¿Qué es el cumplimiento de los datos?

El cumplimiento de los datos es la práctica que consiste en garantizar que los datos confidenciales y protegidos se organicen y gestionen de una manera que permita a las organizaciones y entidades oficiales cumplir las normativas legales y gubernamentales pertinentes. En muchos sentidos, se puede considerar que el cumplimiento de los datos es un conjunto de reglas detalladas (a menudo llamadas protocolos, estándares o requisitos) que están diseñadas para salvaguardar la información y los datos personales.

Los requisitos de cumplimiento de datos varían según la normativa, pero, por lo general, la mayoría define (1) cómo se recopilan, utilizan y almacenan los datos y (2) los procesos que las organizaciones deben adoptar para garantizar que los datos estén protegidos contra la pérdida, el robo y el uso indebido.

¿Por qué las empresas necesitan cumplir las normas en materia de datos?

Desde el envío de mensajes instantáneos y correos electrónicos hasta el uso de procesadores de texto, hojas de cálculo y un sinfín de otros tipos de datos digitales, la creación y el uso de información digital está presente en todas las formas de trabajo actuales. Este cambio radical hacia el almacenamiento digital de la información de los clientes, los números de tarjetas de crédito y otros detalles financieros por parte de las organizaciones, junto con el cambio masivo hacia el comercio electrónico y las transacciones online, ha creado la necesidad de supervisar cómo las organizaciones gestionan y protegen sus datos.

En última instancia, cuando un cliente proporciona su información de identificación personal (PII) como parte de una transacción, la organización asume la responsabilidad de proteger dicha información y garantizar que no caiga en malas manos, como las de los ciberdelincuentes. Cuando las organizaciones cumplen con los requisitos de cumplimiento de datos, se consiguen varias ventajas:

Previene las brechas de datos

El cumplimiento de datos garantiza que las organizaciones estén aplicando buenas prácticas de seguridad para mantener la seguridad de los datos de la empresa y protegerlos contra una brecha. Es una práctica comercial básica y demuestra que una organización es un buen administrador que actúa de manera responsable en la gestión de datos confidenciales y de clientes.

Mejora y agiliza la gestión de datos

La gestión de datos es el proceso de obtener, almacenar, organizar y mantener los datos que crea y recopila una organización. La gestión eficaz de datos es una parte esencial para cumplir con los requisitos normativos de datos y no sólo respalda la tarea de cumplimiento sino que también mejora los procesos de gestión de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta la destrucción.

Fideliza la marca

Las organizaciones actuales trabajan en mercados muy competitivos, lo que significa que los consumidores también tienen muchas marcas entre las que elegir. Cuando las organizaciones demuestran a los clientes que aplican buenas prácticas para ajustarse a los requisitos de cumplimiento de datos, pueden mejorar la confianza en su marca, lo que, a su vez, genera mayores tasas de retención de clientes.

Atrae a empleados excelentes

Las evaluaciones y certificaciones de cumplimiento de una empresa son una prueba de que la organización se toma en serio el cumplimiento de los datos y también son un indicador de que la empresa aplica prácticas sensatas para la gestión de datos y otras operaciones. Se trata de factores atractivos para los solicitantes de empleo y pueden influir favorablemente a la hora de ayudar a una organización a atraer y retener a los mejores empleados.

Normativas y estándares sobre el cumplimiento de los datos

Vivimos en una economía de datos, por lo que es más importante que nunca que las organizaciones tengan un control completo de su universo de datos y se ajusten a los requisitos de cumplimiento que se apliquen a su actividad. A continuación se muestran algunos ejemplos destacados de leyes y normativas que se han aplicados para proteger los datos:

Marco de ciberseguridad del NIST

El marco de ciberseguridad del NIST es un conjunto de pautas y prácticas recomendadas para ayudar a las organizaciones a crear y mejorar su posición de ciberseguridad con el fin de proteger sus datos y evitar una brecha de datos. Publicado por el Instituto Nacional de Estándares y Tecnología (NIST), muchos consideran el marco como el referente a la hora de diseñar un programa de ciberseguridad, tanto si una organización está empezando a funcionar como si ya tiene implantada una estrategia de seguridad. En el marco del NIST se clasifican todas las características de ciberseguridad en cinco funciones principales, que incluyen:

• Identificar: determinar los procesos y recursos que necesitan protección.
• Proteger: implementar una seguridad adecuada para proteger los recursos de la organización.
• Detectar: implementar mecanismos adecuados para identificar los ciberataques.
• Responder: adoptar técnicas para contener el impacto de un incidente de ciberseguridad.
• Recuperarse: implementar actividades adecuadas para mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se hayan visto afectados debido a un incidente de ciberseguridad.

