Se espera que en los próximos meses se produzca una auténtica contrarreloj dentro de las empresas para ajustarse a los cambios recientes en las leyes de privacidad y soberanía de datos de la Unión Europea y Rusia. Si su organización necesita actualizar su estrategia de gobierno y cumplimiento, es el momento de comenzar. El Tribunal […]
Dirigentes Digital
| 23 mar 2016
Se espera que en los próximos meses se produzca una auténtica contrarreloj dentro de las empresas para ajustarse a los cambios recientes en las leyes de privacidad y soberanía de datos de la Unión Europea y Rusia. Si su organización necesita actualizar su estrategia de gobierno y cumplimiento, es el momento de comenzar.
El Tribunal de Justicia de la Unión Europea recientemente ha declarado inválido el acuerdo de Puerto Seguro entre Europa y Estados Unidos, lo que hace que la transferencia de información personal a través de las fronteras sea un tema difícil de gestionar. Unas semanas antes, el gobierno ruso hizo cambios en su ley de protección de datos (Ley Federal No. 242-FZ). Desde el 1 de septiembre de 2015, esta ley requiere que los datos personales de los ciudadanos rusos permanezcan almacenados en Rusia. Aunque algunas de las implicaciones de estas nuevas normas aún no están claras, las organizaciones internacionales tienen que cumplir y asegurarse de que controlan qué información se transfiere a los Estados Unidos y cuál debe permanecer en cada país.
Estos cambios deberían ser una llamada de atención para empresas multinacionales o cualquier compañía que, aunque tenga a sus empleados en una única región, necesite transferir información, como nóminas o datos de beneficios, a otra región. Otras normativas adicionales podrían dificultar compartir datos entre partners, fabricantes o clientes como los que se necesitan para programas de fidelidad, contratos de gestión de servicio o gestión de la relación con el cliente. De hecho, la Autoridad Europea de Protección de Datos ya ha adelantado que la compartición de datos con terceros podría ser sometida a un intenso escrutinio para este tipo de prácticas.
Separar la información sujeta a estas regulaciones de privacidad de la que no lo está puede ser una tarea francamente complicada. Por supuesto, los documentos escritos en ruso podrían ser sencillos de clasificar como rusos, pero en una corporación multinacional probablemente habrá mucho contenido relacionado con Rusia escrito en inglés y creado por empleados de otros países. La mejor solución consiste en implementar una estrategia sólida de gobierno de la información, y para aquellos que lo hagan adecuadamente, clasificando el contenido con los metadatos correctos, será mucho más sencillo cumplir con cualquier cambio en el escenario regulatorio.
A nivel tecnológico, la capacidad de cumplir con las leyes europeas y rusas es muy similar a la que se necesita para cumplir con las leyes de datos que existen en muchos otros lugares. De hecho, muchos países ya tenían previamente regulaciones sobre la soberanía de la información a las que las multinacionales ya estaban haciendo frente. La tecnología está disponible para que las organizaciones dispongan de la plataforma de gobierno de la información adecuada con el objeto de afrontar nuevas regulaciones en otros países. Sin embargo, lo que es fundamental es que la plataforma de gobierno de la información que se elija tenga la flexibilidad y agilidad para abordar un escenario regulatorio en cambio constante. Algunos de los requisitos que cabe esperar de una plataforma de gobierno de la información adecuada incluyen:
? Funciona para cualquier tipo de contenido e información
? Puede integrarse con cualquier tipo de sistema de información que ya se tenga
? Se adapta a la forma en la que se definan las políticas de gobierno de la información
Entonces, ¿cuáles son los tres aspectos principales en los que una organización debe pensar cuando esté buscando adoptar una estrategia de gobierno de la información?
1. El panorama general: las organizaciones deben acercarse al gobierno de la información de forma holística. Tener en cuenta un único sistema, correos electrónicos o compartición de archivos, no resolverá el problema. Es necesario pensar en toda la información que entra en la empresa y todos los puntos de contacto por donde la información entra y sale.
2. Implementación cooperativa: La implementación de la estrategia necesita ser una cooperación entre las áreas de negocio y el departamento de TI. Las áreas de negocio fijan las políticas y los límites sobre lo que hay que cumplir, mientras que el departamento de TI debe ser capaz de ofrecer una estrategia de implementación acorde. Si se falla en esto, el gobierno de la información puede que cumpla con las regulaciones, pero también puede suponer un obstáculo para la productividad del negocio.
3. Construir con flexibilidad: Las leyes y regulaciones están cambiando constantemente, por lo que no se puede confiar en el hecho de que continúen tal y como están en el momento actual. Las organizaciones tienen que construir su estrategia teniendo en cuenta que puede haber cambios, lo que implica no sólo la capacidad de cambiar las políticas sino también el modelo de datos en sí mismo. Sin un modelo de datos flexible, es posible cambiar la política, pero habrá que afrontar la complicada tarea de reclasificar cantidades ingentes de datos existentes.
El crecimiento continuo de servicios basados en la nube también debe considerarse cuando se diseña el cumplimiento con las leyes de privacidad y soberanía de datos. Hoy en día elegir un proveedor cloud implica tener en cuenta más aspectos aparte de la funcionalidad, prestaciones y precio. No hay que perder de vista algunas cuestiones fundamentales subyacentes, que pueden ser obvias o no, como la soberanía de los datos. Los desafíos que plantean los cambios en las leyes de protección de datos se ven agravados por la gran adopción de software de consumo en los últimos dos años, especialmente servicios basados en cloud. Muchas empresas han adoptado este tipo de servicios que hacen casi imposible abordar las regulaciones de privacidad de datos. Es decir, si su contenido está en Google, Dropbox o Evernote, la empresa puede tener un problema con el cumplimiento.
Al elegir un proveedor cloud, los profesionales de TI y negocio tienen que asegurarse de que la empresa puede cubrir los requisitos en cuanto a soberanía de datos. Evitar esta cuestión o afrontarla por partes pone a una organización en riesgo de recibir sanciones y multas millonarias. En realidad, la mayor parte de las regulaciones no imponen de forma drástica nuevas funciones que la organización tenga que implementar, sino que simplemente requieren que exista regulación y orden en el gobierno de su información.
Si una empresa ya cuenta con algunas prácticas de gobierno de la información, lo más seguro es que se encuentre en disposición de abordar este tema y tenga la flexibilidad para hacer las adaptaciones que exigen algunos de estos cambios normativos. Es raro que se necesite un software completamente nuevo sólo porque una regulación sea muy diferente. ¿Quién tiene acceso a los datos? ¿Cuánto tiempo tienen que permanecer los datos en la organización? ¿Cómo puedes encontrarlos y quién puede auditar lo que ha ocurrido? Esto es de lo que tratan la mayor parte de las normas. Una estrategia de gobierno de la información que sea flexible y holística puede afrontar estas regulaciones sin frenar por ello el negocio.
Christian Menda, director regional de Ventas de Iberia de OpenText.
