Leyes de protección de datos obsoletas (o inexistentes), venta de bases de datos, irrupción del comercio electrónico o el advenimiento de las redes sociales han marcado un antes y un después en cuanto al uso de la información personal.
A tenor de esa realidad, y ante la ubicuidad del dato y la ausencia de medidas legales para proteger dicha información, la Unión Europea decidió hace años crear una ley que asegurase a las personas un mayor control sobre su información. Dicha norma debía, además, armonizar los criterios en materia de protección de datos para facilitar su adaptación a las empresas, teniendo en cuenta que, hoy, es imposible pensar en una empresa sin una visión global de mercado.
Hablamos, por supuesto, del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), un decreto que, tras su obligada aplicación en mayo de 2018, sigue generando dudas, además de desconfianza. De hecho, son muchas las empresas que aún permanecen inmóviles, aguardando impasibles a que la primera gran multa se produzca. Pero, ¿es realmente necesaria esta espera.
Dura lex, sed lex: la ley es dura, pero es la ley
¿Qué pensarían si les dijera que algunas de las antiguas leyes de protección de datos eran más estrictas en sus requerimientos que el GDPR? Así, de entrada, y a tenor de sus rigurosas exigencias, podría parecer incierto, pero no lo es. No obstante, y sin ahondar en este aspecto, lo cierto es que GDPR sí presenta una notable diferencia con normas precedentes, y lo hace en su observancia. Así, mientras que en el pasado los reguladores informaban sobre cómo debían hacerse las cosas, ahora solo indican el objetivo, lo que complica todo el proceso aún más.
Ante tal disyuntiva, y con la creciente convicción de que seguir agazapado en el rellano, esperando la primera gran sanción, no es lo correcto, toca mover ficha. GDPR busca proteger los datos de las personas, por lo que cada empresa debe adoptar las medidas de seguridad más adecuadas para salvaguardar la información que gestiona. Aquí van unos consejos para facilitar ese trance.
Consejos prácticos para cumplir con RGPD
- Identificar los datos personales almacenados y los flujos con los que se opera. Además de conocer la información y dónde se almacena, es necesario saber cómo se captan esos datos y dónde se utilizan.
- Documentar procesos y procedimientos. Tras el punto anterior, resulta clave entender cómo se trabajan los datos personales, el intercambio entre aplicaciones, bases de datos, etc.
- Realizar una correcta segregación de roles y funciones. Solo las personas autorizadas deben gestionar los datos personales de una empresa. El acceso global o anónimo no ayuda a detectar incidentes de seguridad.
- Trazabilidad y auditoría. Mantener evidencias de cómo se está operando ayudará, en caso de incidente, a demostrar que se actúa de buena fe y de que se aplican las medidas de seguridad adecuadas para proteger los datos. Un suceso no implica automáticamente una multa de hasta el 4% de la facturación de la compañía.
- Herramientas automatizadas que faciliten los puntos anteriores. Haciendo uso de herramientas que automaticen los puntos anteriores, y definiendo interfaces que permitan que dichas herramientas hablen entre ellas, las empresas ganan en seguridad.
- Regular las relaciones contractuales con terceros. Cada cuál es responsable de los datos, pero al compartir información personal la responsabilidad se reparte entre las partes. Si un tercero hace mal uso de los datos almacenados en una empresa, esta debe estar protegida desde el punto de vista legal.
Si bien estos pequeños consejos pueden implementarse de múltiples maneras, lo que no debemos olvidar es que la ley aplica a cualquier entorno. Así, en el nuevo paradigma de sistemas en el que se entremezclan entornos on-premises y cloud, la seguridad es un elemento que debe estar siempre presente, sobre todo en este último, donde los proveedores ofrecen disponibilidad en sus servicios pero dejan la confidencialidad e integridad de la información bajo nuestra responsabilidad.
Carles Mata, technical account manager de Exclusive Networks Iberia