Cómo se han preparado las Startups para GDPR

El RGPD finalmente ha llegado. El Reglamento pone en la ley lo que la Comisaria de información Elizabeth Denham llama el “el mayor cambio a la ley de protección de datos para una generación”, y las empresas de toda Europa han estado trabajando durante todo el día para prepararse.

TechWorld habló con una selección de startups líderes del Reino Unido para averiguar lo que han estado haciendo para asegurar que sus prácticas de protección de datos cumplan con el RGPD.
La protección de datos es esencial para el negocio de Bud. La compañía proporciona una plataforma plug and play que vincula los servicios financieros juntos. Los consumidores pueden utilizarlo para administrar sus finanzas en línea y bancos como HSBC para desarrollar nuevas características digitales, lo que significa que Bud tiene que asegurar una gran cantidad de información confidencial y seguir las reglas de un sector muy regulado.

Henry Adams, oficial de cumplimiento y operaciones de Bud, cree que la empresa con sede en Hackney está bien preparada para el RGPD.

“Estamos tranquilamente seguros, dadas las circunstancias en las que todos nos encontramos,” dice. “Hemos trabajado muy duro internamente y con nuestros abogados para asegurarnos de que estamos en una posición de cumplimiento. Otras organizaciones que tienen registros basados en papel y sistemas heredados para lidiar con la han tenido mucho peor. ”
Bud se ha centrado en satisfacer las necesidades de los clientes en virtud del RGPD y auditar todas las prácticas de procesamiento de datos para cubrir los requisitos actuales y cualquier evolución a corto plazo, identificando todos los datos que almacena y las formas en que se utiliza.

“Pasamos por un proceso de auditoría interna con cada equipo y luego nos dieron Consejo externo para comprobar que todavía estábamos cuerdo”, explica Adams. “Emprendieron un análisis de brechas y nos dejaron saber dónde necesitábamos hacer más trabajo”.

Sus recomendaciones llevaron a Bud a revisar su aviso de privacidad, actualizar sus políticas de protección de datos y seguridad de datos, y auditar sus otras políticas para asegurarse de que están en consonancia con la ley.

“Los cambios clave todos se relacionan con los derechos para el individuo y la legalidad del procesamiento bajo GDPR, ” dice Adams. “Para una empresa de primera etapa como Bud, el beneficio es que podemos adaptar, comunicar y supervisar el cambio a nuestros procesos internos con relativa rapidez. ” nuevas responsabilidades
El equipo de cumplimiento de Bud ha liderado los preparativos. Para garantizar que la compañía siga cumpliendo la fecha de implementación, un miembro del equipo ha sido elegido para supervisar todas las actividades de procesamiento de datos, mientras que el Comité de riesgos y la Junta Directiva proporcionarán supervisión.

Se ha hecho mucho esfuerzo para sensibilizar al personal sobre lo que significa GDPR para la empresa y sus propios roles individuales.

“Todos los empleados tienen que llevar a cabo una formación anual sobre diversos temas como una cuestión de curso; protección de datos y los cambios dentro del RGPD son parte de esto, “dice Adams. “Somos una empresa joven y todos los equipos de Bud estuvieron involucrados en la auditoría interna de datos y que ha sido un proceso de aprendizaje razonablemente bueno para todos. ”

Los preparativos agotadoras han terminado, pero el viaje de cumplimiento sólo ha comenzado. Adams está adoptando el impacto positivo que GDPR tendrá en el negocio de Bud.

“El RGPD es parte de un cambio regulatorio y cultural más amplio a medida que las personas toman más posesión de sus datos”, dice.

“Este cambio legal y cultural es parte de lo que sustenta nuestro negocio y es un factor impulsor detrás de la innovación que está sucediendo en este sector en todo el mundo.

“Las personas, empoderadas por la propiedad de sus datos pueden exigir más de las instituciones que les sirven. Esto crea más competencia y mejores resultados para los clientes y nos gusta pensar que somos una organización que puede ayudar a entregar este cambio. Así que estamos todos por ello. ”

ha estado actualizando las políticas que protegen tanto sus datos internos como los de sus clientes. La compañía produce software de recursos humanos para pequeñas empresas que administran el directorio de su equipo, el tiempo libre del personal y el proceso de incorporación.

Como software de RRHH procesan y controlan muchos datos personales y privados. Por lo tanto, sus preparativos del RGPD se dividen entre su empresa y sus clientes.

“Tenemos la obligación de cumplir con respecto a nosotros mismos como una empresa, pero también tenemos la obligación de permitir que nuestros clientes sean conformes, porque cómo almacenar los datos de los empleados y su capacidad para permitir que los empleados accedan a esos datos, actualizar esos datos y eliminarlos los datos son una gran parte del RGPD, “dice Ben Gateley, cofundador y COO de CharlieHR.

“Tenemos suerte en el sentido de que hemos estado en un poco de un viaje durante el último año y medio con respecto a la seguridad de datos general y la seguridad de la información.

“Hemos hecho nuestros fundamentos cibernéticos, hemos hecho nuestro oro IASME y hemos terminado de hacer nuestra ISO 27001 y la belleza de esos tres estándares y los controles que se ponen en marcha para eso es que desde mi perspectiva que significa que justo en las puertas de salida que estamos probablemente 60-70 por ciento de conformidad con lo que respecta al RGPD. Es decir que desde nuestro punto de vista no ha sido la tarea más laboriosa hacer el resto de la misma. ”

Trabajo por hacer
El software de terceros ha sido la principal preocupación de CharlieHR. El equipo ha auditado a todos los proveedores externos con los que trabajan, para entender la ubicación y el uso de todos los datos de sus clientes y cómo pueden actualizarlos o eliminarlos si se solicitan.

