Cuatro letras se han puesto de moda en el sector informático en el último año, hasta el punto de crear toda una oportunidad de negocio a su alrededor. GDPR, las siglas en inglés que aluden al nuevo Reglamento General de Protección de Datos de la UE, un documento que todas las legislaciones comunitarias, incluida la española, tendrán que ir adaptando en los próximos meses, supone el mayor cambio en mucho tiempo en materia de protección de la información personal, la más sensible que pueden guardar las empresas y las instituciones.
Esta novedad legal además llega con cuenta atrás, y ese factor la convierte en un argumento de venta potente. Y es que el 25 mayo de 2018, es decir, en menos de un año, será de obligado cumplimiento por todas las compañías y organismos con presencia física en la UE o que gestionan y almacenan datos sobre individuos que residen en UE. Por eso, en mayo que viene, aquellos que no acaten sus obligaciones se expondrán a multas multimillonarias que podrían abocarles literalmente a la ruina.
Además de penalizaciones económicas de órdago (que pueden llegar a 20 millones de euros o al 4% de la facturación global de una compañía), el reglamento obliga a las entidades a reportar sus brechas de seguridad en un plazo de tres días desde que se producen, a garantizar la portabilidad de los datos de sus usuarios, a abordar análisis de riesgos para saber cómo están efectivamente protegidos sus datos o, en algunos casos, a promover la figura del DPO, un data protection officer o alto directivo que coordinará la política de protección de datos y que será el enlace con las autoridades. Son algunas de las cosas que ya están abordando o tendrán que abordar las compañías para estar en línea con los exigido por el GDPR.
Sin embargo, el tiempo se echa encima y muchas empresas ni siquiera han empezado a abordar los cambios. Un estudio encargado por Sophos a principios de este verano decía que en España un 80% de las pymes desconoce las implicaciones de GDPR, y que en Europa el 54% de las empresas tiene muy poco conocimiento de las multas asociadas al reglamento, a pesar de su cuantía. Como resumen, el estudio daba un dato inquietante: el 55% de las empresas del continente no creen que vayan a cumplir con la normativa antes de la fecha su definitiva entrada en vigor. Por eso, en este reportaje hemos preguntado a los expertos por dónde empezar y por dónde debe seguir una empresa que quiera ponerse manos a la obra.
Índice de temas
Lo primero: confeccionar un registro de actividades
Jesús Yañez, socio de privacidad y ciberseguridad del despacho de abogados Écija, recuerda que todavía está pendiente la reforma definitiva en España de la LOPD, la ley más importante en materia de protección de datos, y que por eso sería interesante que las compañías empiecen por cumplir aquellas obligaciones que establece el reglamento pero que difícilmente van a ser modificadas por esta reforma. La pregunta entonces que cabe hacerse es cuáles serán estas obligaciones que van a permanecer.
Yañez aconseja empezar por “confeccionar el registro de actividades de tratamiento que regula el artículo 30 del Reglamento, ya que, de esta manera, la empresa será consciente de la tipología de datos que trata, sus finalidades y las obligaciones que deberá cumplir”. Este registro, según el experto de Écija, permitirá a la compañía conocer los departamentos implicados y los sistemas y servicios de información propios y de terceros sobre los que deben implementarse medidas de seguridad. Julia Urío, responsable de ventas de soluciones de Gobierno del Dato de IBM en España, señala que lo primero que tienen que tener claro los clientes es el estado de la organización a nivel de procesos y de tecnología.
Además, Urío recomienda “descubrir, identificar y clasificar la información sensible”. Desde el mayorista Exclusive Networks, Santiago Arellano, director de operaciones, habla de la necesidad de que los clientes adopten “una estrategia integral de protección de datos”. Por su parte, Josep Albors, responsable de concienciación de Eset, apunta que los clientes “deben ante todo reconocer qué datos almacenados son los más críticos y aplicar las medidas necesarias para protegerlos”. “No pueden empezar a adaptarse al nuevo reglamento si desconocen el tipo de datos que almacenan. Hacer un inventario de los mismos debe ser primordial”, añade Albors.
