Privacidad 2.0: comprensión de los cambios en el panorama del cumplimiento
Tabla de contenido:
El avance de la inteligencia artificial (IA), los dispositivos conectados y otras tecnologías ha provocado una explosión de datos. De hecho, es estimado que el mundo crea actualmente casi 330 millones de terabytes cada día.
Al recopilar y utilizar este tesoro de datos, las empresas pueden comprender y dirigirse mejor a sus clientes y, en última instancia, mejorar sus estrategias comerciales y ofertas de productos. Sin embargo, a medida que aumenta la recopilación de datos, los gobiernos están tomando medidas para protegerlos a través de nueva legislación. Mientras lo hacen, cuestiones como la transparencia, la portabilidad y la eliminación de los datos se están convirtiendo en prioridades importantes para las empresas modernas, y el uso indebido de los datos las pone en riesgo de recibir fuertes multas y daños a su reputación.
A medida que el panorama tecnológico siga evolucionando, las normas y directrices de protección de datos también cambiarán.
La ley global de protección de datos está cambiando
En los próximos meses, las empresas pueden esperar ver cambios en una serie de regulaciones globales de protección de datos, incluida la Ley de privacidad del consumidor de California (CCPA) en los EE. UU., el Reglamento General de Protección de Datos (GDPR) en Europa y la Ley de Protección de Información Personal (PIPL) en China.
La Agencia de Protección de la Privacidad de California lanzó este mes un sitio web dedicado donde los ciudadanos pueden aprender más sobre sus derechos de privacidad. Greg Clark, director de gestión de productos de OpenText Cybersecurity, espera que la agencia siga aumentando la derechos de privacidad de datos de los ciudadanos a través de la implementación de “normas más estrictas sobre el uso de datos personales y deberes adicionales para realizar evaluaciones de riesgos y auditorías de ciberseguridad”.
También se están produciendo grandes cambios en materia de privacidad de datos en Europa. Clark predice que los legisladores ampliarán el RGPD para que tenga "raíces más profundas en torno a la protección de datos, las transferencias internacionales de datos y la armonización de las medidas de cumplimiento".
Otro gran cambio en el RGPD será la formalización del Reglamento de Privacidad Electrónica (ePR), que según Clark ayudará a salvaguardar la privacidad de las personas en el contexto de las comunicaciones electrónicas.
Los legisladores europeos también están avanzando con su Ley de IA. Tim Wright, socio de Fladgate LLP, cree que la nueva ley “dará forma significativamente a las pautas de privacidad y las mejores prácticas para los sistemas de inteligencia artificial, el reconocimiento facial y las identificaciones digitales en Europa”. Las mejores prácticas para estas soluciones probablemente se centrarán en el consentimiento, controles de acceso y minimización de datos, añade.
Desde que abandonó la UE, Gran Bretaña busca alejarse del RGPD mediante el desarrollo de su propia regulación de protección de datos. rey carlos esbozado los planes del gobierno para un proyecto de ley de protección de datos e información digital (DPDI).
Andrew Bridges, director de calidad y gobernanza de Sagacity, explica a ISMS.online: “El proyecto de ley debería introducir un marco claro y favorable a las empresas que incorpore elementos clave del RGPD del Reino Unido y proporcione a las organizaciones una mayor confianza sobre cómo y cuándo pueden procesar información personal. , y si se requiere consentimiento”.
China también ha desarrollado un sólido régimen de protección de datos en forma de Ley de Protección de Información Personal (PIPL), Ley de Seguridad de Datos (DS) y Ley de Seguridad Cibernética (CSL). Según Clark de OpenText, el objetivo principal de estas leyes es proteger los derechos de los interesados en toda China.
Pero otra intención del gobierno chino al redactar y hacer cumplir estas leyes probablemente sea mejorar el flujo de datos para “ayudar en las transferencias internacionales de datos, [garantizar] el uso seguro del intercambio de datos en general y gestionar todo el ciclo de vida de los datos, desde su recopilación hasta su eliminación”. él añade.
Mejora de los derechos del usuario
Cuando se trata de crear nuevas leyes de protección de datos y hacer evolucionar la legislación existente, los gobiernos parecen centrarse en áreas como la transparencia, la portabilidad y la eliminación de datos.
