Por: Speyside Corporate Relations /Silvia Ardila
Según los resultados del Informe del GDPR de Veritas 2017, casi un tercio (31 %) de los encuestados afirmó que su
empresa ya cumple con los requisitos clave de la legislación. Sin embargo,
cuando a los mismos encuestados se les preguntó sobre las disposiciones
específicas del GDPR, las respuestas de la mayoría demostraron que es poco
probable que estén cumpliendo. De hecho, tras una inspección más detallada,
solo dos por ciento parece cumplir con las disposiciones, lo que revela un
claro malentendido respecto al cumplimiento.
Los resultados del informe demuestran que casi la mitad
(48 %) de las organizaciones que declararon que cumplían no tienen visibilidad
total de los incidentes de pérdidas de datos personales. Además, 61 % del mismo
grupo admitió que para la organización resulta difícil identificar y denunciar
una filtración de datos personales en un plazo de 72 horas a partir de que se
descubre; un requisito obligatorio del GDPR cuando hay riesgo para las personas
interesadas. Una organización que no puede informar la pérdida o el robo de
datos personales, como registros médicos, direcciones de correo electrónico y
contraseñas, al órgano de supervisión en el plazo citado, no cumple con este
requisito fundamental.
Los resultados de este informe sugieren que las
organizaciones que consideran que cumplen con las disposiciones del GDPR
deberían revisar sus estrategias de cumplimiento. El incumplimiento de los
requisitos del GDPR podría ocasionar una multa de hasta cuatro por ciento de la
facturación anual global o € 20 millones, lo que sea mayor.
La amenaza del exempleado
La restricción del acceso
del exempleado a los datos corporativos y la eliminación de sus credenciales
del sistema ayudan a prevenir la actividad maliciosa y a evitar pérdidas
financieras y daños de reputación. Sin embargo, un sorprendente 50 % de las
organizaciones que se consideran que cumplen las disposiciones afirmaron que
los exempleados aún tienen acceso a los datos internos. Estos hallazgos
destacan que incluso las organizaciones más seguras tienen problemas para
controlar el acceso de los exempleados y son potencialmente susceptibles a los
ataques.
Desafíos de ejercer «el derecho a ser olvidado»
Según el GDPR, los
residentes de la UE tendrán derecho a solicitar la eliminación de sus datos
personales de las bases de datos de una organización. Sin embargo, la
investigación de Veritas demuestra que muchas organizaciones que consideraban
que cumplían con las disposiciones no podrán buscar, encontrar y eliminar datos
personales si se ejerce el principio del «derecho a ser olvidado».
De las organizaciones que
consideran que están preparadas para el cumplimiento del GDPR, una quinta parte
(18 %) admitió que los datos personales no se pueden depurar ni modificar. Otro
13 % admitió que no tiene la capacidad para buscar y analizar datos personales
para revelar referencias explícitas e implícitas a un individuo. Tampoco pueden
visualizar con precisión dónde se almacenan sus datos, porque sus fuentes de
datos y depósitos no están claramente definidos.
Estas deficiencias harían
que una empresa no cumpla con las disposiciones del GDPR. Las organizaciones
deben garantizar que los datos personales solo se utilicen para las razones por
las que se recopilaron y que se eliminen cuando ya no sean necesarios.
Desmitificación de la responsabilidad del GDPR
La investigación de Veritas
también demostró que existe un malentendido común entre las organizaciones con respecto
a la responsabilidad de los datos en entornos de nube. Casi la mitad (49%) de
las empresas que consideran que cumplen con el GDPR consideran que es
responsabilidad exclusiva del proveedor del servicio de la nube (CSP)
garantizar el cumplimiento de los datos en la nube. De hecho, la
responsabilidad recae en el controlador de datos (la organización) para
garantizar que el procesador de datos (CSP) brinde suficientes garantías del
GDPR. Este falso sentido de protección que se percibe podría tener serias
repercusiones una vez que se promulgue el GDPR.
