Evite esa multa de mil millones de dólares: borrando las líneas …



Si bien hacer el bien para el usuario es el excellent teórico, la amenaza de repercusiones fiscales debería llevar a las organizaciones a tomarse en serio la privacidad. Eso significa que los equipos de seguridad y privacidad de datos deben trabajar más estrechamente.

A raíz de compañías como British Airways, Marriott y Facebook que enfrentan multas por violaciones de privacidad récord, las organizaciones están viendo las consecuencias de no tener bajo control su cumplimiento de privacidad. Claramente, las líneas entre la seguridad de los datos y la privacidad de los datos se están desdibujando, y las empresas están comenzando a establecer sus líneas de defensa para la seguridad de los datos, y todavía están descubriendo el gobierno y la gestión de datos.

La responsabilidad de ayudar a las empresas a cumplir con las normas de privacidad reside en un área gris entre los equipos de seguridad y los equipos de datos. Para evitar las multas de mil millones de dólares que se están volviendo más comunes, los equipos de privacidad y seguridad deben colaborar para lograr el cumplimiento.

Multas formidables
El año pasado, gigantes tecnológicos como Facebook, Google, Apple y YouTube fueron investigados por violaciones del Reglamento Normal de Protección de Datos de la Unión Europea, y algunos han sido multados como resultado. Facebook fue el más golpeado, obteniendo la multa más grande jamás requerida de una empresa de tecnología, $ 5 mil millones. En la UE hasta la fecha, hemos visto multas de hasta € 372 millones. La introducción de la Ley de Privacidad del Consumidor de California solo elevará el nivel de estas multas a nivel mundial.

Como resultado, las empresas han establecido responsabilidad con un oficial de protección de datos (DPO) y involucrado a cada empleado en la conversación de privacidad. Podemos esperar que estas prácticas se vuelvan más comunes, y los equipos de seguridad, así como los equipos de gestión de datos y gobierno, estarán más involucrados en asuntos relacionados con la privacidad. Además, si bien los gigantes de la tecnología han aparecido en los titulares más espectaculares, también hemos visto que esas multas y repercusiones de infracción se han acumulado en compañías más pequeñas de todo el mundo, ampliando la necesidad de implementar mejores prácticas de privacidad.

Las multas recientes más pequeñas incluyen una multa de $ 21,000 por una escuela sueca luego de realizar un ensayo en el que se contó la asistencia de 22 alumnos mediante reconocimiento facial.

Del mismo modo, una empresa de entrega de alimentos en línea de 500 millones de euros en Alemania no cumplió con los derechos de acceso del sujeto de datos después de no eliminar las cuentas de antiguos clientes en 10 casos, incluso si habían estado inactivos en la plataforma de servicio de la compañía durante años. Para empeorar las cosas, ocho antiguos clientes también se quejaron por correos electrónicos publicitarios no solicitados de la compañía. Específicamente, un sujeto de datos que se había opuesto al uso de sus datos con fines publicitarios todavía recibió 15 correos electrónicos publicitarios adicionales del servicio de entrega. En otros casos, la compañía no proporcionó a los interesados ​​la información requerida o lo hicieron solo después de que el oficial de protección de datos de Berlín intervino. Esto resultó en un multa de casi € 200,000, que es significativo en comparación con los ingresos globales de la compañía.

Estos casos ilustran que la privacidad de los datos se ha convertido en un tema muy amplio, que abarca más allá de las vulnerabilidades tradicionales de seguridad de datos que primero pensamos. Toda empresa debe estar preparada, sin importar su tamaño y actividades comerciales. Además de las multas, las repercusiones para las empresas que no cumplen incluyen:

  • La exposición a riesgos de reputación y de ingresos, ya que las violaciones de la privacidad de los datos están rompiendo la satisfacción y las relaciones con los clientes: por ejemplo, la Oficina del Comisionado de Información, la autoridad independiente del Reino Unido en materia de privacidad de datos, dijo que el 46% de las quejas que recopila están relacionadas con la falta de respeto al derecho para acceso a datos, rectificación y eliminación.
  • Aumento de los costos en sus operaciones: por ejemplo, se ha demostrado que abordar las solicitudes de derechos de los sujetos, lo que da a las personas el derecho de obtener una copia de sus datos personales, con un proceso handbook, no solo es propenso a errores, sino que puede ser muy costoso, con promedio de $ 1.40 por solicitud, según un reciente Encuesta de Gartner.

