En mi publicación anterior explicamos cómo Veeam, una empresa establecida en Suiza con muchos clientes europeos, necesita cumplir con el RPDG como cualquier otra empresa que administre datos para los ciudadanos europeos.
También prometí compartir nuestros conocimientos para ayudarlo en su proceso de cumplimiento. Nuestras lecciones aprendidas pueden resumirse en 5 principios claves:
- Conozca sus datos
- Administre sus datos
- Proteja sus datos
- Documentación y cumplimiento
- Mejora continua
Hoy, quiero profundizar en el primer principio: Conozca sus datos.
El primer paso esencial que se debe tomar es determinar si su organización tiene información personalmente identificable (PII) de un residente de la UE. He tenido varias conversaciones con organizaciones que creyeron no poseer este tipo de datos. Sin embargo, después de indagar un poco más profundo, nos dimos cuenta rápidamente que
poseían esta información y estaban directamente afectados por el cumplimiento del RPDG.
La PII es una amplia categoría de información. Es CUALQUIER dato que pueda ser utilizado para identificar a un individuo. Uno rápidamente gravita hacia información obvia como el nombre, información de contacto, o fotos, pero la PII incluye muchas otras formas de datos. Sin ninguna intención de proporcionar una lista exhaustiva, la PII también incluye direcciones de IP, datos de lugares a través de una aplicación, formularios de opinión, datos de programas de recompensa y más. El artículo 2(a) define la PII como:
Datos personales significa cualquier información relacionada a una persona física identificada o identificable (“titular de los datos”); una persona identificable es aquella que puede ser identificada, directa o indirectamente, particularmente en referencia a un número de identificación o a uno o más factores específicos de su identidad física, psicológica, mental, económica, cultural o social.
No solo es importante determinar la presencia de la PII, el RPDG también incluye normativa más estricta sobre algo clasificado como PII sensible. La PII sensible incluye datos personales que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical y datos relacionados con la salud o vida sexual. Estos datos están incluidos dentro de una categoría especial de PII sujeta a protecciones adicionales.
También, se debe tener noción de que hay que mirar mucho más que los datos de los clientes o externos. Dentro de su organización, los datos de su empleado (la gran mayoría en RRHH) también están categorizados como PII. Si empleas a cualquier empleado europeo, significa que tienes que tener conocimiento de estos datos.
Por último, pero no menos importante, se debe entender quién tiene acceso a estos datos y dónde se encuentran ubicados.
Obviamente, es más fácil decirlo que hacerlo. Uno de los procedimientos es utilizar una solución técnica que pueda mapear sus datos. Estas soluciones son tan efectivas como sus políticas de definición. Algunas soluciones aprenden mientras recolectan y analizan datos, incorporando definiciones adicionales para mejorar los resultados, mientras que otras soluciones dependen de las opciones manuales. En ambos casos, es de vital importancia que las soluciones puedan descubrir y mapear TODOS sus datos.
Veeam pasó por el proceso de crear encuestas específicas (adaptadas para cada unidad de negocio) y envió aquellas a todas las unidades de negocio en todo el mundo. Algunos ejemplos de estas encuestas estarán disponibles en nuestro próximo whitepaper para que pueda adaptarla a sus necesidades y utilizarlas internamente para realizar el mismo ejercicio.
Un consejo importante: debería incluir todas las unidades de negocio regionales y asimismo las unidades de negocio fuera de la UE. Por ejemplo: nuestro equipo de marketing regional en América del Norte también tuvo que pasar por la encuesta. Debido a que son los responsables por liderar eventos en América del Norte, poseen datos de los ciudadanos europeos que vuelan internacionalmente para asistir a estos eventos.
Otro factor adicional a tener en cuenta es que a medida que se construyen procesos para entender los datos, es útil crear organigramas para mapear el flujo de datos de la PII para toda su organización y sus socios externos. Posiblemente, alguna de las soluciones de tecnología que posee internamente podrá hacer esto de forma automática. En el caso de Veeam, la Veeam Availability Platform podrá proporcionarle una imagen completa de su entorno de backup y el flujo de sus datos.
Conclusión
Conocer sus datos es el primer y probablemente paso más importante a tomar. Muchas organizaciones no tienen conocimiento de qué datos poseen, la amplitud y el alcance de estos datos y dónde se encuentran ubicados. Si tiene una buena perspectiva y comprensión de los datos, los próximos pasos serán más sencillos.