opinion

GDPR: ¿Qué hay que hacer antes del 25 de mayo?

08 DE junio DE 2018. 10:24H Jorge Vázquez

image_content_39980_20180608103043.jpg

Seguramente ya habrá escuchado hablar bastante sobre el nuevo reglamento general de protección de datos (GDPR) de la UE. Lo que, por otra parte, resulta lógico. El periodo previo a su aplicación ha sido un proceso especialmente prolongado que se inició en 2012, cuando la Comisión Europea propuso una reforma integral de las normativas de protección de datos de 1995. Estas propuestas se convirtieron en planes y esos planes finalmente se están materializando a gran velocidad. Tras tanto debatir, informar, asesorar y hablar, el periodo de gracia para el nuevo reglamento llega a su fin (el 25 de mayo de 2018) y las sanciones están a la vuelta de la esquina.

Durante este periodo de gracia hemos contado con mucha información sobre lo que supondrá el nuevo reglamento. De hecho, la cantidad de material informativo sobre este reglamento está más que justificada si tenemos en cuenta la magnitud de su efecto.

El nuevo GDPR afectará de forma importante a todas las empresas que procesan y almacenan datos personales de ciudadanos de la UE. Lo que significa que, en el mundo digital actual en el que ya no hay fronteras, esto también atañe a las empresas que se encuentran fuera de Europa. Cualquier empresa que tenga un partner en Europa tendrá que cumplir el reglamento. Ni siquiera el Brexit (que quizás sea el único tema del que se ha hablado más que del GDPR) podrá cambiar eso, dado que el Reino Unido tendrá que cumplir los mismos reglamentos incluso cuando abandone la UE.

No olvidemos que las cuantías por infracciones son considerables: pueden llegar a suponer un 4 % de la facturación global anual o 20 millones de euros, la cantidad que sea mayor. Ahora que apenas quedan unas semanas antes de su aplicación, vale la pena asegurarse de que la empresa está preparada. De hecho, no está de más comprobarlo dos, tres y hasta cuatro veces. El riesgo de cometer una infracción y tener que pagar una multa es demasiado grande como para jugársela.

Por ese motivo, estas son algunos de los consejos que debemos analizar ahora que empieza la cuenta atrás definitiva.

Es necesario asegurarse de que todos están informados

Algunas empresas están nombrando, o ya lo han hecho, al responsable de tratamiento y protección de datos antes de la aplicación de la GDPR. Un reciente artículo de IT Pro indicó la velocidad a la que se está contratando nuevo personal.

A pesar de que algunas empresas van con un poco de retraso, es una forma inteligente de actuar, dado que el responsable de protección de datos no solo es un experto útil, también puede ayudar a promover el GDPR, asegurándose de que toda la empresa incorpora las mejores prácticas del reglamento general de protección de datos. Además, podrá recomendar el tipo correcto de herramientas que hacen falta para ayudar en el backup de datos, en caso de que la empresa sufra un ataque.

Pero incluso si su empresa no está contratando a un responsable de protección de datos, es necesario recordar que el GDPR es algo que afecta a todo el negocio. Esto significa que tenemos que garantizar que todos los agentes clave dentro de la empresa comprendan cuáles son las implicaciones y los requisitos del nuevo reglamento y de qué manera afectará a sus procesos.

Llevar a cabo una auditoría de datos.

A estas alturas, todas las empresas deberían saber qué datos personales tienen, dónde los almacenan y su procedencia. También tienen que saber el motivo por el que almacenan esos datos y cómo los han conseguido. Las agencias locales encargadas de supervisar el cumplimiento del GDPR pueden plantear todas esas preguntas.

Si su empresa es de las que no dispone de ese nivel de conocimiento de los datos, es hora de darse prisa para poder ofrecer respuestas. A partir de mayo de 2018, tendrá que justificar la base jurídica de las actividades que lleva a cabo su empresa al procesar datos. Las autoridades no van a ser indulgentes con las empresas que incumplan el reglamento y que no sean capaces de hacer un backup y almacenamiento adecuado de sus datos para garantizar su seguridad. Las cuantías a pagar en caso de infracción son reales y dentro de poco empezarán a utilizarse como ejemplo.

Revisar el derecho individual a la privacidad

Uno de los grandes cambios del GDPR es que incrementa los derechos del ciudadano en relación con los datos. Para ponerlo en contexto, durante los últimos tres años, Google ha recibido 2,4 millones de solicitudes para borrar la totalidad del historial de resultados obtenidos al usar el buscador, una cifra que subirá considerablemente cuando la gente sepa más sobre el derecho al olvido.

Aparte del derecho al olvido, la gente podrá acceder a los datos o solicitarlos (en un formato que pueda entender). Para evitar que este derecho consuma demasiado tiempo de su empresa, debe asegurarse de contar con un modo de etiquetar la ubicación de cada punto de datos para así facilitar el acceso cuando sea necesario. Se trata de un pequeño cambio que puede generar importantes dividendos.

Tener un plan para hacer frente a las violaciones de seguridad de los datos

De acuerdo con lo establecido en el GDPR, en caso de producirse una violación de la seguridad de los datos personales, las empresas deberán notificar a la autoridad de control en un plazo que no supere las 72 horas después de que haya tenido constancia de dicha violación. Eso no deja mucho espacio de maniobra, sobre todo si se tiene en cuenta que las horas tras una violación de seguridad suelen ser un periodo complicado y lleno de tensión en el que es necesario centrarse en actividades para eliminar el peligro.

Por eso resulta fundamental asegurarse de que ya contamos con los planes adecuados, puesto que nos permitirán detectar, informar y hacer frente a una situación de este tipo, en caso de que sucediera.

Llegados a este punto, puede servir de ayuda tener software adicional que genere informes. Herramientas que permitan a las empresas disponer de información clara sobre la ubicación de los repositorios de backup para así ahorrar tiempo al preparar los informes de cumplimiento del reglamento. Además de eso, en el caso de que no fuera posible acceder a los datos por culpa del malware, el software de recuperación podría hacer que esos datos estuvieran de nuevo disponibles de forma sencilla.

Seguir mejorando

Por supuesto, es bueno contar con un plan, pero es incluso mejor dejar margen para la mejora continua, especialmente en temas como la disponibilidad, calidad y seguridad de los datos. En la actualidad los datos se están convirtiendo en el activo más valioso.

Teniendo en cuenta la velocidad a la que se mueve el mundo en el que vivimos, es probable que el panorama digital cambie en los próximos años, incluso más de lo que lo ha hecho en la pasada década. Por ese motivo conviene ser capaz de evolucionar con los tiempos que corren, avanzar y poner a prueba a la tecnología. El GDPR no termina el 25 de mayo. Esa fecha no es más que el inicio.

Jorge Vázquez es Country Manager de Veeam Software Iberia

RentaMarkets: "Es interesante apostar por compañías que se van a beneficiar de la reapertura"