Por qué «sin incumplimiento» es una mala noticia para su cumplimiento

Por qué «sin incumplimiento» es una mala noticia para su cumplimiento


Vivimos en una era en la que la privacidad y la seguridad de los datos ocupan un lugar destacado en la conciencia pública, particularmente desde la implementación del GDPR en mayo de 2018, con grandes violaciones de datos que a menudo son noticia nacional, como la fuga reciente de direcciones en el Lista de Honores de Año Nuevo y El ciberataque Travelex.

Este aumento de la conciencia, y la forma en que las noticias de una violación se propagan como incendios forestales, creando daños a la reputación, significan el papel de Delegado de protección de datos (DPO) se ha vuelto cada vez más importante en una organización.

La responsabilidad fundamental del DPO es proteger los derechos y libertades de los interesados, lo que significa que una parte clave del papel es evitar que ocurran violaciones.

Lo que mantiene a los DPO despiertos por la noche es el miedo a ver una brecha en los medios, antes de que sus colegas se den cuenta de ello. Esto no solo pone a la organización en segundo plano cuando se trata de responder, sino que también aumenta la probabilidad de una multa.

Entonces, si su organización tiene un registro «limpio», sin incumplimiento, eso es algo bueno, ¿verdad? Incorrecto.

Cuando nos encontramos con empresas que reportan pocas o ninguna violación, levanta varias banderas rojas. Significa una de dos cosas: son perfectos (poco probable), o sus empleados están nerviosos por informar una infracción, no saben cómo reconocerla o no conocen el proceso para denunciarla. Todos los cuales son cuestiones que deben abordarse con urgencia.

Deberías leer:   Luta Security y Emsisoft discuten cómo combatir el ransomware en Disrupt – Tecno

Una violación de datos no se limita a esas historias importantes que aparecen en los titulares. La mayoría de las organizaciones tendrán infracciones con bastante regularidad, por ejemplo, correos electrónicos enviados a la persona equivocada, documentos perdidos en las impresoras o memorias USB faltantes, todo lo cual debe ser informado.

Las brechas como catalizador del cambio organizacional

Nuestra opinión es que, si bien las infracciones son preocupantes y deben gestionarse correctamente, no necesariamente deben percibirse como incidentes negativos.

En cambio, tienen el potencial de actuar como un catalizador para el cambio organizacional, proporcionando ejemplos del mundo real para cambiar comportamientos e integrar las mejores prácticas en toda la organización. Es mucho más poderoso involucrarse con el personal sobre algo que realmente sucedió, en lugar de ejemplos teóricos, y discutir cómo podría evitarse en el futuro.

El análisis periódico de las infracciones puede ayudar a identificar las áreas de una empresa que deben abordarse, como un perfil de seguridad deficiente, la falta de capacitación en sistemas de TI o la escasa conciencia del proceso de reconocimiento y notificación de una infracción. Pero, en una organización donde se pasan por alto posibles incumplimientos o simplemente no se marcan, los DPO no tienen acceso a esta información crítica.

Entonces, ¿cuáles son los pasos prácticos que los DPO pueden tomar, tanto consultores como internos, para efectuar este cambio organizacional y garantizar que sus clientes y organizaciones estén «conscientes de los datos»?

1. Entrenamiento regular

Un error común es tratar el cumplimiento de la privacidad de los datos como un problema único. Requiere un enfoque a largo plazo. Por ejemplo, vimos que muchas organizaciones invierten mucho en capacitación en el período previo a la implementación de GDPR en mayo de 2018. Cuadro de cumplimiento, marcado, ¿verdad?

La capacitación básica en seguridad de la información debe realizarse anualmente y también debe ser una parte importante del proceso de inducción para cualquier empleado nuevo.

Como mínimo, esto debe incluir:

  • Dónde se encuentran sus políticas de seguridad de la información
  • El uso apropiado de los sistemas de trabajo.
  • La complejidad aceptable de las contraseñas.
  • Cómo usar los activos corporativos
  • Su proceso de escalado en caso de incumplimiento

2. Elimine el «miedo» de denunciar una violación

Si un empleado es responsable de una violación, el «factor miedo» podría evitar que lo denuncien. El hecho es que somos humanos y perdemos cosas o cometemos errores. Una parte clave de la creación de una cultura positiva en torno a la privacidad de los datos es garantizar que los empleados no tengan miedo de informar una pérdida accidental. Lo que no es aceptable es no presentarse cuando ocurre la pérdida.

Como parte de la capacitación continua del personal, las organizaciones deben adoptar un enfoque de «R&R»:

  • Reconozca: explique claramente qué constituye una infracción y qué no
  • Informe: comunique el proceso de informe, ya sea al gerente de línea, al departamento de recursos humanos o al DPO, y haga hincapié en que, si bien el empleado no enfrentará medidas disciplinarias en caso de incumplimiento accidental, es importante que lo informen para ayudar a administrar La situación adecuadamente.

Adoptar una cultura positiva de «conocimiento de los datos»

Como OPD, somos responsables de proteger los derechos y libertades de los interesados. Esto incluye limitar y mitigar el riesgo cuando sus datos se han perdido o mal utilizado. Por lo tanto, una organización que afirma que ha experimentado poco o ningún incumplimiento no solo se está poniendo en riesgo, sino que podría estar dejando vulnerables a sus interesados.

Por lo tanto, si bien las OPD que adoptan e incorporan una cultura positiva y “consciente de los datos” pueden encontrarse recibiendo más informes de violaciones, esto debería considerarse como una oportunidad para revisar regularmente los sistemas y procesos y, en última instancia, proteger los mejores intereses de los interesados .

Byron Shirley es cofundador de El espacio de cumplimiento, un proveedor de software de gestión de cumplimiento para consultores que asesoran sobre el cumplimiento de GDPR.

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.