Hoja de Ruta en la aplicación del Reglamento General de Protección de Datos

Recomendaciones para implementar con éxito y garantizar la seguridad

Visitas: 169

Hace unos días publicamos el artículo Reglamento General de Protección de Datos, un resumen de lo que significa esta nueva norma de aplicación europea vigente desde Mayo de 2016 y que obliga a las empresas a proteger la información de las personas y garantizar la propiedad de sus datos. La fecha límite para adaptarse al reglamento será en Mayo de 2018. Hoy vamos a continuar con una serie de pasos para "ponernos en marcha" y garantizar el cumplimiento del RGPD en nuestra empresa.

Paso 1: Designar un DPO

Lo primero sería designar a un responsable de la privacidad de datos en su organización (DPO - Delegado de Protección de Datos). Las partes interesadas o competentes en esta materia dentro de la empresa podrían ser:

  • El responsable del departamento de personal/ recursos humanos.
  • Responsable departamento comunicación.
  • Responsable de Formación.
  • Responsable de marketing, para proteger su marca y los datos de sus clientes.
  • Responsable de TI, por cuestiones de seguridad.

Se planificarán reuniones y talleres con todas estas personas, dando como resultado la designación del DPO. Esto hay que verlo con una perspectiva global, no cada uno por separado, es trabajo en equipo.

Si bien es importante destacar que el Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y que el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio (persona jurídica).

Paso 2: Análisis de riesgo

Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas destinadas a impedir, bloquear o neutralizar los ataques.

Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.

Paso 3: Evaluación de impacto

Es importante valorar los riesgos inherentes al uso de nuevas tecnologías (ya sea por su naturaleza, alcance, contexto o fines) porque es posible que un tipo de tratamiento de datos en particular vulnere los derechos y libertades de las personas físicas. En este sentido, el responsable del tratamiento realizará una evaluación del impacto de las operaciones en la protección de datos personales teniendo en cuenta:

  • Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
  • Evaluación de las necesidades y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Valoración de los riesgos para los derechos y libertades de los interesados.
  • Medidas previstas para afrontar los riesgos y para demostrar la conformidad con el reglamento.

Implicaciones:

  • Consentimiento.
  • Información.
  • Evaluación de impacto sobre la protección de datos.
  • Certificaciones.
  • Delegados de protección de datos (tienen que estar nombrados ya).
  • Relación de responsables y encargados.
  • Herramientas para pymes y herramientas sectoriales.

Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Las empresas deberán “implementar las medidas organizativas y técnicas adecuadas teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas”. Las garantías de la protección de datos deben integrarse en los productos y servicios desde las primeras etapas del desarrollo. Dichas medidas, pueden incluir, entre otras:

  • Seudonimización y/o cifrado de datos personales.
  • Capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas de forma continua.
  • Capacidad de restaurar la disponibilidad y el acceso a los datos de forma puntual tras un incidente técnico o físico.
  • Introducción de un proceso.

¿Qué pasará si no me adapto?

Se producirá un incremento sustancial de las sanciones para aquellas organizaciones que no cumplan con este nuevo reglamento. Dichas sanciones pueden alcanzar los 10.000.000€ o 2% de la facturación global anual del ejercicio financiero anterior, en caso de infracciones en materia de, entre otros aspectos, medidas técnicas y organizativas para la protección de datos, mantenimiento de registros, notificación de violaciones de seguridad de los datos personales y obligaciones de evaluación de impacto relativa a la protección de los mismos. Estas sanciones podrían alcanzar los 20.000.000€ o un 4% de la facturación por infracciones relacionadas con la licitud del tratamiento, la falta del adecuado consentimiento, los derechos de los interesados y la transferencia de datos personales a un tercer país (fuera de la UE).

Además de las multas por incumplimiento del reglamento, también hay un delito que es Descubrimiento y revelación de secretos que puede hacer que se apliquen penas de cárcel para según que comportamientos, no solo multas administrativas.

Es evidente que nos encontramos en la era del boom de los datos con el Big Data, en los últimos años se han producido más datos que en toda la historia de la humanidad. El objetivo principal del RGPD es garantizar la libre circulación de los datos en la Unión Europea, con las debidas garantías para el titular de los datos. El RGPD establece, las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. Protege los derechos y libertades fundamentales de las personas físicas y en particular su derecho a la protección de los datos personales.

La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. La protección de los datos tiene dos dimensiones, proteger el honor y la intimidad de las personas.

¿Necesitas ayuda?

Desde Sistel pensamos que con nuestra amplia oferta de servicios de consultoría, tecnología, analítica, gestión y seguridad del dato, podemos ayudar a nuestros clientes con la problemática que el nuevo reglamento les pueda conllevar. A día de hoy no es suficiente con aplicar la capa de seguridad de nuestro cortafuegos, para proteger nuestros datos, debemos aplicar varias capas de protección en cada punto de conexión de red, desde puestos de trabajo, hasta impresoras, para crear una defensa y abordar los requisitos de cumplimiento.

La amplia proliferación de dispositivos que ha provocado la movilidad de los usuarios en las empresas está dando lugar a complejas infraestructuras de equipos y plataformas. Cada uno de estos dispositivos constituye un punto de entrada y salida de los datos de la empresa y puede implicar un riesgo para la seguridad. El principal reto al que se enfrentan las empresas en la actualidad es controlar y asegurar los datos sin alterar la actividad empresarial. Cada vez es más frecuente que los datos se procesen y mantengan más allá de los límites de los cortafuegos, complicando a los administradores de la red la tarea de proteger los datos. Curiosamente es la tecnología quien nos genera este problema de tratamiento de los datos, pero también es la misma tecnología quien pone solución a dicho problema.

Proteja su propiedad intelectual e información confidencial, cumpla con las regulaciones de la industria y del gobierno, y preserve su reputación evitando una violación de seguridad de datos publicitada.

 

Autor

Imagen de José Francisco Gómez Gosálbez

Ingeniero Senior Área Business Platform