Blog

¿Preparados para el RGPD?

  |   Business   |   2 Comments

Breve introducción sobre el RGPD

EL RGPD refuerza los derechos de los particulares dentro de la Unión Europea (UE) a controlar sus datos personales e insta a las organizaciones a agilizar sus medidas de protección de datos y de la privacidad.

El reglamento impone nuevos requisitos organizativos que pueden incluir la designación de un encargado de la protección de datos (DPO), la realización de evaluaciones de impacto de la protección de datos (DPIA) y la protección de los datos personales por diseño y por defecto.

Los interesados verán reforzados sus derechos significativamente, por ejemplo, el de acceder y recibir una copia de sus datos personales, así como el de que estos se borren.

Cabe destacar que las organizaciones que incumplan el RGPD podrían enfrentarse a multas superiores a 20 millones de euros o al 4 % de su facturación total anual (ingresos), el importe que sea superior. El reglamento fue aprobado el 27 de abril de 2016 y entra en vigor el 25 de mayo de 2018.

Para más información sobre el trasfondo del RGPD, visita nuestra entrada al blog y descarga nuestro Whitepaper.

DAPI: Descubrir, Administrar, Proteger e Informar

La preparación para el RGPD es compleja. Microsoft recomienda a sus partners y clientes que se planteen el reglamento centrándose en un conjunto global de controles y capacidades clave. Estos pueden resumirse en cuatro áreas vitales: Descubrir, Administrar, Proteger e Informar.

Descubrir: identificar los datos personales que tiene, así como dónde residen.

El primer paso para el cumplimiento del RGPD es evaluar si el RGPD afecta a su organización y, si es el caso, hasta qué punto. Este análisis empieza por comprender qué datos tiene y dónde residen.

¿El RGPD es aplicable a mis datos?

El RGPD regula la recopilación, el almacenamiento, el uso y la divulgación de “datos personales”. Los datos personales se definen de forma muy general en el RGPD como cualquier tipo de datos relacionados con una persona física identificada o identificable.

Artículo 4 Definiciones

“datos personales” se refiere a cualquier información relacionada con una persona física identificada o identificable (“interesado”); una persona física identificable es aquella que se puede identificar de forma directa o indirecta, en concreto mediante la referencia a un identificador como el nombre, un número de identificación, datos de ubicación, un identificador online o varios factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física”.

Si tu organización cuenta con ese tipo de datos (en bases de datos de clientes, formularios de comentarios que rellene el cliente, contenidos de correos electrónicos, fotografías, vídeos de cámaras de seguridad, registros de programas de fidelización, bases de datos de recursos humanos o cualquier otro tipo de repositorio) o pretende recopilarlos, y los datos pertenecen a o están relacionados con residentes de la UE, tendrás que cumplir con el RGPD.

Ten en cuenta que los datos personales no han de estar almacenados en la UE para someterse al RGPD: el RGPD afecta a los datos recopilados, procesados o almacenados fuera de la UE, siempre que los datos estén relacionados con residentes de la UE.

Creación de un inventario propio

Para saber si el RGPD afecta a tu organización y, si lo hace, qué obligaciones te impone, es importante que realices un inventario de los datos de tu organización. Así, comprenderás mejor qué datos son personales, y podrás identificar los sistemas en los que se recopilan y almacenan dichos datos, entender por qué se recopilaron, cómo se procesan y divulgan y durante cuánto tiempo se conservan.

Administrar: determinar cómo se usan los datos personales y cómo se accede a estos

El RGPD proporciona a los interesados (las personas relacionadas con los datos) más control sobre cómo se captan y utilizan sus datos personales. Los interesados pueden, por ejemplo, solicitar que su organización proporcione información sobre el procesamiento de los datos, transfiera sus datos a otros servicios, corrija errores en sus datos o restrinja el procesamiento de los datos en determinados casos.
En algunos casos, estas solicitudes deben abordarse en periodos de tiempo fijos.

Gobierno de los datos

Para cumplir tus obligaciones con respecto a los interesados, debes comprender qué tipos de datos personales procesa tu organización, cómo lo haces y con qué objetivos.

El inventario de datos del que hemos hablado anteriormente es el primer paso para lograr este conocimiento.

Tras completar un inventario, también es importante desarrollar e implementar un plan de gobierno de datos. El plan de gobierno de datos puede ayudarte a definir políticas, roles y responsabilidades para el acceso, la administración y el uso de datos personales, y puede ayudarte a garantizar que tus prácticas de administración de los datos cumplan el RGPD.

Por ejemplo, un plan de gobierno de datos puede aportar a tu organización la confianza de que respeta eficazmente las demandas de los interesados para borrar o transferir sus datos.

 

Proteger: establecer controles de seguridad para evitar, detectar y responder a vulnerabilidades y filtraciones de datos

Las organizaciones comprenden cada vez mejor la importancia de la seguridad de la información, pero
el RGPD eleva el listón. El reglamento exige que las organizaciones tomen las medidas técnicas
y organizativas necesarias para proteger los datos personales ante pérdidas, acceso no autorizado
o divulgación.

Protección de tus datos

La seguridad de los datos es un ámbito complejo. Hay muchos tipos de riesgos que se deben identificar
y tener en cuenta, y que varían desde la intrusión física o los comportamientos no autorizados hasta las pérdidas accidentales o los hackers.

La creación de planes de administración de riesgos y las medidas de mitigación, como la protección con contraseña, los registros de auditoría y el cifrado, pueden ayudarte a garantizar el cumplimiento.

El cloud de Microsoft ha sido creado especialmente para ayudarte a comprender los riesgos y a defenderse frente a ellos, y es más seguro que los entornos de computación locales por muchos motivos.

Por ejemplo, los centros de datos de Microsoft están certificados según normativas de seguridad reconocidas internacionalmente, están protegidos por vigilancia física las 24 horas y tienen controles de acceso muy estrictos.

La forma de proteger la infraestructura de Microsoft en el cloud es solamente parte de una solución
de seguridad exhaustiva, y cada uno de los productos de Microsoft, ya sean locales o en el cloud, tienen características de seguridad que te ayudarán a proteger tus datos.

Informar: responder a las solicitudes de datos, informar de las filtraciones y conservar la documentación necesaria

El RGPD establece nuevos estándares de transparencia, responsabilidad y mantenimiento de registros. Tendrás que ser más transparente no solo en cuanto a su forma de administrar los datos personales, sino también en cuanto a cómo conserva la documentación que define tus procesos y el uso de datos personales.

Mantenimiento de registros

Las organizaciones que procesen datos personales tendrán que conservar registros de los objetivos del procesamiento, las categorías de datos personales procesados, la identidad de los terceros con los que se comparten los datos, si hay terceros países que reciban los datos personales (y cuáles son) y la base legal de dichas transferencias, medidas de seguridad organizativa y técnica y tiempos de retención de los datos aplicables a varios conjuntos de datos.

Una forma de conseguir todo esto es mediante el uso de herramientas de auditoría, que pueden ayudar a garantizar que el tratamiento de los datos, sea recopilación, uso, divulgación u otro, sea controlado y registrado.

 

Si tienes dudas sobre el RGPD y no sabes si tu empresa está preparada para afrontar este viaje, no dudes en ponerte en contacto con nosotros. Estaremos encantados de ayudarte y de encontrar la solución que mejor se adapte a tus necesidades.

 

 

 

AUTHOR - Marketing

2 Comments

Post A Comment