Cualquier empresa cuyas prácticas incluyan la recogida, el almacenamiento y el tratamiento de datos personales de usuarios en la UE debe cumplir los requisitos reglamentarios. En caso de incumplimiento o violación de estos estatutos normativos, las empresas pueden enfrentarse a graves penalizaciones, multas y sanciones.
En Europa, cualquier actividad que implique información personal de personas físicas identificables (interesados) debe cumplir el Reglamento General de Protección de Datos (RGPD) de la UE, el marco normativo general que regula la protección de la información personal de los usuarios. Las empresas deben estar preparadas para adaptarse, probar, mantener y demostrar el cumplimiento de estos requisitos de la UE en constante evolución.
La protección de datos personales puede ser un entorno normativo difícil de navegar, así que deje que ITGLOBAL.COM apoye sus esfuerzos de cumplimiento del GDPR. Un excelente ejemplo de los servicios de cumplimiento del GDPR que ofrecemos es la siguiente auditoría de cumplimiento que ITGLOBAL.COM realizó para Whoosh, una empresa de transporte centrada en la tecnología y especializada en soluciones de micromovilidad urbana para el mercado de la UE.
Infraestructura de la empresa cliente y organización del almacenamiento de datos
La infraestructura de recopilación y procesamiento de datos personales de Whoosh consistía en una plataforma de uso compartido basada en la nube que conectaba aplicaciones móviles de usuarios y servicios, así como módulos IoT. Se trata esencialmente del «corazón» de un scooter eléctrico, que recopila y transmite datos sobre el estado del dispositivo, su ubicación, el estado de carga e información actualizada sobre el viaje actual. Esto se suma al intercambio con vendedores externos, proveedores de servicios y socios, incluidos los servicios de seguros y procesamiento, que también pueden manejar datos personales de los usuarios.
Whoosh también gestiona una serie de servicios internos, como el correo electrónico, el ERP y otros servicios corporativos clásicos. Cada uno de estos servicios internos implica el tratamiento de datos personales, por lo que también están sujetos a la evaluación de los reguladores.
La mayor entrada de datos personales de los usuarios en el sistema se produce durante el registro de nuevos usuarios. En este caso, la información sobre los usuarios se almacena en servidores asociados al país en el que opera el servicio. Por ejemplo, la información de los usuarios europeos de Whoosh se consolida en servidores situados en Irlanda. Una vez registrados de este modo, los datos pueden transmitirse a socios para su tratamiento o utilización por servicios de seguros y análisis.
Cómo se realizó la auditoría de infraestructuras
Antes de iniciar operaciones en un nuevo país, se recomienda adecuar la infraestructura y los procesos empresariales a la legislación local con la ayuda de expertos en este campo. Estos profesionales externos ayudan a las empresas a identificar las deficiencias de cumplimiento asociadas a la entrada en un nuevo entorno normativo para que puedan corregirse rápidamente.
El GDPR o Reglamento General de Protección de Datos permite a las autoridades de la Unión Europea establecer requisitos uniformes para la protección de datos personales. Estos requisitos también son relevantes para las empresas que buscan entrar en países del mercado, ya que controlan la exportación de datos personales fuera de la UE. Tal como está redactado, el objetivo del RGPD es dar a los ciudadanos de la UE un mayor control sobre sus datos personales unificando y reforzando la protección de datos para todas las personas que residen en la UE.
Whoosh comenzó a ofrecer su servicio en el mercado europeo en 2022, por lo que una auditoría GDPR es un paso necesario y lógico para garantizar su cumplimiento con la normativa europea sobre privacidad. Una auditoría de cumplimiento del GDPR se concentra en lo siguiente:
- Evaluación de la aplicabilidad de los requisitos del GDPR y la legislación local a las actividades del cliente.
- Análisis del estado actual de la infraestructura y los procesos del cliente.
- Elaboración de recomendaciones para la introducción de la normativa teniendo en cuenta los planes de desarrollo del negocio.
- Asesoramiento en los procesos de implantación.
