Seleccionar página

GDPR - Reglamento general de protección de datos

GDPR: no es una opción, sino una necesidad para cualquier organización hoy en día


Cumplimiento de SOX, Procedimientos SOX, Documentación SOX

Antecedentes de GDPR

Después de que la preocupación por la privacidad se intensificó a través de las acusaciones a las que se enfrentó el CEO de Facebook- Mark Zuckerberg en marzo de 2018, los problemas de privacidad de datos tomaron un nuevo giro y acapararon la atención mundial.

Como efecto dominó, la gente comenzó a plantear sus preocupaciones sobre la privacidad individual. Las huellas digitales activas y pasivas se convierten en un tema de discusión, lo que dio lugar a varias preguntas.

La ideología de lo que se encuentra bajo el marco de los datos personales y lo que no se convierte en un asunto serio para la Unión Europea. Fue entonces cuando la idea de del Reglamento General de Protección de Datos, o GDPR se originó y, finalmente, actualizó las leyes de protección de privacidad de datos y control.

Fundamentals of GDPR

The ultimate aim of this regulation was to legally protect basic individual privacy while making such trade-offs which do not hurt the organizations excessively. Meanwhile, it helped European inhabitants to recognize the importance of correct use of their personal data. Here are the fundamental rights given to data subjects under GDPR.

Una persona que se encuentre bajo la autoridad de la UE tendrá derecho a:

  1. Have complete and free access to his/her personal data for the lifetime
  2. Make changes to correct the existing data
  3. Erase data with all the possible traces
  4. Restrict the processing of his/her data
  5. Get notified when a breach occurs
  6. Transfer his/her data to another organization
  7. Object over any decision relevant to processing, storage or circulation etc. of his/her data
  8. Disapprove automated decisions made by data controller or processor

This means that a European data subject now has the right to ask what, how, where, why and when his/her data is being used. The subject can even ask data controller and processor to delete, modify, correct, retrieve or move its data from one data controller to another.

¿Por qué el cumplimiento es inevitable?

Para implementar el GDPR, la UE creó organizaciones legalmente obligadas a responder las solicitudes de los interesados dentro de 30 dias . En caso contrario, las empresas se expondrán a una sanción administrativa de hasta 20 millones de euros o el 4% de los ingresos totales, lo que sea mayor. Por lo tanto, ahora se requiere que todas las empresas afectadas por el GDPR respondan a las solicitudes masivas a diario.

Como no existe una definición concreta de cumplimiento, no existe una forma segura de evitar las multas. Las empresas tienen que apresurarse a responder a cada solicitud sin importar cuánto tiempo, costos y recursos adicionales requieran.

Implicaciones del GDPR para las empresas

A medida que el GDPR neutralizó las preocupaciones del público europeo, las organizaciones que eran controladores de datos cayeron repentinamente bajo la presión de implementar 9 artículos más 173 considerandos en el marco del GDPR. El impacto de “Privacidad por definición y por diseño” fue tan fundamental que los modelos de negocio, incluso los flujos de trabajo básicos se vieron perturbados. Los acuerdos de política de privacidad ya no se consideran como consentimiento, ya que los responsables de los datos deben obtener el consentimiento de los interesados (es decir, “inclusión” y no “exclusión”) para el uso de los datos de manera explícita y con mayor frecuencia. Además, si las organizaciones deciden subcontratar el procesamiento de datos a un tercero, esos procesadores de datos también serán responsables, a diferencia de DPD, que los liberó de la responsabilidad. Con todo, GDPR implica para las empresas que la única forma de manejar esta situación es estar completamente preparadas para el cumplimiento. Y para hacer eso, necesitan una estrategia GDPR efectiva.

Major Challenges Followed by GDPR

According to the International Association of Privacy Professionals (IAPP), the major obstacles faced by organizations to be GDPR compliant are to make data portable, forgettable and to elicit consent. In this context, defining optimized business procedures can be a challenge for data privacy professionals.

Some businesses might even shift their focus from productivity to process compliance, data governance and quality control because these requirements are the most highlighted in GDPR.

More precisely, the main challenges faced by businesses are:

Gestión del Cambio

It is difficult and time-consuming to make such huge structural changes in live processes and legacy systems, especially for multinational companies.

Documentación

Las organizaciones deben establecer, documentar y mantener todos los registros de las iniciativas de GDPR, incluidas las metas, los objetivos, las metodologías, las reglas, las regulaciones, los recursos, las tareas y los resultados.

Integridad y estandarización de datos

Los datos completos, de buena calidad y estandarizados son la base de una sólida estrategia de GDPR. Sin embargo, almacenar datos nuevos, perfeccionar los datos existentes e integrar diferentes estructuras de datos puede resultar muy complejo.

Factor humano inevitable

Los procesos no estructurados y la comunicación verbal juntos pueden hacer que los datos sean más vulnerables a las fugas.

Gastos Generales

La configuración inicial y la capacitación continua para todos los empleados para manejar los procesos relevantes del GDPR de manera adecuada y científica pueden dañar la productividad central de una empresa e incluso dañar los ingresos.

Identificación y clasificación de datos

Identificar los datos legítimamente necesarios para el almacenamiento, procesamiento, documentación y generación de informes puede resultar extremadamente confuso.

Periodicidad de los datos

El desacoplamiento de datos válidos y obsoletos puede resultar complicado, ya que las organizaciones deben decidir cuándo los datos se volverán innecesarios según los diferentes ciclos de vida de los datos.

Seguridad de Datos

Las organizaciones deben mantener los datos de manera legal, segura y actualizada y, al mismo tiempo, hacer regularmente copias de seguridad y depuraciones de datos, así como mantener diferentes derechos de acceso a los datos.

Auditoría y Cumplimiento

Los registros de seguimiento comprobados de los datos recopilados, almacenados, usados, editados o eliminados son esenciales para que cualquier organización demuestre el cumplimiento en caso de auditorías.

Aplicación fuera del ámbito de la UE

Por fácil que parezca, no es fácil averiguar qué tema se aplica a qué tema y en qué contexto se aplica el GDPR. Una empresa que no tiene presencia en Europa puede procesar datos de un cliente del Reino Unido y debe implementar medidas integrales para garantizar el cumplimiento. Es aún más desafiante para las empresas multinacionales tener diferentes estrategias implementadas si otras leyes similares son aplicables en varias regiones. Las organizaciones necesitan encontrar bases comunes para múltiples requisitos regulatorios.

All these challenges are not a stand-alone activity shouldered by your DPO (data protection officer), CIO (chief information officer) or CISO (chief information security officer). It needs an overall strategy re-design and process makeover, which acquire special attention, task force and upskilled employees to meet the requirements GDPR.

Una mirada más cercana a las ventajas para resolver GDPR con BPM

Para abordar los desafíos que enfrentan las organizaciones y hacer que el cumplimiento de GDPR se integre en las operaciones diarias de una organización, un enfoque impulsado por procesos es la única forma de implementar, administrar y mantener las iniciativas de GDPR de la manera más eficiente.

Dicho esto, la gestión de procesos de negocio ( BPM ) es un enfoque poderoso que puede abordar todos los desafíos de GDPR antes mencionados. Las herramientas de BPM se pueden integrar fácilmente en el marco de procesos de negocios existente de la organización y expandir cada uno de los 7 pilares de GDPR en la jerarquía de procesos de negocios, convirtiendo las actividades comerciales asincrónicas y los flujos de trabajo fragmentados en procesos bien diseñados y eficientes que cumplen con las definiciones de GDPR. Esto también garantizará que todos los procesos nuevos introducidos o los procesos existentes que se someten a cambios debido a GDPR sean totalmente compatibles.

De esta manera, la administración y el mantenimiento continuos serán más fáciles y las responsabilidades serán claras. Al final del día, la optimización de procesos, la gestión de riesgos y el cumplimiento normativo son los objetivos compartidos de BPM y GDPR.

La metodología BPM puede aumentar la productividad empresarial de forma exponencial con la ayuda de algunas Herramientas y aplicaciones BPM ofrece numerosas funciones básicas y complementarias que se pueden asignar a los requisitos de cumplimiento.

A continuación se muestran algunas características destacadas de Herramientas BPM y su correspondencia con GDPR:

Análisis de Impacto

Las herramientas de BPM pueden proporcionar un análisis de impacto o un diagrama de impacto que ayudará a identificar cualquier proceso y artefacto que se verá afectado debido al GDPR. Esto garantizará que los programas de cumplimiento de GDPR se puedan implementar en un plazo determinado.

Seguimiento y análisis

Las herramientas de BPM pueden ayudarlo a visualizar las actividades en curso y fortalecer las colaboraciones entre departamentos. Realizarán un seguimiento del flujo de datos en un repositorio compartido común que permite una seguridad total, una trazabilidad completa y varios niveles de acceso. Los controladores de datos y los gerentes comerciales pueden generar pistas de auditoría para asegurarse de que todo esté bien encaminado.

Propiedad de los datos basada en la segregación de funciones

A cada usuario de la herramienta BPM se le asignarán roles y responsabilidades bien definidos para cada proceso, tarea, recurso, regulación, regla, documento, etc. Se cuantificará el desempeño de los empleados. Por tanto, la evaluación será más fácil y se podrán facilitar las mejoras. Esta propiedad de datos eventualmente empoderará el trabajo de sus DPO.

Ciclos de aprobación y configuración de seguridad

Los mensajes de aprobación y las interacciones a nivel básico se pueden automatizar a través del portal BPM para obtener un consentimiento concreto del procesamiento de datos. Los ciclos de aprobación garantizan que los derechos de sus datos personales estén protegidos de forma automática e inherente.

