Educación y ciencia de datos Información de la ciencia de datos global, cursos y carreras que te ayudan a mejorarlo 
Leer más Govindhtech.com
El Reglamento General de Protección de Datos (GDPR) regula cómo las organizaciones de la Unión Europea recopilan y utilizan datos personales. El RGPD se aplica a las empresas de la UE y a aquellas que manejan datos de residentes de la UE.
El cumplimiento del RGPD puede resultar complicado. Los usuarios tienen derechos de privacidad de datos y principios de procesamiento de datos de acuerdo con la ley. El RGPD exige que las empresas protejan estos derechos y principios, pero les da cierto margen de maniobra.
El RGPD impone severas sanciones por incumplimiento. Las peores infracciones pueden dar lugar a multas de 20.000.000 de euros o el 4% de la facturación global de la empresa del año anterior. Además, las regulaciones del Reglamento General de Protección de Datos pueden detener el procesamiento ilegal de datos y obligar a las organizaciones a cambiar.
La siguiente lista de verificación cubre los conceptos básicos del Reglamento General de Protección de Datos. La forma en que una empresa cumple con estas regulaciones depende de la recopilación y el uso de sus datos.
Los fundamentos del RGPD
Las organizaciones del Espacio Económico Europeo deben cumplir con el RGPD. Los 27 países de la UE más Islandia, Liechtenstein y Noruega son miembros del EEE.
Una organización fuera del EEE está sujeta al RGPD si:
Los residentes del EEE reciben bienes y servicios de la empresa de forma gratuita.
Con las cookies, la empresa rastrea la actividad de los residentes del EEE.
Los datos se procesan para una empresa del EEE.
El RGPD cubre más que el uso comercial de los datos de los clientes. Casi cualquier organización que maneje datos de residentes del EEE se ve afectada. GDPR cubre escuelas, hospitales y agencias gubernamentales.
Sólo las actividades de seguridad nacional o de aplicación de la ley y el procesamiento de datos personales están exentos del Reglamento General de Protección de Datos.
Definiciones efectivas del RGPD
La terminología del RGPD es específica. Comprender estos términos en este contexto ayuda a las organizaciones a comprender los requisitos de cumplimiento.
Según el Reglamento General de Protección de Datos, dato personal es cualquier información sobre una persona identificable. Las direcciones de correo electrónico y las opiniones políticas son datos personales.
El titular de los datos es el interesado. Los datos se lo dicen a alguien. Considere una empresa que recopila números de teléfono para marketing por SMS. Las personas con esos números de teléfono son interesados.
Los interesados en el RGPD son residentes del EEE. Reglamento general de protección de datos Los derechos de privacidad se limitan a los ciudadanos de la UE. Sólo necesitan residencia en el EEE.
Una persona, grupo u organización que recopila y utiliza datos personales es un controlador de datos. Por ejemplo, una empresa de marketing que recopila números de teléfono es un controlador.
El procesamiento de datos implica recopilarlos, almacenarlos y analizarlos. Las organizaciones o actores que realizan estas acciones son encargados del tratamiento de datos.
Una empresa que recopila números de teléfono y envía mensajes de marketing es el controlador y procesador. Un ejemplo de proceso es un servicio de almacenamiento en la nube que mantiene una base de datos de números de teléfono para otra empresa.
Las autoridades de control aplican el Reglamento General de Protección de Datos. Todos los países del EEE tienen autoridades supervisoras.
¿Se requiere una auditoría GDPR?
No se requieren inspecciones, pero se recomienda encarecidamente:
Encuentre brechas de cumplimiento y ciérrelas de manera proactiva.
Haga su mejor esfuerzo ante el ordenante y los interesados.
Reducir la probabilidad de multas y daños reputacionales.
¿Qué tipos de controles están disponibles?
Diferentes tipos de:
Tanto sus empleados como sus consultores externos pueden realizar auditorías internas.
Las auditorías de terceros son evaluaciones imparciales realizadas por auditores calificados.
Se requieren evaluaciones de impacto de la protección de datos (DPIA) para operaciones de procesamiento de alto riesgo.
¿Formas de prepararse para la auditoría?
Mantenga un fácil acceso a los registros de procesos, el almacenamiento de datos y la política de privacidad.
Mantenga un registro de sus materiales de capacitación y procedimientos para informar violaciones de datos.
Asegúrese de que los usuarios tengan acceso a los sistemas de TI y registros relacionados.
Proceso y alcance de la auditoría:
¿Cómo evaluarán los auditores?
En general, se centrarán en:
Localización, gestión e identificación de datos personales: Mapeo y registros de datos.
Justificación del tratamiento legal: ¿Está justificado el tratamiento de datos en su caso?
Derechos personales: Cómo respondes a las solicitudes de los interesados y garantizas su control.
La aplicación de salvaguardas organizativas y técnicas adecuadas es la seguridad de los datos.
La gestión y los procesos incluyen planes de respuesta a incidentes, capacitación y leyes de protección de datos.
¿Qué pasos forman parte del proceso de auditoría?
Alcance y planificación: definición de áreas de interés y objetivos de auditoría.
La recopilación de información incluye la realización de entrevistas y la revisión de registros y políticas.
Análisis y pruebas: Encontrar vulnerabilidades y evaluar controles.
Informes y recomendaciones: compilar un informe que incluya hallazgos y medidas correctivas.
Tras una investigación del RGPD:
¿Cómo debo responder a los resultados de la auditoría?
Crear e implementar un plan de acción para cerrar las brechas y deficiencias encontradas.
¿Debería contarle a alguien sobre los resultados?
Se pueden denunciar faltas graves a las autoridades si la auditoría así lo determina.
¿Con qué frecuencia debo realizar mis revisiones del RGPD?
Para garantizar el cumplimiento continuo, se recomienda realizar inspecciones periódicas, preferiblemente cada 12 a 24 meses.
Consejos adicionales
Partes importantes involucradas: Asegúrese de que el proceso de auditoría involucre la participación de los departamentos y el personal relevantes.
Mantenga una comunicación clara: asegúrese de que todos conozcan sus responsabilidades y objetivos de auditoría.
Aproveche al máximo la auditoría como herramienta de aprendizaje: trate la auditoría como una oportunidad para mejorar sus procedimientos de seguridad de datos.
