GDPR y protección de datos: convierta la seguridad en una ventaja competitiva
Todos hemos escuchado alguna vez la expresión “la información es poder”. Es cierto que la información coloca un paso por delante a quien la tiene, sean individuos, instituciones o empresas. Es necesario, eso sí, utilizarla bien, tenerla a nuestra disposición en el momento en que la necesitemos y, sobre todo, no dejarla caer en las manos equivocadas ni permitir que sea utilizada en nuestra contra. En un momento como el actual, en el que la sociedad de la información ha dado un enorme salto adelante con la aparición de nuevas tecnologías y modos de usarlas (smartphones, inteligencia artificial, redes sociales, consumo y pago online de todo tipo de productos…) las herramientas que permiten a una empresa competir y diferenciarse son enormes. Pero, dado que también son grandes los riesgos para los millones de datos que circulan por la red, y que se guardan en todo tipo de dispositivos, es más importante que nunca velar por ellos. Y, en Europa, una nueva regulación, la conocida GDPR, ha venido a recordárnoslo.
GDPR: una ley que implica a todos
El Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) es una normativa de obligado cumplimiento en la Unión Europea que se aplica en España desde el pasado 25 de mayo. Entre sus objetivos está facilitar la actuación de empresas y organizaciones en la UE (al homogeneizar las leyes en esta materia en el espacio europeo). Pero, sobre todo, busca fomentar una nueva sensibilidad sobre la responsabilidad que cualquier gestor de datos tiene hacia la protección de la información personal de los ciudadanos.
De este modo, desde una entidad sin ánimo de lucro, hasta una pyme o una multinacional, todos quedan concernidos por la obligación de cuidar dicha gestión, bajo la amenaza de importantes multas (de hasta 20 millones de euros o, en su defecto, el 4% de la facturación de una empresa).
Un nuevo enfoque en la protección de los datos personales
Más allá de establecer nuevas reglas del juego, lo que pretende el Reglamento es cambiar el modo en que se ha venido entendiendo y ejecutando la protección de datos personales. Aquí vale la pena mencionar el artículo de la ley que hace referencia a la protección de datos desde el diseño y por defecto. Cualquier entidad o empresa (también los profesionales autónomos) que trate datos personales (definidos en GDPR como “Toda información sobre una persona física identificada o identificable”) no será un mero “guardián” de aquello que pase por sus manos en un determinado momento.
Desde el instante en que sepa que va a tratar información personal, tendrá que enfocarse a usarla de una manera proporcionada y justificada, otorgar transparencia a la gestión, o estar listo para responder tanto a las peticiones de los ciudadanos (como la portabilidad de datos o el “derecho al olvido”), como a los requerimientos de las administraciones (para demostrar que se han hecho las cosas de forma adecuada a la ley en caso de que se produzca una reclamación). Es decir, la protección se inicia desde el momento cero del diseño del tratamiento y abarca todo el periodo del mismo (hasta su finalización o supresión).
Conocer, guardar y salvaguardar
Si su organización quiere no solo estar segura de que cumple la normativa, sino de que convierte la seguridad y protección de datos en una ventaja competitiva, puede contar con el asesoramiento de los profesionales de IEAISA. Para un adecuado cumplimiento de la GDPR, hay que comenzar por saber diferenciar qué es un dato personal y, dentro de estos, cuáles se consideran sensibles; después hay que localizar todos los que ya tiene, los que está recogiendo o piensa recoger la organización; se deben crear sistemas de tratamiento que cumplan el principio de proactividad, siendo adecuados desde el diseño y por defecto.
Además, no hay que olvidar la importancia máxima de evitar fugas de datos (propios o aquellos de terceros que gestionamos). Conllevan graves perjuicios en el día a día de las organizaciones (así como daño en la reputación), pueden suponer multas y ha de alertarse de los incidentes en un máximo de 72 horas. Asimismo, ante cualquier incidente grave, será básico tener un sistema de backup y un plan de disaster recovery. De este modo, como decíamos al principio del artículo, la información trabajará a nuestro favor, y no en nuestra contra.