Hacia el cumplimiento del GDPR en cinco pasos

Si su empresa se está preparando para el GDPR (reglamento general de protección de datos) debe saber que no es la única, de acuerdo con recientes encuestas realizadas en distintos medios. Estas encuestas plantean preguntas sobre el modo en el que las empresas se están preparando o se han preparado para los cambios que supone el GDPR y, en general, sobre temas relacionados con la ciberseguridad.

Sobre las empresas que han aplicado cambios, lo habitual es que hayan introducido o actualizado políticas. Un número menor también ha creado o modificado los planes de backup, instalado o actualizado el software antivirus o incluso optado por la externalización de la ciberseguridad.

Lo preocupante es que estamos hablando de un número muy reducido de empresas. Esto deja claro que el cumplimiento del GDPR puede suponer un problema, dado que se considera que no es más que un “asunto del departamento TI”. Da la impresión de que muchas empresas confían de manera exagerada en el modo en el que gestionan los datos o que opinan que es el problema de otra persona, por lo que queda claro que no entienden la relevancia de este reglamento. Cumplir con lo establecido por el GDPR, tanto en la fase de preparación como de mantenimiento, debería ser una cuestión de colaboración de toda la empresa. Y no solo porque las empresas que no cumplan tendrán que hacer frente a importantes sanciones que afectarán a todos.

Lo dispuesto por el GDPR parece importante, precisamente porque lo es. Las leyes de protección de datos no se habían actualizado desde 1995 a pesar de que las cosas han cambiado mucho. Desde luego, en 2018 las empresas recopilan y almacenan datos de forma muy diferente al modo en el que se hacía entonces.

Si lo vemos desde ese punto de vista, el GDPR llega con cierto retraso. Las empresas deberían ver el nuevo reglamento como una oportunidad para actualizar su relación con la protección de datos y para asegurarse de que están listas para el futuro. Es mejor implantar una metodología integrada en el tejido de la empresa y no limitarse a que sea una idea adicional o algo que tenga que resolver el departamento de TI.

Tal y como lo veo, existe un modo sencillo de enfocar el cumplimiento del GDPR. Los cinco pasos que se detallan a continuación resumen el proceso que Veeam llevó a cabo para prepararse. Vamos a compartir esta información para que así puedan recorrer el camino hacia el cumplimiento lo antes posible.

Conocer los datos
 

Si su empresa tiene o almacena datos de ciudadanos de la UE, datos definidos formalmente como IPI (información relativa a una persona física identificada o identificable), entonces tiene que cumplir con lo establecido en el GDPR. Esto significa que puede ser sancionada si no cumple con el reglamento a partir del 25 de mayo de 2018. Por tanto, el mejor punto de partida es saber si la empresa guarda ese tipo de datos o no y en caso de que así sea, dónde los almacena. Crear un mapa visual de todos los datos nos permite tener una idea más amplia y llevar un mejor control.

Desconocer el tipo de datos que se conservan podría ser otra de las razones que explicaría el porqué muchas empresas no están prestando atención al GDPR o sencillamente piensan que no tiene nada que ver con ellas. Puede darse el caso de que consideren que no almacenan datos pertinentes (pista: si entre sus empleados hay ciudadanos de la UE, sí que lo hacen) o que no se hayan percatado de la amplitud y el alcance de los datos que tienen (pista: los datos personales son algo más que nombres y direcciones). Precisamente por eso, conocer los datos es el primer paso en el camino hacia el cumplimiento.

Gestionar los datos

Una vez que se dispone de información sobre los datos pertinentes que se recogen y almacenan, es hora de analizar quién tiene acceso a los mismos y cómo se utiliza ese acceso. Distintos equipos y departamentos de la empresa pueden estar accediendo a los mismos datos de forma diferentes, usándolos para diversos propósitos. Ya sea el equipo de marketing que introduce datos sobre clientes potenciales y los comparte con el equipo de ventas o el departamento de recursos humanos que gestiona los datos de los empleados, resulta esencial implantar los procedimientos y flujos de trabajo estándar relacionados con el tratamiento de datos personales y que los empleados solo tengan acceso a este tipo de datos cuando sea necesario para el desempeño de sus tareas.

Gestionar los datos tiene que ver con la visibilidad que permite conocer todo lo que sucede con los mismos, incluso si dicha gestión no la lleva a cabo la empresa. Cumplir con el GDPR también depende de lo que hagan los proveedores externos con los que trabajamos, por lo que es nuestra responsabilidad asegurarnos de que respetan lo dispuesto por el reglamento. No deberíamos ignorar el tratamiento de datos una vez que la responsabilidad recae en otros.

Proteger los datos

Ya tenemos un mejor control de los datos e implantamos procesos estandarizados para gestionarlos, es hora de asegurarnos de que contamos con la seguridad adecuada para su protección y con eso no me refiero solo al cifrado de la información. Para cumplir no basta con ‘activar’ la seguridad y relajarse, el GDPR requiere una atención y control constante, además de una respuesta rápida en caso de que se produzca una filtración de datos.

Es verdad que la tecnología desempeñará un papel fundamental en este camino, pero depender únicamente de la tecnología no va a ser suficiente si nuestro objetivo es el cumplimiento. Para implantar en toda la empresa un enfoque nuevo relacionado con la protección de datos es necesaria una combinación de técnicas de seguridad, flujos de trabajo estandarizados, formación interna, control de los accesos y soluciones de backup, entre otras muchas cosas. Saber quién tiene acceso, desde dónde y cuándo, llevando una auditoría y monitorización continua nos permitirá actuar de manera más rápida cuando se produzcan filtraciones de datos. A pesar del esfuerzo de todos, en la actualidad resulta prácticamente inevitable sufrir una filtración.

Documentar y cumplir

Uno de los puntos del GDPR que más ha llamado la atención es la introducción de las solicitudes de datos, lo que significa que una persona tendrá el derecho a pedir a las empresas que modifiquen o eliminen sus datos. Se espera que las empresas atiendan estas solicitudes y demuestren que lo han hecho, por eso es crucial la visibilidad de los datos almacenados y del lugar en el que se conservan.

El cumplimiento continuado del GDPR también requiere que se documente y se lleve a cabo una auditoría de los datos que se recopilan, para qué se usan y durante cuánto tiempo se almacenan. Durante este paso nos planteamos las siguientes preguntas: ¿Aún son relevantes hoy los datos que recopilamos hace meses? ¿No perdemos la visibilidad de los datos cuando los trasladamos de un sitio a otro? ¿Sabemos si nuestros proveedores externos cumplen con el reglamento?

Seguir mejorando

Uno de los beneficios de llevar un control constante de los procesos de protección de datos es que esto nos permite revisarlos y mejorarlos. Es cierto que el GDPR traza una línea divisoria clara, pero a medida que el mundo digital en el que vivimos sigue evolucionando y ampliándose, es fácil asumir que las responsabilidades relacionadas con la privacidad y protección de los datos seguirán aumentando, por lo que las empresas deberán mejorar constantemente para cumplir con el reglamento.

No deberíamos pensar en el GDPR como una casilla marcada en mayo de 2018; en lugar de eso, las empresas deberían entender que es una oportunidad para replantear por entero el modo en el que gestionan la protección de datos, algo que deberán hacer tanto ahora como en el futuro. Les ofrece a las empresas la opción de estar listas para el día de mañana, algo que no deberían desaprovechar.

Hemos aprendido mucho sobre nuestra empresa y nuestros datos durante el proceso para garantizar el cumplimiento del GDPR. Esperamos que nuestro caso os sea de ayuda.

Noticias Relacionadas: