EN-CA
EN-USA
Cuando los datos empezaron a digitalizarse, las autoridades se dieron cuenta de la necesidad de protegerlos. De ahí la creación de normas y reglamentos sobre privacidad de datos para hacer frente a las ciberamenazas. Muchas organizaciones tienen una o varias políticas de privacidad de datos que deben cumplir.
Los profesionales del sector sanitario estadounidense y sus socios de servicios deben cumplir la ley HIPAA. Cualquiera que recopile datos de tarjetas de pago debe preocuparse por la norma PCI-DSS. El GDPR es un reglamento de protección de datos de gran alcance. Afecta a cualquiera que venda a ciudadanos de la UE.
La normativa industrial e internacional sobre privacidad de datos es sólo la punta del iceberg. Muchas jurisdicciones estatales y locales también tienen sus propias leyes de privacidad de datos. Las organizaciones deben ser conscientes de estos requisitos de cumplimiento. Pero también necesitan conocer las actualizaciones de estas normas.
A finales de 2024, cerca del 75% de la población tendrá sus datos protegidos por una o más normativas de privacidad.
Las autoridades promulgan continuamente nuevas normativas sobre privacidad de datos. Por ejemplo, en 2023, cuatro estados tendrán nuevas normas. Colorado, Utah, Connecticut y Virginia empezarán a aplicar nuevas leyes de protección de datos.
Las empresas deben estar al tanto de sus requisitos de cumplimiento de la normativa sobre privacidad de datos. De lo contrario, pueden sufrir. Muchas normas prevén sanciones severas en caso de violación de los datos. Y si faltaba seguridad, las multas pueden ser aún mayores.
La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) utiliza una escala móvil. Los infractores pueden ser multados con entre 100 y 50.000 dólares por registro violado. Cuanto más negligente sea la empresa, mayor será la multa.
¿Todo esto da miedo?
No te preocupes, a continuación te damos algunos consejos. Éstas pueden ayudarle a mantenerse al día de las actualizaciones sobre privacidad de datos que se produzcan.
Pasos para mantenerse al día en el cumplimiento de la protección de datos
1. Identifique la normativa que debe cumplir
¿Dispone su organización de una lista de las distintas normas de protección de datos a las que está sujeta? Podría haber normativas para:
- Industria
- Dónde vende (por ejemplo, si vende a la UE)
- En todo el Estado
- Ciudad o condado
- Federal (por ejemplo, para contratistas del Gobierno)
Identifique las distintas normativas sobre protección de datos a las que puede estar sujeto. Así te asegurarás de que no te pille desprevenido uno que no conocías.
2. Manténgase al tanto de las actualizaciones de la normativa sobre privacidad de datos
No se deje sorprender por un cambio en la normativa sobre privacidad de datos. Puede mantenerse al corriente de cualquier cambio suscribiéndose a las actualizaciones en el sitio web correspondiente. Busque el sitio web oficial de la autoridad de cumplimiento.
Por ejemplo, si trabaja en el sector sanitario, puede inscribirse para recibir actualizaciones sobre la HIPAA en HIPAA.gov. Deberá hacerlo para cada una de las normativas a las que esté sujeta su empresa.
Debería enviar las actualizaciones a más de una persona. Normalmente, su responsable de seguridad o equivalente y otra persona responsable. Así se garantiza que no se pierdan si alguien está de vacaciones.
3. Revise anualmente sus normas de seguridad de datos
Las empresas siempre están evolucionando su tecnología. Esto no siempre significa una gran transición empresarial. A veces puede que añadas un nuevo servidor o un nuevo ordenador a la mezcla.
Cualquier cambio en su entorno informático puede suponer incumplir la normativa. La incorporación de un nuevo dispositivo móvil de un empleado, pero sin la protección adecuada, es un problema. Una nueva herramienta en la nube que un empleado decida utilizar también puede causar un problema de cumplimiento.
Es importante hacer al menos una revisión anual de la seguridad de sus datos. Compárelo con sus requisitos de cumplimiento de privacidad de datos para asegurarse de que sigue siendo bueno.
4. Audite sus políticas y procedimientos de seguridad
Otra cosa que debería auditar al menos una vez al año son sus políticas y procedimientos. Son documentos escritos que indican a los empleados lo que se espera de ellos. También orientan sobre la privacidad de los datos y cómo actuar en caso de violación.
Audite anualmente sus políticas de seguridad. Además, audítelos cada vez que haya una actualización de la normativa sobre privacidad de datos. Querrá asegurarse de que abarca cualquier nuevo cambio en sus requisitos.
5. Actualice sus medidas de seguridad técnicas, físicas y administrativas según sea necesario.
Cuando reciba una notificación de que se va a producir una actualización de la protección de datos, planifíquelo con antelación. Lo mejor es cumplir la norma antes de que entre en vigor, si es posible.
Examine tres áreas de su seguridad informática:
- Salvaguardias técnicas – Sistemas, dispositivos, programas informáticos, etc.
- Salvaguardias administrativas: políticas, manuales, formación, etc.
- Protecciones físicas: puertas, teclados, seguridad del edificio, etc.
6. Mantener a los empleados formados sobre las políticas de cumplimiento y privacidad de datos
Los empleados deben estar al tanto de cualquier cambio en las políticas de privacidad de datos que les afecte. Cuando reciba noticias sobre una próxima actualización, añádala a su formación continua.
Una buena práctica en materia de ciberseguridad consiste en impartir formación continua al personal. De este modo, mantienen afiladas sus habilidades contra las infracciones y recuerdan lo que se espera de ellos.
Incluya las actualizaciones que necesitan conocer para estar debidamente preparados.
Recuerda registrar siempre tus actividades de entrenamiento. Es una buena idea registrar la fecha, los empleados educados y el tema. De este modo, dispondrá de esta documentación si en algún momento sufre una infracción.
Obtenga ayuda para garantizar que sus sistemas cumplen la normativa
El cumplimiento de la protección de datos puede ser complejo. Pero no tienes por qué resolverlo todo tú solo. Nuestro equipo conoce bien las necesidades de cumplimiento. Llámenos hoy mismo para concertar una cita.
Este artículo ha sido publicado con permiso de The Technology Press.
