Adaptación al GDPR. Quedan escasos meses y mucho por hacer: evaluación de riesgos, adaptación de procedimientos internos e implantación de medidas de seguridad.
El Reglamento Europeo General de Protección de Datos (GDPR), que entró en vigor el 25 de mayo de 2016, establece un nuevo marco normativo que requiere que las organizaciones y empresas se adapten a las obligaciones legales que implica antes del 25 de mayo de 2018, fecha en la que comenzará a ser de aplicación directa en todos los estados miembros.
La adaptación al GDPR no es sencilla. Implica una revisión exhaustiva de todos los procesos y sistemas de la empresa que tratan datos personales y establecer procedimientos internos específicos a medida de cada organización que poder acreditar eficazmente implantados y publicados.
Muchas empresas se encuentran aún en la misma situación que hace año y medio: sin plantearse la adaptación al GDPR y confiando en que esa “carpeta de la LOPD” que obtuvieron como un mero trámite con posterioridad a 1999, siga cogiendo polvo en algún cajón de algún departamento de la empresa.
Ahora, esa carpeta no sirve para garantizar la seguridad de uno de los activos más valiosos: la información y los datos personales de los trabajadores de la empresa, de clientes y proveedores. Ahora, esa carpeta no sirve para exonerar a la empresa de las cuantiosas sanciones previstas en aplicación del GDPR de hasta el 4% del volumen de facturación anual global o 20 millones de euros. Ahora, esa carpeta no sirve para cumplir el GDPR que prevé la auto-responsabilidad proactiva acreditable, es decir, ser capaces de cumplir y poder acreditar que cumplimos.
Una de las tendencias más preocupantes de los últimos tiempos, y más en 2016 y lo que llevamos de 2017, es despertarnos cada día con una nueva noticia de brecha de seguridad de datos en empresas de cualquier sector.
Las pequeñas y medianas empresas, los establecimientos comerciales, los despachos profesionales, las instituciones financieras y de crédito, los gigantes del entretenimiento e incluso las administraciones públicas están cayendo presas de los cibercriminales y, en muchos casos, están permitiendo el acceso a datos confidenciales y especialmente sensibles, a un ritmo alarmante.
Las empresas dicen esforzarse en mejorar su cumplimiento, pero realmente muy pocas se preocupan de verdad en implantar, en ir más allá de ese marcar los checks de cuatro formularios y archivarlos en la carpeta correspondiente, sin prestar realmente atención a la esencia del GDPR: conocer el tipo de datos que manejan, identificar los tratamientos, los sistemas que soportan los procesos de tratamiento de datos, las posibles brechas de seguridad que pueden afectar a esos datos e implementar los procesos y procedimientos necesarios para mitigar cualquier fuga de información. Y esto, respecto de todas las áreas de gestión interna de la empresa y de negocio, lo que necesariamente exige, para acometer la adaptación al GDPR, un análisis del estado de adaptación y de los riesgos derivados de la no adaptación.
Un cambio cultural
La adaptación al GDPR supone un cambio cultural para muchas empresas en las que la privacidad y la seguridad deberá pasar a ser una prioridad aplicada “desde el diseño” (Privacy & Security by design), desde el mismo inicio de todo proceso empresarial y administrativo, desde el diseño mismo de cualquier línea de actividad, aplicación o proceso de negocio.
La pérdida de datos y fugas de información no se producen solamente por ataques externos que nos puedan afectar (que, por cierto, suceden constantemente y a todos los niveles). Todos nosotros, tanto de forma particular como empresarial, estamos sufriendo ataques o intentos de ataques constantemente, aunque no seamos plenamente conscientes de ello. También se producen, y cada vez en mayor medida, como consecuencia de mantener sistemas y procedimientos inseguros, por fallos, descuidos y comportamientos personales no adecuados y por no tener, en general, la seguridad entre las primeras prioridades empresariales.
Todo ello porque, la verdad sea dicha, los datos son un gran negocio. Hoy en día, teniendo en cuenta los dispositivos de Internet de las cosas (IoT), los almacenamientos Data Cloud, la informática móvil y la permanente hiperconexión, los datos circulan sin cesar entre todos los dispositivos y sistemas de gestión y almacenamiento, siendo susceptibles de ser violados si no se implantan las medidas de protección y seguridad adecuadas a todos los niveles y, además, si aun implantadas, no se escalan a todos los niveles de la empresa, aprobando y publicando los procedimientos concretos que permitan lo más importante en gestión de seguridad empresarial: Que todos sepan lo que deben hacer para minimizar cualquier incidente o responsabilidad de la empresa.
