14 Feb RGPD y dos factores clave de proactividad
En este nuevo post quisiera hablar de la proactividad de cara al nuevo reglamento de protección de datos (RGPD) que entrará en vigor en Mayo de 2018. En este caso los dos factores que considero clave y que son una importante diferencia respecto la protección de datos de carácter personal que hemos estado cumpliendo durante años.
RGPD – Cambios a nivel general
Supongamos una empresa que no ha comenzado a adecuarse al nuevo reglamento. En este caso la responsabilidad de la empresa u organización es preventiva y proactiva, es decir, las empresas tienen que demostrar que tienen que estar realizando actividades y aplicando medidas para analizar por ejemplo los riesgos, es decir, pasamos de un enfoque reactivo a un enfoque proactivo.
Las medidas de responsabilidad proactiva son cinco principalmente:
- Evaluación del impacto sobre la protección de datos. Sustituye las antiguas auditorias pero ahora no solo son sobre las medidas organizativas y técnicas sino es más amplio.
- Registro de actividades del tratamiento. Sustituye a los ficheros que declarábamos en la agencia. La empresa se ve obligada a un registro que se mantendrá internamente.
- Protección de datos desde el diseño y por defecto. Si vamos a crear un nuevo servicio o tratamiento antes debemos analizar el impacto en la norma, si hay que informar, medidas de seguridad, etc
- Medidas de seguridad y análisis de riesgos. Antes habían 3 niveles, ahora desparecen y cada organización debe poner medidas de seguridad según un análisis de riesgos (aplicación PILAR, ISO27001)
- Notificaciones de violaciones de seguridad de los datos antes de 72h.
Las dos marcadas en negrita son las que comento en este video explicativo que incluyo seguidamente.
Se basan en dos principios clave:
- Protección de datos desde el diseño y por defecto. Orientar y tener presente en cada proyecto (generalmente de sistemas de información) donde se involucren datos de carácter personal, el diseño a cumplir proactivamente y desde el inicio el marco RGPD.
- Medidas de seguridad y análisis de riesgos. Clave la contratación de una empresa externa, objetiva e independiente para auditar bajo un estándar como la ISO27001 los controles, riesgos y medidas de seguridad a aplicar.
No quisiera acabar este artículo sin nombrar otras recomendaciones prácticas que se deben considerar en la adaptación al nuevo reglamento:
- Concienciar a los empleados de los cambios.
- Adaptar las cláusulas informativas – Consentimiento
- Actualizar encargos de tratamiento (contratos con terceros prestatarios de servicio)
- Colaborar con el coordinador / delegado de protección de datos
- Informar a quién corresponda de un nuevo tratamiento.
- Informar a quién corresponda de una quiebra de seguridad.
- Colaborar en el análisis de riesgos realizando un inventario de activos de tratamiento.
Conclusión
La implicación de un auditor CISA externo es una garantía de proactividad que la empresa puede tener. Como profesionales independientes, los auditores CISA demostramos experiencia, independencia, formación y capacidad en la auditoria de riesgos y seguridad, garantizando que nuestro trabajo abarcara la auditoria de forma completa.
Luis Vilanova Blanco. Auditor CISA y experto en RGPD-ISO27001
911277300
luis@luisvilanova.es