Compliance es la nueva regulación Europea en materia de seguridad y protección de datos que tendremos que asumir a partir del 2015.
Si tienes un negocio y gestionas información personal, esta nueva regulación te afecta de lleno y según la Vanguardia, el «Legal Compliance» es uno de los puestos mas demandados.
El 23 de Octubre, SPOUG Spain Oracle Users Group, el único Grupo de Usuarios en España avalado por Oracle, organizó el Seminario “Cumplimiento Normativo y Seguridad en el Nuevo Entorno Digital” al que tuve la suerte de asistir.
El eje central ha girado en torno a «Compliance», el nuevo marco para las empresas.
¿Te suena?
Posiblemente no, por eso, comparto contigo algunas de las conclusiones que a mí entender, son las que deberías conocer.
La tecnología actual te permite entre otras cosas:
- Almacenar información, fotos, bases de datos en la nube, acceder a ellos desde un móvil, una tablet o un ordenador, en cualquier lugar del mundo.
- Te permite compartir información personal en varias redes sociales, detectar tu geolocalización, importar contactos.
- Los buscadores almacenan tus búsquedas, anticipan tus preferencias, te mandan anuncios selectivos, según tu perfil.
Tú, como profesional, también instrumentas todos estos recursos para gestionar información personal de otros.
Las dos terceras partes de los datos sensibles y regulados residen en Bases de datos y los datos se duplican cada año.
Pero tú sigues aplicando las mismas medidas de seguridad que utilizabas cuando nada de esto era posible.
El avance multiplica el riesgo
A la vez que evoluciona la tecnología y los activos digitales, también evolucionan los incidentes de seguridad ocasionados por las violaciones de datos, fraudes, espionajes, sabotajes y otros ataques cibernéticos de muchos tipos que afectan a todo tipo de empresa, independientemente del tamaño o actividad.
La tecnología ha provocado un problema de privacidad de datos al proporcionar facilidad de acceso a los datos de forma rápida.
Toda gran ventaja entraña una gran responsabilidad
Sigo encontrando cada día profesionales que creen que esto de la protección de datos no les interesa, en el caso de bloguers, creen también que hablar sobre seguridad tampoco tiene interés para su audiencia.
Cuando advierto sobre el uso inadecuado e ilegal que hacen muchos profesionales de WhatsApp o Redes Sociales, muchos me miran como las vacas al ver pasar un tren.
Pero mientras muchos siguen operando igual que en los orígenes de la programación, cuando los programadores compartían directamente el código fuente, las autoridades nacionales e internacionales están promoviendo la aprobación de un número cada vez mayor de normas, que implican que los profesionales y las empresas implanten un nuevo nivel de medidas de seguridad y la adopción de las prácticas internacionales acordes con el nuevo escenario internacional.
La regulación legal recogida en el Compliance , nos obliga a que la tecnología proteja el dato, permita el acceso sólo a quién debe acceder, sepamos quién accede a qué dato y seamos capaces de informar en caso de incidente.
¿Sigues compartiendo el código fuente?
La realidad es que tarde o temprano, tendrás que adaptarte a la nueva sociedad de la información.
Disfrutar de los beneficios que nos generan los nuevos entornos conlleva la responsabilidad ineludible de aprender a gestionar la seguridad de la información que gestionas.
Adaptarse o perecer
A lo largo de la evolución, los seres humanos han tenido que asumir nuevas competencias para adaptarse al entorno y los nuevos avances.
Estamos obteniendo muchos beneficios de las TIC y, día a día percibo que se está generando mejor conciencia auto-responsable por los usuarios, o al menos, esa debería ser la tendencia. Sin embargo, todavía queda mucho camino por recorrer a nivel concienciación.
Susana González Ruisánchez
Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad
El nuevo reglamento Europeo «Compliance» pretende unificar el marco normativo en todos los países miembros de la Unión Europea, fortaleciendo los derechos individuales y exigiendo obligaciones preventivas.
También establece medidas de control de privacidad para hacer frente a los retos que plantean la globalización y las nuevas tecnologías.
Entre las medidas que vas a tener que asumir en cuanto entre en vigor (2015) están:
- Crear una arquitectura de seguridad para defender la seguridad de los datos de personas que almacenas.
- Medidas para anticiparte, analizar y corregir los incidentes de seguridad.
- Asignar un DPO (Data Protection Officer) externo o interno que será el responsable de controlar el cumplimiento (sujeto a volumen de datos que gestione)
- El consentimiento expreso será la regla general. Las normas sobre consentimiento se verían fortalecidas.
- Privacy by design y Privacy by default pasarían a ser actuaciones obligatorias, al igual que los Privacy Impact Assessments en ciertos casos.
- Documentar las medidas de cumplimiento (Responsabilidad, Metodología, Seguimiento, Actualización, Prevención y Anticipación)
- Las notificaciones de ficheros a la correspondiente Autoridad de Protección de Datos nacional quedarían eliminadas.
- Las asociaciones podrán presentar quejas y reclamaciones ante las Autoridades de Protección de Datos y/o acciones judiciales en nombre de las personas afectadas.
- Establecer controles internos para garantizar la integridad, confidencialidad y disponibilidad de la información personal.
- Informar en caso de incidentes y brechas de seguridad. Estas habrán de ser notificadas en las 24 horas siguientes a su descubrimiento a las Autoridades de Protección de Datos nacionales y a los afectados.
