Pronto entrará en vigor el nuevo reglamento europeo de protección de datos. ¿Estamos listos para afrontarlo?
Es inminente la entrada en vigor de GDPR en Europa. La fecha de entrada en vigencia es el 25 de mayo de 2018 y para ese día las empresas deberán estar listas para cumplir la nueva normativa. Las consecuencias del incumplimiento pueden oscilar entre el 4% de los ingresos de la compañía o 20 millones de euros en concepto de multas.
Sin embargo, muchas organizaciones aún no han implementado los procesos y tecnologías adecuadas y necesarias para amoldarse a esta nueva regulación sobre la privacidad de la información personal. Los casos de ransomware o leakware han aumentado en estos dos últimos años, con graves consecuencias para la economía y el prestigio de sus víctimas. ¿Estamos preparados para disminuir el impacto de este tipo de ataques a nuestras empresas, y para cumplir la GDPR?
GDPR es la normativa sobre protección de datos más estricta del mundo. Ha sido diseñada para que el individuo tenga el mayor control posible sobre sus datos personales: como se procesan, utilizan y almacenan. Esto tiene especial impacto no solo en organizaciones multinacionales con acceso a información personal de los ciudadanos europeos, sino también en las empresas. Un 90% de los documentos corporativos contienen algún tipo de información de carácter personal, ya sea de clientes, empleados o terceros.
Por este motivo, el software de gestión documental utilizado en un empresa es clave para cumplir con la normativa de protección de datos personales y privacidad. El software que usemos para almacenar nuestros documentos debe garantizar la protección de los datos personales de los individuos y ayudarnos en la gestión de los derechos de los individuos y nuestras obligaciones como tenedores de datos.
Las funcionalidades disponibles en el software de gestión documental deben incluir las solicitudes de los usuarios, como el "derecho al olvido", así como la capacidad de calificar la información de acuerdo a los niveles de privacidad y confidencialidad. También debe darnos las herramientas para asegurarnos de que podamos notificar cualquier incidente a la autoridad competente dentro de las primeras 72 horas de producido el hecho.
Es importante considerar el realizar un análisis del estado de situación para determinar si nuestra empresa y nuestro software de gestión documental están preparados para cumplimentar la norma GDPR. Este análisis debería incluir los siguientes pasos:
- Analizar a fondo la situación actual de gestión de los datos personales. Es importante definir los datos entrantes y salientes de la empresa: qué información está almacenada, como se procesa, quién accede a ella, etc. Esto incluye los intercambios con proveedores, socios y agencias gubernamentales, que también deberían cumplir con la GDPR.
- Definir qué datos son innecesarios. No acumule datos porque si. Cada dato almacenado debe tener su razón de ser ahora y no debería ser almacenado por un potencial uso futuro. Esto reducirá la responsabilidad y la carga de trabajo sobre los mismos.
- Identifique aquellas interacciones con el cliente que requieran su permiso, o que debieran ser notificadas. Se debe trabajar en unos términos que cumplan con los requisitos de la norma y a la vez no sean complicados de entender. Esos documentos deben estar fácilmente disponibles para el cliente.
- Identificar otros actores implicados. El cumplimiento de la norma se extingue si algún eslabón en nuestra cadena de acceso a la información no la está cumpliendo. Las reglas de eliminación de datos personales se aplica a toda la cadena. Como parte del cumplimiento, debemos notificar a terceros que acceden a nuestros datos, para la correspondiente eliminación de su lado.
- Definir correctamente el "derecho al acceso". Este es un aspecto que incluye varias facetas. Nuestros clientes no solo deben saber que tienen derecho a obtener una copia de sus datos, sino que se debe establecer el mecanismo mediante el cual el cliente podrá hacerlo. Esta es una tarea en conjunto para el área de tecnología y el área de legales. El gestor documental va a ser clave en este aspecto.
- Desarrollar un proceso de notificación de violación. GDPR requiere que notifiquemos al organismo de protección de datos correspondiente cuando existe la posibilidad de que datos de usuarios hayan sido accedidos de manera no autorizada. La regulación especifica una ventana de 72 horas. Se deberán definir los procesos y mecanismos para realizar esta notificación, y los textos y mensajes que serán enviados. Un flujo de trabajo específico para la gestión de estas incidencias es una herramienta tecnológica que puede servir.
- Contrate especialistas adicionales si es necesario. O bien asigne la tarea a alguien de la empresa. Pero la transición debe tener un responsable. La norma contempla la figura del "Oficial de protección de datos" (DPO).
Queda poco margen en términos de tiempo para adecuarse a la normativa, pero con las herramientas adecuadas, se puede conseguir una transición rápida. El análisis de situación debe ser encarado por etapas manejables para llegar a buen puerto, de tal manera que la transición sea lo menos traumática posible.