El Reglamento General de Protección de Datos (GDPR). ¿Por dónde empezar?

Ha comenzado la cuenta atrás para la entrada en vigor del GDPR y las empresas ya están luchando por implantarlo en sus soluciones dentro de los plazos establecidos por la Comisión Europea.

 

Sin embargo, antes de meterse de lleno en el proceso de implantación sin mirar atrás, es necesario entender bien que la nueva ley de protección de los datos personales va a suponer una revolución en la manera en que las empresas recopilan, almacenan, tratan y comparten los datos personales de sus clientes y colaboradores. Este nuevo enfoque del tratamiento de datos va a necesitar que las empresas tengan una organización interna específica y medidas adaptadas para responder a las directivas impuestas por la ley. Entonces, ¿puede considerarse el GDPR como una tarea de enormes dimensiones? Todo depende de la empresa y de la utilización que haga de los datos personales que posea; en cualquier caso, es un paso obligatorio que tendrán que ir dando en función de las diferentes fases para asegurar los datos personales.

 

Primera fase: el enfoque metodológico o el compromiso con la puesta en marcha

Como se va a valorar la empresa por sus procesos internos, conviene, en primer lugar, iniciar una fase de reflexión en la que todas las partes interesadas de la empresa se planteen las políticas que están en vigor ahora y si dichas políticas serían capaces de responder a las directivas del GDPR. ¿Qué soluciones de seguridad se desarrollan in situ? ¿Son recientes y se actualizan con regularidad? ¿Responden a las necesidades de protección frente a nuevas amenazas? Hacer un análisis de los riesgos de antemano permitirá detectar los fallos potenciales de la empresa, determinar el impacto sobre los derechos y libertades y, finalmente, asociarlos a las medidas adecuadas. La noción de responsabilidad está también muy desarrollada en el GDPR, por lo que es importante, de ahora en adelante, impartir cursos de formación interna al personal para sensibilizarlo con el compromiso de la empresa, las filtraciones de datos y el panorama actual de las amenazas.

 

Segunda fase: el enfoque jurídico o cómo demostrar “una irreprochabilidad” ante las autoridades competentes

El responsable del tratamiento de los datos debe notificar la mayoría de las violaciones relacionadas con los datos a las autoridades competentes en un plazo de 72 horas desde la detección del incidente. Por lo tanto, para cumplir con la ley, será necesario que la empresa cree un plan de notificación de las violaciones que englobe a todos los departamentos y que sea capaz de identificar un ataque antes de que se produzca. Además, en el artículo 32 se indica que el responsable y el encargado del tratamiento de datos deben, en caso de que se produzca un incidente de seguridad, informar a los individuos y a las autoridades competentes si la violación de los datos supone un riesgo elevado para sus derechos y libertades, a excepción de si se han empleado “las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, o si compromete la “la seudonimización y el cifrado de datos personales”. Por ello, para cumplir lo dispuesto en los diferentes artículos modificados por la ley, es importante desarrollar un sistema de seguridad exhaustivo que agilice la prevención, detección y responsabilización de las nuevas amenazas (como los ransomware), mediante la mejora del control general de la infraestructura de seguridad.

 

Tercera fase: el enfoque tecnológico o el desarrollo de una línea de defensa holística

Aunque se deben implementar las técnicas de protección de datos personales obligatoriamente dentro de los plazos establecidos por la ley, se sabe que la solución milagrosa capaz de detener cualquier amenaza que se presente no existe todavía. Por tanto, es imprescindible combinar varias técnicas avanzadas para alcanzar un nivel de protección máxima (antimalware, filtrado de URL, análisis de comportamiento, control de aplicaciones, entorno de pruebas, firmas, etc.) y, a la vez, actuar de manera coordinada con el fin de optimizar la prevención, reacción y visibilidad frente a las amenazas. El mero hecho de adoptar un enfoque de seguridad exhaustivo basado en una protección centrada en los datos integrada en toda la empresa, además del cifrado, el parcheo virtual y una supervisión potente para conocer constantemente el estado de seguridad de la infraestructura informática, ayudará a construir unos grandes muros de defensa y a detectar las amenazas de forma más rápida y precisa.

 

Por tanto, respetar el GDPR constituye el primer paso hacia una mejor seguridad de la empresa.

 

Fuentes relacionadas:

  1. El ransomware WannaCry pone de manifiesto fallos de seguridad graves antes de la llegada del GDPR
  2. Las PYME y el almacenamiento de datos

Este contenido se ha publicado en Best practices, su autor es Renaud Bidou y está clasificado con la etiqueta GDPR. Guárdelo en favoritos mediante el permalink.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*