Según un estudio de Veritas muchas organizaciones de todo el mundo creen erróneamente que cumplen con el reglamento general de protección de datos (GDPR), pero solo dos por ciento de las organizaciones en supuesto cumplimiento con el GDPR realmente observan el reglamento
Un estudio de Veritas Technologies, líder en gestión de datos de nubes múltiples, revela que organizaciones de todo el mundo creen erróneamente que están en cumplimiento con el próximo reglamento general de protección de datos (GDPR).
Según los resultados del Informe del GDPR de Veritas 2017, casi un tercio (31 %) de los encuestados afirmó que su empresa ya cumple con los requisitos clave de la legislación. Sin embargo, cuando a los mismos encuestados se les preguntó sobre las disposiciones específicas del GDPR, las respuestas de la mayoría demostraron que es poco probable que estén cumpliendo. De hecho, tras una inspección más detallada, solo dos por ciento parece cumplir con las disposiciones, lo que revela un claro malentendido respecto al cumplimiento.
Los resultados del informe demuestran que casi la mitad (48 %) de las organizaciones que declararon que cumplían no tienen visibilidad total de los incidentes de pérdidas de datos personales. Además, 61 % del mismo grupo admitió que para la organización resulta difícil identificar y denunciar una filtración de datos personales en un plazo de 72 horas a partir de que se descubre; un requisito obligatorio del GDPR cuando hay riesgo para las personas interesadas. Una organización que no puede informar la pérdida o el robo de datos personales, como registros médicos, direcciones de correo electrónico y contraseñas, al órgano de supervisión en el plazo citado, no cumple con este requisito fundamental.
Los resultados de este informe sugieren que las organizaciones que consideran que cumplen con las disposiciones del GDPR deberían revisar sus estrategias de cumplimiento. El incumplimiento de los requisitos del GDPR podría ocasionar una multa de hasta cuatro por ciento de la facturación anual global o € 20 millones, lo que sea mayor.
La amenaza del exempleado
La restricción del acceso del exempleado a los datos corporativos y la eliminación de sus credenciales del sistema ayudan a prevenir la actividad maliciosa y a evitar pérdidas financieras y daños de reputación. Sin embargo, un sorprendente 50 % de las organizaciones que se consideran que cumplen las disposiciones afirmaron que los exempleados aún tienen acceso a los datos internos. Estos hallazgos destacan que incluso las organizaciones más seguras tienen problemas para controlar el acceso de los exempleados y son potencialmente susceptibles a los ataques.
Desafíos de ejercer «el derecho a ser olvidado»
Según el GDPR, los residentes de la UE tendrán derecho a solicitar la eliminación de sus datos personales de las bases de datos de una organización. Sin embargo, la investigación de Veritas demuestra que muchas organizaciones que consideraban que cumplían con las disposiciones no podrán buscar, encontrar y eliminar datos personales si se ejerce el principio del «derecho a ser olvidado».
De las organizaciones que consideran que están preparadas para el cumplimiento del GDPR, una quinta parte (18 %) admitió que los datos personales no se pueden depurar ni modificar. Otro 13 % admitió que no tiene la capacidad para buscar y analizar datos personales para revelar referencias explícitas e implícitas a un individuo. Tampoco pueden visualizar con precisión dónde se almacenan sus datos, porque sus fuentes de datos y depósitos no están claramente definidos.
Estas deficiencias harían que una empresa no cumpla con las disposiciones del GDPR. Las organizaciones deben garantizar que los datos personales solo se utilicen para las razones por las que se recopilaron y que se eliminen cuando ya no sean necesarios.
Desmitificación de la responsabilidad del GDPR
La investigación de Veritas también demostró que existe un malentendido común entre las organizaciones con respecto a la responsabilidad de los datos en entornos de nube. Casi la mitad (49%) de las empresas que consideran que cumplen con el GDPR consideran que es responsabilidad exclusiva del proveedor del servicio de la nube (CSP) garantizar el cumplimiento de los datos en la nube. De hecho, la responsabilidad recae en el controlador de datos (la organización) para garantizar que el procesador de datos (CSP) brinde suficientes garantías del GDPR. Este falso sentido de protección que se percibe podría tener serias repercusiones una vez que se promulgue el GDPR.
«El GDPR exige que las corporaciones multinacionales tomen muy en serio la gestión de datos. Sin embargo, los últimos resultados demuestran que existe confusión respecto a lo que se necesita para cumplir con las disposiciones obligatorias del reglamento. Con la fecha de implementación cada vez más cerca, es necesario erradicar rápidamente estos conceptos erróneos», afirmó Mike Palmer, vicepresidente ejecutivo y director de productos de Veritas.
«Con reglamentos como el GDPR, usted debe comprender los datos que tiene en su organización. Pero también debe saber cómo actuar sobre eso y cómo clasificarlos para que se pueda aplicar la política correspondiente. Estos son los aspectos fundamentales del cumplimiento, y los resultados hoy se deben utilizar para informar a las empresas sobre las creencias erróneas que podrían llevar a la ruina a una organización».
El GDPR pretende armonizar las exigencias de privacidad y protección de datos en todos los estados miembros de la Unión Europea (UE). Éste exige que las organizaciones implementen las medidas de protección y los procesos adecuados para manejar de manera efectiva datos de carácter personal. El GDPR entrará en vigencia el 25 de mayo de 2018 y se aplicará a toda organización, dentro o fuera de la UE, que ofrezca bienes o servicios a los residentes de la UE, o que monitoree su comportamiento.
Para obtener más información visite https://www.veritas.com/gdpr.
Metodología
Veritas encargó al especialista independiente en investigación de mercados de tecnología, Vanson Bourne, la investigación sobre la que se basa este informe.
Se entrevistó a un total de 900 tomadores de decisiones de negocios en febrero y marzo en Estados Unidos, el Reino Unido, Francia, Alemania, Australia, Singapur, Japón y la República de Corea. Los encuestados provenían de organizaciones con al menos 1000 empleados, y podían ser de cualquier sector. Para calificar para la investigación, los encuestados debían pertenecer a organizaciones que hacen por lo menos algunos negocios con la UE.
Se realizaron entrevistas en línea, utilizando un proceso de rigurosa selección de múltiples niveles para garantizar que solo los candidatos apropiados tuvieran la oportunidad de participar.