Revisión de su programa de cumplimiento de GDPR

Muchas empresas dedicaron una cantidad considerable de tiempo y recursos hasta mayo de 2018 en adaptar sus sistemas y procesos para cumplir con el RGPD. Cuatro años después, ¿eran necesarios todos estos cambios? ¿Dónde deberían haber ido más lejos los controladores desde el principio? ¿Y qué debería cambiar dada la abundante orientación y aplicación posterior a 2018 de las DPA? Este panel examinará cómo los profesionales de la protección de datos se están adaptando a los cambiantes requisitos de cumplimiento del RGPD.

Transcripción: 

Robert Bateman:

Hola y bienvenidos a PrivSec Focus, GDPR Four Years On. Soy su anfitrión, Robert Bateman, jefe de contenido aquí en GRC World Forums. Ahora, es un placer absoluto presentarles esta experiencia de transmisión en vivo hoy. Hemos reunido a líderes de opinión y profesionales de la industria con un gran conocimiento sobre la regulación general de protección de datos. Ahora, el RGPD pasó, en 2016 por supuesto, y entró en vigor hace cuatro años hoy. Y desde entonces, las actitudes hacia la protección de datos y la privacidad se han transformado tanto dentro de las organizaciones como en la sociedad en general. Pero aún quedan muchos desafíos e incertidumbres.

En nombre de PrivSec y GRC World Forums, me gustaría agradecer hoy a nuestro patrocinador principal, OneTrust. Para obtener más información sobre OneTrust, solo diríjase a la barra de menú a su izquierda y puede visitar su página para obtener contenido exclusivo. Puede acceder a todas las sesiones de hoy visitando el menú de la izquierda y viendo la agenda. También es posible ver discusiones en vivo a pedido después del evento, una vez que se haya registrado para las sesiones elegidas.

Ahora, antes de comenzar con nuestra primera sesión de hoy, me gustaría informarles sobre algunos de los otros eventos que tenemos aquí en los Foros Mundiales de GRC. Hoy, para conmemorar el cuarto aniversario de la entrada en vigor del RGPD, anunciamos los Premios de Privacidad PICCASO. Este evento reconocerá a las personas que realizan una contribución destacada a este sector dinámico y de rápido crecimiento, desde los profesionales que se aseguran de que sus empresas cumplan con las demandas legales muy complejas hasta los académicos e ingenieros que impulsan el liderazgo de pensamiento de privacidad y las protecciones de privacidad innovadoras. Estamos desarrollando este programa de premios en asociación con Privacy Culture Limited y PICCASO, que es una organización sin fines de lucro que tiene como objetivo ayudar a la industria de la privacidad a crecer en madurez y capacidad. Las nominaciones para los premios cierran el 26 de agosto de este año. Y la ceremonia se llevará a cabo en Londres el 8 de diciembre. Mira esto. Es un proyecto muy emocionante. Visite piccasoprivacyawards.com. Picasso, en este caso se escribe PICCASO.

Ahora, en menos de dos semanas, los días 7 y 8 de junio, celebraremos el primer evento de nuestra serie Digital Trust Europe. El Foro Mundial PrivSec será una de varias etapas en el evento. Eso es del 7 al 8 de junio en Londres, y luego también se confirman más fechas en Dublín y Amsterdam. Nuestro evento virtual trimestral de dos días, PrivSec Global, también se realizará los días 29 y 30 de junio. Y en noviembre, los días 16 y 17, realizaremos uno de nuestros eventos más importantes del año, una exposición presencial de dos días llamada Hashtag Risk en el ExCel de Londres. Para obtener más información sobre todos estos eventos, simplemente visite nuestro sitio web, grcworldforums.com. Tenemos muchas cosas que hacer este año.

Así que ahora, pasemos a nuestro primer panel del día, revisando su programa de cumplimiento de GDPR. Y el anfitrión de esta sesión es Stewart Room, quien es socio y jefe global de protección de datos y ciberseguridad en DWF Law en sustitución de usted, Stewart.

Stewart Room:

Muchas gracias, Roberto. Y es genial verte. Fantásticas introducciones de nuevo. Tenemos mucho por venir en la agenda. Por lo tanto, manténgase en contacto con los foros mundiales de GRC, montones y montones de cosas buenas en las que participar. Cuatro años después, 1460 días, 35 040 horas viviendo el sueño de la protección de datos. Entonces, en ese período de tiempo, las cosas habrán cambiado. Las herramientas que usamos con nuestros programas, las prioridades en las que nos enfocamos, los impulsores y el impulso de lo que estamos haciendo habrán cambiado sustancialmente. Bolas curvas que vienen de la izquierda, de la derecha, y no solo lo que está haciendo el Sr. Schrems. Entonces, sin más preámbulos, traeré a nuestros panelistas. Lamentablemente, hoy tenemos una persona menos debido a una enfermedad. Pero tenemos dos grandes panelistas con nosotros. Entonces, ¿podemos traer a Enrique Angulo de Yorkshire Building Society y Bradley Tosso de la Autoridad Reguladora de Gibraltar? Hola, caps.

Enrique Angulo:

Hola stewart. Hola.

Bradley Tosso:

Buenas tardes.

Stewart Room:

Genial verlos a ambos.

Bradley Tosso:

[inaudible 00:06:06].

Stewart Room:

Hagamos algunas introducciones rápidas. Entonces, Enrique, ¿puedes contarles a todos un poco sobre ti, lo que haces, cuál es tu experiencia y, por supuesto, tu interés en todos los mundos relacionados con los programas de cumplimiento de protección de datos?