En lo que respecta a la transparencia de los datos, el vicepresidente de Protegrity, Alasdair Anderson, explica que los legisladores están enfatizando la importancia de "información clara y accesible sobre cómo se utilizan los datos personales".
Ahora existe una mayor expectativa de que las organizaciones mejoren la transparencia de cómo manejan y utilizan los datos. Muchas organizaciones están tomando medidas como proporcionar avisos de privacidad y divulgaciones sobre la recopilación y el uso de datos, como parte de un "proceso operativo continuo con costos generales asociados", explica Anderson.
Le dice a ISMS.online que los legisladores también están facilitando que las personas muevan sus datos entre proveedores de servicios. Esto ha mejorado la interoperabilidad entre servicios y ha otorgado a los usuarios más control sobre sus datos. Estas tendencias pueden “impulsar una convergencia en los estándares para el intercambio de datos, el almacenamiento y tal vez incluso la protección de la privacidad”, sostiene Anderson.
Aunque la transparencia de los datos y los derechos de portabilidad han avanzado mucho en los últimos tiempos, Anderson admite que el derecho a la eliminación de datos sigue siendo un desafío importante para las empresas maduras con infraestructura y procesos distribuidos.
"La ejecución operativa rentable sólo puede lograrse mediante un enfoque tecnológico avanzado para la gestión de datos y privacidad", explica. "La alternativa, que no es inaudita, es que el personal gaste importantes recursos para intentar localizar la información del usuario".
Cómo pueden ayudar las normas
Para las organizaciones que buscan garantizar el cumplimiento continuo de las cambiantes regulaciones de protección de datos y mejorar la seguridad de los datos, adoptar un estándar industrial reconocido como ISO 27701 podría ser un buen primer paso.
Clark, de OpenText, anima a las organizaciones a seguir el estándar, ya que les proporcionará "una base para mejorar la privacidad de los datos". Lo describe como una extensión de ISO 27001 que establece “controles específicos” para la protección de datos personales.
"Crea un marco común que ayuda a garantizar el cumplimiento de las regulaciones de privacidad de datos como GDPR y CCPA, mitigando los riesgos de la gestión de datos personales y fortaleciendo la confianza con las partes interesadas internas y externas", explica.
A medida que se intensifican las amenazas a la seguridad en línea, implementación de la norma ISO 27701 También podría ayudar a las organizaciones a reforzar la ciberseguridad. Clark dice que esto es posible porque la norma ISO 27701 establece "prácticas para identificar y evaluar proactivamente riesgos y vulnerabilidades".
Al hacerlo, podría ayudar a las empresas a disminuir la probabilidad de pérdidas financieras, daños a la reputación y tiempo de inactividad relacionados con las filtraciones de datos, y mejorar la eficiencia general de las operaciones.
“La implementación de ISO 27701 ayuda a agilizar los procedimientos de manejo de datos y optimizar la gestión de recursos para la protección de datos. Se traduce en ahorro de costes y mejora de la eficiencia operativa en una organización”, añade.
Antes de adoptar ISO 27701, Clark aconseja a las organizaciones que revisen los requisitos establecidos por la norma e identifiquen cualquier brecha en sus prácticas de datos. Esto les permitirá crear una hoja de ruta de cumplimiento, detectar sinergias en las prácticas de ciberseguridad y aprovechar las tecnologías de automatización.
La recopilación de datos tiene enormes beneficios para las empresas, pero sin la implementación de salvaguardias y políticas adecuadas, también puede representar un enorme riesgo corporativo. Para utilizar los datos de forma ética y responsable, las empresas deben comprender los riesgos involucrados y cumplir con las regulaciones de la industria. Lo que está claro es que ISO 27701 hace que esto sea mucho más fácil.
Cómo desbloquear el éxito: una guía para implementar ISO 27701
Hemos creado una hoja de ruta práctica de una página, dividida en cinco áreas de enfoque clave, para abordar y lograr la norma ISO 27701 en su negocio. No es necesario completar ningún formulario. Descargue el PDF hoy para comenzar su viaje hacia una privacidad de datos más efectiva.
