GDPR/RGPD, DPO o DPIA? ¿Qué son y para qué sirven?
- Opinión
Juan Francisco Canto, Business Development Manager, Cybersecurity Area, de EinzelNet repasa en este artículo algunas de las claves de GDPR. Prestad cuidado, porque algunas consultoras no están siendo claras y el acatamiento de la parte legal no es suficiente.
En estos últimos meses hemos recibido y leído multitud de ofertas y artículos advirtiéndonos de la obligatoriedad de cumplir con el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Sí, pero… ¿qué tengo que hacer en realidad?
Numerosos bufetes de abogados ofrecen servicios para adaptar las organizaciones al nuevo reglamento, pero mucho cuidado, como ya apunta la directora de la AEPD, Mar España: “Hay consultoras que están engañando a las empresas ante el nuevo reglamento de datos”. ¿Qué quiere decir esto? Pues principalmente que el acatamiento de la parte legal NO es suficiente para cumplir con la nueva directiva.
El principio que integra fundamentalmente RGPD viene en responder a esta sencilla pregunta: ¿Qué medidas van a tomar las empresas, organizaciones y organismos para proteger la información que de manera particular les préstamos para hacer los tratamientos que les hemos autorizado?
Es en este punto donde nadie parece tener una respuesta estándar; cada organización es distinta y cada una tendrá que adoptar medidas diferentes para cumplir el nuevo reglamento. Lo que sí parece claro es que todas las organizaciones deberán implementar cambios en sus procesos y en sus sistemas actuales, incluyendo paradigmas tales como “Privacy by Default” y “Security by Default” para los nuevos tratamientos de datos, mostrando así un interés por proteger dichos datos, de acuerdo a la normativa de la UE.
La información, el activo empresarial más preciado
La información que almacena una organización no se refiere solo a datos de clientes; son los propios de empleados, proveedores, desarrollos, software o contratos. Toda esa información afectada o no por RGPD compone el principal activo de una compañía y, como tal, debe estar inventariada, catalogada e incluir un análisis de riesgo siempre actualizado.
El reglamento requiere que sea realizada una Evaluación de Impacto de Privacidad de los Datos (EIPD) para poder medir el origen, naturaleza, particularidad y gravedad de los riesgos a los que están expuestos, y saber cuáles son en realidad las medidas que deben ser tomadas para proteger esos activos. Nuestra recomendación es no dejar ningún activo sin evaluar; las brechas de seguridad pueden ocurrir donde menos imaginamos. Sirva como ejemplo el robo de datos acontecido recientemente en un casino y en el que los hackers utilizaron como vector de ataque un termostato de una pecera conectado a Internet (IoT). Por tanto, RGPD nos da la oportunidad de poner en orden los activos de una organización y no sólo los afectados por el reglamento.
DPD, figura clave ante el nuevo reglamento
El RGPD, bajo el principio de responsabilidad proactiva (Artículo 5.2), exige al DPD (Delegado de Protección de Datos) la aplicación de las medidas organizativas y técnicas apropiadas a fin de garantizar y poder asegurar que todos los datos afectados por el reglamento son tratados conforme a éste. Además, el DPD representará a la organización frente a la Asociación Española de Protección de Datos (AEPD) y, por tanto, deberá identificarse como tal.
Como asesor de protección de datos de la empresa, el DPD asume competencias en materia de coordinación y control del cumplimiento de la normativa dentro de cada organización. Aunque incluir esta figura dentro de las organizaciones no es obligatorio, sí es muy recomendable. En el Proyecto de Ley Orgánica de Protección de Datos, que se encuentra actualmente en el Congreso pendiente de aprobación, se recogen 16 casos en los que sí debe existir la figura del DPD en España. Además, el reglamento permite contratar un servicio externo que ejerza esta figura dentro de las organizaciones, lo que asegura acatar el cumplimiento sin incrementar en demasía los costes fijos.
Entre los servicios que una empresa especializada en RGPD debería prestar se incluyen desde la adecuación legal al reglamento, formación y concienciación del personal (aspecto fundamental) hasta el impulso del desarrollo de las políticas de seguridad. Asimismo, la realización de evaluaciones del impacto y la recomendación de auditorías de seguridad, así como sugerencias sobre soluciones y mecanismos técnicos a adoptar por el Consejo de Administración de la empresa, responsable de la seguridad de la información de la misma, son claves.
En conclusión y con una visión claramente optimista y constructiva, la nueva normativa va a promover que empresas e instituciones adquieran una mayor concienciación y responsabilidad sobre la protección de la información. Esto, además, aportará mayor eficiencia y menor riesgo en la prestación de servicios.
Las nuevas tecnologías conllevan una securización por defecto en todas sus implantaciones. No podemos correr el riesgo de quedar expuestos ante amenazas y vulnerabilidades que pudiesen comprometer la actividad y el negocio de nuestras empresas; sin olvidar las consecuencias que una posible multa conllevaría para las finanzas pero, sobre todo, para la reputación de la marca.
Juan Francisco Canto, Business Development Manager, Cybersecurity Area, EinzelNet