En mi post anterior explicamos por qué Veeam, al ser una empresa con sede en Suiza y muchos clientes europeos, necesita mantener el cumplimiento con el RGPD al igual que otras muchas empresas que manejan datos de ciudadanos europeos.
También prometí que compartiríamos lo aprendido para ayudarle en su proceso de cumplimiento. Nuestras lecciones aprendidas se pueden resumir en 5 principios clave:
- Conocimiento de sus datos
- Gestión de los datos
- Protección de los datos
- Documentación y cumplimiento
- Mejora continua
Hoy quiero profundizar en el primer principio: Conocimiento de sus datos
El primer paso fundamental que hay que dar es determinar si su organización posee información de identificación personal o PII por sus siglas en inglés (Personally Identifiable Information) de un residente de la UE. He mantenido numerosas conversaciones con organizaciones que pensaban que no conservaban este tipo de datos. Sin embargo, tras investigar un poco más, rápidamente se dieron cuenta de que guardaban este tipo de información y de que el cumplimiento de RGPD les afectaba directamente.
PII es una categoría de información muy extensa. Incluye cualquier tipo de información que sirva para identificar a una persona. En seguida se nos viene a la cabeza información obvia como nombre, información de contacto, o imágenes, pero PII puede incluir otras formas de datos. Sin pretender proporcionar una lista completa, PII también incluye direcciones IP, datos de ubicación a través de una app, formularios de comentarios, datos de programas de incentivos y mucho más. El artículo 4 define PII como sigue:
Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
No solamente es importante detectar la presencia de PII, si no que RGPD incluye también regulaciones más estrictas incluso para algo que se clasifica como datos sensibles. Los datos sensibles incluyen datos personales que revelan el origen racial o étnico, las opiniones políticas, la religión o creencias filosóficas, militancia en sindicatos e información relativa a la salud o vida sexual. Estos datos pertenecen a una categoría especial de PII que está sujeta a protecciones adicionales.
Así que debe saber que debe mirar más allá de los simples datos de clientes o datos externos. Dentro de su organización, los datos (la mayoría en RR.HH.) de sus empleados, también se catalogan como PII. Si contrata a cualquier empleado europeo, quiere decir que necesitará tener en cuenta este tipo de datos.
Por último, pero no por ello menos importante, debe comprender quién tiene acceso a estos datos y dónde se encuentran ubicados.
Obviamente, esto es más fácil decirlo que hacerlo. Uno de los enfoques es utilizar una solución técnica que pueda mapear sus datos. Estas soluciones solamente son efectivas como sus políticas de definición. Algunas soluciones aprenden a medida que recopilan y analizan los datos, añadiendo definiciones adicionales para mejorar los resultados, mientras otros son dependientes de los ajustes manuales. En ambos escenarios es vital que las soluciones sean capaces de descubrir y crear un mapa de TODOS sus datos.
Veeam se sumergió en el proceso de crear una serie de encuestas específicas (adaptadas por unidad de negocio) y envió dichos formularios de cuestiones a todas las unidades de negocio de todo el mundo. Algunos ejemplos de dichas encuestas las proporcionaremos en nuestro próximo white paper para que pueda adaptarlas a sus necesidades y usarlas internamente para realizar el mismo ejercicio.
Un consejo importante: debería incluir todas las unidades de negocio, incluso las que son regionales y no pertenezcan a la UE. Por ejemplo: nuestro equipo de marketing regional en Norteamérica también tuvo que realizar la encuesta. Puesto que son los responsables de organizar eventos en Norteamérica, poseen datos de ciudadanos europeos que se desplazan internacionalmente y asisten a dichos eventos.
Otro factor adicional que hay que resaltar es que a medida que diseña procesos para comprender sus datos, resulta de mucha ayuda crear diagramas de flujo que presenten un mapa del flujo de información de identificación personal a través de toda su organización Y sus partners. Posiblemente algunas de las soluciones tecnológicas que posee internamente sea capaz de hacer esto por usted de forma automática. En el caso de Veeam, la plataforma Veeam Availability Platform será capaz de ofrecerle una imagen completa de su entorno de backup y el flujo de datos.
Conclusión
Conocer sus datos es el primer paso que debe dar, y probablemente el más importante de todos. Muchas organizaciones no son conscientes de los datos que poseen, la amplitud y el ámbito de estos datos, y dónde se encuentran localizados. Si posee una buena perspectiva y entendimiento de sus datos, los siguientes pasos será mucho más fáciles.
