La próxima entrada en vigor del nuevo Reglamento General de Protección de Datos (GDPR) de la Unión Europea supone un reto para las empresas, siendo el análisis y la evaluación de la situación actual y una estrategia de cobertura necesarios para alcanzar el objetivo con el reglamento, como explican desde Techedge.
MADRID, 20 (Portaltic/EP)
El nuevo reglamento europeo impactará a todos los departamentos de la empresa, desde marketing y finanzas hasta los de Auditoría, IT, Seguridad, Formación o Recursos Humanos, áreas que jugarán un papel importante en la implementación de GDPR. La solución, sin embargo, "no es única", como detallan desde Techedge en un comunicado.
Los expertos de Techedge consideran que dos son los aspectos que resultan cruciales en un proyecto GDPR, donde el aporte de herramientas tecnológicas resulta diferencial: el 'scouting' y análisis de procesos y el gobierno y la reglamentación de los procesos.
'SCOUTING' Y ANÁLISIS DE PROCESOS
Como indican desde Techedge, existe una gran complejidad en los sistemas de información de una empresa. Por eso, la compañía identifica como una primera necesidad el contar con herramientas que automaticen el escaneo completo de los datos.
Estas soluciones, basadas en técnicas de minería de datos y reglas 'matching', permiten revisar los repositorios de datos estructurados y no estructurados para identificar, clasificar, catalogar y, así, detectar de forma eficiente dónde se encuentran.
Estas soluciones requieren configuración y adaptación a través de las fases de proyecto para que las reglas de 'matching' y calidad del dato sean cada vez más óptimas y así reducir los falsos positivos. Una vez analizado este punto, es posible avanzar en la minería de procesos para extraer los flujos de datos dentro de la organización e identificar el tratamiento que se hace del dato, desde dónde y quiénes acceden a él.
El resultado de esta fase permite, como detallan desde la compañía, tener documentados los procesos que involucran a los datos afectados, hecho fundamental para definir las políticas de gestión. Estas soluciones pueden ser utilizadas una sola vez, pero también es aconsejable, sobre todo dependiendo de la compañía, que este análisis se realice de forma periódica para detectar nuevas entradas y cambios.
GOBIERNO Y REGLAMENTACIÓN DE LOS PROCESOS
A la hora de analizar el texto del GDPR, "casi la mitad de los artículos de la normativa están relacionados con los procesos de negocio asociados con las políticas de mantenimiento de registros, las responsabilidades de las funciones y entidades", como expone el CTO de Techedge España & LATAM, Fabio Cerioni.
En lo que concierne al principio de 'rendición de cuentas', las empresas tendrán que demostrar que están cumpliendo con las normas de datos personales, en caso de ser requerido, y aportando la documentación apropiada. "Y en este punto lo complica todo aún más", apunta Cerioni.
El reglamento requiere para gestionar la política de datos mantener un registro de las actividades de procesamiento, de forma que se debe realizar un gobierno y la trazabilidad completa del dato. Si se consideran todos los factores del GDPR, la complejidad del gobierno puede ser "casi exponencial", como indican desde Techedge.
Las empresas deben atender al número de objetos de negocios involucrados (con fecha de expiración): empleados, clientes, pacientes, proveedores, colaboradores, etc; al número de unidades de negocio dedicadas total o parcialmente a estas actividades, así como al número de sistemas de software que gestionan el contenido de datos sensibles, históricos y bases de datos.
También deben tener diferentes categorías de tipología de datos, con sus propias políticas de tratamiento, requisitos de retención, post-procesamiento y responsable del dato.
Como explican desde la compañía, se requiere documentar todos los indicadores para tener evidencias del cumplimiento de GDPR. Las expectativas de control son "significativas y ambiciosas"; implementar GDPR implica tener la capacidad de demostrar de forma fehaciente el cumplimiento de la regulación para evitar multas, como exponen desde Techedge.
Este proceso debe ser continuo y sistemático para el buen gobierno de los datos y de los procedimientos. También existen herramientas de software para este objetivo que permiten definir y regular de forma automática los procedimientos. Son las denominadas Governance, Risk Management and Compliance (GRC).
Si bien las herramientas GRC no han sido diseñadas originalmente para cumplir con la reglamentación GDPR, sirven para que las organizaciones tengan una visión de las principales actividades de todos los procesos de negocio y para asegurar el nivel de cumplimiento de los controles internos.
Estas herramientas resultan, por tanto y como apuntan desde la compañía, el "repositorio ideal" para el control centralizado, que permite alertar en caso de inspecciones, almacenamiento de pruebas, firma de evidencia, creación y delegación de planes de mediación y mantenimiento de una traza de auditoría de los cambios.
Relacionados
- Adigital y AEPD adaptarán el servicio de exclusión publicitaria Lista Robinson al Reglamento de Protección de Datos
- La Agencia Española de Protección de Datos insta a las Administraciones Públicas a adaptarse al nuevo reglamento
- Protección de Datos crea una herramienta para implantar el reglamento
- Protección de Datos crea una herramienta para ayudar a las empresas a implantar el reglamento
- Solo quedan nueve meses para la entrada en vigor del Reglamento General sobre Protección de Datos: ¿está preparado?
