23 de enero de 2018 - Tiempo de lectura 6 min
Guía rápida de adaptación al GDPR
Por Editorial Vodafone Business
El 25 de mayo de 2018 comenzará a aplicarse el Reglamento General de Protección de Datos (GDPR) que sustituirá a la actual normativa vigente. Aunque se aprobó en mayo de 2016, se concedió un plazo de dos años para permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos fueran preparándose y adaptándose para el momento en que el Reglamento sea aplicable. Y ese momento, ha llegado.
Las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el GDPR están disponibles en su web, de forma que ciudadanos y organizaciones puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa. Pero antes de sumergirte en toda la documentación oficial, en TheNewNow te ofrecemos una guía rápida de comprensión de la nueva normativa.
Novedades del GDPR
Aunque tu empresa ya se ajuste a los requerimientos de la actual ley de protección de datos española, la entrada en vigor de la nueva ley hace necesario actualizar algunos de sus aspectos. Entre ellos, los más destacados:
• Consentimiento reforzado: Será necesario un “consentimiento claro y afirmativo” de cada persona ante el tratamiento de sus datos personales.
• Derecho al olvido, o eliminación total de datos.
• Derecho a la Portabilidad, o trasladarlos a otro proveedor de servicios.
• Obligatoriedad de Fines determinados de la recogida de datos, que no pueden ser utilizados después para otros diferentes.
• Sistema de cifrado obligatorio, con doble factor de autentificación. También para los datos considerados básicos.
• Obligación de un DPO, o Delegado de Protección de Datos (Data Protection Officer). Tendrá que identificar riesgos y desarrollar soluciones. Puede ser interno o externo, pero deberá tener independencia y dotarle de las herramientas que precise.
• Obligación de comunicar fallas, que supone una revisión constante de intrusos y notificarlos en el plazo de 72 horas a la AGPD.
• Lenguaje comprensible y claro para las cláusulas de privacidad.
¿A quién afecta el GDPR?
Empresas, instituciones y usuarios se verán afectados de una u otra manera por la aplicación del nuevo reglamento. A los primeros les exigirá mayores niveles de transparencia y garantía y a los segundos, otorgará nuevos derechos que podrán ejercer.
La principal novedad en este sentido será la consideración de Internet como territorio comunitario en sí mismo. Según la AEPD:
“Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.”
¿Qué consecuencias legales tiene la no aplicación en mis sistemas del nuevo GDPR?
El nuevo régimen sancionador endurece sustancialmente las sanciones que se aplicarán a aquellos que no cumplan con el reglamento. Además de las cuantías económicas, se abre la puerta a que los ciudadanos puedan exigir indemnizaciones por daños y perjuicios si son afectados por un tratamiento ilícito de sus datos personales.
En cuanto a las multas, estas también aumentan, llegando en los casos más graves a los 20.000.000 de euros o el 4% del volumen de negocio global en el ejercicio financiero anterior.
Otra de las novedades a partir de 2018 es que ya no estarán tipificadas en niveles, sino separadas por rangos, según el artículo del Reglamento al que afecte. También permite a los Estados asociar infracciones y sanciones administrativas con otras penales.
Veamos algunas de las sanciones que se pueden aplicar según cuantías:
Hasta 10.000.000 € o 2% del volumen de negocio anual.
- Falta de implementación de medidas adecuadas.
- Falta de consentimiento paterno en servicios a menores.
- No realizar evaluación de impacto si entraña elevado riesgo.
- No designar DOP.
- Incumplimiento de obligaciones del encargado o el corresponsable.
- No notificar las fallas de seguridad, como accesos no autorizados, pérdida de un laptop o borrado accidental de datos.
Hasta 20.000.000 € o 4% del volumen de negocio anual.
- Falta de cumplimiento básico como licitud, fines legítimos y explícitos, etc.
- Impedir el ejercicio de los derechos del usuario: acceso, rectificación, cancelación, portabilidad, olvido, etc.
- Impedir el acceso a la Autoridad de Control.
- Incumplimiento de órdenes.
- No información al usuario en el momento de recogida de los datos.
- Falta de consentimiento explícito del usuario.
- Transferencia de datos a un tercero que no ofrezca las mismas garantías.
Mapa de ruta para adaptarse al GDPR
Para empezar, las organizaciones deben iniciar un programa GDPR y separar los recursos del negocio para que tengan la capacidad de hacer el trabajo. Las empresas que no tienen empleados con las habilidades necesarias pueden, y deben, contar con ayuda externa contratando asesores y proveedores especializados. Este grupo debe informar directamente al Director, Chief Risk Officer, CFO o CEO.
Muchas organizaciones no tienen conocimiento del total de datos que poseen. La mayoría de los CIO tampoco tienen plena conciencia de qué plataformas está utilizando el personal para compartir datos: en una encuesta reciente, de 200 CIO globales, casi el 72% no sabía cuántas aplicaciones no autorizadas están siendo utilizadas por sus empleados. Por lo tanto, es vital:
- Identificar los tipos de datos que están dentro del alcance del GDPR.
- Emprender un ejercicio de descubrimiento para encontrar dónde se guardan los datos.
- Identificar quién está usando qué en Internet: los departamentos de marketing, por ejemplo, pueden estar usando plataformas como Dropbox, Evernote y Slack.
