Cumplir con GDPR exige a las multinacionales más inversión en seguridad

Cumplir con GDPR exige a las multinacionales más inversión en seguridad

La Regulación General de Protección de Datos de la Unión Europea (General Data Protection Regulation o GDPR por sus siglas en inglés), está a la vuelta de la esquina. Aprobada en abril de 2016 entrará en vigor el próximo 25 de mayo y su propósito – ya bastante comentado en este último tiempo – es reforzar la protección e integridad de los datos de los ciudadanos europeos y, en caso de incumplimiento de las normas, prevé la aplicación de fuertes sanciones económicas que pueden alcanzar varios millones de euros. Transcurrido el periodo transitorio, que finaliza dentro de unas semanas, las empresas que incumplan el Reglamento podrán sufrir multas de hasta 20 millones de euros o el 4 % de su volumen de negocio anual total.

Esta normativa comunitaria afecta a empresas que recopilan, procesan, almacenan y analizan datos de carácter personal. De acuerdo con la nueva regulación, dichas empresas tendrán que ser capaces de identificar, facilitar y, en su caso, suprimir datos en su debido momento. Otra de las novedades del GDPR es la regulación del «derecho de supresión» (el llamado «derecho al olvido»), por el que los interesados no solo tendrán acceso a sus datos, sino que también podrán solicitar que se borren.

Evidentemente supondrá un gran cambio, ya que los ciudadanos tendremos mucho más control sobre nuestras información personal, lo que supone un buen comienzo. Otra cosa es que sepamos hacerlo valer. Sobre todo en momentos en que las nuevas superpotencias en el mundo de los negocios son un nuevo tipo de gigante de la tecnología que monetiza datos personales.

Algunos analistas opinan que la GDPR transformará los datos personales en una mercancía, en una materia prima tan valiosa como el petróleo, que hará que los ciudadanos puedan compartir y vender para su propio beneficio.

Ahora bien, menos de dos tercios (63%) de las multinacionales tienen un proceso de notificación de brechas de seguridad para sus clientes, mientras que solo la mitad ha aumentado la inversión de seguridad en TI antes de la entrada en vigor del GDPR a pesar de las quejas del personal técnico, según un reciente informe de Trend Micro, compañía que ha encuestado a más de 1.000 responsables de la toma de decisiones de empresas con más de 500 empleados en todo el mundo: en Reino Unido, EE.UU., Francia, Italia, España, Países Bajos, Alemania, Polonia, Suecia, Austria y Suiza.

Muchas empresas no están preparadas para manejar los nuevos requisitos a la hora de notificar una infracción dentro del plazo de 72 horas establecido por la ley

La investigación de Trend Micro revela que solo el 51% de los encuestados ha aumentado las inversiones en seguridad para facilitar el cumplimiento de la normativa, a pesar de que una cuarta parte se queja de la “falta de suficiente protección en seguridad TI” (25%) y de una “falta de seguridad de datos eficiente” (24%), como los mayores desafíos para los esfuerzos de cumplimiento

Menos de un tercio (31%) de los encuestados asegura haber invertido en cifrado, a pesar de ser una de las pocas tecnologías nombradas en el GDPR. Al mismo tiempo, algunas organizaciones han destinado partidas presupuestarias a la Prevención de Pérdida de Datos (33%) o a tecnologías avanzadas diseñadas para detectar intrusos en la red (34%).

Por otro lado, un 25% de las empresas afirma que los recursos limitados son el mayor desafío para el cumplimiento y explican las razones que hay detrás de esta falta de inversión.

José de la Cruz, director técnico de Trend Micro Iberia
José de la Cruz, director técnico de Trend Micro Iberia

“El GDPR es claro en cuanto a que las organizaciones deben encontrar tecnologías de última generación para ayudar a repeler las ciberamenazas y mantener seguros los datos y sistemas clave. Es preocupante que los responsables de IT no tengan los fondos o no puedan encontrar las herramientas adecuadas para abordar el cumplimiento”, explica José de la Cruz, director técnico de Trend Micro Iberia. Las organizaciones necesitan una defensa en profundidad que combine la unión intergeneracional de herramientas y técnicas, desde el endpoint a la red y el entorno de cloud híbrida”.

Además de la falta de inversión en seguridad, el informe también revela que solo el 37% de las organizaciones mundiales han invertido en programas de concienciación y educación del personal.

Lo preocupante de este informe es que pone de manifiesto que muchas empresas no están preparadas para manejar los nuevos requisitos a la hora de notificar una infracción dentro del plazo de 72 horas establecido por la ley.  El 21% de los encuestados asegura tener un proceso formal para notificar solo a la autoridad de protección de datos. Sin embargo, el artículo 34 del GDPR establece que las personas también deben ser notificadas si una infracción supone un alto riesgo para sus derechos y libertades.  Alrededor del 6% asegura no tener ningún proceso implementado, mientras que un 11% no sabe si lo tiene o no.

Otra de las preocupaciones de los encuestados se centra en los preparativos para apoyar el llamado “derecho al olvido”, una parte clave del GDPR.

Aunque el 77% de los participantes en el estudio a nivel mundial asegura tener los procesos adecuados para atender las solicitudes de los clientes sobre los datos personales gestionados por la organización, el tratamiento de los datos manejados por terceros es otra cosa diferente.

Alrededor de un tercio (36%) de las organizaciones asegura no conocer o no tener procesos/tecnologías implementados para manejar solicitudes olvidadas de datos recogidos por agencias de terceros, proveedores cloud (32%) y partners (32%).

Dejar respuesta

Please enter your comment!
Please enter your name here