Nuestra experiencia ha demostrado que, en el caso de la legislación europea, lo mejor es comenzar con un análisis granular de las operaciones del cliente en busca de elementos de incumplimiento, durante el cual el auditor evalúa la seguridad de la información de los procesos de negocio de la empresa y, si se detectan infracciones, elabora recomendaciones para la armonización de estos procesos con los requisitos normativos. Esta evaluación también examina cómo el cliente recopila, almacena y procesa los datos personales de los clientes. Y, en la fase final, audita estos procesos para comprobar que cumplen el GDPR y las leyes locales de los países en los que la empresa tiene previsto ampliar sus operaciones. Por ejemplo, en el caso de Whoosh, nuestro cliente acabó ampliando sus servicios a Portugal, Hungría, Polonia y varios países más.
Puesta en conformidad de Whoosh – Resultados
Los expertos de ITGLOBAL.COM llevaron a cabo una auditoría detallada de los documentos normativos relativos al tratamiento y la protección de la información, así como de la infraestructura de TI consistente en servicios corporativos basados en la nube (incluidos el correo electrónico, el almacenamiento de datos, los sistemas internos de control de scooters y dispositivos IoT, etc.). A continuación, se evaluaron objetivamente los servicios y procesos empresariales de Whoosh que implican el tratamiento de datos personales para determinar su conformidad con el GDPR y la legislación local relativa a los Estados miembros de la UE específicos en los que Whoosh opera. El resultado se presentó a continuación en forma de un informe que:
- Esbozaba diagramas de flujo de datos conformes.
- Proporcionaba un análisis según cada apartado de la normativa y la legislación pertinentes pertenecientes al país de la UE seleccionado.
- Recomendaciones para rectificar los procesos y servicios no conformes.
Este documento proporcionaba un esquema detallado de las acciones que Whoosh debía emprender para resolver las incoherencias entre sus actividades y los regímenes reglamentarios pertinentes detectadas en el curso de la auditoría. En consecuencia, la mayor parte de los comentarios del informe se referían a la normativa que regula el tratamiento de datos personales, en lugar de abordar cuestiones técnicas.
Nuestra auditoría también identificó la necesidad de proporcionar a Whoosh una documentación reglamentaria, organizativa y administrativa interna más completa relativa al tratamiento y la seguridad de los datos personales, que IT.GLOBAL.COM elaboró e implantó posteriormente para nuestro cliente. El trabajo proactivo de IT.GLOBAL.COM con clientes como Whoosh demuestra claramente las ventajas de nuestro enfoque colaborativo para las empresas que desean entrar en entornos normativos sólidos como la UE.
En palabras del Director General de Auditorías y Seguridad de la Información de IT.GLOBAL.COM, Alexander Zubrikov: «Whoosh adecuó sus procesos empresariales y su infraestructura a la normativa del GDPR (en particular a la normativa local establecida por los países de la Unión Europea en los que Whoosh tenía previsto lanzar servicios), antes de iniciar el tratamiento real de datos personales protegidos. En consecuencia, se minimizó cualquier riesgo de fuga de datos personales y, por tanto, de posibles violaciones de los derechos de los ciudadanos de la UE».
¿Qué deben hacer las empresas que acaban de entrar en el mercado europeo?
Conviene recordar que los consejos y materiales de este artículo sólo son pertinentes para las empresas que trabajan con datos personales protegidos de los usuarios. El mejor modo de empezar es informarse sobre el terreno mediante la investigación, la lectura de la legislación pertinente, la consulta a especialistas y la evaluación de los requisitos existentes para el mercado en el que su empresa desea entrar. Después, hay dos opciones principales para el almacenamiento de datos:
- Una empresa puede incorporar a su equipo a un experto que conozca la normativa de la UE sobre almacenamiento y tratamiento de datos personales para usuarios de la UE.
- La empresa puede contratar a un consultor con experiencia en cuestiones normativas en torno a la legislación de seguridad de datos de la UE.
Los requisitos establecidos por las leyes y reglamentos de datos de la UE distan mucho de ser sencillos. El cumplimiento de estas normativas es posible, pero si una empresa puede hacerse una idea a medida de lo que hay que abordar y en qué orden, la labor de adecuar sus procesos y servicios a la normativa se completará de forma mucho más rápida y eficaz. Este proceso lleva tiempo, pero con la ayuda adecuada, cualquier empresa puede superar este obstáculo.
