Claves para cumplir con el GDPR

Abr 16 2018

Por Agustí Serrano

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), cuyo objetivo no es otro que garantizar la privacidad y la seguridad de los datos personales de los usuarios.

Ante la llegada inminente de este nuevo escenario, las empresas deben adaptarse a la nueva normativa ya que las multas por su incumplimiento pueden ser bastante cuantiosas: hasta 20 millones de euros o el 4% de la facturación anual de la organización.

El nuevo Reglamento General de Protección de Datos introduce muchos cambios respecto a la actual normativa (LOPD). Se trata de la transposición de una directiva europea y afecta a empresas y autónomos que manejen datos personales de clientes para sus estrategias comerciales, así como a las asociaciones y administraciones públicas de todos los Estados de la Unión Europea. No obstante, una de las grandes novedades del GDPR es la figura del DPO (Data Protection Officer), que en las grandes empresas y en las Administraciones Públicas será el responsable de tener a buen recaudo los datos de clientes o ciudadanos. El DPO será designado, de acuerdo con el reglamento, “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones”.

Auditoría
Para ser capaces de cumplir con el Reglamento, las empresas deben tener en cuenta las nuevas exigencias incluidas en el mismo. Una de ellas es que debe auditarse el estado en el que se encuentra el cumplimiento de la normativa de protección de datos en la empresa. Esta auditoría ha de realizarse antes de actualizar las políticas, los protocolos y los textos relativos al tratamiento de datos personales.

El RGPD, en su artículo 25, determina qué tipo de medidas técnicas y organizativas se deben implementar, retirando el listado tradicional de la LOPD e imponiendo uno que debe ser creado de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por profesionales con conocimientos jurídicos especializados en protección de datos y profesionales informáticos con conocimientos especializados en seguridad informática.

Análisis de riesgos
Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógicas con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse las medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

Externalización
En la mayoría de las empresas los recursos están ya muy ajustados al core del negocio y al día a día, por lo que no siempre se cuenta con el perfil adecuado y, aun siendo así, con el tiempo suficiente para dedicarlo a esta nueva responsabilidad. En esos casos, lo más asumible económicamente pero también funcionalmente es la externalización del servicio. Además, en el caso de la implantación del Plan de Seguridad, no es una tarea de un solo individuo, sino que requiere de un equipo altamente cualificado y especializado.

Si quieres conocer más sobre el nuevo reglamento, descárgate nuestro  white paper "GDPR: La nueva LOPD". 

Agustí Serrano


Comparte este artículo

Utilizamos cookies propias y de terceros para ofrecerte una mejor experiencia y servicio, dentro de nuestra Web de acuerdo a tus hábitos de navegación. Si continúas navegando, consideramos que aceptas expresamente su utilización. Puedes obtener más información de cómo gestionar y configurar las cookies en nuestra Política de Cookies.