Cinco claves para prepararse ante la nueva GDPR

0
SealPath, compañía especializada en la creación de soluciones para la protección y el control de la información confidencial IRM, publica cinco aspectos clave que las empresas deben tener en cuenta para adaptarse a la nueva regulación europea de protección de datos (GDPR).
 Aunque hasta mayo de 2018 no entrará en vigor, los expertos destacan la importancia de que las empresas vayan adaptándose a los requerimientos de la nueva regulación europea de protección de datos. Si bien son muchos los beneficios que la nueva regulación plantea para los ciudadanos, como el derecho al olvido, un mayor conocimiento de la gestión de sus datos, o su consentimiento para su tratamiento, lo cierto que es que, para las empresas, conlleva una serie de implicaciones para las que deben estar preparadas.
 La firma SealPath destaca cinco aspectos clave que las corporaciones deben tener en cuenta a la hora de almacenar y gestionar los datos de los usuarios para cumplir con el nuevo reglamento.
 1. Analiza qué datos de terceros gestiona tu organización. Obtén un esquema preciso entre las diferentes unidades de la organización sobre qué datos se recogen de terceros y dónde se almacenan éstos. Realiza un inventario de los mismos indicando el tipo de dato recogido, dónde se recoge y dónde se almacena.
Una buena parte de este trabajo ya se habrá hecho para cumplir con la anterior regulación (LOPD en España), pero es buen momento para llevar a cabo una revisión. Ten en cuenta que para la GDPR cualquier dato que puede identificar a un usuario (incluyendo emails, IPs…) cuenta.
 2. Revisa tu política de privacidad para los datos recogidos de terceros. Hay que tener en cuenta que el consentimiento sobre la cesión de datos debe ser explícito. Debe ser aceptado por el usuario (libre, específico, informado y no ambiguo) y no vale recoger datos por defecto. Las políticas de privacidad deben ser claras y concisas y, por supuesto, requerir el consentimiento del usuario sobre si está interesado en que sus datos puedan ser compartidos con terceros.
Revisa esta política en cada punto donde requieras datos de los usuarios. A la hora de desarrollar software y servicios piensa en implementar la “Privacidad por Diseño”, teniendo estas consideraciones de adquisición y gestión de datos de tercero bien presentes desde el inicio.
3. Comprueba si debes nombrar un Delegado de Protección de Datos (Data Protection Officer). Si su empresa es de más de 250 empleados, si el core de su compañía consiste en el procesado y gestión de datos de terceros o si gestiona datos de categorías especiales (raciales, étnicos, políticos, religiosos, genéticos, biométricos, orientación sexual, criminales, etc.) debería nombrar un delegado de protección de datos.
El DPO debe informar y asesorar a la compañía de sus obligaciones, monitorizar el cumplimiento de políticas de la organización, documentar los datos que se recogen, registrar destinatarios, monitorizar fugas y responder a las peticiones de las autoridades supervisoras. Puede ser recomendable pedir asesoramiento externo, para ver cómo gestionar este punto, sea con personal externo o interno.
dataprotection
4. Prepárate para las notificaciones de una pérdida o fuga de datos. Las organizaciones deben notificar a las autoridades supervisoras las fugas de datos en las que se pongan éstos en riesgo, de forma que puedan tomar las medidas apropiadas. El periodo para dar la notificación es muy corto: 72 horas. Por otro lado, las multas potenciales a las que se expone la empresa son muy cuantiosas y pueden llegar a 20M€ o al 4% de la facturación.
En el ámbito de las notificaciones resulta crítico conocer qué riesgos de fuga hay en la organización y qué medidas hay para protegerse de los mismos. Esto puede resultar muy útil para implementar con agilidad un protocolo de notificación.
5. Implanta controles de seguimiento, gestión, y protección de datos. Los usuarios tienen el derecho de preguntar dónde se almacenan sus datos y de eliminarlos si es necesario o pedir una copia digital de los mismos para transferirla a otro si así lo considera necesario. Desde IT es importante preguntarse:
• ¿Puedo seguir los datos de los usuarios dentro de los sistemas de la empresa?
• ¿Puedo borrarlos si es solicitado o darles la opción de borrarlos a los usuarios?
• ¿Están estos datos protegidos de accesos indebidos?
 Por otro lado, si en el momento de la violación de seguridad los datos estaban protegidos de forma que fuesen ininteligibles por personas no autorizadas y la empresa puede probar esto, entonces no es necesario notificar la violación de seguridad a las personas cuyos datos han sido robados o perdidos. Esto aparte de evitar el proceso de notificación, puede evitar multas millonarias ya que es posible demostrar que se han puesto los medios necesarios para intentar controlar la fuga de datos.
 Prepararse para esta regulación no es cosa de un solo día. Tampoco hay parches sencillos que se puedan poner. Quedan 14 meses para que entre en vigor y conviene priorizar, entre otras estrategias de la empresa, su preparación para el futuro cumplimiento. Asesores externos para guiarte en este proceso, así como herramientas que permitan tener tus datos controlados, protegidos, minimizando los riesgos de fuga, pueden ser una gran ayuda cara a acelerar y preparar la empresa lo antes posible para su cumplimiento.
Share.

About Author

Leave A Reply