Enrique Angulo:

Absolutamente. Mi experiencia es en gestión de programas y proyectos. He estado haciendo eso durante más de 20 años y brindando transformaciones en TI, negocios y digital. Alrededor de 2016, estaba ejecutando un programa de seguridad para [inaudible 00:06:41]. Y vinieron y dijeron: “Correcto, Enrique, entregaste este programa. Viene algo llamado GDPR. Es un programa de cumplimiento. ¿Te importaría echarle un vistazo y entregarlo?”. Y esa es la primera vez que escucho sobre eso. Y luego, cuando entré en ese programa, comencé a sumergirme en toda la privacidad de datos y todo este PIB. Vi que no era solo una simple lista de verificación compatible. Era mucho más grande que eso. Me volví muy, muy apasionado al respecto. Entonces, dije: “Bueno, no solo voy a ofrecer esto, realmente me convertiré en una PYME. Y realmente me voy a meter bajo la piel de esta regulación”. Entonces, desde entonces, he entregado programas para varios clientes en varias industrias. Así que sí, mi última es en Yorkshire Building Society, que es una institución de servicios financieros.

Stewart Room:

Fantástico, Enrique. Qué increíble experiencia de historial. Creo que es realmente interesante que tenga esta experiencia transformadora previa y haya llegado a la protección de datos con ese conjunto de habilidades. Obviamente, va al rendimiento programático. Asi que. Va a ser muy interesante lo que tienes que decir, Bradley, ¿cómo estás? Ha pasado un tiempo mi amigo.

Bradley Tosso:

Hola buenas tardes. Es un placer estar de vuelta en el programa contigo. En términos de quién soy, bueno, soy el director de derechos y operaciones de información en la Autoridad Reguladora de Gibraltar, que es, en efecto, la Oficina de Comisionados de Información en Gibraltar. Dirijo el equipo de protección de datos. Y aunque somos una autoridad pequeña, estamos a la vanguardia, digamos, de los desarrollos de protección de datos. Adoptamos el RGPD de acuerdo con la legislación de la UE. Hemos mantenido el RGPD posterior al Brexit. Y nuestra autoridad participa en muchos esfuerzos internacionales para garantizar que podamos participar en la discusión global y una colaboración global para mejorar obviamente los estándares y la práctica de protección de datos.

En cuanto a mi formación, tengo 15 años de experiencia en cumplimiento, que combina el sector público y el privado. Y en ese sentido, también he trabajado en diferentes campos regulatorios en los que comencé en los juegos de azar en línea y trabajé, nuevamente, en diferentes jurisdicciones, tanto en Gibraltar con una entrada en el régimen del Reino Unido, o descuidos sobre el régimen del Reino Unido, y luego comencé trabajando en el sector privado para una importante obra en el campo de los juegos de azar en línea, donde trabajé y tuve responsabilidad sobre las regulaciones en España. Además, en términos de mi conjunto de habilidades, tengo experiencia legal, pero también experiencia en términos de negocios e informática. Entonces, es una variedad de, digamos, credenciales académicas, al menos, las que me han llevado por el camino de la protección de datos.

Stewart Room:

Oh, fantástico, Bradley. Bueno, se siente como si tuvieras todas las bases cubiertas. Entonces, vamos a estar en un verdadero placer aquí. Y nos basamos en mucha experiencia más allá de la normativa, sino también en su experiencia comercial y en la práctica y en los aspectos legales también. Entonces, gracias de nuevo, caballeros. Entonces, comencemos. Si retrocedemos unos años, entonces piensa en el… Quiero decir, Enrique, si estabas en la zona en este momento, pero el RGPD se propuso en 2012, y sabemos que se adoptó en 2016. En ese período de cuatro años, la protección de datos, no fue algo masivo. Y donde sí operó, fue principalmente en torno a procesos de asesoría legal y la capa de papel de protección de datos, contratos y pólizas, y mapas de datos en el reverso del sobre. No había mucho más que eso.

Y luego, entramos en los años de preparación del RGPD, 2016 a 2018. Y las empresas y otras organizaciones tuvieron que poner en marcha programas de transformación. Y de nuevo, cuando estaba consultando en esa área y mirando hacia adentro, muchas organizaciones no eran tan sofisticadas en términos de las herramientas que se requerían, las metodologías que se necesitaban y realmente la comprensión real que necesitaríamos para entregar transformación del negocio hasta la tecnología y los datos mismos. Entonces, el primer punto aquí es cuatro años después, y cuando observamos los programas GDPR, ¿cuál es realmente el sentido del juego sobre las herramientas que necesitamos, las metodologías y cómo pueden haber cambiado las cosas, o de hecho el pensamiento que la gente tiene alrededor de estas cosas?

Enrique Angulo:

Sí. Puedo tomar esto cuando quieras, Stewart.

Stewart Room:

Sí, por favor, Enrique.

Enrique Angulo:

Bueno, como mencionaste, Stewart, creo que cuando las organizaciones comenzaron a prepararse para 2018, no había mucha sofisticación. Y muchos de los enfoques, bueno, ¿cómo lidiamos con el cumplimiento previo? Y como usted dice, es probable que complete un formulario, obtenga una lista de verificación, guarde esos documentos en algún lugar y eso es todo. Y más o menos, quiero decir, creo que las herramientas en ese momento no eran muy sofisticadas, eran casi como hojas de cálculo sofisticadas o documentos sofisticados, pero en realidad no había nada inteligente. Creo que, con Sign, las organizaciones se han dado cuenta de que no se trata solo de una lista de verificación o solo del almacenamiento de documentación, sino de un programa de cambio completo y un entregable de cambio. Y, por lo tanto, los requisitos son mucho más grandes, y las herramientas ahora se han desarrollado significativamente y pueden apoyar realmente ese puente entre el cumplimiento, las funciones legales y el negocio para comenzar a comportarse de esa manera.

