Slack y el GDPR: La guía completa

La privacidad de los datos es primordial. Las empresas actuales están sometidas a una presión constante para garantizar que sus herramientas de comunicación y colaboración cumplen las distintas normativas sobre seguridad de datos. Uno de estos reglamentos cruciales es el Reglamento General de Protección de Datos (RGPD). En esta completa guía, profundizaremos en las complejidades de Slack y el cumplimiento del GDPR, responderemos si Slack cumple con el GDPR y exploraremos cómo puede respaldar el cumplimiento normativo en Slack.

¿Cumple Slack el GDPR?

Sí, Slack es compatible con el cumplimiento del GDPR. Slack ha tomado medidas significativas para alinearse con los requisitos del GDPR en materia de privacidad y seguridad de los datos, lo que permite a las organizaciones cubiertas por el GDPR utilizar Slack al tiempo que cumplen con sus obligaciones de gestionar los datos personales de una manera conforme.

¿Qué es el GDPR?

El Reglamento General de Protección de Datos es una normativa integral sobre privacidad de datos promulgada por la Unión Europea (UE) para proporcionar a los individuos un mayor control sobre sus datos personales. El RGPD se estableció para hacer frente a la creciente preocupación por las violaciones de datos y el uso indebido de los datos personales, otorgando a las personas el derecho a conocer, acceder y eliminar sus datos. También establece normas estrictas para las organizaciones que manejan datos personales y aplica sanciones severas en caso de incumplimiento.

Algunas de las empresas más grandes del mundo han incumplido el GDPR y han sido sancionadas por no proteger los datos de los usuarios. Entre ellas se incluyen:

• Meta fue multada con 1.300 millones de dólares en 2023 por transferir datos de usuarios de la UE a Estados Unidos.
• Amazon fue multada con 781 millones de dólares por rastrear datos de usuarios sin su consentimiento.
• WhatsApp fue multada con 193 millones de dólares por no informar claramente a los usuarios sobre el tratamiento de sus datos.
• Google fue multado con un total de 165 millones de dólares por no ofrecer a los usuarios una forma sencilla de rechazar las cookies.

¿A quién se aplica el GDPR?

El GDPR es una ley de la UE que salvaguarda los datos de las personas que residen en la Unión Europea. Sin embargo, puede aplicarse a empresas con sede en otras partes del mundo si recogen y gestionan esos datos personales o los tratan por cuenta de terceros. Cualquier empresa que ofrezca bienes y servicios dentro de la UE, o que controle el comportamiento de las personas dentro de esa zona, debe cumplir con el GDPR.

Esto es cierto incluso para las pequeñas empresas, ya que el GDPR se aplica independientemente del tamaño de la empresa. Sin embargo, las empresas con menos de 250 empleados están exentas de algunas obligaciones, como la de contar con un responsable de la protección de datos. El GDPR no se aplica a las personas que realizan una actividad "personal o doméstica", como la creación de un boletín de noticias por correo electrónico para amigos y familiares. Sin embargo, el GDPR sí se aplica a las personas que se dedican a actividades más profesionales, incluso como hobby, por ejemplo, la gestión de un boletín de noticias por correo electrónico para los seguidores de un popular programa de televisión.

Controladores GDPR vs. Procesadores

En el contexto del RGPD, los responsables del tratamiento determinan los fines y los medios del tratamiento de datos, mientras que los encargados del tratamiento actúan en nombre de los responsables del tratamiento. Slack, por ejemplo, actúa como procesador de datos cuando su organización utiliza su plataforma. Algunas empresas pueden controlar sus propios datos en todo momento y no utilizar nunca un procesador, por ejemplo si su empresa crea y aloja su propia herramienta de comunicación interna. Un procesador siempre maneja datos en nombre de otra organización.

Tanto los responsables del tratamiento como los encargados del tratamiento tienen las mismas obligaciones en virtud del RGPD cuando se trata del tratamiento de datos, pero los encargados del tratamiento, por definición, también trabajan bajo la obligación de los responsables del tratamiento. Eso hace que sea crucial establecer responsabilidades y acuerdos claros entre controladores y procesadores para garantizar el cumplimiento. A menudo, estas responsabilidades se esbozan mediante un acuerdo de procesamiento de datos. Slack ofrece un apéndice de procesamiento de datos (DPA) como suplemento a sus condiciones de servicio al cliente. Para ser válida, la DPA debe ser ejecutada por una persona autorizada a firmar en nombre de la organización responsable del tratamiento.

¿Se aplica el GDPR a las herramientas de colaboración como Slack?

Puede que no piense en las herramientas de colaboración como receptáculos de datos personales, pero nuestra investigación demuestra que muchas plataformas de comunicación en el lugar de trabajo están repletas de información sensible y confidencial. Por término medio, se puede encontrar IPI en un tercio de todos los mensajes, y uno de cada 17 contiene al menos tres piezas de información sensible. Esta proliferación de riesgos hace que sea esencial tener en cuenta herramientas como Slack a la hora de cumplir con las obligaciones del GDPR.

Además de los riesgos de IPI que contiene Slack, la posibilidad de ejercer el derecho al olvido de un cliente o empleado también se aplica a los datos de Slack. Las empresas deben considerar proactivamente cómo identificarían, aislarían y purgarían los datos de Slack de un único custodio dentro de los plazos establecidos por el GDPR.

¿Están cubiertos los empleados por el GDPR?

El GDPR cubre todos los datos, tanto los de los clientes como los de los empleados. Los datos de los empleados están sujetos a las mismas normas de protección de datos que los de los clientes. Eso significa que las organizaciones deben asegurarse de que procesan los datos de sus empleados de forma legal y transparente. En cualquier momento, un empleado puede presentar una solicitud de acceso a los datos en virtud del artículo 15 y tener los mismos derechos que cualquier cliente a ver todos los datos que la empresa tiene sobre él en el plazo de un mes que marca el artículo 12.

Ejemplos de riesgos del GDPR en Slack

El RGPD otorga a las personas el derecho a acceder, revisar, corregir y eliminar los datos que los responsables o encargados del tratamiento tengan sobre ellas. Las empresas están obligadas a cumplir las solicitudes del GDPR en plazos específicos, lo que puede resultar problemático para las grandes organizaciones que almacenan datos en conjuntos de datos masivos y no estructurados.

El usuario medio de Slack en una empresa envía 28 mensajes al día, y más del 90% de ellos se envían en canales privados y DM, donde incluso los administradores pueden tener dificultades para mantener una visibilidad total. Nunca se insistirá lo suficiente en el reto que supone extraer estos datos a tiempo, lo que expone a la organización al riesgo de una acción reguladora.

• Derecho de acceso (solicitud de acceso del interesado): Una persona puede solicitar una copia de los datos personales que una organización tiene sobre ella presentando una solicitud conocida como DSAR. Esto incluye información sobre cómo se están procesando los datos, los fines del procesamiento y con quién se comparten. Plazo de cumplimiento: 1 mes.
• Derecho de rectificación: Si una persona cree que los datos personales que obran en poder de una organización son inexactos o incompletos, puede solicitar al responsable del tratamiento que los rectifique o corrija. Plazo de cumplimiento: 1 mes.
• Derecho a la supresión (derecho al olvido): Las personas tienen derecho a solicitar la supresión de sus datos personales si no existen motivos legítimos para que el responsable del tratamiento siga tratándolos. Este derecho no es absoluto y puede estar sujeto a ciertas excepciones. Plazo de cumplimiento: 1 mes.
• Derecho a la portabilidad de datos: Las personas pueden solicitar sus datos personales en un formato estructurado, de uso común y legible por máquina. También pueden solicitar que los datos se transmitan directamente a otro responsable del tratamiento cuando sea técnicamente factible. Este derecho permite a los particulares trasladar fácilmente sus datos entre distintos proveedores de servicios. Plazo de cumplimiento: 1 mes.

Cinco pasos para que Slack cumpla con el GDPR

Slack apoya el cumplimiento del GDPR en su papel de procesador de datos, pero el cumplimiento total es una responsabilidad compartida entre Slack y sus usuarios (los controladores de los datos que Slack contiene). Slack ofrece funciones y características que ayudan a los usuarios a cumplir los requisitos del GDPR, como las capacidades de exportación y eliminación de datos. Sin embargo, las organizaciones también deben implementar sus políticas y procedimientos para garantizar el cumplimiento del GDPR dentro de su espacio de trabajo de Slack.

