Los cambios en la protección de datos y la importancia del análisis de riesgos

Por Alejandro Delgado, director de Operaciones y socio de Audisec.

Reglamento Europeo de Protección de Datos, RGPD, GDPR, protección de datos o “la LOPD”, como quiera que le llamemos de una forma o de otra, últimamente todo el mundo ha oído hablar de que en Mayo la Ley de Protección de Datos… ¡Cambia!

 

Y sí, efectivamente cambia. Y además de manera profunda. Sin entrar en detalles técnicos o jurídicos, lo más importante ahora es:

  • Los ciudadanos vamos a estar mucho más protegidos. Hay nuevos derechos que nos amparan, entre ellos el famoso “derecho al olvido” que tan de moda está en las redes sociales.
  • Aumenta la transparencia de las empresas, ya que estarán obligadas a comunicar los incidentes de seguridad (no todos, pero si los importantes).
  • Aumenta la vigilancia sobre las empresas, ya que se exigirá un cumplimiento proactivo de la legislación.
  • Crecen las obligaciones técnicas y jurídicas. Por un lado, se exigirá la realización de un análisis de riesgos, y por otro lado se exigirá a las empresas que recaben el consentimiento expreso de los interesados a la hora de tratar sus datos de carácter personal.
  • Se da libertad a la empresa para que, en base al resultado del análisis de riesgos anterior, proponga qué medidas de seguridad adicionales a las que ya tenga va a implantar. En este sentido cabe destacar que desaparecen los niveles Básico, Medio y Alto, y es la propia empresa la que basará todo en su análisis de riesgos. Véase ISO 27001 e ISO 31000.

Son proyectos sencillos, donde lo más importante es hacer un mapa de los diferentes datos de carácter personal que se gestionan en la organización¸ ubicarlos dentro de cada departamento y saber qué sistemas de información (hardware, software, etc.) dan soporte a todo lo anterior. Con todo eso, podremos analizar si un tratamiento de datos tiene un riesgo importante o no. Sólo para aquellos que representen un riesgo alto, habrá que hacer lo que se conoce como Evaluación de Impacto de la Privacidad, o como casi todo el mundo le llama por sus siglas en inglés, un PIA (Privacy Impact Assessment).

Insistimos, son proyectos sencillos y acotados en tiempo y esfuerzos, pero requieren experiencia previa en análisis de riesgos. Esa podría ser la única dificultad.

Aplicabilidad: nos aplica a todas las organizaciones, públicas y privadas, así como a los autónomos. Esto no es más que la consecuencia o el reflejo de que actualmente todos tratamos datos de carácter personal.

Y la última gran novedad: ¡no hay que hacer auditorías! Bueno… la verdad es que esto no es del todo cierto. Sí que es verdad que ya no se exigen, pero el reglamento habla de una verificación periódica del modelo. Es decir, sin tener la necesidad de hacer una auditoría formal cada dos años como nos exige actualmente la Ley, sí que deja claro que el sistema de protección de datos hay que revisarlo. Además, con el aumento tan significativo de las multas, pocas organizaciones se arriesgarán a no tenerlo lo más actualizado posible, ya sea a través de auditorías formales o de revisiones documentadas.

Asimismo, para cumplir con todo lo anterior, ser proactivo y mostrar una trazabilidad adecuada en el cumplimiento de la Normativa de Protección de datos, se nos antoja imprescindible contar con herramientas software que nos ayuden al cumplimiento de la normativa y que sirvan además como elemento de prueba de la diligencia y proactividad en dicho cumplimiento.

GlobalSUITE – Data Protection (GDPR) será sin duda un software imprescindible en dicho cumplimiento, por experiencia, por robustez y por la constante adaptación que hace a esta y otras normativas también de obligado cumplimiento.

En que puede ayudarnos de manera resumida GlobalSUITE – Data Protection (GDPR)

  • Realización del PIA y análisis de riesgos
    • Plantillas de una Metodología predefinida
    • Catálogos de Riesgos y Medidas predefinidos
    • Posible parametrización del Cálculo del Riesgo
  • Identificación de riesgos
    • Identificación de Riesgos por tratamientos
    • Catálogo de Riesgos de tratamientos de datos configurable
    • Propuesta de Riesgos a partir del catálogo
    • Publicación de Encuestas de Riesgos
  • Gestión GDPR
    • Gestión de Empleados, proveedores,
    • Control sobre las cesiones y encargos de tratamiento de datos
    • Gestión de Incidencias
    • Gestión de Soportes
    • Prestaciones de Servicio
  • Cumplimiento y auditoría GDPR
    • Análisis de Brecha,
    • Generación de un Plan de Adecuación.
    • Gestión de Auditorías.
    • Históricos de informes y situación actual,
    • Trazabilidad de toda la información asociada en el sistema
  • Análisis de riesgos
    • Selección de tratamientos de datos a analizar
    • Análisis de los riesgos de los tratamientos de datos
  • Históricos de Análisis y Gestión de Riesgos
    • Visualización de todos los puntos de un análisis histórico
    • Comparativa entre los diferentes históricos
  • Tratamientos de datos
    • Definición, clasificación y valoración de los tratamientos de datos
    • Orientación a la estructura organizativa,
    • Configuración de categorías y dimensiones de los elementos
  • Evaluación de riesgos
    • Mapa de Riesgos (o Mapa de Calor)
    • Diferentes representaciones gráficas para mostrar resultados
    • Identificación de Riesgos Repercutidos o dependientes
    • Gestión de planes de acción derivados del análisis de riesgos
  • Gestión de derechos
    • Gestión de Expedientes de derechos
    • Modelos de Contestación