Con un aumento continuo del delito cibernético, la UE ha estado redactando una nueva legislación que tendrá un impacto en todas las empresas. El Reglamento general de protección de datos (GDPR) y la Directiva de seguridad de la red y de la información (NIS) exigirán que las empresas cumplan o actúen en relación con ciertos requisitos de ciberseguridad. ¿Qué significan para las pequeñas empresas y cómo administran su seguridad??

En esencia, las nuevas regulaciones tienen como objetivo brindar una comunidad empresarial más preocupada por la seguridad. El marco legal que actualmente se aplica a todas las formas de datos digitales que su empresa pueda tener sobre clientes o socios comerciales ahora deberá fortalecerse. Es posible que su empresa ya haya tratado con la llamada "ley de cookies" que ahora rige las opciones de acceso a su sitio web y cómo se utiliza la información personal. El GDPR va mucho más allá.

Adam Palmer, director de relaciones gubernamentales internacionales en FireEye, explicó: "La directiva NIS se centra exclusivamente en la seguridad, mientras que el GDPR se centra en la privacidad de los datos. Cada uno tiene diferentes reglas y alcance. El GDPR se aplica a cualquier entidad que procesa los datos personales de Residentes de la UE relacionados con la oferta de bienes o servicios o para controlar su comportamiento..

"La Directiva NIS se aplica de manera más restringida a los 'operadores de servicios esenciales' y a los proveedores de servicios digitales con 50 o más empleados. La Directiva NIS requiere que las entidades dentro del alcance de la Directiva NIS implementen medidas de seguridad" de vanguardia "que garanticen una nivel de seguridad adecuado al riesgo ".

Los cambios que Bruselas desea realizar en esencia hacen que toda la información que se relaciona con un consumidor o socio comercial sea "personal" y, como tal, necesita que se le aplique una seguridad sólida. Con tanta información personal compartida en la UE cada segundo, se espera que las nuevas regulaciones hagan que esa información sea mucho más segura..

Las regulaciones de GDPR se aplican a empresas medianas con 250 empleados o más. Y las sanciones establecidas parecen ser altas en € 20 millones (alrededor de £ 15.8 millones, o $ 23.2 millones) o el 4% de la facturación anual, lo que sea mayor.

Industrias enteras se están transformando mediante el uso de datos para crear productos y servicios personalizados.

Ventajas de un enfoque proactivo.

Jason Du Preez, CEO de Privitar, dice: "Nuestra economía global depende de la toma de decisiones basada en datos. Industrias enteras se están transformando al usar datos para crear productos y servicios personalizados en todos los sectores imaginables. El GDPR representa un cambio radical en la magnitud de Las inversiones en análisis de datos se pueden diseñar, entregar y aprovechar..

"Las organizaciones tienen dos años para cumplir con GDPR, pero aquellas que son proactivas pueden obtener una ventaja competitiva ganando la confianza de los clientes. Cuanto más entienden los clientes cómo se utilizan sus datos y con qué propósito, menos probabilidades tienen de optar por no participar simplemente porque No entiendo el arreglo en su lugar ".

Para la mayoría de las organizaciones que están dentro del alcance de las nuevas regulaciones, se necesitará un nuevo puesto de Oficial de Protección de Datos (DPO) si los procesos de su negocio requieren el almacenamiento y la manipulación de ciertas categorías de datos.

Andy Green, especialista principal en contenido técnico, Varonis, explica: "El GDPR es una ley enorme y compleja. Y los redactores de las regulaciones sabían que las empresas pequeñas o pequeñas no podrían lidiar con todo esto.

"Hicieron algunas excepciones a los requisitos más onerosos, y también otorgaron a las APD (Autoridades de protección digital), por ejemplo, el poder de tener en cuenta el tamaño del negocio en términos de la aplicación de la ley - proporcionalidad, en sus palabras..

"Por ejemplo, a las PYMES generalmente se les alivia el requisito de contratar un DPO de datos. También se hacen excepciones para los DPIA (evaluaciones de impacto de la protección de datos), que es un nuevo requisito para documentar los efectos de recopilar datos muy confidenciales. Otros requisitos de documentación son: también disminuido para las PYMES.

"Mi opinión general es que si una pequeña / mediana empresa sigue las ideas de 'Privacidad por diseño', que se menciona mucho en el GDPR, estarán bien, especialmente los principios de minimizar la recopilación de datos de datos personales y mantenerlos. Registros de consumidores más largos de lo necesario ".

  • Cambios en la regulación europea de protección de datos: una mirada al GDPR