En Seguridad de la Información, Protección de Datos y CiberSeguridad, un enfoque reactivo es una estrategia perdedora.
Dentro de este inmenso rompecabezas, el cumplimiento en sí mismo es sólo una pieza más. De hecho, es la pieza más reactiva del mismo. Un buen Sistema de Seguridad de la Información se construye a partir de muchas piezas, tales como políticas, procedimientos, análisis, registros, métricas, revisiones y actualizaciones, por nombrar algunos.
Las políticas y los procedimientos son medidas proactivas, destinadas a establecer el escenario en el que se mueve la empresa y, por tanto, todo su personal de forma ordenada y publicada, así como a determinar el tipo de datos que la empresa trata, almacena y transfiere a terceros con el fin de limitar o minimizar la producción de brechas de seguridad que permitan fugas de datos e información confidencial, con el consiguiente impacto económico y reputacional para la empresa.
Es necesario, por tanto, conocer el grado de adaptación de la empresa al GDPR, analizando uno por uno todos los flujos de datos que se traten en las diversas áreas productivas o de gestión de la organización; estableciendo un Registro de Identificación de los tratamientos de datos personales y haciendo una valoración exhaustiva del grado de implantación de las medidas que garanticen la seguridad de los datos tratados. Es decir, es necesario conocer y valorar el nivel de riesgo cubierto y, por extensión, el nivel de riesgo expuesto, así como analizar el impacto que supondría la existencia de determinadas brechas de seguridad, en el caso de que la evaluación del grado de adaptación arroje como resultado riesgos de nivel alto o muy alto.
¿En qué consiste el Análisis de Adaptación al GDPR?
Para realizar un análisis del estado de adaptación al GDPR realmente eficaz que identifique las potenciales brechas de seguridad de la empresa, así como el nivel de impacto que supondría su explotación, debe seguirse una metodología clara de identificación de cada uno de los posibles sucesos que afecten a los datos siguiendo las directrices normativas, con el fin de alcanzar un mapa visual e informe final de la salud que tenga la empresa en materia de protección de datos personales en la actualidad.
Una óptima evaluación del grado de adaptación al GDPR deberá partir, por tanto de las correspondientes entrevistas de evaluación en profundidad a cada responsable de área de la empresa con implicación en el tratamiento de datos personales, en las que se identificarán, entre otras cosas:
- En primer lugar, el tipo de datos tratados. Se deberá hacer un análisis en profundidad de los datos que contiene cada fichero, cuál es su origen, si existe o no consentimiento explícito e inequívoco y acreditable, la información aportada en el momento de prestarlo y su registro, cuál es el destino de esa información, si se transfiere fuera del EEE, quién tiene acceso a dichos datos, la justificación y finalidad de dichos accesos, la causa legítima del tratamiento y el período de conservación de tales datos; configurando así en gran parte el Registro de Identificación de operaciones y actuaciones de tratamiento.
- A continuación, se evaluarán los riesgos generales inherentes al GDPR, que son comunes a toda la organización, como puede ser el estado de identificación de los datos, los medios de captura de los mismos, existencia y comunicación de políticas de seguridad o el registro del consentimiento, por citar algunos de ellos.
- Seguidamente se debería analizar el grado de legitimación existente para el tratamiento de dichos datos personales, en cuanto a la información previamente proporcionada al interesado y su grado de claridad y fácil acceso, la forma de acreditar el consentimiento expreso e inequívoco, etc.
- Dado que el GDPR concede una importancia prioritaria a la información de derechos, deberá analizarse a fondo el modo y la actualidad con la que se informa a los interesados cuáles son los derechos GDPR, cuáles son los mecanismos de verificación de la identidad de los titulares de los datos, cuáles y cómo están implantados los mecanismos para que los interesados ejerzan sus derechos o para que la empresa pueda dar un adecuado nivel de respuesta ante dicho ejercicio. No basta decir que se cumple con la norma sino que han de implantarse soluciones que permitan identificar las solicitudes y activar el procedimiento adecuado para dar la respuesta que el cumplimiento exige.
