En poco más de cuatro meses, el nuevo Reglamento General de Protección de Datos (GDPR) entrará en la fase de obligado cumplimiento en todos los estados miembros de la Unión Europea. Que los datos es el activo más valioso de las empresas y particulares, es algo que todo sabemos, pero quizás, lo que no todos somos conocedores es que, en algunas ocasiones, cedemos nuestros datos con demasiada facilidad al entrar en buscadores, redes sociales, o simplemente rellenando formularios.
A grandes rasgos, la nueva ley de protección de datos europea, o GDPR por sus siglas en inglés, es la ley que va a sustituir a la actual Ley Orgánica de Protección de Datos española. Esta ley, nace con el objetivo de regular a nivel europeo la protección de los datos personales de los ciudadanos, independientemente del país de la unión en el que se encuentren.
Esta ley, en muchos casos, es más restrictiva que la actual LOPD y añade nuevos instrumentos para que los ciudadanos de la UE aumenten el control que actualmente tienen sobre sus datos personales. La aplicación de este nuevo reglamento ayudará a los usuarios a controlar cómo sus datos personales son recabados y tratados.
Situación actual de las organizaciones, ¿estamos preparados?
Un estudio de investigación revela que, aunque existe un cierto grado de conocimiento sobre la GDPR, no es tanto el conocimiento existente sobre las medidas concretas o las acciones que se deben llevar a cabo por parte de las organizaciones. Según un conocido fabricante de antivirus, el 64% de los encuestados desconocen que la fecha de nacimiento de un cliente es considerada como información personal identificable (PII, por sus siglas en inglés), otro gran porcentaje no es conocedor que debe proteger la información que está ubicada en las bases de datos de Marketing que utiliza su organización ya que esta también está considerada como PII.
Recientemente, otro informe revelaba que el 63% de las organizaciones encuestadas no tenían totalmente definidos sus programas y políticas relacionados con la protección de datos. Lo que nos lleva a pensar que, aunque sí existe la concienciación de que es necesario abordar este tema, todavía muchas empresas no han comenzado a identificar aquellas acciones que necesitan ejecutar para adecuar su organización a este nuevo reglamento.
¿Cómo nos preparamos para la adecuación?
Teniendo en cuenta que la GDPR otorga un plazo de dos años para la adaptación y cumplimiento de las obligaciones que en ella se establecen disponemos de un margen realmente ajustado. Para la consecución de los objetivos, las empresas deberán abordar un proyecto de adecuación a la GDPR que, al menos, incluya, entre otras, las siguientes estas fases:
- Auditoria que ayude a identificar los procesos y servicios que puedan verse afectados por la normativa
- Fase de Análisis de riesgos
- Emisión de un informe resultante del análisis realizado en las anteriores fases
- Planificación de una hoja de ruta y plan de acción
- Formación y concienciación
Como hemos visto, la nueva regulación europea pone especial énfasis en la protección de datos, y ahora más que nunca, insiste en la necesidad proactiva de aplicar medidas que eviten brechas de seguridad.
La cuenta atrás ha comenzado. De aquí al 25 de mayo de este año surge un nuevo reto, pero también una oportunidad única para las organizaciones de mejorar sus procesos de gestión de la seguridad y la privacidad de la información. Por eso, hay que diseñar un servicio de adecuación a la GDPR que, mediante el análisis de los procesos de negocio y la información que estos manejan, ayude a las empresas a detectar los riesgos a los que se encuentran sometidos y les ayude a establecer las medidas legales y técnicas que garanticen el cumplimiento y la seguridad del activo más importante de la empresa (los datos).
Alejandro Aliaga Casanova, Departamento de Ciberseguridad de Sothis
