El 22 de junio de 2018 a las 11 a. m. EDT / 5 p. m. CEST, junto con invitados de IBM, DLA Piper, la Comisión Europea y el regulador francés CNIL, BigID organizará un debate en línea sobre cómo la tecnología puede ayudar a automatizar el cumplimiento del RGPD (https://bigid.com/webinar-gdprcompliance/).
A medida que nos acercamos a la fecha de entrada en vigor del RGPD, el 25 de mayo de 2018, muchas empresas prometerán soluciones para cumplir con los requisitos detallados y complejos del RGPD, pero solo unas pocas, BigID Entre ellos, creen que nunca será posible cumplir con el espíritu ni la letra del reglamento sin adoptar un enfoque de cumplimiento basado en datos. La práctica habitual, al enfrentarse a un nuevo conjunto de regulaciones, es centrarse en los procesos y el lenguaje legal. Sin embargo, es importante recordar que la D del RGPD significa Datos y la P, Protección. El RGPD no es un ejercicio talmúdico de privacidad teórica. En esencia, es una regulación sobre la integridad de algo medible: los datos de una persona. Esto requiere conocimiento sobre los datos de esa persona, lo que requiere un enfoque de cumplimiento basado en datos.
Cumplir con una normativa que rige el uso y la propiedad de los datos nunca será escalable ni automatizado sin antes contabilizar dichos datos, rastrear su uso y demostrar el cumplimiento de la política. El proceso de privacidad es importante, pero la privacidad nunca será un objetivo verificable y medible sin un producto adecuado que garantice el cumplimiento.
Esta nueva perspectiva sobre el cumplimiento de la privacidad como algo más allá de políticas y procesos tal vez no encuentre mejor ejemplo que el nuevo imperativo del RGPD de privacidad desde el diseño.
Llegando a la privacidad por diseño
El RGPD de la UE refuerza los conceptos de privacidad desde el diseño y privacidad por defecto como preceptos operativos fundamentales que exigen que las organizaciones consideren la protección de la privacidad desde la concepción inicial de un proyecto hasta su plena operación. Pero ¿cómo se logra la privacidad desde el diseño cuando la organización responsable del cumplimiento de la privacidad no es responsable directa de la creación y administración de una nueva iniciativa de TI?
Durante demasiado tiempo, el departamento de Privacidad de la mayoría de las organizaciones estableció políticas y procesos de privacidad para proyectos de TI, pero carecía de un producto tecnológico eficaz para garantizar el cumplimiento de las normas internas o externas. El cumplimiento sin medición es una mera estimación sin un producto eficaz para medir el comportamiento real y la conformidad con las políticas y los procesos prescritos. Cuando el departamento de TI busca medir el tiempo de actividad y el rendimiento de las aplicaciones, no utiliza cuestionarios, y no hay razón de peso para conformarse con menos en lo que respecta a la privacidad o la protección de datos.
La D en GDPR es de Datos
Lo que a veces resulta curioso al hablar del RGPD con abogados es la abstracción de los datos personales del objeto informático en sí. Los datos, por supuesto, no son algo esotérico: son una unidad de información precisa y cuantificable que se almacena y procesa electrónicamente. Cuando la UE comenzó a debatir la sustitución de la anterior directiva de protección de datos, lo hizo con el objetivo de ser más precisos sobre lo que debía protegerse y sobre las consecuencias de no hacerlo.
El RGPD de la UE es, ante todo, una normativa sobre datos, por lo que su cumplimiento nunca será posible de forma operativa y con privacidad por diseño si se desconocen los datos. Calcular la ubicación de los datos mediante encuestas no es mucho mejor que navegar por Norteamérica con un mapa del siglo X. Es, en el mejor de los casos, inexacto y, en el peor, poco fiable.
Para proteger eficazmente los datos personales de los consumidores es necesario conocer dichos datos: su ubicación, linaje, acceso, propiedad, etc. Los datos no se pueden proteger a menos que primero se conozca el objeto de la protección.
Cumplimiento de la privacidad de las personas basado en datos
El RGPD es muy específico en lo que respecta a una serie de obligaciones, desde los derechos de los interesados hasta el acceso, la portabilidad y la eliminación de los datos, pasando por los parámetros de consentimiento y la seudonimización, por dar algunos ejemplos.
Todas estas obligaciones exigen un conocimiento profundo y profundo de los datos personales que una organización recopila y procesa. Requieren una operacionalización similar a la de las TI de cómo se protege la privacidad de los datos: información consolidada y actualizada sobre los datos que se recopilan y procesan.
BigID está a la vanguardia de las empresas de próxima generación que ofrecen inteligencia similar a Big Data en torno a datos personales sin necesidad de construir una almacén de datosEl seminario web del 22 de junio analizará el papel que empresas como BigID pueden desempeñar tanto en la automatización del cumplimiento del RGPD como en la protección de la información de los consumidores basada en datos.
Autor
