Ya ha llegado el 25 de mayo, ¿y ahora qué? ¿Están las empresas preparadas para su cumplimiento?
En líneas generales creemos que no. Cierto es que ha habido una efervescencia en el sector empresarial debido a la cantidad de noticias que se han generado, pero muchas veces han venido acompañadas de mensajes erróneos y contradictorios que han llevado a muchas empresas a no comprender el verdadero calado e importancia de los cambios que hay que acometer con relativa urgencia. Es importantísimo un buen asesoramiento y evaluación de la situación de cada empresa. No se puede estandarizar un modelo de cumplimiento.
¿Qué organizaciones son las que más necesitan protegerse?
Todas las empresas, organizaciones e instituciones públicas o privadas están obligadas al cumplimiento normativo de GDPR. Pero, sin duda, las que por su actividad gestionen o estén obligadas al tratamiento y almacenamiento de datos son las más afectadas. Por sectores, el educativo, hotelero, sanitario, administración pública son un ejemplo de los más sensibles. Los datos de origen étnico o racial, opiniones políticas, religiosos, afiliaciones sindicales, datos genéticos, biométricos, relativos a la salud y de la orientación sexual componen un grupo de especial tratamiento y con unas connotaciones legales muy especiales. Cualquier entidad que trabaje con este tipo de base de datos deberá ofrecer, garantizar e implementar las medidas técnicas necesarias para protegerlos.
Ante GDPR y para evitar posibles sanciones, las empresas están adoptando una estrategia de seguridad basada en tres puntos: despliegue de infraestructuras (seguridad), inventario de activos y plan director de seguridad. Sin embargo, con esto no es suficiente, se da una necesidad de tomar medidas técnicas para ampliar esta seguridad. ¿Me hablas sobre ello?
Los tres puntos que citas son sin duda importante y necesarios, pero no suficientes. Ante el reto que nos plantea el nueva GDPR hay que establecer una estrategia de responsabilidad activa con un plan director de seguridad que recoja todos los requisitos del análisis de riesgo y todos los proyectos de seguridad que de él deriven. Su cronograma de implementación y las actualizaciones periódicas que un DPO marque y realice. Recordemos que uno de los planteamientos a los que tenemos que responder ahora es: una vez que organizamos la información y los datos de nuestra organización, ¿qué medidas vamos a tomar para protegerlo? Y es ahí donde las medidas y los proyectos técnicos son imprescindibles.
En el caso de las pymes, ¿qué pueden hacer estas empresas para cumplir con GDPR?
Las pymes, al igual que cualquier organización, tienen que adaptar sus procesos a la nueva normativa. No por ser una pyme están exentas de responsabilidades. En muchos casos se pueden ver más afectadas, debido al tipo de dato con el que trabajan, que compañías mucho más grandes. Un ejemplo claro pueden ser las clínicas o guarderías. Lo principal es que estén concienciadas y que tomen lo antes posible medidas que impidan sufrir un incidente de seguridad que pueda afectar a datos de terceros, lo que ocasionaría sin duda una sanción y una importante pérdida de credibilidad. Los procesos y soluciones que tienen que implementar no tienen que ser complejos, pero si necesarios y urgentes
Entra en escena el DPO o data protection officer. ¿Qué importancia tiene esta figura?
La figura de DPO (delegado de protección de datos) es una figura que va a tomar una relevancia importante dentro de la estructura de las organizaciones y empresas. Su perfil ha de combinar un conocimiento jurídico de la normativa con uno técnico para recomendar las medidas de seguridad a implantar. Tiene que ser alguien independiente que, además, reporta al consejo de dirección (responsable último de la seguridad de la información). No es obligatorio para todas las empresas u organizaciones, pero si muy recomendable. Es una figura principal hacia dentro, por su trabajo de supervisión de los procesos e implementación de medidas de seguridad; como hacia fuera en la interrelación con la Agencia Española de Protección de Datos.
¿Qué hacer si eres una pyme con recursos limitados? ¿Puedes subcontratarlo?
El servicio de DPO se puede contratar en plantilla, asumiendo las connotaciones económicas y laborales que conlleva (es casi “intocable”) o externalizar el servicio en un “DPD Virtual”. Este es un servicio que empresas especializadas prestan en un modelo acorde y adaptado a las necesidades reales de cada empresa u organización. Debe ser un servicio a medida y regulado por una contratación que recoja todas las atribuciones y responsabilidades que se trasladen a este servicio.
¿Qué papel juega el sentido común para cumplir con GDPR?
¡El sentido común es fundamental para cualquier actividad que realicemos en cualquier ámbito de nuestra vida! En el plano de la seguridad del dato y de la información de nuestra organización es fundamental aplicar las mismas preocupaciones, responsabilidades y medidas que tomaríamos al proteger nuestra intimidad o residencia. La concienciación por parte de directivos y trabajadores es fundamental para mantener las medidas de seguridad adoptadas en constante vigencia y efectividad. De nada serviría poner una alarma en nuestro domicilio si por pereza luego no la activamos…
¿Cómo puede ayudar Einzelnet a las empresas (grandes y pymes) a cumplir con el GDPR?
Einzelnet dispone de una estructura propia y certificada para atender a proyectos de adaptación a la nueva normativa tanto para pequeñas, medianas o grandes empresas. Tanto en el plano legal como en el técnico. Desde la fase de regulación de consentimientos e información; concienciación; inventario; análisis de riesgo; evaluación de impacto; establecimiento de políticas de seguridad; realización e implementación del plan director de seguridad a medida de cada empresa; certificaciones, hasta el desarrollo y ejecución de los proyectos de seguridad derivados de todo el proceso anterior. Y lo más importante: el mantenimiento y evaluación periódica de todo lo realizado para garantizar el correcto cumplimiento.
También contamos un servicio de DPO (delegado de protección de datos) y de CISO (director de seguridad de la información) virtual (outsourcing) totalmente dimensionado a las necesidades y posibilidades de cada empresa, para que ninguna tenga que renunciar a su seguridad por motivos económicos o de contratación laboral. Las políticas de seguridad, tecnología de seguridad, procesos internos de protección de datos o privacidad, deberán ser periódicamente actualizados y auditados para garantizar su eficiencia y vigencia.
La nueva normativa va a promover que empresas e instituciones adquieran una mayor concienciación y responsabilidad sobre la protección de la información. ¿Qué otros beneficios procurará GDPR a las empresas?
El “aviso a navegantes” que supone la entrada en funcionamiento de GDPR está ayudando a concienciar a toda la estructura empresarial y a las organizaciones publicas y privadas a prestar mayor atención y mayores recursos a la protección del dato y de la información. Los riesgos reales ya no están en un atraco o asalto, sino en un malware que puede ocasionar infinidad de problemas al negocio, su rentabilidad, producción o continuidad. Es una amenaza real del que nadie está exento y sobre la cual hay que tomar medidas contundentes y duraderas. El nuevo GDPR esta ayudando, bajo la amenaza de sanción, ante la falta de cambios y medidas a adoptar soluciones y destinar cada vez más recursos humanos, técnicos y económicos.