#Infografía 10 recomendaciones para afrontar el nuevo Reglamento General de Protección de Datos
Actualización (26 enero 2017) La AEPD presenta nuevos materiales para ayudar a las pymes a cumplir con el Reglamento europeo de Protección de Datos ------------------------------------- Los responsables de Seguridad de acens, Gustavo San Felipe y Fernando Serrano, indican a acens.tv las implicaciones que va a tener la nueva ley europea de protección de datos para las empresas, de obligado cumplimiento a partir del 25 de mayo de 2018, para conmemorar el Día Internacional de la Protección de Datos Personales que se celebra cada 28 de enero. “En lo referente las medidas de seguridad el reglamento o la ley como tal no detalla ni concreta medidas específicas pero sí que menciona los objetivos y controles de seguridad que se deben cumplir”, indica Gustavo: “Menciona temas de seudonimización de los datos y el cifrado, menciona que se debe garantizar la confidencialidad, disponibilidad, integridad… son cuestiones que manejamos en los sistemas de gestión de seguridad habitualmente, también la resiliencia de los sistemas”.A falta de la adaptación de la regulación específica española y su aplicación por la autoridad de control nacional, acens da las claves para que las compañías se adapten a la nueva normativa europea:
- Acredita el cumplimiento mediante un Sistema de Gestión
- Considera la privacidad de forma previa a cualquier tratamiento de datos
- Consulta a la autoridad de control si el impacto es alto
- Incorpora nuevos perfiles como el Delegado de Protección de Datos
- Conoce la obligación de notificar incidentes
- Incorpora medidas de seguridad como la seudonimización y el cifrado de datos
- Confirma la garantía de tus proveedores de tecnología
- Las sanciones alcanzarán los 20 millones de euros o el 4% del volumen anual de negocio
- Las empresas internacionales tendrán responsable visible en Europa
- La normativa será de obligado cumplimiento a partir del 25 de mayo del 2018
“Esta nueva normativa incluye muchos conceptos. Quizá uno de los más resaltables sea el de privacidad desde el diseño y por defecto”, prosigue Gustavo. El concepto de “Privacy by design” o “Privacy by default” hace referencia a que las empresas deben considerar la privacidad de forma previa a cualquier tratamiento de datos, incluso mediante un análisis de impacto en ciertos casos, y comprometerse realizar su actividad sin perjudicar y respetando los derechos de sus usuarios y clientes.
“Una nueva obligación que introduce esta ley es la obligatoriedad de notificar las violaciones de seguridad, cuando son relativas obviamente a la privacidad de datos. La ley establece un plazo general de 72 horas pero hay que ser conscientes de que incluso, dependiendo del tipo de incidente y de su gravedad, esa notificación es incluso obligatoria efectuarla a los usuarios afectados”, indica Gustavo.
“Por supuesto todo esto estará almacenado, alojado, albergado, en alguna ubicación. Y ahí es fundamental el uso de tecnologías como Cloud, y confiar en una compañía que hace la función de encargado de tratamiento, según se contempla en el propio reglamento”, señala Gustavo, “y que obviamente cumpla todas las garantías y ayude en ese cumplimiento: que esa infraestructura sea sólida, que tenga alta disponibilidad…”. Además indica que será necesario software específico de gestión e implantación normativo para asociar los análisis de riesgos o de impacto con las decisiones y proyectos a acometer.
Fernando Serrano comenta que “la empresa tiene que acreditar ese cumplimiento, que está haciendo las cosas como deben hacerse o según los objetivos que marca el reglamento. Lo que se conoce como Diligencia Debida”. Las autoridades competentes comprobarán en sus inspecciones que la compañía ha realizado todo lo debido y ha seleccionado proveedores de tecnología teniendo en cuenta los aspectos de privacidad y protección de datos.
Esto es muy importante ya que hay un cambio en el régimen sancionador, como avisa Fernando Serrano: “Se han puesto un poco serios en este aspecto y han aumentado la cuantía de las sanciones que hasta ahora se iban manejando, y hablaban de multas de hasta 20 millones de euros o hasta el 4% del volumen de negocio anual de la compañía. Se elegiría el más alto”.
“Serán necesarias nuevas habilidades, nuevos perfiles, nuevas actitudes, porque entendemos que más bien es un cambio conceptual”, opina Fernando, a lo que Gustavo San Felipe añade: “Se define bastante bien la figura del DPO (Delegado de Protección de Datos), quien velará por este cumplimiento y por la privacidad en las compañías, y que va algo más allá y tiene más autonomía que lo que tradicionalmente conocemos como Responsable de Seguridad”. Incluso puede ser una persona externa a la compañía, para velar de manera independiente que el negocio tome las decisiones adecuadas en materia de protección de datos y que sus funciones no planteen conflictos de intereses.
La localización geográfica va a ser muy relevante, como apunta Gustavo: “Esta ley es aplicable no sólo para las empresas europeas sino para todas aquellas empresas internacionales que quieran tratar y gestionar datos de usuarios residentes en Europa. Lo cual implica que esas empresas internacionales tienen que tener una sede en Europa, un responsable visible en Europa”.
Esto aplica a las empresas o colaboradores con sede en Estados Unidos: “Las empresas americanas no van a poder prescindir los servicios que puedan prestar aquí en Europa, y por tanto les va a ser de aplicación esta ley”.
Las compañías que necesiten asesoramiento y ayuda para cumplir con la nueva normativa pueden contactar con acens. Fernando cuenta cómo ha encajado la compañía este nuevo marco: “acens, como encargado de tratamiento de los ficheros de nuestros clientes, está adaptando su plataforma y sus servicios”. Por ello obtuvimos la certificación ISO 27001 de la entidad AENOR, que reconoce el Sistema de Gestión de Seguridad de la Información (SGSI) implantado en su centro de datos de Madrid.
Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!
Déjanos un comentario o cuéntanos algo.