- Endurecimiento de las sanciones: Se prevén sanciones de entre 100 y 1.000.000 de euros o hasta un 5% de la facturación anual a nivel mundial de una empresa.
¿Qué pasa si te resistes a adaptarte?
Este Reglamento «Compliance» tendrá una aplicación directa y por lo tanto mantenerte al margen, significa quedar relegado, rezagado y muy posiblemente, depurado de las redes, vía sanción, vía abandono de audiencia.
Según los analistas, en 5 años el 30% de todas las operaciones se realizarán de forma online y con medios digitales, por lo que no sorprende que en 2015 la gran mayoría de las compañías tienen previstas acciones de transformación digital, que aseguren en todo momento el cumplimiento normativo y dejar evidencias de seguridad en sus clientes.
La Gestión de la Identidad juega un rol central en todos los procesos relacionados con el cliente y permite gestionar las fuerzas disruptivas Social, Mobile, Cloud y Big Data en la transformación digital de las empresas y profesionales.
En el modelo digital, las obligaciones regulatorias, deben ser percibidas como un “valor diferencial” para el Negocio, por lo que hay que situar la seguridad en el núcleo del ciclo de vida de los procesos de negocio.
Fotografía:Mami_H
5 comentarios
Realizo consultoría LOPD, LSSI-CE, y esta es la copia de un comentario realizado en el Grupo de LnkedIn «LOPD: Implantación y cumplimiento», por si os pudiera aportar algo… (no estáis solos, por ejemplo).
Nuestro trabajo no debería ser evangelizar a las empresas en el cumplimiento de las Leyes, pero al final es lo que hacemos la mayor parte del tiempo, y es ingrato.
Esa tarea debería ser de la Agencia Española de Protección de Datos; ellos son los que deben, por un lado defender a la persona, y por otro concienciar al empresario. Pero no es el caso, al menos es la experiencia que tengo yo.
El empresario, en el 90% de los casos decide que cumplir la LOPD, e incluso la LSSI-CE es algo que se puede dejar para más adelante. No es que no lo vayan a hacer, la mayoría, ahora ya si, saben que es obligatorio, pero no urgente.
Todos sin excepción tienen un plan de Prevención de Riesgos Laborales. ¿ Por qué ?.
Pues muy sencillo, por que saben que la posibilidad de ser inspeccionados es muy alta y temen la sanción. Si fuera por ellos no lo harían.
El «asesor» fiscal les indica lo que tienen que hacer, les imponen que cumplan con la Prevención y en la mayoría de los casos, en lo referente a la LOPD, les tranquilizan con el argumento de que «ahora no están sancionando por eso».
Debemos ser pragmáticos. Hay que ser sincero con el cliente, explicarle la realidad; que estamos para proteger sus intereses y que nos hemos tomado la molestia de prepararnos para la tarea (y además demostrarlo), que al final obtendrá ventajas de nuestro servicio. Pero tardará en tomar la decisión y casi siempre dependerá de un tercero (el asesor, un amigo, un socio o el programador de la web).
Y por lo demás insistir, llamar, visitar, moverse, hacer todo lo que habéis dicho vosotros y más.
Y esperar a que la Agencia haga esas campañas tan bonitas que acaban con «Gobierno de España».
Gracias Oscar por trasladar ese valioso aporte a este espacio, pensado para profesionales y empresas que necesitan acercarse a la LOPD y no tienen claro como ni en que medida les afecta.
Estamos para proteger sus intereses, como bien señalas, debemos hacer calar este mensaje.
Un abrazo y bienvenido, esta es tu casa.
Buenos dias de nuevo, por supuesto para el seguro mi idea siempre ha sido hacerlo a mi empresa para cubrir luego a mis clientes y pasando pasando todos los meses o todas las semanas un listado a la compañia aseguradora y regularizando con la compañia de seguros las primas cada tres meses.
Pero creo que ni por ese servicio que seria exclusivo de muy pocos, lo terndriamos facil porque sigo visitando a puerta fria y sigo viendo las mismas respuestas.
Esta misma semana un arquitecto con un despacho y varios empleados, cuando me presento y le ofrezco mis servicios lo primero que me dice y para que me sirve la LOPD, eso no sirve para nada y por mas que intento convencerle de que se adapte, conmigo o con otros pero que se adapte,debido a la gran diferencia de una sancion entre estar adaptado o no, le indique lo siguiente vd. tiene seguro obligatorio, se pone el cinturon y logicamente me contesto Si, porque era obligatorio y le dige la LOPD, es una ley organica, y todas las leyes organicas, son de obligado cumplimiento, aqui tiene mi informacion, buenos dias.
La verdad es que no se porque salgo todavia a hacer puerta fria, pero lo llevo en la sangre y me gusta, y la verdar con este servicio mas, porque siempre decimos lo tipico
buenos dias venia a informarles, cuando la verdad lo que todos queremos es vender, no vivimos de informar.
En este Pais por desgracia lo que nos hace cumplir las normas son las sanciones.
Gracias Julio por tu valioso aporte y contribución a este debate. Sería genial que no tuviéramos que hacer tanta pedagogía sobre algo que debería ser evidente, la seguridad de las empresas debería ser una prioridad.