Al cumplirse cinco años desde la introducción del RGPD, analizamos cómo ha impactado a quienes realizan el trabajo a los que más ha afectado. Dan Raywood habla con cinco personas que desempeñan diferentes funciones en materia de ciberseguridad para comprender el impacto general en su trabajo.

Jon Baines, DPO, Mishcon de Reya

¿Cómo cree que el RGPD ha afectado su función en el día a día durante los últimos cinco años?

Lo que mucha gente extraña del RGPD es que no cambió mucho la ley existente: la mayoría de las definiciones, principios, obligaciones y derechos ya existían según la Directiva de Protección de Datos de 1995 (implementada en el Reino Unido por la Ley de Protección de Datos de 1998). Lo que sí cambió fue el enfoque, por dos razones principales interconectadas: 1) el plan de aplicación de la ley El RGPD aumentó enormemente las posibles multas máximas – en el Reino Unido, el máximo anterior había sido de 500,000 libras esterlinas, y ahora se había convertido en 20 millones de euros o el 4% de la facturación anual global, y en algunos países de la UE sus leyes anteriores ni siquiera permitían multas; 2) El RGPD obtuvo una publicidad masiva (con el apoyo de una importante financiación de la UE), lo que llevó a que la protección de datos se convirtiera en un tema de mesa de juntas, algo que rara vez había sido antes.

La consecuencia para alguien como yo, actuando como asesor, es que mis servicios fueron solicitados de una manera y con una frecuencia que nunca antes había visto. Si a eso le sumamos las complejidades que trajo el Brexit, con el mantenimiento del RGPD como el “RGPD del Reino Unido” pero con un régimen interno completamente nuevo a considerar, los últimos cinco años han sido agitados y desafiantes (¡pero tremendamente interesantes!).

Obviamente, creó el rol de DPO. ¿Qué pasa con las solicitudes de acceso de sujetos? ¿Es esa parte externa de su función tan crucial como la protección general de los datos internos?

Los DPO existían antes del RGPD. Pero tienes razón en que el RGPD los sitúa en una base legal. De manera similar, los SAR no eran algo nuevo y tenían estatus legal en el Reino Unido desde 1984 (!), y los DPO y los abogados ya estaban acostumbrados a tratar con ellos, pero, por las razones expuestas en la primera respuesta, los SAR se convirtieron en algo nuevo. mucho más conocido después de la entrada del RGPD.

Además, a las organizaciones ya no se les permitía cobrar la pequeña tarifa que antes podían cobrar. En general, las cifras recibidas han aumentado para la mayoría de las organizaciones, y también lo han hecho las quejas al Comisionado de Información sobre ellas.

Como alguien que asesora a clientes corporativos externos sobre cómo responder a ellos, pero también asesora a individuos sobre cómo crearlos, sé lo desafiante que puede ser lidiar con ellos, lo útiles que pueden ser para quienes los crean, pero también lo frustrante y costoso que es el proceso. puede ser para ambos lados. No van a desaparecer (el actual Proyecto de Ley de Protección de Datos e Información Digital los mantendrá, con probables modificaciones menores) y ahora deberían verse como parte del trabajo habitual de la mayoría, si no de todas, las organizaciones, así como una herramienta valiosa para individuos cuando buscan hacer valer sus derechos.

Bronwyn Boyle, ex CISO y especialista en ciberseguridad en servicios financieros

¿Cómo cree que el RGPD ha afectado su función en el día a día durante los últimos cinco años?

Si bien históricamente la seguridad se percibió a menudo como una cuestión tecnológica, el RGPD actuó como un catalizador para romper los silos e impulsar un enfoque de seguridad más holístico y colaborativo. Elevó el perfil de la seguridad, y las juntas directivas y los altos ejecutivos exigieron, con razón, una visión transparente del desempeño continuo de los controles de seguridad y la gestión de los riesgos relacionados.