Y creo que ahora, cuatro años después, realmente no hay justificación para que una organización, una organización mediana o grande, no invierta realmente en una herramienta, ya sea OneTrust, TruSTART o cualquiera de las otras. Por la ventaja que esas herramientas realmente aportan a la organización, es realmente una obviedad. Y ahora están muy bien desarrollados y, de hecho, como veremos más adelante, van a otras áreas que están agregando más valor.

Stewart Room:

Fantástico, Enrique, gran resumen. Así que Bradley, voy a hablarte de esto para ampliar un poco más. Además, estamos viendo la naturaleza cambiante de los conjuntos de herramientas que requerimos, y podemos verlo de muchas maneras diferentes, desde la metodología tres hasta las plataformas GRC reales, como las que Enrique mencionó hacia el final. Todo el espectro de herramientas y lo que se necesita, y nuestro pensamiento al respecto, ¿dónde están los reguladores en esto ahora? ¿Esperan más sofisticación? ¿Dónde lo conducen?

Bradley Tosso:

Derecha. Creo que empiezo con un punto que hizo Enrique, que obviamente ahora no hay excusa, digamos, para que no tengas medidas, obviamente, de acuerdo con tu organización, los riesgos relevantes, etc. En ese sentido, puede haber un poco menos de flexibilidad, por así decirlo. Ahora, en términos de dónde estábamos hace cuatro años, dónde estamos ahora, solo para resaltar cómo han cambiado las cosas. Hace cuatro años, la protección de datos, especialmente en el contexto de las notificaciones de incumplimiento de DPO, DPAA, etc., era nueva para muchos. Ahora, esas medidas están integradas en esas organizaciones. Tenemos que reconocer que ha habido un cambio muy significativo en términos de práctica.

Dicho esto, los riesgos evolucionan, y eso es parte integral de la protección de datos y la flexibilidad, ¿verdad? Ahora estamos considerando o utilizando diferentes tecnologías. Y por lo tanto, aunque las cosas hayan mejorado, no significa que los riesgos sigan siendo los mismos. Por ejemplo, ahora estamos considerando, o muchas organizaciones están usando, o tal vez buscando usar IA. ¿El uso, el uso potencial o el aumento del uso potencial de la biometría, el reconocimiento facial, los escáneres de huellas dactilares, etc.? Hay una gran disponibilidad en cuanto al uso de la nube, e-learning de VTCs, etc. Entonces, cada vez más, la situación es que hay más y más productos tecnológicos en los servicios, que dependen en gran medida del procesamiento de datos. Por lo tanto, no es necesariamente que las herramientas deban cambiar, pero las herramientas seguirán evolucionando cada vez más. Y digamos, perdón, evolucionar y volvernos más sofisticados.

Y en este sentido, quiero decir, estoy hablando de los DPAA, el recurso del DPO. Quizás hoy, debido a los riesgos de protección de datos, solo necesite un equipo, un DPO con un equipo de una o dos personas. A medida que la tecnología evoluciona y su uso de la tecnología crece con ella, es posible que su recurso de DPO también deba desarrollarse. En ese sentido, creo que la rendición de cuentas es clave en términos de notificaciones puente, DPAA, el recurso DPO, etc. Entonces, eso ya no es nuevo, está incrustado.

Pero en términos de cómo están cambiando las cosas, lo que está cambiando es el paisaje que nos rodea. Y tenemos que seguir cambiando y evolucionando de acuerdo con esos desarrollos y riesgos en relación con el apetito, digamos, o la visión de los reguladores. La perspectiva, como Enrique mencionó anteriormente, hace cuatro años, puede haber habido, digamos, un poco más de comprensión en términos de transición. Eso ya no se aplica.

También agregaría que eso es lo que verá, o lo que probablemente esté viendo es una mayor colaboración en todo el mundo en términos de los reguladores de protección de datos que cooperan para abordar los problemas globales. Y no solo ve esto solo en el contexto de la EDPB, también lo ha visto en el contexto reciente de la ICO y la DPA australiana trabajando juntas en relación con Clearview. Entonces, creo que el punto clave que también se debe agregar es que los reguladores están colaborando cada vez más a nivel internacional, y es probable que esa práctica cobre impulso en los próximos años.

Stewart Room:

Bueno, retomemos eso en un momento, Bradley, sobre de dónde vienen los impulsos y los impulsos. Pero esencialmente, en términos de las herramientas que podemos usar, su propuesta central es que estaba allí en 2018, está evolucionando. Y a medida que evolucionamos en nuestras actividades de procesamiento de datos, sea más consciente de la necesidad de herramientas que nos ayuden a superar la agenda de cumplimiento que lo rodea. Pero esencialmente, están ahí, han estado presentes. Probablemente solo necesitemos adoptarlos y usarlos mejor, quizás de manera más eficiente.

