Warakorn - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

Cómo gestionar datos y el derecho a ser olvidado de GDPR

El Reglamento General de Protección de Datos requiere que las organizaciones eliminen información de identificación personal si los clientes lo piden, lo que puede ser un desafío. Los expertos ofrecen cuatro consejos.

Las empresas que hacen negocios en la Unión Europea deben poder abordar las cláusulas del derecho a olvidarse del Reglamento general de protección de datos o enfrentar fuertes multas. Las nuevas regulaciones amplían la definición de información de identificación personal (PII) para incluir datos como direcciones IP e imágenes. Esto puede ser un desafío, ya que los administradores de datos pueden no saber dónde se almacenan todos los datos PII o cómo eliminarlos fácilmente. Además, los empleados pueden generar datos ocultos que contienen PII que también deben reducirse o eliminarse.

Algunas buenas prácticas para cumplir con el GDPR incluyen la elaboración de una política clara e inteligencia empresarial para la supervisión. Además, es importante establecer una práctica para indexar correos electrónicos que incluyen PII. Las empresas también deberían considerar mejorar la comprensión del uso de PII fuera de la infraestructura de TI normal para cumplir con el derecho a ser olvidado del GDPR.

1. Definir qué olvidar

El derecho a ser olvidado de GDPR no significa que las empresas necesiten borrar todo lo relacionado con un individuo. Por ejemplo, una empresa necesita mantener un registro del deseo de una persona de no ser rastreado, lo que incluiría información de identificación personal (PII). En algunas industrias, las empresas están obligadas por otras leyes relacionadas con las regulaciones contra el lavado de dinero a mantener datos exhaustivos sobre las personas. Sin embargo, las empresas deben elaborar una política clara sobre qué datos se eliminan en respuesta a una solicitud a ser olvidado.

"Cada empresa debe presentar su propia interpretación declarada de lo que constituye un cumplimiento adecuado", dijo Jeff Nicholson, vicepresidente de marketing de productos CRM en Pegasystems. Algunas empresas pueden argumentar que su empresa puede tener un interés legítimo en PII, como nombres, direcciones, direcciones de correo electrónico, ya que necesitan esta información para facturar a los clientes por los servicios prestados. También puede ser una buena práctica borrar la PII y asignar un identificador aleatorio para anonimizar los datos, de modo que el resto aún se pueda usar para el entrenamiento de modelos de entrenamiento analítico. En otros casos, algunas empresas pueden borrar todos los datos juntos.

2. Encuesta de sistemas de inteligencia de negocios

Las empresas modernas están creando inteligencia de negocios compleja y herramientas de análisis de IA para tomar mejores decisiones y mejorar la experiencia del cliente. Esto podría dificultar el cumplimiento de las cláusulas de derecho de olvido de GDPR, ya que los datos se almacenan fuera del registro de un cliente.

"Buscar manualmente y mapear dónde se originaron los datos a lo largo de su ciclo de vida y encontrar todos los lugares donde aterrizaron es extremadamente lento e inexacto", dijo Amit Rahav, vicepresidente de marketing y éxito de clientes de Secret Double Octopus, un proveedor de autenticación. En algunos casos, es imposible conocer esta información, lo que deja a las empresas sin cumplimiento y vulnerables a fuertes multas. Una herramienta y un proceso de gestión de metadatos pueden identificar muchos usos de los datos, pero es importante asegurarse de que también extraigan los metadatos de los sistemas de informes.

"Los administradores de datos necesitan saber dónde están almacenados todos los datos de un sujeto de datos para poder eliminarlos", dijo Andrew Burt, director de privacidad e ingeniero legal de Immuta, una plataforma de administración de datos para ciencia de datos. Cualquier oportunidad de inyectar eficiencias en el proceso de gobernanza de datos ayudará a inyectar visibilidad en el entorno de ciencia de datos, lo que ayudará a que los sujetos de datos afirmen su derecho a ser olvidado del GDPR.

"Hay un enfoque de 'memos y reuniones' para otorgar acceso a los datos, que es como en Immuta nos referimos a la forma anticuada de acceder y controlar los datos", explicó Burt. "Es altamente manual, es altamente analógico y simplemente no escala". Los administradores de datos deben alejarse de ese modelo, de modo que puedan integrar y administrar el volumen de datos que se les pide administrar, y hacerlo de manera que cumplan las normativas.

El derecho de GDPR a ser olvidado requiere que las organizaciones eliminen datos personales sobre los clientes si se les solicita.

3. No olvide los correos electrónicos

Los empleados a veces necesitan incluir PII en los correos electrónicos como parte de sus procesos de trabajo. "Controlar los datos personales intercambiados en correos electrónicos será un gran desafío para los administradores de datos", dijo Oussama El-Hilali, vicepresidente de productos de Arcserve, un proveedor de administración de privacidad de datos. El derecho a ser olvidado de GDPR significa que estos correos electrónicos se deben encontrar y eliminar si reciben una solicitud de acceso a un sujeto de un individuo que ejerce su derecho a ver los datos personales que una empresa ha recopilado sobre ellos.

Encontrar y recuperar estos archivos puede convertirse rápidamente en un desafío debido al volumen masivo de correos electrónicos enviados y recibidos diariamente por las organizaciones. Esto afectará la forma en que las empresas procesan, archivan y acceden a los correos electrónicos. Los administradores de datos deberían considerar la creación o el uso de herramientas para organizar y buscar fácilmente archivos de correo electrónico para estos datos. Una vez que se han localizado los registros, un administrador de datos puede responder a una consulta para compartir qué registros existen, y luego el individuo puede decidir si solicita una acción. Una buena práctica es implementar un proceso para eliminar automáticamente los correos electrónicos cuando se solicite.

4. Eduque a los empleados sobre los datos sombra

Uno de los desafíos a los que se enfrentan los administradores de datos al abordar el derecho a ser olvidado de GDPR es la generación de datos ocultos que contienen PII fuera de los procesos de negocios normales. Con frecuencia, los empleados generan, sin saberlo, datos ocultos durante las actividades cotidianas en línea, como consultar correos electrónicos, escanear tarjetas de crédito o participar en las redes sociales. "Los datos sombra son difíciles de rastrear, y por lo tanto difíciles de olvidar", dijo Colleen Huber, gerente de producto de diseño y desarrollo de contenido en MediaPro, un proveedor de entrenamiento en seguridad y privacidad.

Una forma clave de abordar este problema es la educación de los empleados. Esto implica facilitar una comprensión compartida sobre los peligros de los datos demasiado compartidos, el uso de aplicaciones en la nube no aprobadas y la mala administración general de datos confidenciales. Todo esto puede contribuir al problema de los datos ocultos y exacerbar los grandes desafíos de gestión de datos que los departamentos de TI intentan superar a diario, dijo Huber.

Este artículo se actualizó por última vez en agosto 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close