Muchos de nosotros en la comunidad de seguridad estábamos encantados de ver un claro cambio en la dinámica. En lugar de luchar para que se escuchen los mensajes, se invitó a los CISO a sentarse a la mesa y contribuir a la estrategia organizacional.

¿En qué medida afectó esta regulación de protección de datos y privacidad del usuario a la seguridad general de la información?

El RGPD ha brindado una oportunidad fantástica para profundizar la colaboración y mejorar el entendimiento mutuo entre las organizaciones. Los equipos comerciales y de seguridad continúan trabajando estrechamente y garantizando que los datos personales estén protegidos durante todo su ciclo de vida. Es genial ver cómo El RGPD puede actuar como un marco compartido para reunir a los diferentes equipos que tocan datos personales en varios puntos. Estoy encantado de ver cómo el RGPD ha impulsado un cambio duradero para mejorar la colaboración interdisciplinaria.

El RGPD ha actuado como un punto de pivote cultural: tanto los empleados como los usuarios finales se han vuelto más conscientes del valor de sus datos y de la necesidad de mantenerlos seguros mediante un comportamiento seguro. También continúa impulsando un mejor comportamiento corporativo, haciendo que las empresas rindan cuentas por infringir los derechos de los interesados. En el clima actual de experimentación de IA ávida de datos y rápida adopción, este tipo de protección es más necesaria que nunca.

Eduardo Ustaran, codirector global de la práctica de Privacidad y Ciberseguridad, Hogan Lovells

¿Cómo cree que el RGPD ha afectado su función en el día a día durante los últimos cinco años?

Después del tsunami inicial de trabajo tras la implementación del RGPD, en los últimos cinco años se ha visto una consolidación de cuestiones que se han convertido en las principales prioridades desde una perspectiva de cumplimiento. Se han dedicado esfuerzos clave a lograr los aspectos básicos correctos (desde los fundamentos legales hasta la transparencia), abordar los derechos individuales y, por supuesto, las transferencias internacionales de datos.

Quizás la parte más interesante del RGPD desde una perspectiva del día a día haya sido cómo dominar algunas de sus novedades, como implementar evaluaciones de impacto de la protección de datos, ayudar a los DPO con sus responsabilidades y cumplir con los requisitos de notificación de violación de datos.

¿Crees que la gente entiende de qué se trata, por qué se introdujo y qué logra?

La gente definitivamente reconoce que el RGPD hace que la protección de datos sea real. Todo el mundo lo sabe y habla de ello, aunque ya sea que todos entiendan los matices y complejidades de la ley es un asunto diferente. Con su reconocimiento internacional, este ha sido el mayor éxito del RGPD.

Cuando existe una regulación basada en el riesgo, resulta difícil entender claramente qué hace esa regulación porque las mismas obligaciones se aplican de diferentes maneras según las circunstancias. Sobre todo, existe un reconocimiento bastante universal de que el RGPD trata sobre el manejo responsable de la información personal y que no interfiere con el desarrollo de tecnología o la realización de negocios.

Neil Thacker, CISO, Netskope

¿Cómo cree que el RGPD ha afectado su función en el día a día durante los últimos cinco años?

El RGPD ha impactado directamente mi rol como CISO en Netskope, pero comenzó hace casi siete años en términos de preparación para el RGPD. Si bien muchos de los controles fundamentales no cambiaron drásticamente desde la DPA del Reino Unido, la importancia de la protección y la gobernanza de datos, especialmente en mostrar madurez y presentación de informes durante ese período de tiempo, ha aumentado.

Esta importancia se ha sentido no solo internamente sino también entre proveedores externos que participan en el procesamiento de cualquier tipo de datos personales. Nos aseguramos de que todos nuestros proveedores cumplan requisitos estrictos para garantizar que ellos, actuando como subprocesadores, también cumplan con los altos estándares que aplicamos a la protección de datos.

Ha sido una experiencia muy positiva, especialmente porque hemos automatizado muchas de las tareas involucradas en la gestión de proveedores, asegurando nuevos flujos de datos y protegiendo los datos personales en reposo y en movimiento.

Dominic Vogel, fundador y estratega jefe, Cyber.sc

¿Cree que el RGPD ha impactado su forma de trabajar en los últimos cinco años?

¡La respuesta corta es absolutamente! Mi trabajo se centra principalmente en las PYMES en el espacio B2B, y hay una diferencia de día y de noche en cómo se prioriza la privacidad. Cualquiera de mis clientes que desee tener presencia en Europa automáticamente construye teniendo en cuenta la privacidad; Incluso las organizaciones que no tienen ningún negocio en Europa pueden estar vendiendo a organizaciones que sí lo tienen y, como resultado de cómo el RGPD se ha entrelazado con la debida diligencia más amplia de la cadena de suministro, estas organizaciones se ven en la necesidad de demostrar el cumplimiento del RGPD.

¿Se ha comprendido lo que el RGPD pretendía lograr desde fuera de Europa?

Hasta cierto punto, la comprensión ciertamente varía según el sector: ahora hay PYMES que cuentan con sólidos programas de privacidad e integran la privacidad desde el diseño. Ese no era el caso antes. El RGPD inició una era más significativa de debates sobre privacidad aquí en América del Norte. Como resultado, estamos viendo leyes y leyes de privacidad más mejoradas y modernizadas.

Se especula que se podrían crear otras regulaciones para replicar el RGPD. ¿Ves alguna evidencia directa de que eso esté sucediendo?

No diría que he visto ninguna "evidencia directa", pero a medida que la tecnología cambia y evoluciona rápidamente (¿alguien quiere IA?), es necesario mantener las leyes de privacidad como el GDPR vigentes y actualizadas. Ya no podemos redactar leyes de privacidad que puedan permanecer sin cambios durante décadas. Tendrán que ser más ágiles y actualizarse con más frecuencia para seguir el ritmo de la tecnología.

Consideraciones Finales:

Al reflexionar sobre el impacto del RGPD, queda claro que esta regulación ha provocado cambios transformadores en las prácticas de protección de datos en todo el mundo. El RGPD ha empoderado a las personas, ha establecido estándares más altos y ha fomentado un diálogo global sobre privacidad y seguridad de los datos.

La armonización de las leyes de protección de datos en todos los estados miembros de la UE ha sido un logro significativo, ya que ha proporcionado un marco unificado para empresas y profesionales de la privacidad. Simplifica los esfuerzos de cumplimiento y garantiza estándares consistentes a través de fronteras y para las empresas. Esta armonización debería servir como modelo para una mayor estandarización, mejorar la aplicación y permitir una mejor comprensión y aplicación de las regulaciones.

Con más de 140 privacidad de datos Sin embargo, las regulaciones que ahora operan a nivel mundial, hay poca armonización para las empresas que deben cumplir o demostrar el cumplimiento de estas diversas regulaciones regionales y específicas de cada país fuera del GDPR. Durante los próximos cinco años, gestionar la complejidad del cumplimiento será un desafío continuo.

Si bien los desafíos de cumplimiento pueden parecer abrumadores, es esencial reconocer el valor de un software de gestión de cumplimiento eficaz. Implementación sólida de software de cumplimiento agiliza los procesos, elimina tareas repetitivas y permite a las organizaciones centrarse en divergencias de cumplimiento específicas. Al aprovechar el software de cumplimiento, las empresas pueden ahorrar tiempo y recursos valiosos, mejorar la eficiencia interna y proporcionar a los reguladores pruebas de cumplimiento.

En la semana en que Meta recibió una multa de 1.2 millones de dólares por infracciones del RGPD, es un recordatorio oportuno para que las organizaciones den prioridad al cumplimiento. También envía un mensaje claro: ¡ponga su casa en orden! Las organizaciones que ejecuten esto bien obtendrán beneficios mucho más allá del cumplimiento normativo. Una buena seguridad de la información es un buen negocio.