¿Está tu empresa preparada para la entrada en vigor del GDPR?

¿Qué es el GDPR?

El GDPR (Reglamento General de Protección de Datos – RGPD) pretende crear un marco legal de protección de datos en la Unión Europea, con el objetivo de que los ciudadanos aumenten el control que actualmente tienen sobre sus datos personales. Para ello, este reglamento actúa sobre los que almacenen y hagan uso de estos datos, y por eso ha definido un conjunto de reglas mucho más estrictas de las que actualmente regían el uso de los datos personales.

Cuando hablamos en el párrafo anterior del conjunto de reglas que impone el GDPR, nos referimos a un conjunto de normativas que obligan a las empresas a tener un conocimiento mucho más exhaustivo de dónde y para qué se utilizan los datos de carácter personal. ¿En qué se traduce ese conocimiento que deben tener las empresas? Por ejemplo, las empresas deberían ser capaces de responder a preguntas como:

 

  • ¿Qué tipo de datos manejamos de nuestros clientes?

  • Dentro de la organización ¿Quién es el responsable de dichos datos?
  • ¿Qué datos compartimos con terceros?
  • ¿Para qué se están utilizando dentro de la compañía?
  • ¿Cómo podemos eliminarlos de la compañía?

 

Y todo esto ¿A quién aplica? ¿Es de obligado cumplimiento para todas las empresas a nivel mundial? No, no aplica a todas las empresas a nivel mundial. Aplica a todas las empresas dentro o fuera de la Unión Europea que quieran ofrecer sus servicios a clientes ubicados en Europa.

 

¿Cómo las organizaciones pueden adaptarse para cumplir con el nuevo reglamento?

 

Las organizaciones deben armar un plan que les permita cumplir cada uno de los puntos que trata el nuevo Reglamento General de Protección de Datos. Son muchas las compañías que ayudan a implantar el nuevo reglamento dentro de las empresas y han elaborado guías para ayudar a definir dicho plan en las organizaciones que deben adaptarse al GDPR. Dichas guías, que facilitan la adopción del reglamento, aseguran que el plan que se defina debe dar respuesta y tener en cuenta los siguientes objetivos:

 

  • Concienciar a que los responsables de la toma de decisiones en su organización sean conocedores de la entrada en vigor del GDPR, y de las novedades que este reglamento conlleva.
  • Conocer qué datos personales posee, de dónde provienen y con quién los comparte.
  • Revisar los actuales avisos de privacidad de la compañía y realizar los cambios necesarios para la implementación de GDPR.
  • Asegurar que las definiciones de nuevos procedimientos cubren los derechos que las personas tienen, e incluir nuevos procedimientos como borrado de datos personales.
  • Revisar cada tipo de procesamiento de datos que lleva a cabo la organización con el fin de validar su base legal.
  • Validar y documentar cómo se obtiene y almacena el consentimiento del cliente en referencia al uso y almacenamiento de sus datos personales.
  • Definir procedimientos que permitan a la organización verificar la edad de las personas y cómo obtener el consentimiento de los padres para poder incluirlo en el procesamiento de datos.
  • Asignar a alguien que asuma la responsabilidad del cumplimiento de la protección de datos y evaluar dónde se ubicará esta función dentro de la estructura y los acuerdos de Gobierno de su organización.

 

Además, todo esto que las compañías deben tener en cuenta a la hora de definir el plan que les permita cumplir con el nuevo reglamento, se puede clasificar en cuatro elementos principales:

 

  • Políticas, con las que establecer las normativas que ayudarán a la compañía a cumplir el reglamento.
  • Reglas de validación, que permitan definir cómo medir el cumplimiento o no de las políticas definidas.
  • Procedimientos, donde se definirá como realizar cada una de las políticas definidas para llevar a cabo el reglamento.
  • Personas, se debe definir una serie de roles con sus responsabilidades asociadas y asignar personas a estos roles definidos. Dichos  individuos serán encargados de aplicar los procedimientos y velar por el cumplimiento de las políticas.

 

¿Y no es todo esto parte de un modelo de Gobierno?

 

El gobierno de datos ayuda a una organización a adquirir la capacidad para gestionar el conocimiento que tiene sobre su información, establecer procedimientos que permitan administrar, mejorar y aprovechar la información de forma que ayude a la toma de decisiones de la compañía y a la evaluación de costes de las mismas.

Cuando una compañía no posee un gobierno del dato, los datos no se integran en un concepto dentro de la taxonomía de conocimiento de la organización y su control es difícil, o en algunos casos imposible.

El gobierno del dato cumple una función de control y coordinación entre los departamentos de la compañía; para llevar a cabo su objetivo la compañía debe de forma consensuada:

 

  • Definir roles y responsabilidades.
  • Establecer políticas.
  • Definir procedimientos que lleven a cabo las políticas.

 

¿Es importante implantar un modelo de gobierno en la compañía?

 

Si tomamos en consideración todo lo que hemos visto en este artículo, la GDPR no es sólo una excusa más para implantar un modelo de gobierno en tu organización. Eso sí, una excusa que te puede ayudar a evitar importantes sanciones económicas ligadas a este nuevo reglamento. Pero no debe ser la única motivación para implantar un modelo de gobierno en una organización, ya que nuevas normativas vendrán y cuanto antes una compañía sea capaz de gestionar sus datos, antes será capaz de tomar decisiones y evaluar costes sobre sus datos de una forma más ágil y económica.

 

¿Y qué opinan las compañías y los usuarios?

 

Desde el punto de vista de los usuarios, el nuevo reglamento es un paso al frente para permitir que cada uno sea dueño de sus datos personales en una era en la que las Redes Sociales y las compañías en Internet hacen negocio con dichos datos para múltiples objetivos: Marketing, Publicidad, etcétera, sin que el usuario pueda conocer estas transacciones.

 

Desde el punto de vista de las compañías, en la mesa redonda organizada sobre el GDPR, en la última edición de Big Data Spain 2017, se ponía sobre la mesa la posibilidad de que la aplicación de esta normativa, además de la inversión que supone para las compañías europeas que deben adaptarse a este nuevo marco, suponga una reducción en la competitividad de las mismas frente a otras grandes compañías no europeas que no deban adaptarse a este marco legal. Por lo tanto, comparativamente las compañías europeas, frente a compañías de otras potencias mundiales como China o EEUU, no competirían con las mismas reglas del juego.

Ingeniera en Informática de Sistemas y entusiasta de las tecnologías asociadas al campo de Machine Learning y Deep Learning. Mi vida laboral esta ligada al área de ingeniería de proyectos, con una amplia experiencia en el sector seguros, aunque he trabajado con otros sectores como sanidad, defensa y marketing, entre otros. Actualmente, trabajo como Project Leader en Future Space