Colaboración para el cumplimiento
Los equipos de privacidad deben establecer el marco para la privacidad de los datos, que incluye, entre otros, la seguridad de los datos y la protección contra las violaciones de datos. Por lo typical, los equipos de privacidad son responsables de saber dónde están los datos del usuario y cómo fluyen, protegiéndolos de manera proactiva y asegurándose de que se usen para un propósito. Una función importante del equipo de privacidad es establecer la privacidad por diseño, lo que significa que cada proyecto dentro de la empresa que necesita datos personales debe comprender y ser responsable del impacto que tiene en la privacidad. Esto requiere una fuerte colaboración entre los equipos de privacidad, seguridad, TI y datos para proteger, monitorear y tomar medidas una vez que se ha producido una violación, ya sea que implique información confidencial de usuarios, empresas o clientes.

Si bien los equipos de privacidad y seguridad generalmente no están entrelazados, ciertamente tienen una superposición que debe abordarse. Para dar a las empresas la mejor oportunidad de evitar repercusiones fiscales, los equipos de privacidad de datos deben evaluar cómo el uso de datos puede interpretarse como una infracción de la privacidad individual y compartir sus prácticas con los equipos de seguridad, que pueden tomar medidas para proteger los datos donde viven antes. está amenazado

Tener un DPO que actúe como orquestador, involucrar a los equipos de privacidad y seguridad y educar a los empleados es una buena práctica para garantizar el cumplimiento. Una vez que desempeñó un papel de nicho, el DPO recibió un gran impulso con GDPR, lo que lo hizo obligatorio, ¡y hoy en día hay un estimado de medio millón de DPO registrados solo en Europa! Si bien la función de jefe de seguridad (CSO) no es el resultado de las regulaciones de privacidad, se ha generalizado en toda la empresa y se elevó a un nivel ejecutivo en la era digital.

Sin embargo, la privacidad es una disciplina diferente de la seguridad, y es necesario que existan responsabilidades y prácticas que se implementen ampliamente para que todos en una empresa las entiendan y las implementen. El CSO actúa como un puente entre la seguridad y la privacidad para garantizar que esto suceda, especialmente en los EE. UU., Donde las regulaciones no exigen un DPO.

La privacidad de los datos no solo es importante para el bien del individuo, sino que también debe ser una prioridad para las empresas, que corren el riesgo de perder miles de millones de dólares. Si bien hacer el bien para el usuario es el ideal teórico, la amenaza de repercusiones fiscales debería llevar a las organizaciones a tomarse en serio la privacidad, y esto se practica mejor mediante la colaboración entre los equipos de seguridad y privacidad. Todos, desde los equipos de seguridad y privacidad hasta los equipos de ventas y advertising and marketing, deben cumplir y comprender sus responsabilidades. Eduque a cada individuo en la empresa y colabore juntos en la capacitación y ejercicios de confianza.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Looking at para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Con el aumento de las tensiones internacionales, el riesgo cibernético se está calentando para todas las empresas».

Jean-Michel Franco ha dedicado su carrera al desarrollo y la ampliación de la adopción de tecnologías innovadoras y actualmente es el Director Senior de Advertising de Producto en Talend. Es experto en GDPR, CCPA y privacidad de datos, trabajando en primera línea con Talend&#39s … Ver biografía completa

Más suggestions





Enlace a la noticia original