El primer paso a dar por las compañías debería ser descubrir, identificar y clasificar la información sensible
Lo segundo: redacción de contratos con nuevas cláusulas
“Más tarde las empresas deberían realizar un análisis comparativo entre la situación en la que se encuentran bajo el amparo de la normativa estatal y las acciones que deben acometer para cumplir los requerimientos del reglamento”, señala Jesús Yañez. En otras palabras, el experto propone a los clientes que hagan un análisis de riesgos dirigido a implementar medidas de seguridad. A nivel jurídico y organizativo, recomienda a las compañías la redacción de nuevas cláusulas de “consentimiento informado”, que dice que los consumidores y clientes deben autorizar de antemano el tratamiento de sus datos.
También deben revisar las relaciones con prestadores de servicios de acuerdo con el nuevo concepto de “responsabilidad activa”. Y es que el responsable último de la seguridad de los datos será la empresa que contrata el servicio y no el proveedor del mismo, por lo que las compañías deberán elegir con cuidado y diligencia con quiénes colabora y a quiénes subcontrata servicios como, por ejemplo, la gestión del backup de sus datos. Santiago Arellano, de Exclusive, aventura que las empresas revisarán y cambiarán muchos de los contratos y los acuerdos que establecen con los usuarios de sus productos en relación con aspectos como “el consentimiento de uso de los datos personales o la eliminación de las clausulas abusivas”.
Muchas firmas tendrán que revisar y cambiar muchos de los contratos que establecen con sus usuarios y con proveedores cloud
Lo tercero: portabilidad de datos, DPO e implantación de tecnología
Además, las compañías deberán implementar medidas técnicas para la portabilidad de datos o procedimientos para mitigar y comunicar las brechas de seguridad. Asimismo, Jesús Yañez dice que las empresas deberán nombrar al DPO, de forma interna o buscándolo en el mercado de trabajo, en los casos en los que sea obligatorio. Por su parte, Santiago Arellano cree que las compañías deberán asignar un presupuesto en 2018 para “materializar las inversiones que aseguren el cumplimiento del reglamento”. Además, recomienda hacer una “pre-auditoría que ponga de manifiesto el impacto que va a causar en el negocio”.
Ese informe, en su opinión, debería dar un “rating de seguridad de la empresa” que muestre cambios y mejoras a adoptar. Más tarde deberían llegar, según Arellano, una auditoría y la implementación de las medidas legales y tecnológicas que se deriven de ese informe. Aunque el reglamento no habla de soluciones tecnológicas concretas a implantar, sí “dictamina”, en palabras de Arellano, una serie de herramientas que serán claves para su cumplimiento, como el cifrado, borrado, backup o la protección de las bases de datos. Ese sería el último paso.
Los pasos a dar por una empresa
1. Confeccionar el registro de actividades de tratamiento que regula el artículo 30 del Reglamento. Así la empresa será consciente de la tipología de datos que trata, sus finalidades y las obligaciones que deberá cumplir con cada uno.
2. Análisis de la legislación actual (LOPD) y de las novedades que introduce en materia de protección de datos el nuevo reglamento.
3. Nueva redacción de contratos con los usuarios y con los proveedores de servicios con los que se trabaja, teniendo en cuenta aspectos como el “consentimiento informado” y la “responsabilidad activa”.
4. Asignar un presupuesto en 2018 para materializar las inversiones que aseguren el cumplimiento del reglamento.
5. Nombramiento, si es el caso, de un DPO. De forma interna en la empresa o buscándolo en el mercado de trabajo.
6. Encargo de una auditoría que ponga de manifiesto el impacto que va a causar en el negocio el GDPR.
7. Implantación de medidas técnicas para la portabilidad de datos o procedimientos para mitigar y comunicar las brechas de seguridad.
8. Implementación de las medidas legales y tecnológicas que se deriven del informe de auditoría. Este último paso supone la compra efectiva de las herramientas de cifrado, borrado o backup que sean necesarias.