Sin embargo, pasemos al siguiente número sobre las prioridades. Creo que esto podría ser muy interesante para la gente. Nuevamente, si observamos esta era de preparación de GDPR, 2016 a 2018, quiero decir, la experiencia que tuve, y en ese momento estaba esencialmente consultando sobre esto en un entorno de cuatro grandes, es que vi dos tipos de entidades. Había entidades que estaban tomando un enfoque programático en el sentido de transformar negocios de la siguiente manera. Y luego, había entidades que esencialmente estaban adoptando un enfoque de cumplimiento legal, que es la lista de GDPR de un montón de resultados. Y simplemente nos abriríamos camino a través de ellos y trataríamos de marcar la mayor cantidad de ellos antes del final del período de resonancia de dos años. Entonces, para muchas organizaciones, las prioridades eran, por ejemplo, necesito una DPIA. Por ejemplo, necesito un mapa de datos. Por ejemplo, necesito nombrar un DPO. Y estas cosas estaban muy ancladas en los requisitos específicos de la legislación.

Si ahora observamos el RGPD en vivo, ha tenido un entorno en vivo de cuatro años, y comenzamos a comprender que todas esas cosas, como el Artículo 30 y el Artículo 25, deben agregarse al contexto y los escenarios que son importantes, ¿dónde tenemos? ahora en términos de percepciones de prioridades para estos programas GDPR? ¿Son las prioridades de mapeo de datos, o son las prioridades, por ejemplo, más temáticas? Estamos preocupados por los niños. Estamos preocupados por el crecimiento de la IA. Nos preocupan las bolas curvas que vienen del TJUE. ¿Qué hay de las prioridades, Enrique? ¿Dónde cree que estamos en términos de cambio de prioridad, si es que estamos en algún lugar?

Enrique Angulo:

Sí. Bueno, quiero decir, una de las cosas que mencionas es, sí, creo que la gente estaba preocupada, o sus prioridades marcaban esas cosas diciendo: “Bien. ¿Tenemos un [inaudible 00:21:31]? Sí. ¿Tenemos una plantilla DPIH? Sí. Está bien, genial. Cumplimos”. Y entonces, pero ¿qué va a pasar dentro de un mes? ¿Qué va a pasar dentro de un año? Y hubo muchas, muchas situaciones. Entré en muchas empresas que habían estado en la tercera iteración tratando de decir: “Está bien, ¿sabes qué? Cumplimos hace un año, pero ahora todo parece desmoronarse. ¿Qué está pasando?” En realidad nunca han implementado el cambio. En realidad, nunca han introducido esos procesos de privacidad en los procesos BAU.

Por lo tanto, las prioridades cambian repentinamente y dicen: “Oh, está bien, está bien. Entonces, en realidad no podemos cumplir con las normas solo con tener un DPO y una función de protección de datos. No, ahora necesitamos trabajar con la empresa y la empresa debe funcionar”. con nosotros. Y debemos asegurarnos de que nos proporcionen la información, que cuando realmente solicitamos algo, saben qué hacer, saben a dónde ir”. Por lo tanto, es más un impulso del negocio en lugar de tener un grupo de funciones central. Entonces, a eso me refiero con una cultura de privacidad, incorporar una cultura de privacidad. Entonces, ahí es donde creo que ha ido el cambio.

Además, aunque los temas que mencionas sobre la IA y la codificación infantil y todo eso, probablemente eso no haya cambiado el principio subyacente de que necesitas tener esas capacidades en tu negocio. Esto ahora te está probando y diciendo, ¿por qué? Ahora debe ver cómo implementar la IA o qué hacer con la IA. Qué hacer si estás vendiendo a niños. Si es programador y desarrolla productos para niños, hay algunas pautas. Pero no está cambiando los principios. En realidad, solo está probando sus principios en nuevas áreas que se espera que evolucionen todo el tiempo.

Stewart Room:

Esencialmente, Enrique, voy a cambiar ligeramente la pregunta para ti, Bradley, pero esencialmente tu punto es que lo que realmente necesitamos ofrecer en términos de vida y respiración de la protección de datos de nuestros programas por sí solo se adaptaría al contexto. Entonces, si el contexto cambia, debemos estar listos, a través de nuestro programa, para absorber el cambio y ser ágiles. Entonces, Bradley, pensamos en ese gancho y en entrar en tu forma de pensar.

Este es mi período previo a esto sobre las prioridades y también la capacidad de los programas para ser ágiles. Tomamos solo una ventana de dos años desde principios de 2020 hasta principios de 2022. Recuerdo que a principios de 2020, en enero, tuvimos una gran cantidad de pánico en torno a AFR, reconocimiento facial automatizado y el área satelital de AI. Y luego, a partir de marzo, entramos en una situación de emergencia de salud pública, que creó dos problemas reales de protección de datos, controles de virus, rastreo de contactos, etcétera, rastreo social y WFH, trabajo desde casa. Entonces, entramos en un período de emergencia. Y ahora, parece que lo que está pasando en los últimos meses se está convirtiendo en un enfoque más legalista, ¿cómo vamos a hacer nuestras TRA? ¿Cómo vamos a implementar nuestras nuevas cláusulas móviles? Entonces ves ese cambio de enfoque, tecnología dura, emergencia pública, legalista nuevamente. ¿Qué piensa acerca de las prioridades y la capacidad de los programas para hacer frente al cambio?

