Por Blas Zubillaga, SAP GRC Solutions Specialist
Gracias al Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés), los ciudadanos europeos tenemos hoy derechos sin precedentes para acceder a nuestros datos personales y decidir lo que las organizaciones pueden hacer o no con ellos. Este hecho en sí es una revolución pero todavía queda mucho camino por recorrer antes de que ejerzamos nuestros derechos en su totalidad.
Ebook gratis
5 tendencias clave para tu negocio en 2021
La Agencia Española de Protección de Datos (AEPD) inició el 2021 imponiendo multas millonarias. Estos no son eventos aislados y se prevé que más casos ocupen los titulares de los medios de comunicación ¿Quién será el siguiente? En el este link se pueden consultar las multas y sanciones impuestas.
El no cumplir con el RGPD, puede resultar en multas de hasta el 4% de facturación anual o un máximo de 20M€, la que sea mayor. Y no sólo eso, las organizaciones estarán generando una reputación negativa, lo que causará pérdidas financieras indirectas (pérdidas de ventas, contratos, inversores, créditos, etc.).
Es momento de comenzar, pero ¿cuál es la mejor estrategia para cumplir con el RGPD?
El cumplimiento del RGPD requiere colaboración y tecnología
Para diseñar una estrategia de cumplimiento del RGPD se debe conocer el reglamento, el negocio y el entorno tecnológico. Debe de existir mucha colaboración entre las distintas áreas de la organización incluyendo el departamento legal, áreas de negocio, el equipo de IT, equipos de riesgo, auditoría, etc.
Conociendo nuestras obligaciones desde un punto del reglamento, podremos identificar las áreas que requieren mayor atención. Por ejemplo, si no existe un mecanismo para gestionar consentimientos, ese sería un buen punto de partida. También podremos determinar aquellas fortalezas de la organización, por ejemplo, la existencia de roles para acceder a datos sensibles, y aprovecharlas.
Existen varias áreas que deben tenerse en consideración desde un punto de vista de protección de datos. Cada organización deberá evaluar el nivel de madurez que tiene en cada área y así crear una estrategia que se alinee a sus necesidades.
Áreas y puntos clave para diseñar la mejor estrategia de cumplimiento del RGPD
- Asignar responsables que serán los encargados de garantizar el cumplimiento del RGPD en la empresa y quienes guiarán a la organización en el proceso de implementación de la estrategia. El DPO (Delegado de Protección de Datos) es la figura central.
- Diseñar e implementar el marco de gobernanza. Implementar procesos que serán el fundamento de toda nuestra estrategia, como la gestión de políticas, la evaluación de impacto relativa a la protección de datos (DPIA), el registro de actividades de procesamiento (RoPA), o la solicitud de acceso a datos del interesado (DSAR). Estos procesos están sujetos a ser auditados, por lo que se requiere generar traza y evidencia para demostrar que su diseño y ejecución son efectivos.
- Como parte de la Gestión de Consentimientos las organizaciones tienen la obligación de informar a los individuos de sus derechos y opciones. Deben solicitar la aceptación de uso de datos y gestionar solicitudes de acceso (a sus datos) para pedir la rectificación, supresión, limitar tratamiento, portabilidad, oposición, y decisiones personales de perfilado. Y también tienen que monitorizar y renovar aquellos consentimientos que estén por caducar.
- El descubrimiento de datos es crítico. De los millones de datos que tenemos, saber cuáles son sensibles, en dónde están (base de datos, informes, aplicaciones, email, dispositivos móviles, etc.) y rastrear cómo se mueven dentro y fuera de nuestro entorno es uno de los retos más importantes.
- Disminución de área de riesgo mediante técnicas simples como el enmascaramiento a nivel de interfaz de usuario, con la que se pueden ocultar datos que no son necesarios para ciertos usuarios y así disminuir el riesgo de brecha de datos y compromiso de la privacidad.
- En los casos en que debido a requerimientos de negocio sea necesario que los usuarios vean estos datos sensibles, las organizaciones deben de tener un mecanismo de traza de eventos de visualización de datos sensibles generando y reteniendo logs en caso de una investigación por la AEPD.
- Las organizaciones deben tener la capacidad de gestionar el ciclo de vida del dato, desde su recepción (con previo consentimiento), procesamiento sólo para los fines permitidos, retención y bloqueo por requisitos legales y finalmente el borrado cundo los periodos de retención terminan.
- La seguridad de los datos crea de una manera preventiva un entorno seguro y reduce el riesgo de brechas de datos. Áreas como la gestión de identidades, diseño de roles, análisis de riesgos de acceso, accesos de emergencia, entre otras.
El poder de la información lo podremos seguir teniendo siempre que lo hagamos de una manera responsable y transparente.
No hay una fórmula que aplique para todas las organizaciones; cada cual diseñará su estrategia de acuerdo con sus necesidades y recursos. Sin embargo, conociendo el reglamento, las fortalezas y debilidades podremos ser eficientes y demostrar a la AEPD que estamos tomando medidas de forma activa reduciendo riesgos de brechas de datos.
En este libro electrónico puede obtener más información sobre las soluciones SAP que ya utilizan muchas empresas para garantizar el cumplimiento del RGPD.
Instagram / Facebook / Twitter / LinkedIn
© 2020 SAP SE. All rights reserved. SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE in Germany and other countries. Please see http://www.sap.com/corporate-en/legal/copyright/index.epx#trademark for additional trademark information and notices.