José Battat · Cinco dudas sobre el Reglamento General de Protección de Datos · GDPR

Dudas sobre el RGPD

José Battat · Cinco dudas sobre el Reglamento General de Protección de Datos · GDPR

José Battat es director general de Trend Micro Iberia

Más de la mitad (54%) de las empresas globales creen que no están preparadas para la cumplir con el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés o RGPD), según una investigación de KPMG publicada en abril. Inevitablemente, esto dejará a muchas compañías en un estado de incumplimiento antes del 25 de mayo. Entonces, ¿qué pasará? ¿Ya es demasiado tarde? ¿Las firmas que no lo consigan serán sancionadas con megamultas desde el primer día? La buena noticia es que cumplir con la normativa es un viaje, no un destino. A continuación, respondemos a cinco preguntas comunes sobre GDPR:

¿Me van a multar?

No. El regulador del Reino Unido, la Oficina del Comisionado de Información (ICO), ha sido muy claro a este respecto: «Es alarmista asegurar que vamos a poner en el punto de mira a las organizaciones por infracciones menores o que las multas máximas se van a convertir en la norma». Pero también es importante tener en cuenta que mientras los reguladores buscarán desempeñar un papel consultivo y educativo -utilizando el valor añadido de diferenciación competitiva en lugar de aplicar multas punitivas-, al mismo tiempo habrá límites.

En resumen, las organizaciones que no hagan ningún esfuerzo por cumplir con la ley después del 25 de mayo pueden correr el riesgo de sufrir algún tipo de acción coercitiva o multa, especialmente si manejan datos personales confidenciales o los procesan de forma potencialmente intrusiva. Como dice el ICO: “No es el tamaño de la organización lo que es relevante, sino el riesgo que plantean las empresas y los tipos de procesamiento de datos en particular”. La postura del ICO se puede hacer extensiva al resto de reguladores de otros países de la UE.

¿Es demasiado tarde para cumplir?

Definitivamente no. Este no es el escenario del «Efecto 2000». El cumplimiento con el GDPR es un proceso continuo que cambiará y evolucionará con el tiempo. Todavía hay tiempo, incluso si se comienza ahora. Si los reguladores ven que se están tomando medidas concretas para comenzar este viaje hacia el cumplimiento es más probable que estén seguros de que tiene los mejores intereses de sus clientes y empleados de cumplir con la norma. Esto también significa, que es necesario disponer de un equipo dedicado y un responsable de protección de datos (DPO) para gestionar esto de forma continua.

¿Por dónde empiezo?

Puede parecer una propuesta desalentadora, pero hay algunos pasos de buenas prácticas que se pueden seguir para comenzar. En primer lugar, hay que conocer de qué datos se dispone y dónde fluyen, dentro y fuera de la organización. Es importante poner en marcha una auditoría integral de datos y, a continuación, clasificar esos datos de acuerdo con el riesgo que plantean. Una vez hecho esto, se trata de un caso de mapeo de controles de seguridad y procesos de esa información para reducir el riesgo.

El GDPR se basa en el régimen de protección de datos europeo anterior, así que si cumple con ese ya habrá recorrido buena parte del camino. También hay que buscar marcos de mejores prácticas como ISO 27001 e incluso el NIST de EE.UU. como ayuda, ya que ofrecen enfoques clave de mejores prácticas para la privacidad, controles y gestión de riesgos.

He enviado la aceptación, ¿eso es suficiente?

Desafortunadamente no. El GDPR supone mucho más que obtener el consentimiento explícito de los clientes para usar sus datos. También se trata de la responsabilidad y de la protección de los datos: garantizar que se almacenan y procesan esos datos de forma segura y de conformidad. Es importante comprobar que incluso si se cumple con el derecho al olvido o con las solicitudes de portabilidad de datos, es posible que aún se deban retener algunos datos de auditoría para otros requisitos de cumplimiento y presentación de informes como SOX. La minimización de datos es un principio clave de la regulación, pero hay que tener en cuenta donde están los límites.

¿Qué hay de mis proveedores?

Este es en la actualidad el punto negro del GDPR más grande y potencialmente más peligroso. Según KPMG, solo el 10% de las firmas globales han verificado que van a revisar si sus proveedores cumplen con los requisitos. Las complejas cadenas de suministro actuales, incluyendo múltiples proveedores de servicios gestionados y cloud, lo hacen de forma onerosa.

Pero también es vital, dado que muchas infracciones ocurren cuando las organizaciones asociadas son atacadas y utilizadas como escalones en su red. Revisar todos los contratos y auditar a los proveedores para verificar el cumplimiento, es importante. Recuerde, nunca es demasiado tarde para comenzar con el cumplimiento: si se toma el proceso en serio, incluso podría ser una gran oportunidad para diferenciarse y hacer crecer su negocio.

Fuente: ABC

Deja un comentario