«El GDPR exige que las
corporaciones multinacionales tomen muy en serio la gestión de datos. Sin
embargo, los últimos resultados demuestran que existe confusión respecto a lo
que se necesita para cumplir con las disposiciones obligatorias del reglamento.
Con la fecha de implementación cada vez más cerca, es necesario erradicar
rápidamente estos conceptos erróneos», afirmó Mike Palmer, vicepresidente
ejecutivo y director de productos de Veritas.
«Con reglamentos como el
GDPR, usted debe comprender los datos que tiene en su organización. Pero
también debe saber cómo actuar sobre eso y cómo clasificarlos para que se pueda
aplicar la política correspondiente. Estos son los aspectos fundamentales del
cumplimiento, y los resultados hoy se deben utilizar para informar a las
empresas sobre las creencias erróneas que podrían llevar a la ruina a una
organización».
El GDPR pretende armonizar las exigencias de privacidad y
protección de datos en todos los estados miembros de la Unión Europea (UE).
Éste exige que las organizaciones implementen las medidas de protección y los
procesos adecuados para manejar de manera efectiva datos de carácter personal.
El GDPR entrará en vigencia el 25 de mayo de 2018 y se aplicará a toda
organización, dentro o fuera de la UE, que ofrezca bienes o servicios a los
residentes de la UE, o que monitoree su comportamiento.
Para obtener más
información sobre cómo las tecnologías de Veritas pueden ayudar a su
organización a cumplir con el GDPR, visite https://www.veritas.com/gdpr.
Metodología
Veritas encargó
al especialista independiente en investigación de mercados de tecnología,
Vanson Bourne, la investigación sobre la que se basa este informe.
Se entrevistó a
un total de 900 tomadores de decisiones de negocios en febrero y marzo en Estados
Unidos, el Reino Unido, Francia, Alemania, Australia, Singapur, Japón y la
República de Corea. Los encuestados provenían de organizaciones con al menos
1000 empleados, y podían ser de cualquier sector. Para calificar para la
investigación, los encuestados debían pertenecer a organizaciones que hacen por
lo menos algunos negocios con la UE.
Se realizaron
entrevistas en línea, utilizando un proceso de rigurosa selección de múltiples
niveles para garantizar que solo los candidatos apropiados tuvieran la oportunidad
de participar.
Sobre Veritas
Technologies
Veritas Technologies les brinda a las empresas de todos los tamaños la
capacidad de descubrir la verdad en la información: su activo digital más
importante. Al usar la plataforma de Veritas, los clientes pueden acelerar la
transformación digital y solucionar los desafíos informáticos y comerciales
apremiantes, como la administración de datos en nubes múltiples, protección de
datos, optimización del almacenamiento, preparación para el cumplimiento y
portabilidad de la carga de trabajo, sin bloqueos por parte de los proveedores.
87 % de las empresas Fortune 500 confían en Veritas actualmente para revelar
perspectivas de datos que impulsan una ventaja competitiva. Encuentre más
información en www.veritas.com.
Declaraciones anticipadas: Cualquier indicio de planes futuros
para los productos es preliminar y todas las fechas de divulgación futura son
tentativas y están sujetas a cambio a entera discreción de Veritas.
Cualquier publicación futura del producto o modificaciones programadas a
la capacidad, funcionalidad o características del producto están sujetas a
evaluación continua por parte de Veritas; estas podrían implementarse o no y no
deben considerarse como compromisos firmes por parte de Veritas, no se debe
depender de las mismas para tomar decisiones de compra y no se deben incluir en
ningún contrato.
Veritas, el
logotipo de Veritas, NetBackup, Backup Exec y Enterprise Vault son marcas o
marcas registradas de Veritas Technologies LLC o de sus afiliadas en Estados
Unidos y otros países. Otros nombres pueden ser marcas de sus respectivos
propietarios.