Bradley Tosso:

Bueno. Creo que la forma en que las prioridades regulatorias se adaptaron, y en realidad todo el mundo, se adaptó a la pandemia, creo que es una fortaleza de todos que pudimos unirnos y enfocarnos en esto. Tiene razón al decir que los reguladores pudieron, obviamente, digamos, trabajar colectivamente a nivel mundial en este tema en el que todos contribuimos con nuestro conocimiento, experiencia y recursos colectivos a través de la plataforma Global Privacy Assembly. Y este fue un documento vivo, donde vio que diferentes reguladores contribuyen, digamos, al uso seguro de datos en el contexto de la pandemia. Entonces, de alguna manera, obviamente, una gran cantidad de recursos se dirigieron a esta área, lo que significa que otras áreas que ya se habían resaltado, digamos, se colocaron en un segundo plano hasta cierto punto, obviamente continuará trabajando en ello. . Y ese es un ejemplo, por ejemplo, cuando nos enfocamos o consideramos adtech, el ICO sí publicó un informe, un informe muy detallado, sobre el sector, pero obviamente otros eventos tuvieron prioridad.

Creo que es importante que las organizaciones estén siempre alertas a las prioridades de los reguladores. En este sentido, obviamente hemos visto, de nuevo, echemos un vistazo al contexto de la UE, hemos visto una opinión u orientación publicada en relación con el reconocimiento facial. Eso siempre ha estado ahí. Obviamente, otros eventos pueden haber tomado el relevo, pero eso siempre ha estado ahí. Y ahora, lo vemos volver a ocupar un lugar central, por así decirlo. Entonces, la discusión sobre eso. También hay discusión sobre transferencias internacionales de datos, obviamente en relación con eventos recientes. Por lo tanto, las organizaciones deben estar alertas a esos temas. Y si está utilizando el reconocimiento facial, si está transfiriendo datos internacionalmente, entonces debe responder en consecuencia.

Ahora, la medida subyacente que es esencial para esto es el DPO. Por lo que estamos viendo, como dije, hace cuatro años, muchas organizaciones no necesariamente tenían un DPO. Ahora lo hacen. No me gustaría pensar que hemos terminado con eso. El recurso del DPO y la posición del DPO en esa organización deben seguir reforzándose. Entonces, en términos de prioridades, realmente creo que el DPO juega un papel fundamental y es, digamos, una piedra angular de este régimen que debe seguir siendo una prioridad. Porque, a través del DPO, o a través del DPO, muchas organizaciones podrán navegar por las complejidades que se avecinan.

Stewart Room:

Sí, lo tengo, Bradley. Nuevamente, es un punto similar, ¿no es así?, para Enrique, que es que debemos ser conscientes de la situación. Necesitamos ser comprensivos, cambiando el contexto todo el tiempo. Pero Enrique sacó la idea del campeón. Trajiste la idea del DPO, que tienes estos jugadores ancla aquí en el programa, y en el contexto de un programa que está marcando todas las bases, nos moverá a través de procesos, agilidad en el contexto que debemos abordar. de vez en cuando. Y cambian en cuanto a los temas.

Enrique Angulo:

Y Stewart, lo sé, solo recuerda que el GDPI es más o menos un riesgo, hay un enfoque basado en el riesgo. Por lo tanto, depende en qué organización trabaje y qué hagan. Entonces, obviamente, si usted es una agencia de marketing en línea, su tecnología publicitaria, que cumple con la tecnología publicitaria es absolutamente imprescindible, ya sea que esté en un trabajo de seguridad, se trata del reconocimiento facial, todo eso. Por lo tanto, obviamente comprenderá qué tan expuesto está a algún riesgo y debe enfocar su recurso, cuál es su mayor riesgo.

Stewart Room:

Sí. Estoy completamente de acuerdo. Estoy completamente de acuerdo. Ahora, tomemos un ángulo diferente. Estamos recibiendo algunas preguntas realmente buenas. Queremos dedicar un poco de tiempo a eso. Pero antes de entrar en eso, quiero ver otros controladores para programas. No sería justo decir que, el 25 de mayo de 2018, el único programa en la ciudad que era relevante para el manejo de datos personales era el RGPD. Pero era la única conversación que teníamos. Cuatro años después, hay signos de interrogación sobre su eficacia. Y Bradley, sin ningún tipo de peyorativo, hay dudas sobre la efectividad de los reguladores dentro de ese sistema.

Pero también vemos ahora otros dueños de la protección de datos, o la materia que parece estar casi exclusivamente dentro del RGPD y la zona reguladora. Entonces, la agenda ESG es… No estábamos hablando de ESG en 2018, y ahora es tan grande. Y eso ciertamente parecía abarcar al menos los aspectos de derechos humanos de la protección de datos. O el lado de la competencia donde hemos visto, en el Reino Unido, por ejemplo, la Autoridad de Mercados y Competencias esencialmente dueña del proceso de desarrollo del enfoque regulatorio, el escrutinio en torno a la zona de pruebas de privacidad de Google. Tenemos esas cosas diferentes que son dueñas de la agenda. Y luego, Bradley, la idea de que los activistas de la privacidad, como NOYB, NOYB, Max Schrems, tengan un efecto regulatorio masivo. ¿Qué pensamos sobre estas ideas de que existen otros impulsores para nuestros programas, que no son simplemente lo que dice el RGPD? ¿Y cómo los adaptamos y los tomamos en cuenta dentro de la mejora continua de nuestros programas? Enrique, ¿alguna idea sobre esto? Y puede que no haga una diferencia, en realidad. La respuesta podría ser que el RGPD lo tiene todo cubierto nuevamente, solo tenemos que ser flexibles.

Enrique Angulo:

Puede ser. Creo que GDPR en realidad ha afectado a muchos de los otros reguladores. Por lo tanto, es justo que otras regulaciones o el cumplimiento estén tocando e influyendo en la conversación de GDPR, lo cual es genial. Creo que esto es absolutamente fantástico. Y creo que, para mí, una de las cosas que cambió a los impulsores es tratar de… Mi enfoque es tratar de usar la protección de datos, pasarla de una propuesta defensiva a una ofensiva o de valor agregado para la organización.

