sea una preocupación.
Además, dado que AssurX utiliza la automatización para rastrear y dar seguimiento a todas las políticas que rigen la captura y el intercambio de datos, la práctica de mapear los controles de privacidad ya estaba prácticamente implementada. El Director de Cumplimiento de la empresa asumió el rol de Delegado de Protección de Datos (DPD). Tras aprobar recientemente una HIPAA Auditoría y certificación de cumplimiento: AssurX tenía un amplio conocimiento sobre cómo abordar las evaluaciones de privacidad del RGPD para identificar los posibles impactos de la violación o el uso indebido de la información privada.
Protección de datos más allá de la TI
El RGPD exige un cumplimiento específico para los responsables y encargados del tratamiento de datos. Si bien se aplica a las prácticas de seguridad informática, se extiende a cualquier otra unidad que recopile o procese información personal, incluyendo, entre otros, marketing, finanzas y proveedores.
Además, el RGPD exige una atención especial al consentimiento válido o informado. Las personas en la UE tienen mayor poder sobre cómo se utiliza su información. Por ejemplo, una persona puede solicitar ser "olvidada", lo que significa que su información no podrá volver a utilizarse para ningún fin. Por lo tanto, deben establecerse controles que permitan a cualquier persona de la UE determinar qué datos pueden recopilarse y procesarse.
Como resultado, se revisaron y actualizaron todos los acuerdos de procesamiento de datos (APD) vigentes con proveedores, clientes y contratistas. La preparación para el RGPD tuvo un doble objetivo: implementar prácticas para cumplir con el RGPD y reforzar un compromiso bidireccional con el cumplimiento.
Fortalecimiento de la rendición de cuentas
Como se establece en el RGPD, los encargados del tratamiento de datos son responsables de las filtraciones de datos. Los contratistas y proveedores que tienen acceso digital a datos personales y a actividades de tratamiento también deben cumplir con todas las obligaciones del encargado. Esto crea un entorno de rendición de cuentas donde la transparencia es clave. Toda persona o entidad contratada por AssurX se ha comprometido por escrito a implementar prácticas de protección de datos que cumplan con los altos estándares de AssurX y a someterse a auditorías cuando se les solicite.
La preparación para el RGPD se convirtió en una prueba de fuego para el marco existente de protección de datos y gestión de proveedores de AssurX. La auditoría de la recopilación, seguridad, procesamiento y retención de información desde una perspectiva holística reforzó el control de todos los datos que quedarían cubiertos por el RGPD y la privacidad de la información en general.
“Una práctica importante durante la preparación para el RGPD fue la evaluación exhaustiva de los acuerdos con nuestros proveedores y la evaluación de los riesgos existentes”, explicó Tamar June, presidenta y directora ejecutiva de AssurX. “Nos ayudó a cumplir con la normativa al revisar y actualizar nuestros requisitos para los acuerdos actuales y futuros. Esto nos permitió identificar fortalezas adicionales, así como oportunidades para mejorar nuestro negocio y el servicio a nuestros clientes”.
Mejores prácticas para el cumplimiento del RGPD
- Capacitar a todos los empleados: Proporcionar capacitación sobre el cumplimiento del RGPD a todos los empleados en la medida en que afecte a su puesto. Aprovechar la oportunidad para reforzar las prácticas de seguridad en toda la empresa (por ejemplo, la seguridad de los dispositivos móviles). Capacitar a los empleados para que informen sobre sus inquietudes.
- Informar a los clientes: Informe a sus clientes de la UE que está comprometido con el RGPD y que responde a sus consultas.
- Tener un único punto de contacto: Su Delegado de Protección de Datos (DPD) debe ser el único punto de contacto para todas las consultas sobre el cumplimiento del RGPD. Demorar demasiado o no abordar un posible problema de cumplimiento podría dar lugar a una denuncia.
- Asegúrese de que exista un control de cambios: Antes de realizar cambios en sus procesos de marketing y otros procesos diversos, incluido el desarrollo de software, asegúrese de evaluar cualquier impacto en relación con los requisitos del RGPD.
- Revise periódicamente sus evaluaciones: Revise de forma programada sus evaluaciones de cumplimiento del RGPD para identificar brechas o vulnerabilidades.
- Audite sus procesos con frecuencia: Programe previamente auditorías para validar que no haya habido cambios no documentados o no aprobados (por ejemplo, software de marketing no autorizado o DPA obsoletos).
Conclusión
AssurX ha priorizado la privacidad de sus clientes durante más de 20 años con protocolos de seguridad física, de red y de información de nivel empresarial para sus soluciones alojadas de gestión de cumplimiento y eQMS en el Sistema de gestión de calidad en la nube AssurXClientes en industrias altamente reguladas, incluyendo farmacéuticas, dispositivo médico, energía y servicios públicos más antigua y de alta tecnología Debería confiar en la arquitectura de privacidad por diseño de AssurX, que ha estado en práctica mucho antes del RGPD.
Cumplir con el RGPD no es tan sencillo como garantizar una buena seguridad de red. El cumplimiento del RGPD implica un análisis exhaustivo de cada sistema que procesa datos personales para mejorar las prácticas de gobernanza de la privacidad y el compromiso con el cumplimiento.
