El pasado 25 de mayo fue un día clave para la protección de datos en la Unión Europea y en el mundo. Desde aquel día, es de obligado cumplimiento el GDPR, el reglamento europeo de protección de datos, que eleva las exigencias a las empresas que atesoran información personal de usuarios y clientes. Entre otras cosas, el reglamento aumenta significativamente las multas para las compañías negligentes en este aspecto, y llega a imponer sanciones de hasta 20 millones de euros. Además, acorta los tiempos que las empresas tienen para dar cuenta de una fuga de información y establece la figura del DPO, un especialista dentro de la compañía en materia de protección y que tiene dar cuenta a la administración de sus movimientos en esta materia.
Además, el reglamento establece que el responsable último de la seguridad de los datos será la empresa que contrata un servicio con cualquier proveedor, y no el proveedor mismo, y por eso “pide” que las compañías actúen con diligencia a la hora de elegir los servicios de firmas de hosting, por ejemplo. Es lo que se denomina el “principio de responsabilidad proactiva”, que incluye la obligación de escoger socios adecuados y monitorizar el cumplimiento del servicio.
En cualquier caso, la normativa no sólo establece obligaciones para las empresas, sino también para los prestadores de servicios. Acens, uno de los proveedores de servicios de referencia del mercado español, habla precisamente de estos temas con CHANNEL PARTNER. Y lo hace a través de su responsable de seguridad corporativa, Gustavo San Felipe.
Índice de temas
Instrucciones documentadas del cliente
Este experto detalla que el proveedor de servicios tiene muchos puntos que cumplir cuando ofrece ahora mismo un servicio de Internet. Y explica unos cuantos. Por ejemplo, es clave que siga “las instrucciones documentadas del cliente”. Además, recuerda que el proveedor tiene la obligación de informar inmediatamente al cliente si “en su opinión” una instrucción puede infringir el GDPR. Además, una firma como Acens tiene que implementar medidas de seguridad. En este sentido, el reglamento menciona objetivos genéricos como “seudonimización (reemplazo de datos personales por pseudónimos) y cifrado”, entre otras cosas.
“El proveedor debe detallar que medidas están incluidas en su servicio y de qué forma se implementan, de tal forma que el cliente pueda determinar si son adecuadas para el tipo de tratamiento a realizar o si requiere servicios adicionales”, explica San Felipe. Asimismo, si el proveedor subcontrata a otro proveedor deberá comunicarlo al cliente, así como transmitir al nuevo subcontratado las obligaciones que le corresponden. Adicionalmente, deberá ayudar al cliente a cumplir con sus obligaciones en aspectos como medidas de seguridad o notificación de incidentes. El objetivo es que el cliente pueda cumplir con el plazo de 72 horas en su notificación a la autoridad de control, por ejemplo.
Sistema de gestión de Acens
San Felipe y Acens se han movido en los últimos tiempos para estar a la altura de la legislación en materia de protección de datos y también cumplir con las nuevas expectativas de los clientes. “Para garantizar el cumplimiento continuo de los requisitos del nuevo reglamento es necesario tener implantado un sistema de gestión. No basta un compromiso, sino que es necesario un seguimiento mediante un sistema con sus prácticas y controles durante todo el proceso del tratamiento de datos.
En este sentido, Acens cuenta con un sistema de gestión de la seguridad certificado y auditado por terceros desde hace más de 10 años. Estamos habituados a las revisiones y a aportar la información que demuestra el cumplimiento, ofreciendo la debida colaboración y trasparencia a los clientes que lo solicitan y cumpliendo con las obligaciones de colaboración estipuladas en la ley”, explica el directivo.
Mejor en la gran cuenta que en la pyme
Gustavo San Felipe, de Acens, dice que el impacto mediático que ha tenido el GDPR ha hecho que las empresas españolas hayan sido conscientes en general de “la existencia y plazos de aplicación de la nueva regulación, y de la necesidad de implantar un sistema de gestión con el que garantizar el cumplimiento en el tiempo”. No obstante, el directivo reconoce que la situación es mejor en la gran empresa que en la pyme.
En este sentido, cita datos de la Agencia de Protección de Datos y de la Confederación Española de la Pequeña y Mediana Empresa que desvelan que la nueva regulación sólo es conocida por el 63% de las pymes españolas, por lo que se plantea la necesidad de realizar “acciones de difusión en este ámbito”. Además, San Felipe recuerda que muchas pymes no cuentan con recursos suficientes para adaptarse al GDPR, “incluso teniendo en cuenta la existencia y nivel de aceptación de la herramienta Facilita, proporcionada por la AEPD”, y que ayuda a realizar análisis de riesgos.
Por otra parte, la AEPD ha reconocido un aumento en el número de reclamaciones recibidas desde la aplicación del GDPR, algo previsible, según el experto. “No obstante, es todavía pronto para determinar si realmente se están incumpliendo los requisitos del reglamento o si se trata de reclamaciones que en la mayoría de los casos no proceden y son consecuencia del ‘efecto llamada”.