Índice
¿Qué es GDPR y cómo adaptar mi organización para cumplir?
El 25 de mayo de 2018 entró en vigor en toda la Unión Europea la normativa GDPR sobre protección de datos personales. Esta normativa obliga a todas las empresas y organizaciones que recopilen, usen, almacenen e intercambien datos de ciudadanos residentes en la UE a fijar un protocolo para salvaguardar la privacidad de dichos datos.
Su objetivo es otorgar a los ciudadanos residentes en la Unión Europea un mayor control sobre sus datos personales. Para ello, todas las empresas y organizaciones están obligadas a adaptar la gestión de los datos personales (listados de clientes, de correos electrónicos, fotos, grabaciones de cámaras de seguridad, bases de datos de programas de fidelización…) siguiendo los siguientes criterios:
Resuelva sus dudas sobre la aplicación del Reglamento General de Protección de Datos (GDPR)
- Tiene que haber un sistema que garantice que el usuario ha dado su consentimiento explícito (declaración) para que sus datos sean gestionados por la empresa y para qué fines concretos.
- Los usuarios deben tener claro cómo se están usando sus datos: máxima transparencia, garantizando la seguridad y confidencialidad de los mismos.
- Los datos solo pueden ser usados para los fines especificados originalmente, minimizando en los posible su recopilación y el tiempo de almacenamiento.
- Dar la posibilidad al usuario de modificar o eliminar sus datos.
La responsabilidad principal del cumplimiento de la normativa es del director general o CEO de la compañía, aunque puede delegarla. En caso de incumplimiento, están previstas sanciones que pueden llegar a los 20 millones de euros o el 4% del volumen de negocio global anual de la empresa.
¿Qué pasos tengo que dar para cumplir con la normativa GDPR?
Son cuatro las etapas que debe recorrer la organización para adaptarse a la nueva normativa:
- Detectar y evaluar la situación actual del sistema de protección de datos.
- Gestionar el sistema que va a seguir para proteger adecuadamente los datos de sus usuarios.
- Establecer un sistema de protección que garantice la confidencialidad de sus datos.
- Crear un sistema de información periódico para controlar el cumplimiento de los protocolos de protección de datos.
A lo largo de estas etapas, las empresas deberán ir implementando de forma progresiva diferentes medidas que afectarán tanto a la organización de la compañía como a la infraestructura tecnológica y a los procesos en los que los datos de los usuarios estén presentes. Algunas de estas medidas son:
- Realizar una auditoría del estado actual del sistema de protección de datos.
- Establecer un sistema de protección desde el diseño y también por defecto.
- Medidas para proteger la seguridad de los datos.
- Mantenimiento de un registro de tratamientos de los datos.
- Realizar evaluaciones de impacto sobre la protección de datos.
- Nombrar un delegado de protección de datos.
- Notificar las violaciones de la seguridad de los datos.
- Promover códigos de conducta y esquemas de certificación.
El GDPR también obliga a las empresas a informar (de forma clara, sencilla y concisa), en sus avisos de privacidad, de la base legal que da cobertura al tratamiento de los datos; el período de retención de los mismos y los pasos que deben seguir los interesados para realizar cualquier modificación o reclamación.
¿Qué infraestructura necesito para dar cumplimiento a la normativa?
Antes de establecer qué necesidades humanas y técnicas se necesitan para abordar adecuadamente la normativa GDPR hay que realizar lo que se denomina un “estudio del arte”, es decir, un análisis detallado del punto en el que se encuentra la organización en materia de seguridad y protección de datos. Normalmente se hace con una auditoría de la mano de un partner tecnológico especializado y/o de un abogado especialista en seguridad y protección de datos. El resultado de la auditoría determinará la necesidad de recursos.
En cualquier caso, la implantación requerirá probablemente incorporar mecanismos internos que quizá antes eran inexistentes, documentar procesos, registrar los tratamientos y velar por su cumplimiento. También será necesario establecer internamente códigos de conducta, porque se adquiere una responsabilidad activa sobre los datos. Las tareas a realizar incluyen:
- La comprensión de las áreas afectadas.
- Inventariar y clasificar los datos que se gestionan.
- Encriptar / anonimizar los datos, teniendo en cuenta tanto los directos como los que nos ayuden a identificar de forma indirecta a los ciudadanos.
- Evitar la pérdida de datos, con el reto siempre cambiante de la ciberseguridad.
- La formación a los empleados para que conozcan sus funciones y responsabilidades.
- Asegurar una fácil portabilidad de los datos.
Además, la plataforma tecnológica de la compañía tiene que permitir:
- Estar al día frente a las amenazas de seguridad.
- Tener mayor visibilidad de los ataques.
- Asegurar que cumpla con el GDPR.
- Confirmar que la nube pública que contiene los datos disponga de mecanismos apropiados de seguridad, actualizados en base al GDPR.
- Proteger los dispositivos móviles de los usuarios.
- Gestionar múltiples soluciones de seguridad de diferentes fabricantes.
Se necesita pues un entorno tecnológico que garantice alta seguridad, total flexibilidad, escalabilidad y una continua actualización. Una propuesta que hacemos desde Tipsa es actualizar convenientemente su software “on-premise” o, directamente, apostar por un modelo de suscripción en la nube.
Se trataría de una transición a entornos híbridos, o puramente SaaS, apoyados en una administración basada en la nube, al ritmo que precise cada organización y manteniendo el control a través de una consola de administración unificada.
Los productos y servicios en la nube de Microsoft (Azure, Dynamics 365 Business Central, Dynamics 365 CRM, Microsoft 365 | Office 365, Power BI…) cumplen, por diseño, los estándares de la nueva normativa y todos se han configurado para que las organizaciones mejoren el control de toda la información corporativa.
Normativa GDPR: no sólo una obligación, también una oportunidad
GDPR puede convertirse en una ventaja competitiva para aquellas organizaciones capaces de capitalizar las oportunidades que brinda la norma en materia de seguridad, transparencia y mejora de las políticas de gestión de la información. Para ello es preciso establecer y alinear los objetivos globales de negocio con los nuevos objetivos de gestión y tratamiento de los datos. Con ello fortalecemos la empresa ante posibles litigios y riesgos de seguridad. Pero también aprovechamos la oportunidad para incorporar infraestructura tecnológica de última generación, que sin duda se traducirá en mejoras de competitividad y rentabilidad para las empresas.