ISO/IEC 27001

Publicada por primera vez en 2005, ISO/IEC 27001 es un estándar internacional que proporciona a las empresas orientación para establecer, implementar, mantener y mejorar de forma continua un sistema de gestión de seguridad de la información. La conformidad con la norma ISO/IEC 27001 indica que una organización ha puesto en marcha un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o maneja la empresa, y que este sistema aplica todas las prácticas recomendadas y principios incluidos en el estándar internacional.

PCI DSS

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de estándares de seguridad que se creó en 2004 para controlar mejor los datos de los titulares de tarjetas y reducir el fraude en el uso de tarjetas de crédito. Cualquier empresa que trate, acepte, transmita o almacene información de tarjetas de pago debe cumplir con los requisitos de PCI DSS.

Reglamento General de Protección de Datos (RGPD)

Publicado por primera vez en 2016 y adoptado en 2018, el objetivo del Reglamento General de Protección de Datos (RGPD) es proteger a todos los ciudadanos de la Unión Europea (UE) frente a brechas de datos y privacidad mediante la armonización de las leyes de privacidad de datos en todos los estados miembros de la UE. Si una empresa (con sede en cualquier parte del mundo) trabaja con datos personales de residentes de la UE, debe cumplir con los requisitos del RGPD.

CCPA

La Ley de Privacidad del Consumidor de California (CCPA) se creó en 2018 para permitir que cualquier consumidor de California pueda solicitar consultar toda la información que una empresa ha guardado sobre él, así como una lista completa con todos los terceros con quienes se comparten esos datos. Cualquier empresa con al menos 25 millones de dólares en ingresos anuales que preste servicios a residentes de California debe cumplir con la CCPA. Además, las empresas deben tener en cuenta que la CCPA permite a los consumidores demandar a una empresa si se infringen las pautas de privacidad, incluso aunque no exista brecha.

FedRAMP

El Programa federal de gestión de riesgos y autorizaciones (FedRAMP) abarca a todo el gobierno federal de EE. UU. y proporciona a las agencias una estrategia estandarizada para la evaluación de la seguridad, autorización y monitorización continua de productos y servicios en la nube. Permite a la administración adaptarse rápidamente y dejar atrás infraestructuras tradicionales antiguas e inseguras para migrar a soluciones basadas en la nube que facilitan el trabajo, que son seguras y que permiten una fácil implementación.

Cómo garantizar el cumplimiento de las normativas de datos de tu organización

Para garantizar el cumplimiento de los datos, las organizaciones primero deben saber qué normativas se aplican a su actividad para poder cumplir las correctas. Una vez conocidos los requisitos de cumplimiento de datos pertinentes, las organizaciones deberían establecer las medidas, las directivas, los protocolos y los procesos de protección de los datos adecuados para cumplir con los estándares. Se trata de una tarea compleja, por lo que conseguir el apoyo financiero y de la alta dirección para las actividades de cumplimiento de los datos resulta una parte esencial de esta estrategia.

Dado que el cumplimiento de los datos es una actividad esencial para las operaciones diarias de la empresa, es importante contar con una persona de contacto exclusiva que esté a cargo de gestionar a todas las partes implicadas. Una parte fundamental del trabajo de esta persona será establecer actividades continuas de cumplimiento de datos, programar pruebas periódicas, revisiones de la documentación y auditorías de las operaciones, así como informar periódicamente a la dirección sobre las diversas iniciativas de cumplimiento.

Es bastante habitual que las normativas de cumplimiento incluyan auditorías periódicas, donde la organización debe demostrar que se está ajustando a los requisitos más recientes. Normalmente, un auditor externo independiente trabajará en este proceso con la organización para validar el cumplimiento de los datos. Para conseguir superar estas auditorías, es esencial mantener un registro de todas las medidas de protección de los datos de la organización, que proporcione al auditor pruebas de lo que la organización ha hecho de buena fe para cumplir con cada grupo de normativas.

Indicadores de éxito del cumplimiento de los datos

Sin duda, aprobar una auditoría de cumplimiento es un barómetro que indica que el programa de cumplimiento de una empresa está funcionando bien. Pero además de con los ciclos de auditoría, ¿cómo saben las organizaciones si su programa de cumplimiento de datos ha cumplido sus objetivos? A continuación se presentan algunos factores que encontrará en un programa exitoso:

Determinación de las personas responsables y de los recursos

Un programa de cumplimiento de datos tendrá muchas más posibilidades de éxito cuando la organización haya definido claramente quién es la persona responsable y establecido las funciones y responsabilidades de todos los involucrados. La responsabilidad de trabajar con datos debe asignarse a las funciones en la organización, por lo que a menudo resulta conveniente designar “responsables de los datos” (normalmente de grupos empresariales en lugar de equipos técnicos) que deberían ayudar a garantizar que puedan ajustarse a las responsabilidades de cumplimiento.