Para hacer que Slack cumpla con el GDPR, las organizaciones y los líderes de cumplimiento deben seguir estos cinco pasos:

1. Revise el uso de los datos: Comprenda qué datos comparten los empleados en Slack y asegúrese de que se ajustan a los principios del GDPR.
2. Establezca políticas de retención de datos: Defina cuánto tiempo conservará los datos en Slack y revise y elimine regularmente los datos que ya no necesite. Considere la posibilidad de utilizar una solución DLP como Aware de Mimecast para automatizar la retención y purga de datos de Slack.
3. Eduque a los usuarios: Forme a su equipo sobre la normativa GDPR y las mejores prácticas para utilizar Slack de forma conforme. Todos los usuarios de Slack deben ser conscientes de que sus comunicaciones pueden salir a la luz por solicitudes de acceso de sujetos y ser conscientes de seguir siendo profesionales a pesar del estilo de comunicación informal de Slack.
4. Utilice las funciones de cumplimiento de Slack: Aproveche las herramientas de gestión integradas de Slack para la exportación de datos y la eliminación de perfiles. Estas herramientas permiten realizar búsquedas en los datos de Slack y eliminar los mensajes creados por un único usuario (custodio) de conformidad con la GDPR. Sin embargo, sepa que esta herramienta eliminará todo el contenido generado por el usuario, y puede incluir datos de los que la empresa considere que es propietaria y desee conservar. La herramienta de retención granular de Mimecast Aware permite a los usuarios revisar el contenido generado por el custodio y asignarle un valor antes de su eliminación, preservando así los datos críticos.
5. Acelere el cumplimiento del GDPR con Mimecast Aware: Mimecast Aware apoya el cumplimiento del GDPR para Slack utilizando IA de procesamiento de lenguaje natural líder en la industria para hacer cumplir las políticas de uso aceptable dentro de Slack, detectar y eliminar información no autorizada -incluyendo PII, PHI y datos sensibles de la empresa- utilizando flujos de trabajo automatizados inteligentes, e implementa políticas de retención granulares y bidireccionales para purgar o preservar automáticamente datos valiosos. Mimecast Aware también es un proveedor de seguridad y cumplimiento de GovSlack de confianza.

Otras consideraciones sobre el cumplimiento de Slack

Además del GDPR, las organizaciones de sectores muy regulados como la sanidad (HIPAA) o las finanzas (FINRA) deben cumplir requisitos de conformidad específicos cuando utilizan Slack. Y todas las organizaciones, sea cual sea su sector, tienen la responsabilidad de proteger la información de identificación personal (PII) y los datos de la industria de tarjetas de pago (PCI) dentro de Slack y cumplir con la norma ISO 27001 y/o SOC 2 como mejor práctica. Nuestra investigación muestra que cuando las empresas despliegan plataformas de colaboración como Slack, los empleados las utilizan como repositorios de todos los datos relacionados con la empresa, a menos que se les ofrezcan alternativas mejores.

Cómo Mimecast Aware apoya el GDPR y el cumplimiento en Slack

Aware apoya la gestión de datos conforme al GDPR con soluciones diseñadas para abordar las obligaciones de la organización en virtud de:

• Artículo 5-Principios relativos a la forma en que las organizaciones tratan los datos personales
• Artículo 12-Comunicación transparente de los derechos de los interesados
• Artículo 15-Derecho de acceso
• Artículo 17-Derecho de supresión

Mimecast Aware se conecta a Slack a través de API para ingerir sin problemas un registro completo de todos los mensajes de los canales de Slack en tiempo real, sin necesidad de intervención de TI y sin impacto en los usuarios finales. A continuación, los mensajes de Slack se analizan utilizando el procesamiento del lenguaje natural (PLN) y los flujos de trabajo de IA/ML propios de Aware, líderes en el sector, para detectar y mitigar automáticamente el intercambio de información no autorizada dentro de Slack, incluyendo PII, PHI, PCI y otros datos sensibles. Con Aware, los equipos de cumplimiento pueden mitigar los riesgos en todas las herramientas de colaboración desde una única plataforma centralizada que agiliza los flujos de trabajo, automatiza las notificaciones y admite sin esfuerzo la formación de los empleados y el cumplimiento de las políticas.

Además de la funcionalidad de cumplimiento, la plataforma de datos Aware ofrece un conjunto de capacidades de eDiscovery, DLP y análisis de sentimientos que respaldan la gestión holística de las comunicaciones de los empleados en toda la empresa, potenciando todos los aspectos del flujo de trabajo de la experiencia moderna.

Confíe en Mimecast para identificar, abordar e imponer el cumplimiento de normativas para Slack y mucho más hoy mismo. Más información.