El pasado 25 de mayo entr\u00f3 en vigor el nuevo Reglamento General de Protecci\u00f3n de Datos Personales, tambi\u00e9n conocido como GDPR, utilizando el acr\u00f3nimo ingl\u00e9s.<\/p>\n
Mucho revuelo y mucho se ha escrito en los \u00faltimos meses en relaci\u00f3n al nuevo reglamento europeo. Aunque exist\u00eda un periodo de dos a\u00f1os para adecuarse, hasta unos d\u00edas antes de la entrada en vigor, la mayor\u00eda de organizaciones no se hab\u00edan preocupado de ello y muchas, todav\u00eda no lo han hecho. <\/p>\n
Lamentablemente, las prisas y una pobre interpretaci\u00f3n del reglamento han provocado adem\u00e1s que la mayor\u00eda de las adecuaciones realizadas no se hayan enfocado correctamente, estando la mayor\u00eda de organizaciones en falso. En gran cantidad de casos, simplemente se ha enfocado el tema como una revisi\u00f3n legal de clausulados de contratos, modificando menormente las cl\u00e1usulas utilizadas para la anterior LOPD, y nada m\u00e1s, lo que es absolutamente insuficiente para el cumplimiento. <\/p>\n
Hay que entender las causas que originan el nuevo reglamento, aplicarlas a la particularidad de cada organizaci\u00f3n y de ah\u00ed podr\u00e1 realizarse una verdadera adecuaci\u00f3n para su cumplimiento. Y en este proceso las TIC son clave, pues son a la vez causa y soluci\u00f3n. <\/p>\n
La aplicaci\u00f3n del nuevo reglamento pasa por entender el impacto que tienen las Tecnolog\u00edas de la Informaci\u00f3n, cada vez m\u00e1s en un mundo de transformaci\u00f3n digital de los negocios y de la sociedad en general, y aplicar las medidas necesarias para minimizar los riesgos y amenazas que el uso de la tecnolog\u00eda incorpora en todos nuestros procesos de negocio y sociales, muchas veces sin que seamos conscientes de ello. <\/p>\n
De este modo, al igual que viene sucediendo recientemente cada vez que aparece una nueva normativa o requisito de cumplimento para las organizaciones, el enfoque legal no es suficiente y en la adecuaci\u00f3n es necesaria la participaci\u00f3n de profesionales con s\u00f3lidos conocimientos en procesos de negocio, gesti\u00f3n de riesgos y tecnolog\u00edas de la informaci\u00f3n. <\/p>\n
Es el uso cada vez m\u00e1s masivo y m\u00e1s f\u00e1cil de la tecnolog\u00eda, lo que pone en riesgo el tratamiento correcto de los datos personales que nuestras organizaciones gestionan para su trabajo diario, tanto por parte de sus empleados como por parte de terceros, conocidos o no, que pueden acceder a los datos personales que custodiamos y utilizarlos para fines sobre los que no tenemos control o simplemente desconocemos. <\/p>\n
Sin conocer y entender las tecnolog\u00edas y los procesos que nuestras organizaciones utilizan, no es posible establecer medidas de protecci\u00f3n adecuadas y, en consecuencia, posiblemente las nuevas clausulas que aparecen en los contratos no sean correctas. Fijarnos s\u00f3lo en las cl\u00e1usulas es empezar la casa por el tejado, una soluci\u00f3n de cara a la galer\u00eda para visualizar ante nuestros interesados que estamos cumpliendo, pero antes de redactar la clausula debemos conocer lo que hacemos con los datos y como lo hacemos, y de este modo, podremos asegurar que lo que exponemos en el contrato lo vamos cumplir, ante el interesado y ante la Agencia de Protecci\u00f3n de Datos. <\/p>\n
El nuevo reglamento establece, como fundamento, que la protecci\u00f3n debe existir desde el dise\u00f1o y por defecto. Es decir, todos nuestros procesos de negocio y las tecnolog\u00edas que los soportan deben revisarse para asegurar que el tratamiento correcto de los datos personales est\u00e1 impl\u00edcito en ellos. <\/p>\n
Los retos del nuevo reglamento son importantes, tanto por la complejidad que conlleva como por el volumen de aspectos a revisar, y especialmente a mantener. <\/p>\n
Empezando por la base, lo primero es asegurar que nuestras infraestructuras son seguras. La mayor\u00eda de redes no lo son, y no se es suficientemente consciente de ello. Un tercero con fines il\u00edcitos podr\u00eda penetrar en nuestras bases de datos y utilizar esos datos para su propio inter\u00e9s. Y los responsables, ser\u00edamos nosotros. <\/p>\n
