SealPath, compañía especializada en la creación de soluciones para la protección y el control de la información confidencial IRM, ha recopilado unas sencillas recetas para que las empresas se adapten a la nueva regulación europea de protección de datos. Los cambios introducidos en la nueva reforma tienen el objetivo de asegurar que los derechos de las personas a la protección de sus datos personales son efectivos en la era digital, a la par de beneficiosos para el desarrollo de la economía digital.
Los beneficios que plantea la nueva regulación para los ciudadanos (derecho al olvido, consentimiento explícito para el tratamiento de los datos, acceso más sencillo a sus propios datos o mayor conocimiento de cómo son tratados) tienen su repercusión en las empresas, que deben prepararse para su cumplimiento. Quedan menos de 14 meses para la entrada en vigor de la regulación (Mayo de 2018) y una buena parte de las organizaciones no están todavía preparadas. Si éste es su caso, sea debido a la falta de conocimiento o tiempo, esconder la cabeza en el suelo no es una buena opción ni estrategia a largo plazo.
Si almacenas o gestionas datos de usuarios (ciudadanos europeos) en tus sistemas, las siguientes recetas o pasos pueden ayudarte a ponerte en marcha con el cumplimiento de la nueva regulación europea:
1. Analiza qué datos de terceros gestiona tu organización
Obtén un esquema preciso entre las diferentes unidades de la organización sobre qué datos se recogen de terceros y dónde se almacenan éstos. Realiza un inventario de los mismos indicando el tipo de dato recogido, dónde se recoge y dónde se almacena.
2. Revisa tu política de privacidad para los datos recogidos de terceros.
Hay que tener en cuenta que el consentimiento sobre la cesión de datos debe ser explícito. Debe ser aceptado por el usuario (libre, específico, informado y no ambiguo) y no vale recoger datos por defecto. Las políticas de privacidad deben ser claras y concisas y, por supuesto, requerir el consentimiento del usuario sobre si está interesado en que sus datos puedan ser compartidos con terceros.
3. Comprueba si debes nombrar un Delegado de Protección de Datos (Data Protection Officer).
Si su empresa es de más de 250 empleados, si el core de su compañía consiste en el procesado y gestión de datos de terceros o si gestiona datos de categorías especiales (raciales, étnicos, políticos, religiosos, genéticos, biométricos, orientación sexual, criminales, etc.) debería nombrar un delegado de protección de datos.
4. Prepárate para las notificaciones de una pérdida o fuga de datos
Las organizaciones deben notificar a las autoridades supervisoras las fugas de datos en las que se pongan éstos en riesgo, de forma que puedan tomar las medidas apropiadas. El periodo para dar la notificación es muy corto: 72 horas. Por otro lado, las multas potenciales a las que se expone la empresa son muy cuantiosas y pueden llegar a 20M€ o al 4% de la facturación.
5. Implanta controles de seguimiento, gestión, y protección de datos
Los usuarios tienen el derecho de preguntar dónde se almacenan sus datos y de eliminarlos si es necesario o pedir una copia digital de los mismos para transferirla a otro si así lo considera necesario. Desde IT es importante preguntarse:
• ¿Puedo seguir los datos de los usuarios dentro de los sistemas de la empresa?
• ¿Puedo borrarlos si es solicitado o darles la opción de borrarlos a los usuarios?
• ¿Están estos datos protegidos de accesos indebidos?
Por otro lado, si en el momento de la violación de seguridad los datos estaban protegidos de forma que fuesen ininteligibles por personas no autorizadas y la empresa puede probar esto, entonces no es necesario notificar la violación de seguridad a las personas cuyos datos han sido robados o perdidos. Esto aparte de evitar el proceso de notificación, puede evitar multas millonarias ya que es posible demostrar que se han puesto los medios necesarios para intentar controlar la fuga de datos.