¿Qué quiero decir con eso? Si realmente ha establecido un programa sólido y tiene su estructura, su gente, su gobierno allí, entonces realmente está comenzando a maximizar el uso de los datos. Entonces, puede comenzar a ampliar eso, porque sabe qué datos está usando, sabe dónde los tiene, sabe dónde están las funciones de seguridad. Ahora puede comenzar a explorar, en realidad, y expandirse en el aspecto más amplio de gestión de datos y gobierno de datos, y realmente aportar más valor a la organización. Muchos de esos otros programas, el ESG, que mencionaste, por ejemplo, deberían estar alimentándolos. Uno de sus feeds es lo que hemos puesto en marcha en materia de protección de datos. Por lo tanto, debe asegurarse de que está… ¿De dónde obtiene sus datos? ¿Cuál es la calidad de sus datos para su ESG, el aspecto social? Bueno, quiero decir, ¿cómo se recopila realmente la información étnica o la información confidencial y cómo se maneja eso? Entonces, todas esas cosas simplemente se basan en las fortalezas de su programa GDPR.

Stewart Room:

Sí. Lo tengo. Entonces, Bradley, ¿qué piensas entonces? Quiero decir, a dónde va Enrique, es el mismo punto en el que un programa GDPR bien diseñado, flexible, pragmático y administrado adecuadamente capturará estos otros impulsores de todos modos. Pero, ¿cuál es tu opinión sobre todo esto? ¿Crees que eso es correcto? ¿O podría ser que algunos de estos nuevos controladores van a alterar fundamentalmente la forma en que vamos a manejar nuestros programas? Y aquí hay una pregunta que ha llegado, Bradley, tal vez podría contestarla, de uno de los espectadores aquí. ¿Debe ser nuestra prioridad también la revisión del uso ético de los datos? Eso es parte de la agenda ESG aquí. Entonces, ¿la ética es parte del RGPD? Y si no, ¿es algo que debe tenerse en cuenta? Entonces, paso a ti. Gran pregunta.

Bradley Tosso:

Bueno. Sí. Intentaré responderla lo mejor que pueda. Derecha. Bueno. Si damos un paso atrás, hace cuatro años, obviamente la discusión se centró o se centró en GDPR o una gran parte de esa discusión. Ahora, cuando estaba ocurriendo esa discusión, muchos de los titulares, por así decirlo, se centraron en las multas. Creo que todos podemos estar de acuerdo en eso. Ahora, las multas en ese momento, obviamente, por la razón que sea, supongo que es la forma más fácil de explicar el cambio de una manera tangible, ¿no? Las multas están ahí para disuadir el cumplimiento. Y obviamente fue un impulsor clave para resaltar el cambio que se avecinaba. Las multas se mantendrán. Y en ese contexto, creo que es importante señalar que en el pasado, o en los últimos meses y el año pasado, ha habido un aumento significativo en la aceleración en términos de cumplimiento.

Stewart Room:

Estoy de acuerdo.

Bradley Tosso:

Sin embargo, creo que en los últimos años, las expectativas de los consumidores han cambiado a través de la concienciación, por ejemplo, lo que también ha llevado, digamos, a un mayor empoderamiento de las personas. Porque sus expectativas han cambiado, están exigiendo más a las organizaciones, ¿no?

Stewart Room:

Derecha.

Bradley Tosso:

Y esto, creo, por lo que vemos, ha sido ilustrado por un aumento en el número de quejas. Y otras DPA también dirán lo mismo. Entonces, pasamos de una situación a, lo siento, a un escenario en el que creo que el consumidor valora y reconoce la privacidad y la protección de datos y, por lo tanto, esperan más de las organizaciones. Y así, la confianza y la reputación se están convirtiendo cada vez más en un factor clave como resultado. Porque hay un cambio de actitud y comportamiento de los individuos. Y por lo tanto, esto, creo, se convertirá cada vez más en un factor clave junto con las multas. Las multas, no creo, desaparecerán. Ese es un factor clave. Pero creo que el elemento de confianza y reputación será cada vez más importante a medida que avancemos.

Ahora, en términos de cómo la protección de datos es, digamos, superpuesta, o digamos involucrada con otras áreas de la ley. Nuevamente, si consideramos el contexto, esto realmente tiene sentido. Porque, mientras que hace 10 o 15 años, algunas empresas, algunos sectores, no dependían en gran medida de los datos y procesaban muy pocos datos. Ahora, procesan grandes cantidades de datos, debido a la forma en que la tecnología ha evolucionado y las oportunidades que ha traído consigo. Entonces, por lo tanto, los datos, mientras que antes no formaban parte de la conversación, o estaban, digamos, detrás del escenario, ahora son el centro del escenario. Y los datos se han convertido en una parte importante de la conversación. Y es por ello que los reguladores de protección de datos y protección de datos colaboran cada vez más, incorporándose con otros reguladores sectoriales, por la importancia de los datos.

¿Significa esto que el enfoque cambiará? No creo que necesariamente cambie. Pero solo destaca cómo ha cambiado el contexto, donde la posición de los datos antes estaba detrás del escenario, ahora es el centro del escenario. Y ahora, con cualquier nueva ley emergente, la protección de datos se convierte en parte de esa conversación. Y solo para reflejar cómo, o simplemente para ilustrar cómo ha cambiado eso, es que cada vez más se ven memorandos de entendimiento entre el regulador de protección de datos y los demás reguladores sectoriales. Hemos hecho lo mismo a nivel local, donde estamos en conversaciones continuas con el regulador de servicios financieros, pero también tenemos un MOU con el Comisionado de Juegos de Azar. Entonces, creo que se convertirá cada vez más en el caso y la norma, por así decirlo, debido a cómo ha cambiado el contexto.