Cambios en las políticas
Los procesos de consentimiento ya están en vigor, tanto para una empresa como para un individuo, y se están actualizando los procedimientos de notificación de incumplimiento que formaban parte de ISO 27001.

También están estableciendo procesos internos para gestionar los nuevos derechos de los sujetos de datos, como el derecho a ser olvidado.

“Con todas estas cosas, la interpretación es siempre la parte más difícil y entender cuáles son las acciones que realmente necesitamos llevar a cabo,” dice Gateley. “La solución real es trabajar con abogados que realmente pueden ponerlo en inglés para nosotros.

Gateley confía en que las buenas prácticas de datos incrustadas en CharlieHR lo han dejado bien colocada para cumplir con su plazo de preparación en febrero de 2018. La compañía ha mapeado todos sus datos, lleva a cabo la capacitación trimestralmente, utiliza canales de Slack para propósitos de auditoría y agrega cualquier nuevo proceso GDPR a los sistemas internos existentes que los usuarios ya entienden.

“Yo diría que una de las cosas realmente clave es sólo el cambio cultural para la mayoría de las organizaciones,” dice Gateley. “Tenemos la suerte de que nos hemos centrado en tener una cultura de los más altos estándares de información y seguridad de datos desde el primer día.

“Somos una organización de 19 personas tan todavía bastante pequeña, pero cuando éramos cuatro gente, así que cuando acabamos de empezar, estábamos haciendo cosas como Cyber Essentials y comenzamos ese proceso allí por lo que ha sido incrustado en la cultura organizativa desde el primer día. De todos modos, tomamos estas cosas en serio. No es un gran cambio para nosotros.

Los buenos preparativos le han dejado positivo sobre el potencial de GDPR para proporcionar al público transparencia sobre cómo se utilizan sus datos.

“No estoy seguro de que siempre ha sucedido, así que creo que GDPR va a ser muy bueno para elevar la línea de base a través de un montón de empresas. ”

La startup de Londres Sunlight ha tenido que abordar problemas similares en sus preparativos del RGPD. La compañía produce una plataforma de aprendizaje y desarrollo de empleados que brinda control de personal sobre su desarrollo profesional y tiene que preocuparse tanto por sus prácticas internas de protección de datos como por las de sus proveedores.

“Una de las cosas que GDPR introduce es que usted es responsable de los datos y todo el tiempo que se está utilizando y a quién se lo envía. Así que parte del proceso ha sido no sólo hacer una auditoría interna nosotros mismos, sino también tener que auditar cada uno de nuestros proveedores. ”

Sunlight utiliza AWS para ejecutar su infraestructura, SendGrid para sus correos electrónicos y un número de otras empresas para su análisis. Todos ellos tienen que procesar los datos de la luz solar de manera adecuada y ser capaces de cumplir con los derechos relevantes de los sujetos de datos, tales como eliminar o mover datos personales.

Lagrange cree que el proceso será más fácil cuando se disponga de una certificación oficial del RGPD.

“Actualmente, usted realmente tiene que tomar cada una de las palabras de la compañía que lo que están haciendo es GDPR obediente y asegúrese de que está trabajando con proveedores de fiarse, “, dice.

“Es imposible para usted realmente auditar los sistemas internos para todas estas grandes empresas, por lo que hasta que haya alguna forma de certificación GDPR-que estoy seguro de que vendrá por la línea-es una tarea muy manual y muy lento. ”

Operaciones internas
Sunlight ha estado evaluando sus preparativos del RGPD a través de una prueba en línea que evalúa cómo almacena y procesa los datos.

“Cuando primero hicimos la prueba el aspecto de los datos era realmente seguro, “, dice Lagrange. “Tenemos un equipo de tecnología realmente sorprendente y esa parte fue realmente atendidos, pero había un montón de cosas bajo los procesos que no estaban realmente en su lugar.

“Para darle un ejemplo, usted tiene que decirle a sus clientes si hay una brecha de alto riesgo, y tiene que haber un procedimiento específico para eso. Esos procesos más manuales internamente que no están necesariamente relacionados con los datos son algo en lo que estamos trabajando actualmente. ”

Se han añadido algunas características nuevas a la plataforma para administrar los derechos de los sujetos de datos mejorados, pero Sunlight todavía tiene una lista de acciones que necesita completar.

La compañía ha estado tomando asesoría legal y planea pronto nombrar a un oficial de protección de datos (DPO) y realizar una auditoría completa con un asesor externo.

La ventaja de inicio
Lagrange cree que GDPR podría dar a las Startups una ventaja sobre sus competidores corporativos, muchos de los cuales están empezando a mostrar su edad y tamaño después de unir una amplia gama de sistemas a través de adquisiciones.

“Esos chicos creo que están teniendo un tiempo mucho más difícil desde una perspectiva técnica que una nueva startup donde todo se ha construido relativamente nuevo y no hay mucho material técnico para arreglar, especialmente si comenzaron a hacer las cosas bien, “, dice.

“Lo vemos como una ventaja competitiva potencial. Por supuesto, cuando usted va a través de una oferta en contra de una gran empresa, el tamaño es siempre importante en su trayectoria, pero el hecho de que usted puede ser más ágil y que puede prepararse más rápido creo que es una ventaja para nosotros. ”

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *