El más reciente estudio de Veritas Technologies, una empresa dedicada a la gestión de datos en la nube, reveló que organizaciones de todo el mundo creen erróneamente que están cumpliendo con el próximo Reglamento General de Protección de Datos o General Data Protection Regulation (GDPR).
Aunque el GDPR aplicará para las organizaciones que operan en países de la Unión Europea (UE), su cumplimiento ya está generando el debate respecto a cómo las empresas, sin importar el sector al que pertenezcan, están haciendo uso de los datos personales de los usuarios.
Resultados del estudio
Según el ‘Informe GDPR de Veritas 2017’, casi un tercio de los encuestados (31%) afirmó que su empresa ya cumple con los requisitos de la legislación. Sin embargo, cuando a los mismos encuestados se les preguntó sobre las disposiciones específicas del GDPR, las respuestas de la mayoría demostraron que es poco probable que estén asumiendo correctamente estas normas. Tras una inspección más detallada, solo el 2% parece cumplir con las disposiciones, lo que revela un claro malentendido respecto al cumplimiento.
Los resultados del informe también demuestran que casi la mitad de las organizaciones (48%) que declararon que cumplían no tienen visibilidad total de los incidentes de pérdidas de datos personales. Además, el 61% del mismo grupo admitió que para la organización resulta difícil identificar y denunciar una filtración de datos personales en un plazo de 72 horas a partir de que se descubre. Este es un requisito obligatorio del GDPR cuando hay riesgo para las personas interesadas.
De hecho, una organización que no puede informar la pérdida o el robo de datos personales (como registros médicos, direcciones de correo electrónico y contraseñas) al órgano de supervisión en el plazo citado, no estaría cumpliendo con este requisito fundamental.
La amenaza del exempleado
La restricción del acceso del exempleado a los datos corporativos y la eliminación de sus credenciales del sistema ayudan a prevenir la actividad maliciosa y a evitar pérdidas financieras y daños de reputación.
Sin embargo, un 50% de las organizaciones que consideran que cumplen las disposiciones afirmaron que los exempleados aún tienen acceso a los datos internos. Estos hallazgos destacan que incluso las organizaciones más seguras tienen problemas para controlar el acceso de los ex-empleados, y son potencialmente susceptibles a los ataques.
Desafíos al ejercer ‘el derecho al olvido’
Según el GDPR, en regiones como UE, los residentes tienen derecho a solicitar la eliminación de sus datos personales de las bases de datos de una organización. Sin embargo, la investigación de Veritas demuestra que muchas organizaciones que consideraban que cumplían con las disposiciones no saben cómo buscar, encontrar y eliminar datos personales si un usuario ejerce el principio del ‘derecho al olvido’.
De las organizaciones que consideran que están preparadas para el cumplimiento del GDPR, una quinta parte (18%) admitió que los datos personales no se pueden depurar ni modificar. Otro 13% reconoció que no tiene la capacidad de buscar y analizar datos personales con el fin de revelar referencias explícitas e implícitas de un individuo. Tampoco pueden visualizar con precisión dónde se almacenan sus datos, porque sus fuentes de datos y depósitos no están claramente definidos.
Estas deficiencias harían que una empresa no cumpla con las disposiciones del GDPR, por lo que las organizaciones deben garantizar que los datos personales solo se utilicen para las razones por las que se recopilaron y que se eliminen cuando ya no sean necesarios.
El caso Colombia
En una nota previa de ENTER.CO
explicábamos que en Colombia se han generado varios debates con interesantes puntos a favor y en contra. Varias decisiones judiciales en distintos países han hecho que muchas naciones se quieran adherir al derecho al olvido. Sin embargo, en países como Colombia, el tema no parece entenderse del todo.
Muchos mencionan que el derecho al olvido puede limitar el derecho a la libertad de la información y como un bloqueo de contenidos mal manejado puede perjudicar la neutralidad de la red. No obstante, expertos como Germán Realpe, CEO de Cloud Seguro y columnista de ENTER.CO, consideran que es necesario que el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) tome una posición sobre el cumplimiento de las normas de privacidad de las grandes compañías internacionales en Colombia. Así mismo, se deben actualizar las normas de protección de datos como la competencia de las autoridades judiciales.
“El derecho a la desindexación es un derecho fundamental. Es necesario empezar a entender que muchas personas tienen el derecho de no aparecer en internet. En la actualidad, todo pasa por Google, desde un candidato para un puesto laboral, un nombre, un teléfono, un correo electrónico y una posible novia. La información que ves en dos segundos en el buscador te puede marcar de por vida”, comentó Realpe.
También te puede interesar ¿Quién debe responder por la neutralidad en la red?
Desmitificación de la responsabilidad del GDPR
La investigación de Veritas también evidenció que existe un malentendido común entre las organizaciones con respecto a la responsabilidad de los datos en entornos de nube. Casi la mitad de las empresas (49%) que consideran que cumplen con el GDPR creen que es responsabilidad exclusiva del proveedor del servicio de la nube garantizar el cumplimiento de los datos en la nube.
No obstante, el GDRP explica que la responsabilidad recae en el controlador de datos (la organización). “Este falso sentido de protección que se percibe podría tener serias repercusiones una vez que se promulgue el GDPR”, afirmó Veritas.
Imagen: Pexels