RGPD (en inglés GDPR)
Adecuación al nuevo Reglamento General de Protección de Datos
En menos de un año, el escenario europeo en cuanto a protección de datos se refiere, va a dar un giro de 180º frente al enfoque actual. Se pretende armonizar las regulaciones nacionales existentes en la materia (la famosa LOPD en España) y definir un nivel de protección europeo más amplio
Será el 25 de mayo de 2018, cuando finalice el plazo para que cualquier compañía que almacene, procese o analice datos personales de ciudadanos europeos, independientemente de si está establecida en la Unión Europea, se ajuste al nuevo Reglamento General de Protección de Datos, RGPD.
Con esto nos referimos a todas las empresas que operan en la Unión Europea, aunque no tengan presencia física en su territorio.
La nueva regulación europea traslada el foco de la seguridad desde el eje de las infraestructuras (redes, firewalls, etcétera), entorno en el que hasta ahora se han concentrado las inversiones, al eje de las personas (gestión de identidad y accesos). Se pretende que se extremen las precauciones para evitar, en la medida de lo posible, las brechas de seguridad que dan lugar al robo de datos personales, entendiendo estos como cualquier información que pudiera utilizarse para identificar a un individuo.
Adecuación al nuevo Reglamento General de Protección de Datos (RGPD)
Con la aplicación de la nueva normativa (RGPD) se pretende devolver a los ciudadanos europeos el poder sobre su propia información personal,
Además permitirá a las empresas sacar el máximo provecho de un mercado digital único y generar una mayor confianza entre los clientes, así como simplificar el entorno con una única regulación.
En caso de infringir las normas establecidas en el RGPD relativas a la seguridad con la que se protegen los datos, se podrán imponer multas de hasta 10 millones de euros (o el equivalente al 2 % de los ingresos brutos de la compañía sancionada). Si la infracción está relacionada con el consentimiento para la cesión de datos o el traspaso de información confidencial más allá de las fronteras de la Unión Europea, la multa puede alcanzar los 20 millones de euros (o el equivalente al 4% de los ingresos de la entidad)
En teoría, en España, como pasa hasta ahora con la LOPD, todo hace aventurar que los recargos ascenderán a un máximo de 600.000 euros.
RGPD: ¿Qué tiene que cumplir tu empresa?
Entre las principales obligaciones de las empresas a la hora de guardar y procesar datos personales, se encuentran las siguientes:
- Incorporar una organización de los datos congruente y estructurada, reduciendo así el peligro de incumplir la normativa RGPD, al tener todos los datos organizados y facilitar, además, las auditorías de cumplimiento de ésta normativa.
- Realizar evaluaciones de impacto periódicas para proteger en todo momento los derechos de los clientes.
- Informar sobre posibles brechas de seguridad.
- Aplicar las medidas técnicas precisas para el cumplimiento de la normativa. Se nombrará un Delegado de Protección de Datos como responsable de probar el cumplimiento del reglamento.
- Establecer medidas de seguridad a nivel de los datos, obligando a tener bien declarado el origen de los datos, qué datos personales se almacenan y con quién se comparten. Además, se debe delimitar el cómo se procesan todos éstos datos.
¿Qué implica la responsabilidad activa recogida en el nuevo reglamento RGPD?
La nueva normativa llevará a las empresas a apostar por varias medidas preventivas en el tratamiento de los datos. Medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece
Entre las medidas preventiva se encuentran:
- Herramientas de reporting y auditoría
- Encriptación para asegurar la ilegibilidad de los datos
- Cifrado y control de accesos
- Monitorización
- Securización de dispositivos
- Protocolos de recuperación y validación de datos
¿Qué puede hacer Data por tí?
Con el objetivo de ayudarte en la adopción de las medidas requeridas en tiempo y forma para cumplir con el RGPD, ofrecemos los siguientes servicios:
- Formación para conocer los detalles necesarios para la adecuación a la nueva normativa RGPD. La impartirá nuestro experto en el tema (certificados CISA, CISM, CGEIT, CRISC, CRMA, ITIL-F).
- Realización de un GAP ANALYSIS, de tal forma que el cliente pueda tener conocimiento del PLAN DE ACCIÓN que debiera acometer para la adecuación a la nueva normativa.
Este GAP ANALYSIS consiste en una revisión de todos los procesos de tratamiento de datos existentes a día de hoy en la entidad cliente, analizando formularios de recogida de datos y contratos con proveedores externos, así como la identificación de las medidas de seguridad actualmente habilitadas sobre los sistemas de información, con el objeto de emitir un informe de las distintas actividades que quedarían pendientes de ejecutar para alinear su adecuación actual (basada en LOPD) a la demandada por el RGPD. - En base al plan de actuación que se requiera, llevamos el proyecto completo de adecuación, aplicando la metodología que requiere el nuevo reglamento.