Tres pasos básicos para cumplir con la GDPR

En mayo de 2018 entrará en vigor el nuevo Reglamento Europeo sobre Protección de Datos, GDPR, que supone un cambio radical en el tratamiento que deben aplicar las organizaciones a la información que gestionan y que, en muchos casos, es la base de su negocio.

Las principales novedades de esta norma son básicamente dos. Por una parte, las empresas deberán contar con el permiso explícito de los usuarios a la hora de almacenar y utilizar sus datos con fines comerciales. Por otra, las organizaciones tendrán la responsabilidad de mantener la seguridad de los datos de carácter personal de sus clientes, respondiendo con fuertes sanciones –hasta 20 millones de euros o un 4% de la facturación de la empresa- ante cualquier incidencia que implique la filtración o el robo de los mismos. Además, esas incidencias se harán públicas, por lo que el perjuicio para las empresas no solo será económico, sino también de imagen y reputación.

La inminente llegada de la ley europea viene acompañada de la celebración de múltiples foros y de la generación de cantidades ingentes de documentación en torno a su contenido, interpretaciones y aplicación. En realidad, no es necesario volverse loco. Teniendo claros tan solo tres pasos básicos, podremos organizar la transición garantizando el cumplimiento de la norma.

Lo primero que es necesario tener en mente es que ninguna empresa parte desde cero. La mayoría de las organizaciones españolas ya cumple con la Ley Orgánica de Protección de Datos, LOPD, vigente en nuestro país y que supone tener parte del camino andado en la adecuación a la GDPR. A partir de aquí, todas las organizaciones deberían abordar tres fases diferentes:

• Fase de Evaluación. Su objetivo fundamental es conocer el gap que existe en la organización con respecto al cumplimiento de la GDPR. A fin de averiguarlo, es preciso emprender una serie de acciones:

• Realizar una evaluación del nivel de madurez de la organización con respecto al cumplimiento de la nueva norma.
• Elaborar un plan de acción con las principales recomendaciones para la adecuación a la GDPR. Esto puede suponer el cambio de procedimientos de operación, el diseño de nuevos procedimientos y la identificación de nuevas herramientas que resulte necesario implantar.

• Fase de Implantación. Consiste en el establecimiento del conjunto de procedimientos y herramientas de acuerdo con el plan de acción llevado a cabo en la fase de evaluación. Las actividades a desarrollar en esta fase serían las siguientes:

• Ejecución del plan de acción para cumplir con la GDPR.
• Establecer los acuerdos necesarios con los fabricantes de software.

Para poder conseguir la autorización de los usuarios o clientes, o para poder gestionar esos permisos de forma conveniente, no va a quedar más remedio que implantar una serie de herramientas orientadas tanto a la automatización de los nuevos procedimientos como a la identificación de las posibles fugas de información que puedan llegar a producirse.

Así, además de contar con herramientas que den soporte a la implantación de los nuevos procedimientos que se tendrán que institucionalizar en la organización, será necesario contar con soluciones de:

• Detección de fugas de información
• Procesos automáticos para recoger consentimientos
• Encriptación de datos
• Gestión de identidades

• Fase de Verificación. El objetivo fundamental es garantizar el cumplimiento de la GDPR. La actividad fundamental sería asegurar que las implantaciones llevadas a cabo en la fase anterior permiten a la organización cumplir, de forma efectiva, con los objetivos de la GDPR.

Es conveniente que cada organización diseñe un Plan de Acción completo y personalizado basado en esas tres fases. Tanto el diseño del plan como su ejecución puede llevarse a cabo internamente o con la ayuda de uno o varios consultores especializados. En este último caso, a la hora de seleccionar el partner más adecuado es recomendable que la empresa se asegure de que su compañero de viaje cuenta con la suficiente experiencia en la realización de auditorías para la LOPD; que conoce a fondo la nueva norma europea, a fin de que pueda llevar a cabo una evaluación integral, sin fisuras, y que cuenta también con acuerdos con distintos fabricantes de herramientas que cubran las necesidades a lo largo de las distintas fases de implantación.

La llegada del nuevo Reglamento Europeo de Protección de datos va suponer la puesta en marcha de un espacio único europeo en lo que a ciberseguridad se refiere. Supone, además, reconocer el verdadero valor de los datos como el nuevo petróleo del entorno digital, así como proteger los derechos de los ciudadanos. Las organizaciones deben actuar en consecuencia y dedicar los recursos necesarios para cumplir con la ley. No tanto por temor a ser sancionadas, sino por una cuestión de respeto hacia sus clientes.

Por Luis Redondo
Responsable del Área de Ciberseguridad de MTP

Ver más historias