Flexibilidad y accesibilidad

Una herramienta de BPM inclusiva puede importar y exportar sus datos desde / hacia diferentes bases de datos, lo que permite una transferencia de datos flexible, precisa y segura. Vale la pena mencionar que muchas herramientas BPM son responsables de dispositivos móviles, lo que permite un acceso sin problemas a sus datos en cualquier momento y lugar.

Notificaciones y alertas

Las herramientas de BPM aseguran que las personas responsables y sujetas a responsabilidad que participan en un proceso serán notificadas automáticamente para que realicen sus tareas, ya sea la aprobación o el rechazo de una acción, de manera oportuna y rápida. Estas alertas en tiempo real serán extremadamente útiles en caso de un mal uso o violación de sus datos confidenciales.

Pistas de auditoría

Muchas herramientas de BPM admiten una pista de auditoría completa de los cambios realizados en los procesos comerciales, así como los artefactos relacionados. Dicha característica ayudará a los propietarios de procesos comerciales a mantener el historial de los cambios y volver a versiones anteriores si es necesario.

Colaboración

Para asegurar que se aborden todos los requisitos (según corresponda a la organización cliente) de GDPR, es fundamental que los cambios en el proceso se realicen sobre la base de la colaboración interfuncional, de modo que todas las concesiones se asignen adecuadamente y haya pleno consenso en el proceso rediseñado.

Desaprendizaje y reaprendizaje

Para cumplir con el GDPR, la gerencia y los empleados de una organización deberán someterse a un importante desaprendizaje y reaprendizaje de los procesos comerciales. Por lo tanto, una herramienta BPM basada en repositorios puede proporcionar un valor significativo para garantizar la alineación de personas y procesos, facilitando la retención de conocimientos y el intercambio de mejores prácticas.
Para obtener más información sobre cómo BPM puede proteger sus iniciativas de GDPR, consulte nuestro Blog .

How Interfacing can help

The Enterprise Process Center – Catalyst for Your GDPR Implementation

Interfacing’s Enterprise Process Center ® (EPC), a recognized leading BPM & GRC solution, offers a wide range of modules from process optimization, document management, performance analysis, data governance, risk assessment, to audit and control. Beyond a process modeling tool, the EPC has helped numerous organizations to improve processes, automate workflows, document system data enhance performance, mitigate risks and share knowledge. The EPC will be the silver bullet that enables:

1. Diseño y planificación de procesos:

Identifying key processes related to data, mapping GDPR into your organizational workflows, involving all actors connected to GDPR

  • Translating processes into actions via process mapping, displaying interrelated processes to improve your overall productivity and process intelligence
  • Documenting activities related to data, generating complete audit trails for traceability and compliance
  • Deterring regulatory violations in everyday operations by implementing controls to ensure seamless execution from all employees
  • Version controlling to monitor your data environment, safe data purging to manage your data inventory

2. Responsabilidad y seguridad de los datos:

  • CRUD (create, read, update, delete) methodology to ensure data safety during the entire lifecycle
  • RACI expanded matrix to set different security levels for data based on different roles, rules and responsibilities (segregation of duties)
  • In-sync modification of data all across the organization to guarantee data consistency and information symmetry
  • Mobile responsive platform to support data flows in all digital business environments and endpoints
  • Instant notifications to create dialogue, ensure consistency and increase trust with your employees and customers

3. Evaluación y mitigación de riesgos:

  • Visualizing and analyzing all data-related activities through different views and reports to better detect, deter and prevent risks
  • Prioritizing risks mitigation actions, formulating countermeasures based on calculated scores to rationalize your decision-making
  • Setting periodical reviews and monitoring different maturity levels for continuous improvement during your GDPR journey

GDPR en pocas palabras

GDPR enredó e interrumpió el panorama futuro de la gobernanza y el cumplimiento de los datos: la UE impone cero violación de datos a todas las empresas que tratan con temas europeos.

Con la ayuda de herramientas avanzadas de BPM, las empresas pueden centrarse en la calidad y la seguridad sin sacrificar la productividad y la eficiencia. Las herramientas BPM son una táctica crítica que permite a los clientes europeos confiar en sus procesadores y controladores de datos y, finalmente, aumentar la lealtad y la retención de una marca.

Las herramientas de BPM pueden ser una solución todo en uno para el enorme paquete de problemas seguido por GDPR, y no hay duda de que las empresas deberían comenzar a implementar dichas herramientas para allanar el camino hacia un futuro mejor.

Learn how we can help you manage Compliance

Gestión de Cumplimiento

¡Pruébelo gratis ahora!

Documente, mejore, estandarice y supervise sus procesos, riesgos y rendimiento empresariales con el Software de Gestión de Procesos de Negocio (BPM Software) de Interfacing, ¡el Centro de Procesos Empresariales®!

Leer folleto de EPC