El pasado 25 de mayo entró en vigor el nuevo Reglamento General de Protección de Datos Personales, también conocido como GDPR, utilizando el acrónimo inglés.
Mucho revuelo y mucho se ha escrito en los últimos meses en relación al nuevo reglamento europeo. Aunque existía un periodo de dos años para adecuarse, hasta unos días antes de la entrada en vigor, la mayoría de organizaciones no se habían preocupado de ello y muchas, todavía no lo han hecho.
Lamentablemente, las prisas y una pobre interpretación del reglamento han provocado además que la mayoría de las adecuaciones realizadas no se hayan enfocado correctamente, estando la mayoría de organizaciones en falso. En gran cantidad de casos, simplemente se ha enfocado el tema como una revisión legal de clausulados de contratos, modificando menormente las cláusulas utilizadas para la anterior LOPD, y nada más, lo que es absolutamente insuficiente para el cumplimiento.
Hay que entender las causas que originan el nuevo reglamento, aplicarlas a la particularidad de cada organización y de ahí podrá realizarse una verdadera adecuación para su cumplimiento. Y en este proceso las TIC son clave, pues son a la vez causa y solución.
La aplicación del nuevo reglamento pasa por entender el impacto que tienen las Tecnologías de la Información, cada vez más en un mundo de transformación digital de los negocios y de la sociedad en general, y aplicar las medidas necesarias para minimizar los riesgos y amenazas que el uso de la tecnología incorpora en todos nuestros procesos de negocio y sociales, muchas veces sin que seamos conscientes de ello.
De este modo, al igual que viene sucediendo recientemente cada vez que aparece una nueva normativa o requisito de cumplimento para las organizaciones, el enfoque legal no es suficiente y en la adecuación es necesaria la participación de profesionales con sólidos conocimientos en procesos de negocio, gestión de riesgos y tecnologías de la información.
Es el uso cada vez más masivo y más fácil de la tecnología, lo que pone en riesgo el tratamiento correcto de los datos personales que nuestras organizaciones gestionan para su trabajo diario, tanto por parte de sus empleados como por parte de terceros, conocidos o no, que pueden acceder a los datos personales que custodiamos y utilizarlos para fines sobre los que no tenemos control o simplemente desconocemos.
Sin conocer y entender las tecnologías y los procesos que nuestras organizaciones utilizan, no es posible establecer medidas de protección adecuadas y, en consecuencia, posiblemente las nuevas clausulas que aparecen en los contratos no sean correctas. Fijarnos sólo en las cláusulas es empezar la casa por el tejado, una solución de cara a la galería para visualizar ante nuestros interesados que estamos cumpliendo, pero antes de redactar la clausula debemos conocer lo que hacemos con los datos y como lo hacemos, y de este modo, podremos asegurar que lo que exponemos en el contrato lo vamos cumplir, ante el interesado y ante la Agencia de Protección de Datos.
El nuevo reglamento establece, como fundamento, que la protección debe existir desde el diseño y por defecto. Es decir, todos nuestros procesos de negocio y las tecnologías que los soportan deben revisarse para asegurar que el tratamiento correcto de los datos personales está implícito en ellos.
Los retos del nuevo reglamento son importantes, tanto por la complejidad que conlleva como por el volumen de aspectos a revisar, y especialmente a mantener.
Empezando por la base, lo primero es asegurar que nuestras infraestructuras son seguras. La mayoría de redes no lo son, y no se es suficientemente consciente de ello. Un tercero con fines ilícitos podría penetrar en nuestras bases de datos y utilizar esos datos para su propio interés. Y los responsables, seríamos nosotros.
Sin embargo, la mayoría de vulnerabilidades de seguridad son efectuadas desde el interior, de forma consciente o inconsciente. La concienciación de los equipos de trabajo y el establecimiento de procedimientos en el uso de datos personales es imprescindible. Las auditorías periódicas sobre el acceso a datos personales, aunque el reglamento no las hace obligatorias, son un imperativo para la tranquilidad de la organización y demostrar ante una posible incidencia que gestionamos y entendemos la importancia de los requisitos del reglamento.
En la mayoría de organizaciones, no hace falta que sean muy grandes, gestionar todo lo que nos exige el reglamento a nivel de identificar datos, tratamientos, bases legítimas, consentimientos y derechos de forma personalizada por tratamiento e interesado, evaluaciones de riesgos, perfilados, transferencias, comunicaciones de brechas de seguridad, etc. etc. puede ser muy complejo. Y las sanciones, muy elevadas, de hasta 20.000.000 € o el 4% de la facturación.
En este caso, las TIC son la solución. En esencia, lo que nos exige el reglamento es que tengamos un sistema de gestión para GDPR, y la única forma eficaz de conseguirlo es mediante el uso de una aplicación software, normalmente un BPM, que nos ayude a gestionar el sistema teniendo todos los procesos identificados y disponiendo de los registros necesarios y actualizados.
Por ejemplo, pensemos en una empresa con unos 1.000 clientes y al menos una persona de contacto por cliente. ¿En cuántas bases de datos tenemos contactos? Normalmente en múltiples. Una para facturar, otra para comercial, otra para producción…. ¿Y en los Outlook de los empleados? ¿Y en los móviles?
Una vez identificadas todas las bases de datos, ¿tenemos claro que tratamientos realizamos para cada una de ellas? ¿Y con que base legítima?
Y potencialmente, debemos pedir consentimiento a los 1.000 contactos. ¿Cómo lo vamos a hacer? ¿Por mail y luego registramos en una Excel, para los 1.000, cada uno de los consentimientos individuales por tratamiento y sus solicitudes de información?
A partir de unos pocos clientes, no me parece gestionable ni posible dar respuesta en un tiempo razonable. Además de clientes tenemos bases de datos de empleados, contactos, proveedores…
¿Y qué sucede con nuestros ERP, CRM, aplicación de nóminas, etc. cuando alguien ejerce su derecho al olvido? ¿Cómo les sacamos de ahí? Normalmente no va a ser posible, por lo que tendremos que plantear alguna alternativa como la anonimización, por lo que debemos revisar también si nuestros proveedores de tecnología están debidamente preparados y su software es conforme al RGPD.
Estos y otros aspectos en los que en ocasiones no se piensa, requieren la participación de consultores y asesores en tecnología para una adecuación correcta al reglamento, y la implantación de una herramienta de gestión del sistema, que a su vez puede actuar como portal para los terceros o interesados con quienes nos relacionamos. Para ello, estamos a vuestra disposición.
F. Xavier Sala i Leseduarte, Socio Director de Consultoría en TI en Auren