Tres pasos b谩sicos para cumplir con la GDPR

28 febrero, 2018

GDPR

Transformaci贸n digital para empresas

En mayo de 2018 entrar谩 en vigor el nuevo Reglamento Europeo sobre Protecci贸n de Datos, GDPR, que supone un cambio...




    En mayo de 2018 entrar谩 en vigor el nuevo Reglamento Europeo sobre Protecci贸n de Datos, GDPR, que supone un cambio radical en el tratamiento que deben aplicar las organizaciones a la informaci贸n que gestionan y que, en muchos casos, es la base de su negocio.

    Las principales novedades de esta norma son b谩sicamente dos. Por una parte, las empresas deber谩n contar con el permiso expl铆cito de los usuarios a la hora de almacenar y utilizar sus datos con fines comerciales. Por otra, las organizaciones tendr谩n la responsabilidad de mantener la seguridad de los datos de car谩cter personal de sus clientes, respondiendo con fuertes sanciones 鈥揾asta 20 millones de euros o un 4% de la facturaci贸n de la empresa- ante cualquier incidencia que implique la filtraci贸n o el robo de los mismos. Adem谩s, esas incidencias se har谩n p煤blicas, por lo que el perjuicio para las empresas no solo ser谩 econ贸mico, sino tambi茅n de imagen y reputaci贸n.

    La inminente llegada de la ley europea viene acompa帽ada de la celebraci贸n de m煤ltiples foros y de la generaci贸n de cantidades ingentes de documentaci贸n en torno a su contenido, interpretaciones y aplicaci贸n. En realidad, no es necesario volverse loco. Teniendo claros tan solo tres pasos b谩sicos, podremos organizar la transici贸n garantizando el cumplimiento de la norma.

    Lo primero que es necesario tener en mente es que ninguna empresa parte desde cero. La mayor铆a de las organizaciones espa帽olas ya cumple con la Ley Org谩nica de Protecci贸n de Datos, LOPD, vigente en nuestro pa铆s y que supone tener parte del camino andado en la adecuaci贸n a la GDPR. A partir de aqu铆, todas las organizaciones deber铆an abordar tres fases diferentes:

    Fase de Evaluaci贸n. Su objetivo fundamental es conocer el gap que existe en la organizaci贸n con respecto al cumplimiento de la GDPR. A fin de averiguarlo, es preciso emprender una serie de acciones:

    鈥 Realizar una evaluaci贸n del nivel de madurez de la organizaci贸n con respecto al cumplimiento de la nueva norma.
    鈥 Elaborar un plan de acci贸n con las principales recomendaciones para la adecuaci贸n a la GDPR. Esto puede suponer el cambio de procedimientos de operaci贸n, el dise帽o de nuevos procedimientos y la identificaci贸n de nuevas herramientas que resulte necesario implantar.

    Fase de Implantaci贸n. Consiste en el establecimiento del conjunto de procedimientos y herramientas de acuerdo con el plan de acci贸n llevado a cabo en la fase de evaluaci贸n. Las actividades a desarrollar en esta fase ser铆an las siguientes:

    鈥 Ejecuci贸n del plan de acci贸n para cumplir con la GDPR.
    鈥 Establecer los acuerdos necesarios con los fabricantes de software.

    Para poder conseguir la autorizaci贸n de los usuarios o clientes, o para poder gestionar esos permisos de forma conveniente, no va a quedar m谩s remedio que implantar una serie de herramientas orientadas tanto a la automatizaci贸n de los nuevos procedimientos como a la identificaci贸n de las posibles fugas de informaci贸n que puedan llegar a producirse.

    As铆, adem谩s de contar con herramientas que den soporte a la implantaci贸n de los nuevos procedimientos que se tendr谩n que institucionalizar en la organizaci贸n, ser谩 necesario contar con soluciones de:

    鈥 Detecci贸n de fugas de informaci贸n
    鈥 Procesos autom谩ticos para recoger consentimientos
    鈥 Encriptaci贸n de datos
    鈥 Gesti贸n de identidades

    Fase de Verificaci贸n. El objetivo fundamental es garantizar el cumplimiento de la GDPR. La actividad fundamental ser铆a asegurar que las implantaciones llevadas a cabo en la fase anterior permiten a la organizaci贸n cumplir, de forma efectiva, con los objetivos de la GDPR.

    Es conveniente que cada organizaci贸n dise帽e un Plan de Acci贸n completo y personalizado basado en esas tres fases. Tanto el dise帽o del plan como su ejecuci贸n puede llevarse a cabo internamente o con la ayuda de uno o varios consultores especializados. En este 煤ltimo caso, a la hora de seleccionar el partner m谩s adecuado es recomendable que la empresa se asegure de que su compa帽ero de viaje cuenta con la suficiente experiencia en la realizaci贸n de auditor铆as para la LOPD; que conoce a fondo la nueva norma europea, a fin de que pueda llevar a cabo una evaluaci贸n integral, sin fisuras, y que cuenta tambi茅n con acuerdos con distintos fabricantes de herramientas que cubran las necesidades a lo largo de las distintas fases de implantaci贸n.

    La llegada del nuevo Reglamento Europeo de Protecci贸n de datos va suponer la puesta en marcha de un espacio 煤nico europeo en lo que a聽ciberseguridad se refiere. Supone, adem谩s, reconocer el verdadero valor de los datos como el nuevo petr贸leo del entorno digital, as铆 como proteger los derechos de los ciudadanos. Las organizaciones deben actuar en consecuencia y dedicar los recursos necesarios para cumplir con la ley. No tanto por temor a ser sancionadas, sino por una cuesti贸n de respeto hacia sus clientes.

    Por Luis Redondo
    Responsable del 脕rea de Ciberseguridad de MTP

    Ver m谩s historias