Stewart Room:

Quizás nosotros-

Bradley Tosso:

Lo último-

Stewart Room:

Adelante, Bradley.

Bradley Tosso:

… en términos de la agenda ESG, creo que complementa la protección de datos y la privacidad, porque el enfoque está en la sostenibilidad y la gobernanza. Y la gobernanza y la protección de datos es muy importante. Y en términos de cómo entra en juego la ética, creo que hay una buena superposición con la justicia, con el principio de justicia. Así que vuelvo a pensar que hay superposición y hay un elemento de diferentes regímenes que se complementan entre sí.

Stewart Room:

Sí. Bradley, quiero decir, solo toma algunos de estos puntos al revés, todos menos los dos principales. Quiero decir, siempre hemos tenido este desafío, la diferencia entre la ley y la ética. Pero el Régimen de Protección de Datos es un régimen que refleja los derechos y libertades fundamentales, que refleja esencialmente nuestros puntos de vista éticos. Y luego, se codifica en la regulación. Es una fusión clásica de ética y derecho en una sola página, por así decirlo. Bueno, obviamente son muchas más de una página.

En su otro punto sustantivo aquí, quiero decir, es la centralidad, ¿no es así?, de lo que estamos hablando, que el RGPD es esencialmente una ley que representa la condición humana, la experiencia humana. Se trata de nosotros. Se trata de seres humanos. Estamos fascinados intencionalmente con todas las demás áreas de la ley porque los humanos regulan a los humanos. Por lo tanto, no sorprende que, en un entorno digital moderno, la agenda ESG pueda poseer la protección de datos, por así decirlo, el uso de datos personales en un contexto tecnológico, de la misma manera que GDPR. Creo que lo has clavado absolutamente. Es esta centralidad de centrarse esencialmente en el ser humano, lo que lo pone en cada contenedor que puedas encontrar. Y obviamente vemos eso en la ley laboral todo el tiempo. Los DSAR se convierten en un foco de disputas laborales, todo está ahí.

Permítanme recoger algunas preguntas de los espectadores. Tenemos algunas buenas preguntas aquí, algunas realmente prácticas, y estamos en los últimos 10 minutos. Enrique, con respecto a las operaciones del día a día, ¿de acuerdo?

Enrique Angulo:

Derecha.

Stewart Room:

¿Alguna idea sobre la integración de los requisitos de protección de datos en múltiples sistemas? Lo que creo que el espectador está preguntando es, ¿cómo obtenemos los principios de protección de datos del documento GDPR y literalmente dentro de estos múltiples sistemas que nos rodean, y hacemos que eso funcione en el día a día? Asi que. ¿Cómo lo metemos en la lata?

Enrique Angulo:

Sí. Está bien. Permítanme comenzar diciendo que muchas organizaciones se emocionan mucho desde el principio y dicen: “Muy bien, lo que vamos a hacer es lanzar muchas soluciones tecnológicas aquí y queremos integrar todo”. , y queremos…” Y, por lo general, esos programas son tan grandes que en realidad nunca llegan a buen término. Tardan demasiado. Entonces, lo que realmente necesita para comenzar a mirar es, ¿cuáles son los procesos que ya están en sus negocios que puede aprovechar? Y esa es la mejor manera en que puede comenzar a integrar sus procesos de protección de datos en el BAU. Una vez que comienzas a usar lo que ya está allí, construyes sobre eso.

A medida que madura como organización, puede comenzar a optimizar eso mediante la integración, tal vez utilizando el descubrimiento de datos automatizado y todo eso. Pero lo que digo es que no se concentren en el todo, agreguemos juguetes y artilugios completamente nuevos a esto, porque nos hará cumplir. Eso no suele funcionar. Comience con lo que tiene, construya a partir de ahí. Y verás que, una vez que comiences, es mejor usar uno existente y luego hacer un proceso. Y luego, eso provoca un desencadenante de protección de datos en lugar de tener que superponer un proceso adicional con una protección de datos en otra área. Eso generalmente crea un “Oh, claro, esta es una carga de trabajo adicional”. Pero si ya está haciendo algo, y solo tengo que hacerle una pregunta sobre protección de datos, es mucho más fácil para la empresa implementarlo en la operación diaria.

Stewart Room:

Sí. Enrique, en realidad estaba pensando que tal vez la respuesta es, para este pobre espectador, un espectador muy astuto, es más fácil decirlo que hacerlo, en realidad. Porque al final del día, cuando observa el dominio del negocio desde la capa superior de personas hasta la capa de papel, la tecnología y la capa de datos, y luego tiene la capa física, cuanto más grande se vuelve, más difícil es hacer esto, ¿no? Déjame traer a Bradley. Creo que esta es una buena pregunta para hacerle a un regulador. Porque creo que este es el problema que básicamente tienes que equilibrar todos los días. Viene de uno de los espectadores aquí. ¿Es posible el pleno cumplimiento del RGPD, el pleno cumplimiento del RGPD, es eso posible? Y los espectadores pusieron, particularmente considerando también las tendencias, que creo que pueden ser, al final del día, no podemos compensar algunos de los requisitos de EDP con la situación real en los EE. UU. en este momento. Como regulador, debe enfrentar esto todo el tiempo. Entonces, ¿cuál es tu perspectiva sobre eso?

