¿Están nuestros partners preparados para el RDGP?

Con la llegada de una era donde (casi) todo está digitalizado, han aumentado exponencialmente los riesgos de que los datos personales de las personas físicas circulen “libremente” por Internet, sobre todo si no se cuenta con la protección necesaria y adecuada.

El pasado Noviembre el Consejo de Ministros admitió el Proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD 2018) que sustituirá a la vigente Ley Orgánica 15/1999, y que acompañará al RGPD UE 2016/976 -Reglamento General de Protección de Datos de la Unión Europea-, y a la que todas las empresas de nuestro país nos hemos tenido que adaptar. La finalidad no es otra que iniciar lo antes posible una serie de cambios y realizar los trámites necesarios de adaptación interna para cumplir con las exigencias de la nueva RGPD que entrará en vigor el próximo viernes 25 de mayo de 2018.

Los clientes, además de iniciar sus propios procesos internos de adecuación normativa, están demostrando a su vez un gran interés en que sus proveedores cumplan con la ley, solicitando planes de adecuación, auditorías y garantías de que los servicios que se les proporciona están siendo debidamente ajustados; en gran medida porque los contratos entre las partes, algunos de ellos ya vigentes para cumplir la LOPD, necesitan ser revisados. Por ello, uno de los puntos que más urge es el del nombramiento de un DPD (Delegado de Protección de Datos), sobre todo en los casos donde el volumen de datos sea significativo, sistemático y habitual, con la obligación de informar a las autoridades sobre una posible fuga de datos o uso fraudulento de los mismos, entre otros posibles, en menos de 72 horas. En el caso de Deutsche Telekom, debido a su firme compromiso con la privacidad y seguridad de los datos esta figura está operativa desde la firma de las normas corporativas vinculantes (BCRP) en 2014.

La transversalidad en la aplicación del RGDP

Es importante destacar que aún queda recorrido por completar hasta que el RGPD esté ampliamente implantado ya que, dado su carácter e impacto transversal, su ajuste ha de ser liderado por todas aquellas áreas implicadas en el tratamiento de datos. Esto requiere de un trabajo en equipo y conjunto por parte de los departamentos de jurídico, TI, recursos humanos, marketing, comunicación, entre otros. Y no sólo de los responsables, sino de toda la entidad en el más amplio sentido de la palabra. De nada nos sirve contar con un delegado que controle la protección de los datos que se manejan en el seno de una organización si no realizamos una exhaustiva labor de formación de todos los empleados de principio a fin, ya que un mal uso de la información puede ser llevado a cabo por cualquier de nosotros, sea o no intencionadamente. En otras palabras, la implantación de este nuevo cambio normativo necesita de la implicación de toda la organización.

Sin diferenciar si el tratamiento de los datos tiene lugar dentro, o fuera, de la Unión Europea (UE), lo que sí hay que tener en cuenta es si afecta a ciudadanos de la UE. Las grandes compañías que estamos liderando la digitalización de la sociedad debemos entender la privacidad de los datos como parte de nuestra responsabilidad corporativa, adaptando todos nuestros servicios conforme a la normativa de seguridad más exigente y actual. Al tratarse de una normativa internacional con aplicación a todas las empresas que realizamos negocios en los países comunitarios, el que una compañía sea de naturaleza cien por cien europea ayuda a que se propicie una implementación adecuada e íntegra de estas normativas de protección de datos, que será proporcionalmente mayor cuanto más elevado sea su compromiso con la privacidad y la protección de los datos de los clientes.

Es importante identificar qué proveedores están ubicados dentro de la Unión Europea o en países que, de una u otra forma, garanticen un nivel adecuado de protección de los datos. Esta localización afecta no sólo a la sede del proveedor, sino también a la localización de cada uno de los recursos físicos que emplea para implementar los servicios, como puede ser el caso de sus centros de procesamiento de datos, ya que estos pueden estar en cualquier momento en cualquier sitio, pero los derechos y obligaciones relativos a dichos datos han de garantizarse siempre.

La localización de la información tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren. Los países de la Unión Europea ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. Si los datos están localizados fuera ya hablaríamos de una transferencia internacional, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse las garantías jurídicas adecuadas. En este sentido, la transparencia también es importante. En relación al control de la localización de los datos de un usuario, un proveedor ha de ser transparente y el cliente puede solicitar información de dónde, cuándo y quién ha almacenado o procesado sus datos, y en qué condiciones de privacidad se mantienen.

Desde el punto de vista de la seguridad de la información, quizá el beneficio más interesante de confiar en un socio de IT sea el de hacer responsable de la misma a los profesionales expertos en la materia, ya que el entorno de seguridad está alcanzando unos niveles de complejidad difícilmente asumibles internamente por las organizaciones cuyo core business es ajeno. Por esta razón, la confianza en los profesionales tecnológicos es crucial, aspecto especialmente relevante para adaptarse rápidamente al RGPD.

Como cliente debe tenerse la opción, incluso la obligación, de comprobar las medidas de seguridad que implementa un posible socio tecnológico, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable. Por tanto, este proveedor debe acreditar que está respaldado y que dispone de las certificaciones de seguridad adecuadas como DIN EN ISO 9001 (calidad); ITILv3: ISO/IEC 20000; ISO 22301 (Gestión de Continuidad de Negocio); ISO/IEC 27001 (Gestión de Seguridad de la Información); ISO/IEC 27018:2014 (Código de prácticas para la protección de información personal por parte de proveedores cloud públicos), o la ISO/IEC 27017:2015  cubre otros aspectos de seguridad entre otras, además de contar con la certificación para actuar acorde a los principios básicos y requisitos mínimos establecidos por el Esquema Nacional de Seguridad (ENS) en cuanto a la adecuada protección de la información.

Sin bien su implementación puede llegar a ser compleja según en qué sectores y compañías, lo que es un hecho inamovible es que a partir de mayo de este año los incumplimientos tendrán penalizaciones serias, con sanciones que pueden llegar hasta los 20 millones de euros e incluso suponer el 4 por ciento del volumen del negocio anual.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio