La aplicación del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) está, como quien dice, a la vuelta de la esquina. Apenas quedan cinco meses (25 de mayo) para que afecte a todas las organizaciones que gestionen datos de ciudadanos europeos, ya sean estas empresas públicas, privadas, ONGs… todas se verán afectadas por el reglamento.
De cara al obligado cumplimiento, muchos CDO (Chief Data Officer) probablemente tengan trabajo adicional, puesto que este reglamento incorpora ciertos requerimientos que no forman parte de la política habitual de muchas organizaciones.
Introduce, en primer lugar, la exigencia de nombrar un Delegado de Protección de Datos (DPO, Data Protection Officer) en varios supuestos que resumimos rápidamente: ser organización del sector público, hacer analítica masiva de datos de ciudadanos, o gestionar a gran escala datos sensibles de categorías especiales (raza, sexo, salud, religiosos, políticos, genéticos…). Si hay dudas al respecto, lo mejor será leerse el reglamento o asesorarse convenientemente por el departamento legal, ya sea este interno o externo.
Como sabemos, el DPO no tiene por qué ser el CDO, ambos tienen misiones diferentes. Mientras que en el CDO recae la responsabilidad de la gobernanza de los datos, la explotación para extraer todo su valor y la seguridad (siendo la ciberseguridad una de sus prioridades), las del DPO son el cumplimiento, la cooperación con los reguladores y la comunicación, formando a la empresa y a los empleados que participan en el procesamiento de datos para que cumplan los nuevos requisitos reglamentarios.
Volviendo a las novedades con las que GDPR supera a nuestra LOPD en requerimientos, hay que mencionar que ahora debemos asegurar a los individuos su derecho al olvido (eliminar todos los datos bajo petición, excepto los que la ley nos obligue a mantener), a la portabilidad a otra organización que él designe, a restringir el procesamiento, y a dar a conocer exactamente lo que se hace con sus datos. Y, además, éstos deben otorgarnos su consentimiento claro y explicito para usarlos con aquellos fines para los que han sido recabados.
Otra novedad que introduce GDPR y que afecta a las organizaciones de mayor tamaño es el mantenimiento de registros internos detallados de las actividades de procesamiento. Lo que incluye registros sobre los fines del procesamiento, las categorías de datos personales procesados, las transferencias de datos personales dentro y fuera del Espacio Económico Europeo y las medidas de seguridad empleadas para proteger los datos.
Todo esto supone no sólo incorporar mecanismos internos que quizá antes eran inexistentes, sino documentar procesos, registrar los tratamientos y también dedicar un esfuerzo continuo para velar por el cumplimiento. Es necesario establecer internamente códigos de conducta, porque se adquiere una responsabilidad activa sobre los datos.
Asimismo, el GDPR obliga a notificar las brechas de seguridad dentro de las 72 horas posteriores a su descubrimiento. Por ello, los controladores de datos deberán notificar a las autoridades de supervisión (en nuestro caso la Agencia Española de Protección de Datos) las violaciones de datos sin demoras indebidas. Adicionalmente los sujetos de datos también deberán ser notificados sin demora si la violación de datos personales representa un “alto riesgo” para sus derechos y libertades.
¿Cuáles son los retos del CDO?
- Comprensión de las áreas afectadas
- Inventariar y clasificar los datos que se gestionan
- Encriptar/Anonimizar los datos, teniendo en cuenta tanto los directos como los que nos ayuden a identificar de forma indirecta a los ciudadanos
- Evitar la pérdida de datos, con el reto siempre cambiante de la ciberseguridad
- La formación a los empleados para que conozcan sus funciones y responsabilidades
- Asegurar una fácil portabilidad de los datos
- La definición del “estado del arte” de la propia organización
Hay que revisar nuestra plataforma tecnológica para ver en qué punto de cumplimiento regulatorio estamos. Dejamos para el final un detalle revelador: según un reciente estudio de finales de 2017 de IDC Research España sobre el impacto de GDPR en las empresas españolas, tan sólo el 10% de las organizaciones de nuestro país están ya preparadas para GDPR. Y puestos a mencionar cifras, otra no menos importante: las sanciones pueden llegar hasta los 20 millones de euros o el 4% de la facturación global de la organización.
IDC Research España también nos dice en su estudio que un 5% de organizaciones no sabe por dónde empezar. Estemos o no en esa situación, sugeriremos un camino en nuestro próximo post…
Fuente: Microsoft