- Identificar a los empleados que usan sus propios dispositivos o servicio en la nube, para que estos puedan habilitarse y administrarse de manera segura.
- Establecer con claridad lo que significa «datos» en el contexto de la empresa, junto con una lista de características.
- Identificar procesos comerciales que crean / editan / guardan datos de empleados, clientes y proveedores.
- Involucrar a los dueños de negocios (ya que son los dueños de los datos).
Llevar a cabo una evaluación de riesgos exhaustiva que abarca la fragmentación de datos, la gestión del almacenamiento en la nube y los servicios de intercambio de documentos, el tránsito de datos, la informática oculta, el acceso de los empleados y la efectividad de las contraseñas.
Hacer que todos en la organización sean conscientes de que la ley está cambiando, conociendo el impacto y sus responsabilidades.
Cómo establecer una estrategia de cumplimiento
Las organizaciones deben tomar medidas para garantizar que existan prácticas y procesos adecuados para proteger los datos, a un nivel que sea apropiado para el riesgo. Su estrategia debe incluir:
- Cifrado y pseudomización (reemplazando cualquier campo de datos de identificación con códigos de referencia únicos).
- Capacidad para restaurar la disponibilidad de datos en caso de una violación o problema tecnológico de manera oportuna.
- Garantizar la confidencialidad, integridad y disponibilidad continuas de los sistemas y servicios de procesamiento de datos.
- Establecer un proceso para pruebas de seguridad regulares y evaluaciones de efectividad.
Fuente: Securing your data in line with General Data Protection Regulation (GDPR).
Soluciones tecnológicas para cumplir con el GDPR
Al tratarse de una actividad que fundamentalmente se realiza en entornos on line y sistemas informáticos, son muchas las empresas especializadas que están desarrollando herramientas tecnológicas que faciliten el cumplimiento de las obligaciones que supone gestionar una base de datos, por pequeña que sea, en nuestra red. Y hay que recordar, como hemos visto en el apartado de las sanciones, que nuestro ordenador portátil está considerado como tal si almacena los datos personales de nuestros contactos profesionales. Hemos hecho una selección de algunas de las soluciones de software que existen en el mercado.
Facilita GDPR
Una herramienta fácil y gratuita de la propia AGPD. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada. Un recurso útil para cualquier empresa o profesional, ya que con tan solo tres pantallas de preguntas muy concretas permite a quien la utiliza valorar su situación respecto del tratamiento de datos personales que lleva a cabo: si se adapta a los requisitos exigidos para utilizar Facilita_GDPR o si debe realizar un análisis de riesgos.
GlobalSUITE
Ayuda en la implantación, gestión, mantenimiento y despliegue de las normas, leyes y estándares internacionales mundialmente reconocidos como ISO 22301, ISO 27001, ISO 31000, ISO 20000, Protección de Infraestructuras Críticas, Reglamento General de Protección de Datos (GDPR), Buenas Prácticas, Gobierno Corporativo, Balanced Score Card, etc.
OneQ
Investigaciones recientes de IDC en Europa Occidental muestran que un gran número de empresas no son conscientes de que GDPR incluirá también impresión. Los dispositivos de impresión sin protección pueden ser una fuente de fugas de datos altamente sensibles. Los datos privados siguen siendo no reclamados en los dispositivos
OneTrust
Software completo de administración de privacidad empresarial para operacionalizar el cumplimiento y la privacidad de GDPR por diseño. Establece prioridades y proporciona visibilidad a nivel ejecutivo con informes detallados. Escanea sitios web continuamente en una base de datos de cookies de 5.5M, y administra el consentimiento y las preferencias de los visitantes con banners y generadores de políticas.
Privacy Driver
Es una potente herramienta jurídica especialmente diseñada para ayudar a los profesionales como consultores, empresas, abogados, RH, etc. a implantar una cultura de privacidad en el tejido empresarial europeo. Promete ser una plataforma online completa, intuitiva y fácil de usar. Entre sus características: Multi-empresa y multi-idioma, Gestión comercial de clientes (CRM), Gestión y envío de mailings, Base de datos exclusiva para cada reseller y Certificado de seguridad SSL y backup diario.
euroLopd
Especialmente pensado para los consultores y auditores de la LOPD y del nuevo reglamento europeo GDPR 679/2016. Una herramienta de software profesional LOPD – GDPR en la nube , que permite gestionar las implantaciones de tus clientes, incluyendo los procesos de auditoría y mantenimiento, así como la gestión de los Derechos de los interesados de forma electrónica. Todo ello con Tarifa Plana.
Proteus®GDPReady™
Software totalmente compatible con el proceso GDPR con los artículos de regulación (UE) 2016/679 incorporados, proporcionando al DPO un conjunto de herramientas listas para usar para modelar procesos de negocios, definir qué datos confidenciales existen y dónde se encuentran, y realizar multifase Evaluaciones de impacto de privacidad de datos.
Editorial Vodafone Business
Nuestro objetivo es construir una sociedad centrada en el progreso socioeconómico. Creemos que la tecnología y la conectividad pueden ayudar a mejorar la vida de millones de personas y empresas. Tenemos el compromiso de hacerlo reduciendo nuestro impacto ambiental y construyendo una sociedad digital inclusiva que respeta nuestro planeta.