- La relación responsable-encargados del tratamiento es un punto de análisis importante siempre que se produce cualquier tipo de externalización del tratamiento de datos, debiéndose analizar que se contemplan todas las condiciones necesarias para garantizar que el encargado mantiene el mismo nivel de seguridad que el propio responsable y, evidenciando las instrucciones claras del responsable al encargado sobre la seguridad a aplicar a los datos, así como los controles periódicos que garanticen el cumplimiento continuado de las instrucciones por parte del encargado.
- Las medidas de respuesta proactiva que tenga implementadas la empresa y, entre ellas, la necesidad o no de tener definida la figura del DPO (Delegado de Protección de Datos) o cómo va a procederse en la empresa para propiciar la detección y comunicación de brechas de seguridad.
- Una de las novedades del GDPR es la anonimización de los datos por lo que deberá ser, por tanto, uno de los principales aspectos a analizar. Tener prevista la anonimización de los datos, el método o sistema mediante el que se va a realizar, la posibilidad de reidentificación así como la garantía de privacidad de los datos en todo el proceso, marcarán el grado de adaptación en este punto concreto.
- La existencia o no de transferencias internacionales de datos personales, especialmente si son fuera del Espacio Económico Europeo (EEE), determinará la necesidad de implantación de medidas de seguridad y procedimentales adicionales.
- Prestaremos especial atención a la calidad de los datos y, en su caso, a los datos especialmente protegidos, teniendo en cuenta la necesidad de minimización de los mismos, la garantía de que se recojan exclusivamente los necesarios y el cuidado por la actualización y plazo de conservación de los mismos, extremando sobre ellos las medidas de seguridad adecuadas.
- Un repaso profundo a las medidas de seguridad existentes en la organización deberá contemplar todas las posibles oportunidades de fuga de datos en todas las etapas del ciclo de vida de los mismos, desde el momento de su obtención hasta su destrucción, analizando todos los medios utilizados para su captura y tratamiento, ya sean fijos o móviles, prestando especial atención al transporte y comunicación.
- Otra de las novedades del GDPR es el derecho de portabilidad de los datos. Deberá evaluarse cómo implantar los procedimientos y métodos necesarios para dar respuesta a este derecho y definirse en el Sistema de Gestión de Protección de Datos de la empresa.
- Para cerrar este análisis de adaptación al GDPR, repasaremos las políticas y procedimientos necesarios para garantizar la seguridad de los datos tratados. Cuáles están actualizados o cuáles deben crearse nuevos; cuáles están redactadas, aprobadas, comunicadas o publicadas e implantadas y cuáles no. Y, sobre todo procurar hacer su contenido útil y factible a la aplicación práctica diaria del negocio, de la actividad de la empresa, o no se aplicarán; y distribuirla a todos los equipos de trabajo implicados en el tratamiento de datos definiendo bien los roles y las responsabilidades, así como las pautas claras de actuación.
A partir de este análisis el paso siguiente será realizar una evaluación de impacto (EIPD) a aquellas áreas de negocio en las que el riesgo expuesto en el tratamiento de datos personales haya resultado alto o muy alto, o bien constituyan los supuestos específicos determinados por la norma. En esta evaluación de impacto, que analizaremos en otro post, se evidenciará la probabilidad de ocurrencia de determinados riesgos asociados a cada uno de los aspectos estudiados y el nivel de impacto que su producción supondría para la empresa, procediendo a determinar así las medidas necesarias para adaptar el nivel de riesgo identificado al aceptado por la empresa en función de sus prioridades o a tomar medidas para minimizar el riesgo procurando por tanto también reducir el posible impacto.
Parece bastante evidente que el Análisis del grado de Adaptación al GDPR es algo mucho más serio e importante que una carpeta con algunos checks marcados tras los que se imprimen un montón de folios con texto que nadie lee o pocos aplican en realidad.
Se trata de un proceso analítico profundo que debería realizarse en toda empresa para empezar a cumplir el GDPR, para minimizar los riesgos económicos y reputacionales derivados del incumplimiento o sanción, y para adentrarse en el maravilloso mundo del proceso de mejora continua de la gestión del gobierno de los datos en la empresa, consiguiendo así optimizar la seguridad de uno de sus principales activos, si no el más importante: los datos.