Este artículo, escrito por Barbara Cosgrove, apareció originalmente en inglés en el blog de Workday. Pensamos que también sería de interés para los lectores hispanohablantes, por lo que lo ofrecemos traducido a continuación.
Al hablar con los líderes empresariales, una de las preguntas más frecuentes que oigo es: "¿Cómo podemos mantenernos al día con los cambios normativos relativos a la privacidad de los datos?" Más recientemente, esta cuestión ha surgido de los debates sobre el próximo Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
Creo que lo más importante que hay que recordar es que si bien el periodo hasta la fecha límite del 25 de mayo será de lo más agitado, el RGPD es un desarrollo positivo para todos. Además de proporcionar a las personas mayores protecciones en torno a sus datos, las organizaciones tendrán que cambiar la forma en que almacenan, manejan y comparten los datos. Eso va a requerir que sean más eficientes con la forma en que manejan la información, lo que a su vez creará innumerables oportunidades para ser más estratégicos y basados en datos, según expertos como Jeremy Baker, profesor asociado de la ESCP Business School.
Después de que el RGPD entre en vigor, no habrá muchos cambios para los clientes de Workday con respecto a los flujos de transferencias de datos personales transfronterizos transmitidos a Workday para su procesamiento. Workday ha incorporado un programa global de protección de datos desde el primer día. De forma parecida, Workday fue una de las primeras empresas en contar con una certificación Privacy Shield certification. Y seguimos comprometidos a mantenerla.
También es imperativo que nuestros clientes, y aquellos que estén pensando en Workday, sepan que la responsabilidad de cumplir con las obligaciones de privacidad de datos no es una responsabilidad que recae únicamente sobre ellos. Tenemos acuerdos individuales sobre privacidad con nuestros clientes, y bajo el RGPD, Workday también tiene responsabilidades directas detallados por la regulación.
También sabemos que debemos seguir evolucionando con nuevas funciones que satisfagan los desafíos de protección de datos siempre cambiantes de las organizaciones. Quería destacar tres características específicas que abordan directamente los requisitos del RGPD:
Restringir el acceso a determinados datos
En respuesta a la necesidad de los clientes alemanes y nórdicos de satisfacer las demandas de los comités de empresa (grupos laborales específicos de la empresa) en esos países, Workday ha desarrollado una función configurable que puede restringir el acceso de los managers a ciertos datos solo a quienes los necesiten fundamentalmente para su rol.
Llamamos a esta función "Grupos de seguridad condicionales basados en roles", que se basa en el requisito de privacidad en torno a la "necesidad de saber". Se basa en el concepto de que un manager de una organización no necesita conocer los detalles de la remuneración de un empleado en un cierto número de capas más abajo en esa organización.
Funciona así: Los clientes pueden crear un nuevo grupo de seguridad condicional basado en roles que evaluará si el trabajador que se está viendo es miembro de una ubicación/jerarquía de ubicación especificada. Si el empleado es parte de ese grupo de seguridad restringido, los datos colocados en el grupo de seguridad condicional basado en roles quedarán ocultos para los managers por encima de cierto nivel.
Sin embargo, para que esta función no afecte a la integridad de los informes, hemos proporcionado la capacidad de crear informes agregados que incluirán a los empleados cuyos datos estén ocultos.
Capacidad para purgar datos personales fácilmente
Añadimos la purga de datos de privacidad con Workday 26, y hemos seguido mejorando y profundizando la funcionalidad de esta característica. El propósito principal de la purga de datos de privacidad es ayudar a los clientes a cumplir sus requisitos de privacidad y satisfacer el derecho al olvido, que pronto quedará recogido por el RGPD.
Hemos extendido la purga de datos de privacidad de modo que los clientes que utilizan Workday Recruiting puedan ahora depurar la información de candidatos y candidatos potenciales de manera rápida y eficiente. Para satisfacer las necesidades del RGPD, en Workday 29 añadimos la capacidad para que las organizaciones puedan depurar y eliminar datos de los trabajadores activos, como las identificaciones nacionales y gubernamentales, la orientación sexual, la identidad de género, la raza, la etnia, la religión y la discapacidad, en caso de que un empleado solicite la eliminación de esta información.
La vista de auditoría conforma las auditorías para el RGPD
Tener la capacidad de auditar la actividad de los usuarios y las actividades potencialmente sospechosas es de suma importancia. Por eso nos aseguramos de que la función de filtro de auditoría estuviera disponible en Workday un año completo antes de la fecha límite del RGPD.
Hay tres requisitos principales para esta función. El primero es dar a los administradores y a sus auditores un acceso rápido a la actividad de los usuarios dentro del sistema Workday. El siguiente paso fue el seguimiento, que garantizara que los negocios pudieran ser alertados de amenazas potenciales a través de toda su plataforma Workday y en tiempo real. Por último, desde el punto de vista de la privacidad, tener la capacidad de ver quién vio exactamente qué datos y cuándo es la piedra angular de una buena práctica del RGPD.
Nada sucede en Workday sin que el sistema lo capture y haga que la trazabilidad de la auditoría sea fácilmente accesible para aquellos que lo necesiten a través de un informe estándar. Las empresas pueden utilizar una API REST para trasladar información a un sistema de inventario de datos o para aprovechar toda esta información y utilizarla en sus sistemas descendentes.
A medida que se acerca el 25 de mayo, las empresas deben aprovechar esta oportunidad para pensar no solo en cómo lograr el cumplimiento normativo del RGPD, sino también en cómo sus tecnologías y procesos actuales podrían transformarse a través de un manejo y procesamiento de datos más eficiente. El RGPD no será la última directiva de privacidad global, y al dar los pasos tecnológicos correctos, las organizaciones pueden prepararse para el cambio.