Contacto
Volver

Cumplimiento del RGPD: ¿qué enfoque adoptar?

Imagen del slider

25 de mayo de 2018

En la actualidad, estamos asistiendo a un increíble auge del valor de los datos personales. De hecho, para 2020, su valor podría ascender a 1 billón de euros al año (fuente: Boston Consulting Group). Sin contar los retos empresariales y de marketing, así como los actos maliciosos que podrían provocar. Por lo tanto, protegerlos se convierte en algo esencial.

Las principales novedades del RGPD

Hoy en día, cada Estado europeo cuenta con una autoridad encargada de la protección de datos personales, que ha establecido, en mayor o menor medida, un marco legislativo sobre el uso de los datos personales. En Francia, la CNIL se encarga de supervisar la aplicación de la ley «Informática y Libertades» del 6 de enero de 1978. Este marco legislativo define los principios que deben aplicarse en la recogida, el tratamiento y la conservación de dichos datos.

La directiva actual data de 1995 y no había previsto el auge de Internet, el big data, la nube ni la recopilación masiva de datos personales.

El Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR en inglés) tiene por objeto armonizar la protección de datos en el seno de la Unión Europea y actualizar la legislación europea con el fin de proteger a los ciudadanos europeos contra el uso fraudulento de sus datos personales.
Además, este reglamento prevé un aumento de las sanciones económicas, que pueden alcanzar hasta el 4 % de la facturación mundial, y muestra claramente un refuerzo de la voluntad de hacer cumplir las buenas prácticas en materia de protección de datos.

La entrada en vigor de este reglamento para todas las empresas del mundo que tratan datos personales de ciudadanos europeos está prevista para el 25 de mayo de 2018. Se trata de un punto importante y de un giro de 180 grados, ya que ya no se tiene en cuenta a la empresa o al titular de los datos, sino al ciudadano europeo, cuyos datos se conservan y respecto a los cuales la empresa titular debe demostrar que están protegidos. El RGPD devuelve, por tanto, la propiedad de los datos a los ciudadanos y ya no a las empresas.

Los pasos para lograr el cumplimiento normativo

Las empresas que aún no lo hayan hecho deberán, en primer lugar, nombrar a un delegado de protección de datos (DPO), que se encargará de velar por la correcta aplicación del RGPD. Asimismo, deberán realizar una auditoría para evaluar la situación actual en materia de seguridad de los datos personales y definir una hoja de ruta.

El enfoque global recomendado sigue un método pragmático para organizar el plan de cumplimiento:

  1. Elaborar un mapa en el que se identifiquen con precisión todos los tratamientos de datos personales (¿Dónde se encuentran los datos? ¿Quién es el responsable del tratamiento? ¿Cómo se protegen los datos? Etc.)
  2. Analizar las deficiencias con respecto al conjunto de requisitos del RGPD
  3. Definir y priorizar las medidas correctivas y los proyectos que deben ponerse en marcha
  4. Reorganizar los procesos de gestión de proyectos incorporando un enfoque de «Privacy by Design»

Por supuesto, cada empresa tendrá sus propios retos:

  • ¿Cómo gestionar los grandes volúmenes de datos que maneja el Big Data en el sector bancario?
  • ¿Cómo se pueden anonimizar los datos en el marco de los cálculos estadísticos de las aseguradoras? Una vez anonimizados los datos, ¿cómo se puede responder a la solicitud de un cliente que desea ejercer su derecho al olvido o a la portabilidad?
  • ¿Podrá una empresa que haya adoptado decididamente DevOps garantizar la seguridad de los datos que, en ocasiones, se replican en entornos de desarrollo no controlados?
  • Algunas empresas también han sucumbido a las tentaciones de la nube: ¿cómo pueden ahora garantizar la seguridad de sus datos, sobre los que ya no tienen un control total?

Cada caso requerirá soluciones adaptadas. Por ejemplo, en el marco de la externalización de datos en la nube, el cliente podrá solicitar la implementación de un plan de garantía de seguridad, incluir en el contrato cláusulas de reversibilidad y de localización, y auditar a los proveedores.

El delegado de protección de datos ante sus responsabilidades

Ante esta diversidad, el delegado de protección de datos deberá adaptarse y componer su propia estrategia, recurriendo tanto a instrumentos técnicos como organizativos y jurídicos. Asimismo, deberá demostrar un verdadero liderazgo para poner en práctica una gobernanza transversal en materia de protección de datos.

En cuanto a la política de las autoridades, es muy probable que, ante esta diversidad y unos niveles de madurez muy dispares, tengan que adoptar un enfoque pragmático para comprobar, en un primer momento, si se ha iniciado algún proceso y si se han tenido debidamente en cuenta todos los requisitos del reglamento.

En términos más concretos, una empresa que haya externalizado sus datos de recursos humanos sin cifrarlos o sin elaborar un plan de garantía de seguridad no debería ser sancionada económicamente, sino que se le impondrán una serie de recomendaciones que deberá aplicar. Es probable que los controles y las sanciones sean menos indulgentes con aquellas empresas que ya hayan filtrado grandes cantidades de datos personales o que hayan basado su modelo de negocio en datos de ciudadanos que no hayan dado su consentimiento de forma clara…