Bradley Tosso:

Derecha. Creo que, como idea, desea apuntar al pleno cumplimiento. Pero obviamente en la práctica, eso va a ser muy, muy, muy difícil. Porque, incluso si cumple plenamente hoy, si las circunstancias a su alrededor cambian, es posible que mañana no cumpla plenamente, solo porque ha modificado la forma en que hace las cosas. El punto que Enrique tocó antes anteriormente, y en términos de herramientas, una computadora o herramienta es tan buena como la persona que la usa. Entonces, no se trata solo de comprar una computadora o una herramienta. En términos de priorizar y enfocarnos en el cumplimiento, en lo que tratamos y en lo que siempre nos enfocamos es en eso, mira, se trata de riesgo. Intente identificar, en primer lugar, las áreas de mayor riesgo de su organización, concéntrese en ellas y luego trabaje en las otras áreas.

Dos consejos simples sobre cómo hacerlo son, en primer lugar, centrarse en los datos que son más confidenciales, por ejemplo, las categorías especiales de datos, datos criminales. Trabaja en esos, y luego pasa a los demás. Eso es solo un indicador. Pero entonces, el otro indicador de entrada es trabajar en el volumen. ¿Cuál es el mayor volumen de datos, qué conjuntos de datos? Trabajamos en eso. Y luego pasas a las otras áreas. Y si adopta ese enfoque y al menos puede demostrarle a un regulador que está trabajando para lograr algo que incluso, si se identifica una infracción, sirva como un efecto mitigador. No olvidemos que la gran cantidad de casos, por así decirlo, no terminan con una multa. Obviamente, en esos casos, ahí es donde la organización demuestra que está tratando de cumplir o implementar medidas correctivas. Y creo que ese es un punto clave. Finalmente, en términos de cómo integrarlo, piense en la privacidad por defecto, por diseño, trate de involucrar al oficial de protección de datos tan pronto como sea posible cuando esté pensando en una nueva herramienta o sistema.

Stewart Room:

Fantástico Bradley. No, estoy completamente de acuerdo. Quiero decir, incluso las últimas pautas de EDP sobre las multas del ministerio apuntan a este dilema que tenemos. Y es un dilema que tenemos mucho que lograr. Pero hay cosas que potencialmente tienen un impacto mayor que otras. Y es realmente importante, ese último punto que usted destaca, que es, sí, quiero decir, cuántos problemas de protección de datos tratan los reguladores a nivel mundial en torno a los muchos… Casi innumerables. Y sin embargo, cuántos se convierten en estos reales… El regulador va a tener que usar todos los mecanismos disuasivos, discordantes y disciplinarios. Y son proporcionalmente muy, muy pocos, lo que tiende a sugerir que el sistema regulatorio se está equilibrando. Algunas personas pueden argumentar que el equilibrio no está en el camino correcto, pero ese es un punto diferente. Pero ahí hay equilibrio.

Entonces, caballeros, nos quedan dos minutos. Eso es. No puedo ir más allá de esto, porque tenemos gente increíble a continuación. Entonces, tienen como 40 segundos cada uno, cada K, todos en la audiencia aquí, cuatro años después, mirando su programa, ¿qué deberían hacer y recuperar para mantenerlo relevante y fresco?

Enrique Angulo:

Derecha. Entonces, especialmente ahora que surgen tantos reguladores internacionales, creo que necesita construir un marco sólido que será su guía para su organización, pero que ese marco también sea flexible, para que puedan adaptarse a las variaciones locales. Esa es la clave cuando se trata de organizaciones multinacionales de ahora en adelante.

Stewart Room:

Fantástico, Enrique. Lo superé. Bradley, unos segundos para usted, señor.

Bradley Tosso:

Sí, sobre la base de lo que dijo Enrique, creo que las organizaciones deben comprender que, si van a tener éxito en la economía digital, deben construir su reputación y proteger su reputación, construir esa confianza. Ese es un requisito previo, creo, para tener éxito en el futuro. De lo contrario, verá que el valor de su marca, su empresa, se ve afectado por eso. Como parte de cómo hacerlo, vuelvo a pensar, concéntrese en el DPO y asegúrese de comprometerse con el comité de protección de datos.

Stewart Room:

Fantástico Bradley. Excelentes consejos también. Entonces, caballeros, ¿puedo agradecerles mucho por su participación hoy, sus grandes ideas, su sabiduría y compartir su experiencia? Ha sido muy valioso. he aprendido mucho Estoy seguro de que todos los espectadores también. Vamos a pasar ahora el tiempo a Rob, quien podrá llevar adelante las sesiones. Rob de vuelta a usted, señor.

Robert Bateman:

Muchas gracias Estuardo. Gran trabajo. Maravilloso debate allí. Realmente un privilegio contar con los conocimientos de tales expertos, profesionales. Es fascinante cómo las diferentes actitudes de las organizaciones al comienzo del período de implementación se han traducido a medida que ha pasado el tiempo. Y una buena discusión allí sobre si el cumplimiento total es realmente posible o si es algo por lo que siempre se debe trabajar con todos los cambios que ocurren todos los días en este campo. A continuación, dentro de 10 minutos, tenemos una sesión patrocinada por OneTrust, GDPR, Four Years On. Y eso será con el principal ingeniero de soluciones de OneTrust. Bien vale la pena ver eso. Entonces, vuelva a unirse a nosotros aquí a la 1:00 p. m., hora del Reino Unido, en 10 minutos.