GDPR: latinoamerica ante el reto de cumplir el reglamento y proteger datos

Cuando quedan pocos meses para que el Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) de la Unión Europea sea de obligado acatamiento, las empresas se preparan para su cumplimiento.

Nadie quiere incurrir en faltas que puedan conllevar sanciones.

En América Latina, y pese a la cercanía para su entrada en vigor, muchas organizaciones desconocen o dudan acerca de los aspectos más relevantes relacionados con su cumplimiento. ¿Cómo saber si una determinada empresa debe cumplir con GDPR?

La respuesta es clara:

Cualquier compañía que cuente con filiales y/o almacene o procese datos personales sobre ciudadanos de la UE está obligada a su observancia.

Como base principal, GDRP quiere garantizar la libre circulación de datos en el seno de la UE. Desde esta consideración, el Principio de Transferencias Internacionales1 recoge que únicamente podrá realizarse una transferencia de datos personales a un tercer país u organización internacional, cuando la Comisión haya considerado que éstos (país u organización) disponen de un adecuado nivel de protección; ofrecen garantías adecuadas sobre la protección que los datos recibirán en su destino; o se dan circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento.

En buena parte de las legislaciones iberoamericanas el derecho de las personas sobre la protección de sus datos se encuentra regulado a través del denominado ‘habeas data’, en calidad de garantía constitucional. Además, la existencia de organizaciones como la Red Iberoamericana de Protección de Datos (RIPD), foro integrador para el desarrollo de iniciativas relacionadas con la protección de datos personales en Iberoamérica, ha permitido avanzar en este terreno. Países como Argentina (Ley 25326/2008); Uruguay (Ley 18.331/2008); Perú (Ley 29733/2011); Costa Rica (Ley 8968/2011); Nicaragua (Ley 787/2012) o Colombia (Ley 1581/2012) ya disponen de una normativa específica en esta materia.

En este contexto, el acatamiento de GPRD supondrá un avance significativo, aunque también implicará una mayor inversión en procesos y tecnología necesarios para asegurar dichos datos, tanto los que permanecen al amparo del perímetro de TI como los que viajan por la nube.

Los datos no atienden a fronteras

Ciertamente, la nube permite traspasar fronteras tecnológicas, geográficas y administrativas, asegurando la disponibilidad, accesibilidad y compartición de los datos, pero también impulsa un importante abanico de amenazas. Así, uno de los mayores problemas que surge en torno a esta infraestructura es que los datos personales se procesan en cloud, por lo que los equipos de seguridad y de TI no tienen percepción ni control sobre lo que sucede con ellos. Estos equipos, además, han perdido visibilidad sobre el número de aplicaciones cloud utilizadas en el entorno empresarial.

A raíz de esta situación, y, sobre todo a causa de leyes como GDPR, las empresas que utilizan aplicaciones en la nube ya optan por implementar políticas y controles de seguridad que les ayuden a proteger y utilizar los datos personales de forma apropiada. Asimismo, el incremento en el uso de las aplicaciones cloud está estimulando la implementación a nivel corporativo de fórmulas que permitan controlar su uso. En este punto, solo un Cloud Access Security Brokers (CASB) puede detectar fenómenos como “Shadow IT” y “Shadow Data” producido por dispositivos no administrados, BYOD o terceros. Asimismo, un CASB ofrece visibilidad sobre el uso de las aplicaciones en la nube y sobre los datos que viajan a través de esas aplicaciones, controlando, además, qué aplicaciones intercambian datos privados

Las empresas no pueden limitar el uso de servicios cloud por parte de sus empleados. Sin embargo, no controlar las actividades que realizan en la nube también puede significar que los datos sensibles acaben en manos equivocadas, exponiendo todo el ecosistema empresarial a mayores problemas.

GPRD ya está aquí. Por ello, obtener una visibilidad completa del uso y actividades de los servicios y aplicaciones cloud nunca había sido tan importante; todas las empresas, cualquiera que sea su localización o ubicación, deben responsabilizarse de la protección de los datos de sus clientes.

 

 

Por Alain Karioty, Regional Sales Director de Netskope para Latinoamérica

 

———————————————

1 Diario Oficial de la Unión Europea. CAPÍTULO V. Transferencias de datos personales a terceros países u organizaciones internacionales. Artículo 44: Principio general de las transferencias (L 119/60). Artículo 45: Transferencias basadas en una decisión de adecuación(L 119/61). Artículo 46: Transferencias mediante garantías adecuadas (L 119/62). Artículo 49: Excepciones para situaciones específicas (L 119/64)