En lo que respecta a cualquier mercado extranjero, los pasos preparatorios necesarios para iniciar operaciones en otro país son, en líneas generales, similares a los descritos anteriormente. Sin embargo, conviene recordar que las infracciones del RGPD pueden acarrear multas verdaderamente draconianas, lo que significa que la expansión de los servicios a países de la UE conlleva la necesidad de cumplir cuidadosamente los requisitos normativos de la UE. Los costes del incumplimiento pueden ser graves. De hecho, las multas máximas posibles que pueden imponerse en virtud de la legislación de la UE pueden ascender a 20 millones de euros o al 4% de los ingresos anuales de la empresa, según cuál sea la cantidad mayor.
El GDPR, concretamente el Art. 25 (1) GDPR, es menos específico con respecto a su aplicación a los sistemas técnicos, pero implica un enfoque razonable de acuerdo con el nivel actual de progreso científico y tecnológico, los costes de implementación y los riesgos que se producen durante el tratamiento de los datos personales, así como la naturaleza, la escala, el contexto y la finalidad del tratamiento de los datos personales protegidos de los usuarios. Es decir, una organización tiene flexibilidad para determinar por sí misma qué medidas de seguridad aplicar (con la excepción del cifrado, la recuperación de datos y las inspecciones periódicas). Sin embargo, la carga de la responsabilidad del cumplimiento por parte de las empresas con este enfoque es mayor que si se compara con la lista de comprobación de los requisitos reglamentarios establecidos por las autoridades reguladoras en Rusia.» – Anastasia Gainetdinova, auditora de seguridad de la información ITGLOBAL.COM Security.
El riesgo de ser objeto de una investigación en la UE no suele ser elevado, pero las consecuencias reglamentarias que puede acarrear una inspección hacen que el cumplimiento siga siendo una consideración importante. Aunque es poco probable que el regulador lleve a cabo una auditoría por iniciativa propia, esta posibilidad no debe excluirse por completo. En muchos casos, las inspecciones se inician como consecuencia de quejas de los usuarios. Por ejemplo, un usuario puede quejarse de que no puede borrar sus datos de su sistema. En tal caso, pueden dirigirse a las empresas de RPD de la UE, tras lo cual las posibilidades de una inspección aumentan exponencialmente.
En consecuencia, es imperativo segregar los datos de los usuarios, porque los requisitos normativos que rigen su tratamiento y procesamiento varían de una jurisdicción a otra, ya que, por ejemplo, las normas de seguridad de datos en la UE y en EE.UU. difieren significativamente. Si no se cumplen estos requisitos, la empresa que cometa infracciones se enfrentará a multas, lo que en última instancia causará pérdidas a la organización «responsable».
En general, las leyes europeas tienen por objeto contrarrestar y prevenir las filtraciones de datos y/o su uso indebido. Sin embargo, es especialmente importante señalar que, en el caso del GDPR, la legislación de la UE establece la responsabilidad penal en caso de violaciones significativas de las leyes de protección de datos de la UE.
Actividades y responsabilidades de la empresa
Los requisitos normativos de la UE difieren en función de las categorías de datos. Como tal, simplificar la tarea de cumplimiento requiere un enfoque inteligente para recopilar datos protegidos de los usuarios. Al partir del principio de información mínima en lugar de un enfoque general para la recopilación de datos de usuario, una empresa trabaja únicamente con los datos personales que realmente necesita, reduciendo así el número de categorías y, por tanto, la complejidad de la tarea de garantizar el cumplimiento en el tratamiento, procesamiento y almacenamiento de datos protegidos.
En conclusión, vale la pena afirmar que no basta con esperar que los reguladores nunca presten atención a su empresa. Por el contrario, es mucho mejor prepararse enérgicamente para las inspecciones reglamentarias, de modo que más adelante no se traduzcan en consecuencias reglamentarias insoportablemente dolorosas por incumplimiento. Por supuesto, el cumplimiento proactivo exige dedicar recursos, incluidos tiempo y dinero, pero en el caso de un entorno normativo sólido como el mercado de la UE, la inversión merece la pena. La sobria realidad de operar sin cumplir con las protecciones de datos de usuario del GDPR significa que si se somete a una inspección sin estar preparado, su empresa puede esperar enfrentarse a graves sanciones por parte de los reguladores de la UE.
Artículo anterior
