Cómo prepararse para la normativa RGPD

GRPD

El impacto del nuevo Reglamento General de Protección de Datos (RGPD)

A estas alturas seguramente todos hemos oído hablar del nuevo Reglamento General de Protección de Datos europeo (RGPD), que será de obligado cumplimiento a partir del 25 de mayo de 2018, y del impacto que su aplicación tendrá en el tratamiento de los datos personales realizado por organizaciones privadas y públicas de la Unión Europea así como para aquellas organizaciones fuera del territorio de la Unión Europea que realicen tratamiento de datos de ciudadanos europeos. El ámbito de aplicación ya supone un primer gran cambio, al extender su aplicación a cualquier empresa que realice tratamiento de datos de ciudadanos de la UE, no importa dónde se encuentre ubicada.

El impacto que este reglamento tiene parte de la necesidad de realizar una gestión más sistemática de la seguridad en el ámbito de la tecnología debido a la profundización que el RGPD supone en la protección de los derechos de los ciudadanos de la UE y a unas mayores necesidades de control regulatorio.

Dentro de esta mayor protección a los ciudadanos nos encontramos con el reconocimiento de nuevos derechos, como pueden ser el derecho al olvido o el derecho a la portabilidad, y el refuerzo de los derechos de los usuarios en ciertos aspectos como la necesidad del consentimiento explícito del usuario al tratamiento de datos y unos mayores requerimientos de mantenerlo informado sobre el uso que se hace de sus datos o sobre la notificación de brechas de seguridad en situaciones de vulnerabilidad.

Adicionalmente, el RGPD abunda en la responsabilidad a asumir por parte de los encargados del tratamiento de los datos, introduciendo el término de “responsabilidad proactiva”. Este término se puede traducir en la obligación de las empresas de tomar plena responsabilidad de sus prácticas en el tratamiento de la información, siendo responsables de los riesgos de privacidad en el curso de su actividad de negocio y, aquí viene la gran novedad, siendo capaces de demostrar que han adoptado las medidas necesarias para garantizar su cumplimiento. Aquí entran en juego medidas como la ampliación de la necesidad de contar con un Delegado de Protección de Datos en la organización, la protección de datos desde el diseño, adecuando las  medidas técnicas y organizativas según la finalidad del tratamiento de los datos, el registro de las actividades de tratamiento y la realización de evaluaciones de impacto de datos personales, obligatoria en caso de datos sensibles o tratamiento de grandes volúmenes de datos personales.

Y por si todos estos cambios no fuesen suficientemente motivadores para las empresas para trabajar en la dirección marcada, el reglamento viene aderezado con un endurecimiento de las sanciones en caso de incumplimiento, pudiendo llegar en el caso extremo hasta el 4% de la facturación anual o los 20 millones de euros.

¿Cómo me puedo preparar para afrontar la nueva normativa RGPD?

Como se puede ver, el RGPD supone un cambio en la manera en la que las empresas tienen que afrontar el tratamiento de los datos personales, siendo necesario el establecimiento de unos controles eficaces y un gobierno de la información adecuado y bien monitorizado. Para ello es necesario afrontar un programa estructurado de adecuación al reglamento, con un enfoque que permita identificar las medidas organizativas y técnicas necesarias para la correcta adecuación al RGPD. Dentro de las acciones a contemplar podemos destacar las siguientes:

Análisis de las fuentes de datos personales. Es necesario obtener un conocimiento preciso de los datos personales en posesión de la empresa, su origen y el uso que se le da a esta información con objeto de determinar el nivel de riesgo al que está expuesto la organización. Es muy importante no restringir el análisis a las fuentes de datos estructuradas si no también analizar el tratamiento de datos no estructurados, de importancia creciente con el uso de nuevas tecnologías y canales de comunicación.

Realización de Evaluaciones de Impacto de Privacidad. Aunque en determinados casos su realización ya es obligatoria según el reglamento, es más que aconsejable su realización con el fin de asegurar el cumplimiento en caso de nuevas iniciativas y proyectos que impliquen un tratamiento de datos o el uso de nuevas tecnologías.

Adecuación de los procedimientos. Llevar a cabo una revisión y adaptación de los procedimientos para garantizar los derechos individuales de los usuarios y sus peticiones de información y de los procedimientos de detección, reporte y gestión de incidencias de seguridad, gestión de riesgos y protocolos de recuperación de la información.

Adecuación de la estructura de Gobierno. Es recomendable proceder a la designación de una persona, interna o externa, que tome el rol de Delegado de Protección de Datos de manera que sea el punto de contacto en materia de protección de datos.

Concienciación. Es muy recomendable informar y capacitar al personal clave de la organización sobre el nuevo reglamento y los cambios que implica, de manera que se obtenga el compromiso a todos los niveles de la organización.

Implementación gradual de medidas relacionadas con la tecnología para prevenir la fuga de información como, por ejemplo, el uso de herramientas para el control de acceso a la información, la securización de dispositivos móviles o el cifrado de datos.

La aplicación de estas medidas y la monitorización de su efectividad a lo largo del tiempo pondrán a la empresa en la senda del cumplimiento del RGPD. Sin embargo, hay que destacar que, ya no la aplicación de programa completo, si no la aplicación individual de cada una de estas medidas necesita de sus tiempos para una correcta evaluación y ejecución. Por tanto, es necesario pasar a la acción y tomar las medidas necesarias para adaptarse a la nueva regulación.

Jorge Coto

Escrito por Jorge Coto, Senior Manager de Bip.

Write a Reply or Comment

Your email address will not be published.

*