Documentación actualizada

Las empresas deben mantener documentación actualizada de su programa de cumplimiento de datos que abarque cada una de las etapas de las operaciones de gestión de datos. Asimismo, se debe poder acceder a los documentos y verificarse a través de informes seguros. Debido a que las empresas están en constante cambio y que las normativas se actualizan con frecuencia, el programa de cumplimiento de datos de una organización debe someterse a evaluaciones periódicas para que se puedan realizar las modificaciones necesarias de inmediato.

Gestión correcta del ciclo de vida de los datos

Unas buenas directivas de gestión del ciclo de vida de los datos garantizarán que una empresa pueda responder preguntas importantes para conseguir ajustarse a los objetivos de su programa de cumplimiento de datos, tales como:

• ¿Cuándo dejan de ser útiles los datos?
• ¿Cuándo el coste de almacenar datos es superior a las ventajas que aporta?
• ¿Cuándo recopilamos más datos de los que nos puede ser útiles?
• ¿Cuáles son los factores que determinan que los datos han llegado al final de su ciclo de vida y se pueden destruir?

Determinación de las métricas de éxito

Cuando una organización cuenta con indicadores clave de rendimiento (KPI) para su programa de cumplimiento, esto sirve como una práctica estrella polar que permite saber en todo momento si el programa se ha cumplido. Los KPI también ayudan a una organización a identificar los puntos fuertes y débiles del programa. Los KPI más importantes son aquellos relacionados directamente con los objetivos del programa de la organización, lo que también implica que las empresas primero necesitan contar con un valor de referencia para poder medir la efectividad del cumplimiento.

Principales desafíos del cumplimiento de los datos

El entorno normativo en constante cambio ha creado un laberinto de cumplimiento cada vez más complejo al que las organizaciones deben enfrentarse. Sin embargo, el incumplimiento puede dar lugar a cuantiosas multas, así como a operaciones empresariales que no pueden proteger los datos ni funcionar con agilidad cuando se produce un incidente.

Además de estos problemas, los actividades que realizan las organizaciones para ajustarse a las normativas de cumplimiento deben adaptarse a la nueva normalidad de entornos de trabajo híbridos, volúmenes de datos que crecen exponencialmente, pilas de tecnología que no paran de crecer, limitaciones de recursos y presupuestarias que, a menudo, hacen que los equipos de riesgo y cumplimiento estén sobrecargados y que no cuenten con el personal suficiente.

Escasez de habilidades y recursos

Contar con personal capacitado con amplia experiencia en seguridad y cumplimiento de datos continúa siendo una tarea difícil. La escasez de recursos y habilidades dificulta la preparación para el cumplimiento cuando las organizaciones se encuentran con que tienen que abordar las complejidades operativas que supone atraer candidatos para cubrir puestos vacantes.

Crecimiento exponencial de los volúmenes de datos

El auge de las empresas digitales genera cada vez más datos que deben incluirse en las actividades de cumplimiento de los datos de una organización. Según Statista, el volumen de datos empresariales creció para pasar de aproximadamente 1 petabyte (PB) a 2,02 petabytes entre 2020 y 2022.1 A ese ritmo, puede convertirse en un desafío abrumador para los equipos de cumplimiento de datos no quedarse rezagados.

Trabajo híbrido y ampliación de la superficie de ataque

A medida que las organizaciones se enfrentan a una superficie de ataque cada vez más grande debido a la adopción de la nube y a que los empleados migran a modelos de trabajo en remoto, es cada vez más difícil inventariar qué datos y dónde residen todos los datos de la organización para incorporarlos al proceso de cumplimiento de los datos.

Avances tecnológicos

Los avances en las tecnologías que facilitan el trabajo a las empresas han creado un entorno digital en constante cambio que los equipos de cumplimiento y seguridad deben gestionar y proteger. Las empresas han adoptado plataformas de colaboración por vídeo, se han unido a la revolución de las redes sociales, se han sumado a programas de "todo como servicio" y han equipado a sus empleados con teléfonos inteligentes, por nombrar sólo algunas de las infinitas innovaciones que las organizaciones deben incluir en su programa de cumplimiento de los datos.