Sin embargo, la mayor\u00eda de vulnerabilidades de seguridad son efectuadas desde el interior, de forma consciente o inconsciente. La concienciaci\u00f3n de los equipos de trabajo y el establecimiento de procedimientos en el uso de datos personales es imprescindible. Las auditor\u00edas peri\u00f3dicas sobre el acceso a datos personales, aunque el reglamento no las hace obligatorias, son un imperativo para la tranquilidad de la organizaci\u00f3n y demostrar ante una posible incidencia que gestionamos y entendemos la importancia de los requisitos del reglamento. <\/p>\n
En la mayor\u00eda de organizaciones, no hace falta que sean muy grandes, gestionar todo lo que nos exige el reglamento a nivel de identificar datos, tratamientos, bases leg\u00edtimas, consentimientos y derechos de forma personalizada por tratamiento e interesado, evaluaciones de riesgos, perfilados, transferencias, comunicaciones de brechas de seguridad, etc. etc. puede ser muy complejo. Y las sanciones, muy elevadas, de hasta 20.000.000 \u20ac o el 4% de la facturaci\u00f3n. <\/p>\n
En este caso, las TIC son la soluci\u00f3n. En esencia, lo que nos exige el reglamento es que tengamos un sistema de gesti\u00f3n para GDPR, y la \u00fanica forma eficaz de conseguirlo es mediante el uso de una aplicaci\u00f3n software, normalmente un BPM, que nos ayude a gestionar el sistema teniendo todos los procesos identificados y disponiendo de los registros necesarios y actualizados. <\/p>\n
Por ejemplo, pensemos en una empresa con unos 1.000 clientes y al menos una persona de contacto por cliente. \u00bfEn cu\u00e1ntas bases de datos tenemos contactos? Normalmente en m\u00faltiples. Una para facturar, otra para comercial, otra para producci\u00f3n…. \u00bfY en los Outlook de los empleados? \u00bfY en los m\u00f3viles? <\/p>\n
Una vez identificadas todas las bases de datos, \u00bftenemos claro que tratamientos realizamos para cada una de ellas? \u00bfY con que base leg\u00edtima? <\/p>\n
Y potencialmente, debemos pedir consentimiento a los 1.000 contactos. \u00bfC\u00f3mo lo vamos a hacer? \u00bfPor mail y luego registramos en una Excel, para los 1.000, cada uno de los consentimientos individuales por tratamiento y sus solicitudes de informaci\u00f3n? <\/p>\n
A partir de unos pocos clientes, no me parece gestionable ni posible dar respuesta en un tiempo razonable. Adem\u00e1s de clientes tenemos bases de datos de empleados, contactos, proveedores… <\/p>\n
\u00bfY qu\u00e9 sucede con nuestros ERP, CRM, aplicaci\u00f3n de n\u00f3minas, etc. cuando alguien ejerce su derecho al olvido? \u00bfC\u00f3mo les sacamos de ah\u00ed? Normalmente no va a ser posible, por lo que tendremos que plantear alguna alternativa como la anonimizaci\u00f3n, por lo que debemos revisar tambi\u00e9n si nuestros proveedores de tecnolog\u00eda est\u00e1n debidamente preparados y su software es conforme al RGPD. <\/p>\n
Estos y otros aspectos en los que en ocasiones no se piensa, requieren la participaci\u00f3n de consultores y asesores en tecnolog\u00eda para una adecuaci\u00f3n correcta al reglamento, y la implantaci\u00f3n de una herramienta de gesti\u00f3n del sistema, que a su vez puede actuar como portal para los terceros o interesados con quienes nos relacionamos. Para ello, estamos a vuestra disposici\u00f3n. <\/p>\n
F. Xavier Sala i Leseduarte, <\/b>Socio Director de Consultor\u00eda en TI en Auren<\/b><\/p>\n
<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
El pasado 25 de mayo entr\u00f3 en vigor el nuevo Reglamento General de Protecci\u00f3n de Datos Personales, tambi\u00e9n conocido como GDPR, utilizando el acr\u00f3nimo ingl\u00e9s.
\nMucho revuelo y mucho se ha escrito en los \u00faltimos meses en relaci\u00f3n al nuevo reglamento europeo. Aunque exist\u00eda un periodo de dos a\u00f1os para adecuarse, hasta unos d\u00edas antes de la entrada en vigor, la mayor\u00eda de organizaciones no se hab\u00edan preocupado de ello y muchas, todav\u00eda no lo han hecho. <\/p>\n","protected":false},"featured_media":7462,"template":"","meta":{"_acf_changed":false,"footnotes":""},"blog-category":[],"class_list":["post-7461","blog","type-blog","status-publish","has-post-thumbnail","hentry"],"acf":[],"yoast_head":"\n