ncs-blog-angel-adan

Ángel Ferrando

Gerente desarrollo de negocio de NCS

A partir del día 25 de mayo de 2018, tendremos que dar de manera concisa e inequívoca nuestro consentimiento para que las decenas de empresas que tienen nuestros datos puedan usarlos si estamos filiados en cualquier país perteneciente a Europa.

El 25 de mayo entra en vigor en toda Europa la nueva ley de protección de datos GDPR (General Data Protection Regulation). La GDPR afectará a todas las compañías que traten información de ciudadanos Europeos, aunque la matriz o residencia de los ficheros esté radicada en USA, como es el caso de Google o Facebook entre otros.

ncs-blog-REPD-portada-privacy-policy2

¿Qué ventajas se esconden para el ciudadano de a pie tras estas siglas?

Las razones principales de promulgar la GDPR (o RGPD por sus siglas en español) son dos:

En primer lugar, la UE quiere dar a las personas más control sobre cómo se utilizan sus datos personales, teniendo en cuenta que muchas empresas .COM intercambian el acceso a los datos de las personas para el uso de sus servicios. La legislación actual fue promulgada antes de que Internet y la tecnología de la nube crearan nuevas formas de explotar los datos, y el GDPR busca abordar eso. Al reforzar la legislación sobre protección de datos e introducir medidas de aplicación más estrictas, la UE espera mejorar la confianza en la economía digital emergente.

En segundo lugar, la UE quiere dar a las empresas un entorno jurídico más simple y más claro para operar, haciendo que la ley de protección de datos sea idéntica en todo el mercado único.

En definitiva, se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.

¿Qué derechos voy a tener con la nueva RGPD o Reglamento General de Protección de Datos?

Este reglamento recoge y reconoce de manera manifiesta los derechos a la información y transparencia, el derecho de acceso y rectificación, el derecho a restringir el procesamiento, el de oposición, al olvido y a la portabilidad de nuestros datos.

En el caso del derecho al olvido, establece que los ciudadanos podemos solicitar y conseguir que nuestros datos sean eliminados cuando ya no sean necesarios para la finalidad con la que fueron recogidos.

El derecho a la portabilidad / restricción del procesamiento te permite que si tus datos se están tratando de modo automatizado (cualquier dato captado por cualquiera de las decenas de APPs que llevamos instaladas en nuestros Smartphones lo hace así), puedas recuperarlos en un formato para cederlos a otro responsable, tener la potestad de que no sean procesados o directamente sean eliminados.

¡Tú eres el dato!

Cuando hablamos de un dato personal ¿A qué nos referimos?

En el caso del derecho al olvido, establece que los ciudadanos podemos solicitar y conseguir que nuestros datos sean eliminados cuando ya no sean necesarios para la finalidad con la que fueron recogidos.

El derecho a la portabilidad / restricción del procesamiento te permite que si tus datos se están tratando de modo automatizado (cualquier dato captado por cualquiera de las decenas de APPs que llevamos instaladas en nuestros Smartphones lo hace así), puedas recuperarlos en un formato para cederlos a otro responsable, tener la potestad de que no sean procesados o directamente sean eliminados.

ncs-blog-REPD-inner

¿Cómo prepararse para su cumplimiento?

La introducción de RGPD ha salido del horno como candidata en firme para llevar la protección de datos a la parte superior de las listas de prioridades de las empresas. Entonces, ¿cómo pueden las empresas asegurarse de que están cumpliendo y qué pasos deben tomar?

Entender el marco legal de GDPR

Aunque el texto es largo y complejo, no debes tener miedo o pensar en GDPR como el hombre del saco que viene a poner multas sin más. Al contrario, es una gran oportunidad para concienciar e involucrar a todas las partes de la empresa en una cultura de seguridad que tanta falta hace en el entorno corporativo.

El primer paso para asegurarnos del cumplimiento de la RGPD o GDPR es entender la legislación en vigor, así como las implicaciones de no cumplir con las normas requeridas.

La ideal sería realizar una auditoría de cumplimiento con el marco legal de GDPR. En esta auditoría podemos apoyarnos tanto en recursos internos como en un tercero, como es el caso de NCS.

NCS o el tercero que elija la compañía, actuará como técnico de protección de datos para que nos explique las regulaciones y aplicarlas a nuestro modelo de negocio.

Como cada organización es única, el camino hacia el cumplimiento de GDPR también será diferente.

La UE quiere dar a las personas más control sobre cómo se utilizan sus datos personales y un entorno jurídico más simple para las empresas

Es una gran oportunidad para concienciar e involucrar a todas las partes de la empresa en una cultura de seguridad para el entorno corporativo

A partir del día 25 de mayo de 2018 tendremos que dar de manera concisa e inequívoca nuestro consentimiento para que las decenas de empresas

Creación un registro de datos

Se debe de crear un registro de proceso una vez tenemos una idea más clara sobre el proceso a seguir y diseño del mapa de ruta.

En este paso, debemos de centrarnos en la creación de un registro de datos, que nos servirá como diario y fuente de consulta del RGPD.

Clasificación de los datos

En este paso deberemos de identificar entender qué datos necesitamos proteger en nuestra empresa, cómo lo estamos haciendo y los cambios que debemos de introducir para adaptarnos a la normativa.

Como puntos clave de esta etapa, debemos de encontrar información personal identificable (PII) - información que pueda identificar a alguien directamente o indirectamente - de ciudadanos de la UE. Es importante identificar dónde se almacena, quién tiene acceso a ella, con quién se comparte, etc.

Una vez hayamos encontrado los PII, debemos determinar qué datos son más vitales de proteger identificando la base de su clasificación.

Evaluar y documentar riesgos y procesos adicionales

Debemos de crear y mantener una hoja de ruta para mostrar a la DPA cómo y cuándo vamos a evaluar otros riesgos que hayamos ido encontrando y documentando, con el objetivo de averiguar la vulnerabilidad de los diferentes procesos de negocio.

Evaluar y documentar riesgos y procesos adicionales

Una vez está definida la estrategia, hemos definido y desarrollado los entregables y hemos tomado las medidas correctivas adecuadas, el último paso consiste en revisar el resultado de los pasos anteriores y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario.