¿Qué es el cumplimiento de los datos?

A medida que los gobiernos y otras entidades siguen centrándose en la seguridad de los datos, ha ido creciendo el número de normativas sobre privacidad y conformidad de datos que las empresas deben cumplir para hacer negocios con sus clientes objetivo.

Algunos de los reglamentos y normas más comunes en materia de conformidad de datos son:

La Ley de Portabilidad y Responsabilidad del Seguro Médico, o HIPAA, es un texto legislativo crucial que se aprobó en Estados Unidos en 1996. Establece las directrices sobre cómo las entidades sanitarias y las empresas manejan la información sanitaria de los pacientes para garantizar su confidencialidad y seguridad.

Todas las entidades que entran en la categoría de "entidades cubiertas", según la definición de la HIPAA, deben respetar las normas de seguridad de datos y conformidad de la HIPAA. Estas entidades abarcan no sólo a los proveedores sanitarios y los planes de seguros, sino también a los asociados comerciales con acceso a la PHI, incluidos los proveedores de servicios de transmisión de datos, los proveedores de servicios de transcripción médica, las empresas de software, las compañías de seguros, etc.

El Reglamento General de Protección de Datos (RGPD) es un marco integral de protección de datos promulgado por la Unión Europea para salvaguardar la información personal de sus ciudadanos. 

El RGPD se centra principalmente en la información de identificación personal (PII) e impone estrictos requisitos de cumplimiento a los proveedores de datos. Obliga a las organizaciones de dentro y fuera de Europa a ser transparentes sobre sus prácticas de recopilación de datos, otorgando a las personas un mayor control sobre su PII.

Uno de los aspectos más llamativos del RGPD es su postura inflexible ante el incumplimiento. Impone multas sustanciales a quienes no se adhieran a su normativa sobre privacidad y cumplimiento de las normas sobre datos. Estas multas pueden alcanzar hasta el 4 % de la facturación global anual o 20 millones de euros, la cantidad que sea mayor.

Por este motivo, el RGPD ha provocado que las empresas de todo el mundo reevalúen sus prácticas de recopilación y tratamiento de datos, haciendo hincapié en la importancia de una conformidad y una seguridad sólidas de los datos.

La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad de datos histórica en Estados Unidos, similar al RGPD.

Al igual que el RGPD, también hace recaer en las empresas la responsabilidad de ser transparentes sobre sus prácticas en materia de datos y otorga a las personas un mayor control sobre su información personal. En virtud de la CCPA, los residentes en California pueden solicitar detalles sobre los datos que recogen sobre ellos las empresas, optar por no recibir ventas de datos y solicitar su supresión.

Sin embargo, a diferencia del RGPD, CCPA y muchas otras leyes estadounidenses de protección de datos son de exclusión y no de suscripción, lo que significa que las empresas pueden utilizar la información de los consumidores en California hasta que se indique específicamente lo contrario. La CCPA también se aplica únicamente a las empresas que superan un umbral específico de ingresos anuales o manejan grandes volúmenes de datos personales, lo que la hace pertinente para muchas empresas californianas, aunque no para todas.

Desde la entrada en vigor de la CCPA, las organizaciones han reevaluado activamente sus procesos de tratamiento de datos y han adoptado estrategias integrales de protección de datos para cumplir los requisitos de conformidad.

La Ley Sarbanes-Oxley (SOX) es un texto legislativo promulgado en respuesta a escándalos empresariales como los de Enron y WorldCom. Su principal objetivo es aumentar la transparencia y la responsabilidad de las empresas. En virtud de la SOX, todas las empresas que cotizan en bolsa en Estados Unidos deben cumplir estrictas normas de información financiera y gobierno.

Algunas de las disposiciones más importantes de la SOX son la obligación de que los CEO y CFO certifiquen personalmente la exactitud de los estados financieros y la creación de comités de auditoría independientes. La SOX también introduce rigurosas medidas de control interno para garantizar la fiabilidad de los datos financieros, al tiempo que aumenta significativamente las sanciones por mala conducta empresarial y fraude.

Aunque la SOX se ocupa principalmente de los informes financieros, sigue siendo una consideración de cumplimiento vital, y las organizaciones de TI deben ser conscientes de ello para garantizar informes financieros precisos y oportunos.

La Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI-DSS) es un conjunto de directrices normativas para salvaguardar los datos de las tarjetas de crédito. A diferencia de las normativas impuestas por los gobiernos, la norma PCI-DSS consiste en compromisos contractuales aplicados por un organismo regulador independiente conocido como Consejo de Estándares de la Industria de la Industria de Pago.

La norma PCI-DSS se aplica a cualquier empresa que maneje datos de titulares de tarjetas, ya sea mediante su aceptación, almacenamiento o transmisión. Aunque un servicio de terceros intervenga en las transacciones con tarjeta de crédito, la empresa sigue siendo responsable del cumplimiento de la norma PCI-DSS y debe tomar las medidas necesarias para gestionar y almacenar de forma segura los datos de los titulares de tarjetas.

Los siguientes pasos pueden ayudar a las organizaciones a establecer un sólido programa de cumplimiento de datos que satisfaga los requisitos de conformidad y proteja la información sensible. 

Muchas de ellas son medidas que las organizaciones pueden adoptar inmediatamente, mientras que otras requieren una planificación a más largo plazo. Se espera que, con la planificación y la atención adecuadas, las organizaciones no sólo puedan cumplir las normas de conformidad de datos y garantizar la privacidad de los mismos, sino también reforzar la seguridad general de su información y protegerse a sí mismas y a sus clientes de forma más eficaz frente a las filtraciones de datos, el uso indebido de los mismos y otras formas de acceso no autorizado.

• Cumplimiento de datos: empiece por conocer las normas de cumplimiento de datos pertinentes para su organización, que generalmente dependen de su sector y ubicación geográfica.
• Inventario de datos: elabore un inventario de los tipos de datos que recopila, dónde se almacenan y quién tiene acceso a ellos.

• Controles de acceso: implemente sólidos controles de acceso para restringir el acceso a los datos al personal autorizado, lo que implicará la autenticación de usuarios, el acceso basado en funciones y el cifrado de datos confidenciales. Un programa moderno de gestión de identidades y accesos puede ayudar en este sentido.

• Almacenamiento de datos: tome medidas para garantizar que sus datos se almacenan de forma segura, tanto física como digitalmente, lo que puede implicar la implementación de soluciones de almacenamiento cifrado, cortafuegos y registros de acceso.

• Formación sobre cumplimiento: instruya al personal sobre el cumplimiento de datos para asegurarse de que comprenden la normativa y la importancia de la protección de los datos. Las sesiones de formación periódicas también pueden ayudar a todos a mantenerse informados sobre buenas prácticas.

• Política de tratamiento de datos: establezca políticas y procedimientos de seguridad transparentes en toda su organización sobre cómo tratar los datos de forma responsable y asegúrese de que todo el mundo conoce las prácticas correctas de gestión de datos.

• Auditorías periódicas: realice auditorías periódicas para verificar la eficacia y actualidad de sus medidas de cumplimiento de datos e identificar posibles vulnerabilidades y áreas que necesiten mejoras.

• Plan de respuesta ante la vulneración de datos: elabore un plan de respuesta a la vulneración de datos bien definido para prepararse ante una vulneración. Saber responder con eficacia y rapidez es crucial para minimizar los daños y cumplir los requisitos de los marcos de cumplimiento.