En el quinto aniversario del RGPD, la seguridad de datos impulsada por IA ofrece un camino hacia el cumplimiento

¿Existe alguna ley de privacidad que haya creado más conciencia sobre la protección de datos que el GDPR? El Reglamento General de Protección de Datos se aplica a todos los estados miembros de la Unión Europea (UE). Su objetivo es establecer un alto estándar de protección de datos y proporcionar un conjunto único de normas de protección de datos para toda la UE.

Los 99 artículos del RGPD establecen varios derechos fundamentales de protección de datos, entre ellos:

• derecho a ser informado
• derecho de acceso
• derecho de rectificación
• derecho de supresión/derecho al olvido
• derecho a restringir el procesamiento
• derecho a la portabilidad de datos
• derecho a oponerse
• derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles
  

El RGPD no introdujo reglas fundamentalmente nuevas. Modernizó los principios de la Directiva de Protección de Datos de la UE de 1995. Durante los últimos 5 años, las amenazas de una aplicación estricta han acaparado titulares. Las empresas que infringen el RGPD se arriesgan a multas de hasta 20 millones de euros o el 4% de su facturación anual global. La Comisión de Protección de Datos de Irlanda (DPC) impuso a Meta la mayor multa por RGPD hasta la fecha. La transferencia ilegal de datos personales a Estados Unidos resultó en una multa de €1.2 mil millones (£1 mil millones).

Hemos visto un número creciente de acciones de cumplimiento. Esto no es sorprendente. Cumplir con aspectos clave del reglamento sigue siendo una pesadilla operativa. Las empresas luchan por mantener el cumplimiento mientras habilitan la innovación. El mayor obstáculo es el Capítulo 5, que regula la transferencia de datos personales de la UE fuera de la UE.

¿Por qué es tan complicado este aspecto del RGPD para las empresas estadounidenses? Gestionar transferencias de datos no es algo nuevo. Pero es casi imposible que el país receptor, EE. UU., garantice derechos de privacidad adecuados a los ciudadanos de la UE. Además, EE. UU. tiene una ley poco conocida llamada Ley de Vigilancia de Inteligencia Extranjera de 1978 (FISA). Esa ley permite al gobierno realizar vigilancia dirigida sobre ciudadanos no estadounidenses ubicados fuera de EE. UU. Las “solicitudes FISA” pueden obligar a las empresas estadounidenses a proporcionar información sobre sus usuarios. Esto ha llevado a que los tribunales de la UE determinen que el gobierno de EE. UU. no brinda protecciones de privacidad adecuadas a los ciudadanos de la UE.

El Privacy Shield o las cláusulas contractuales estándar ("SCCs") se usaron para simplificar las solicitudes de datos. Estos contratos intentaban garantizar un alto nivel de protección de los datos personales, pero carecían de detalles sobre controles técnicos. Así que no sorprende que el gobierno obligue a las empresas a divulgar datos personales.

Hoy, las empresas estadounidenses están en un punto de inflexión. Las autoridades de protección de datos de la UE han reafirmado que las transferencias de datos a Estados Unidos representan un riesgo para la privacidad de los ciudadanos de la UE. Las SCC por sí solas no bastan para garantizar la protección de la privacidad. Los reguladores han prometido a las empresas estadounidenses un nuevo Marco de Privacidad de Datos UE-EE. UU. Esto debería facilitar las transferencias legales de datos entre ambos países. Pero aún no está claro si este marco será aceptado. Tampoco está claro qué protecciones operativas de privacidad podrían seguir siendo responsabilidad de la empresa.

Esto plantea una pregunta. ¿Cómo puede una empresa estadounidense implementar los controles adecuados para reducir el riesgo de transferencias de datos personales entre la UE y Estados Unidos?

Cyera ofrece visibilidad y control sobre dónde y cómo las empresas administran los datos

Cyera descubre, clasifica y protege automáticamente los datos en todo tu panorama de datos multicloud.

Esto va mucho más allá del descubrimiento y la clasificación básicos. Los modelos de lenguaje grandes (LLM) identifican y diferencian entre información personal y no personal. También resaltan cuando una o más clases son identificables. La extracción de temas también nos permite determinar de dónde se origina la información de ubicación. Esto les permite a los clientes comprender qué datos están dentro del alcance del RGPD. También muestra cómo se está gestionando, quién puede acceder a ellos y las violaciones de políticas de seguridad y cumplimiento que existen. Eso facilita la remediación: para los datos en reposo y mientras se manipulan en tiempo real.

El Motor de Políticas detecta y valida el cifrado, el enmascaramiento, la zonificación de datos, el acceso y más. Por ejemplo, las reglas de zonificación garantizan que los datos de ciudadanos de la UE permanezcan en almacenes de datos o regiones aprobados. Data Security Posture Management (DSPM) destaca dónde los datos en reposo violan los mandatos del RGPD. Data Detection and Response (DDR) señala cuando los datos se desvían en tiempo real.

Docenas de políticas listas para usar detectan y corrigen exposiciones de datos de ciudadanos de la UE. Estas permiten a los clientes medir y certificar fácilmente los controles de seguridad y privacidad. Y eso garantiza que puedas demostrar a los reguladores que te tomas en serio la privacidad de los ciudadanos de la UE.

Si has estado buscando una solución de seguridad diseñada y creada para las complejidades que han introducido las arquitecturas modernas, no busques más. Regístrate para obtener una Evaluación de Riesgo de Datos gratuita y comencemos a construir la base para una protección de datos integral. Estamos ayudando a decenas de empresas a resolver exposiciones de GDPR que afectan a millones de registros. En este, el quinto aniversario de la aplicación del GDPR, estamos listos para ayudarte a ti también.