Artículo escrito por Alberto Peñaranda, Responsable de Fervimax Intelligence
Dentro de muy poco, en mayo del 2018, entrara en vigor la nueva regulación GDPR (General Data Protecion Regulation), marco legal europeo sobre la protección de datos. Esta regulación pretende proteger la información privada de los ciudadanos europeos, mejorando la seguridad de las empresas que son miembros de la Unión Europea, como de empresas que trabajan con información de ciudadanos europeos.
Desde Fervimax, ayudamos a las empresas a adaptarse a esta nueva normativa, ya que cabe resaltar, que las multas asociadas al GDPR son de hasta un 4% de la facturación, o 20 millones de euros.
Por ello es muy importante estudiar el impacto asociado, debido a como gestionamos, almacenamos y tratamos los datos, que están bajo el amparo de esta regulación. Como punto de partida para evaluar como de bien están preparadas las empresas para el cumplimiento de la normativa, proponemos diez puntos a verificar:
1. Conocen los directivos la importancia del cumplimiento de la regulación GDPR
El coste monetario del incumplimiento puede llegar a costar un 4% de la facturación o hasta 20 millones de euros. Además la mala reputación que se puede generar debido al fallo de seguridad, puede incurrir en costes indirectos asociados a la ley, debido a la desconfianza de sus clientes.
2. ¿Sabes dónde están alojados sus datos?
La normativa es de aplicación tanto para los datos actuales de las empresas como a las nuevas adquisiciones una vez entrada en vigor la ley. Por ello es muy importante conocer donde están alojados los datos, que tipo de datos son, que nivel de seguridad están asociados a los datos, quien tiene acceso a esos datos. Para el correcto almacenamiento de esta información es necesario tener un buen proveedor de servicios de seguridad que os asesore en la correcta ubicación, encriptación y almacenamiento de los datos.
3. Se ha implementado un proceso que permita proporcionar los datos a las personas que quieran su información privada
La nueva regulación que aboga por la protección y control de los datos de los ciudadanos europeos, permite a estos últimos, exigir la entrega de toda la información referente a su persona de manera legible, pero ¿esta su organización preparada para recopilar todos los datos de un cliente y devolverle esta información?
4. Se ha implantado un proceso para eliminar la información
Además de tener el derecho los ciudadanos de exigir toda la información referente a su persona, también pueden exigir que esta información sea eliminada, ¿esta su empresa preparada para eliminar toda la información?
5. Consentimientos
Día a día las empresas recopilan grandes cantidades de información, pero ¿estamos seguros de que estamos obteniendo consentimiento para la obtención de esa información?
6. ¿Quién tiene acceso externo a los datos?
Tenemos que tener el control de la información y como se maneja externamente esa información, ya que podemos poner a disposición información de nuestros clientes a un tercero y este incumplir las políticas de privacidad de esa información, siendo el responsable último nosotros por el mal uso de esta.
7. Detectar brechas de seguridad
Es muy importante detectar y comunicar con un periodo inferior a 72 cualquier incidente de seguridad que haya puesto en riesgo información amparada bajo la GDPR. Por ello es muy importante disponer de unos servicios en las empresas capaces de detectar esas brechas y realizar un análisis forense del incidente.
8. Diseños de sistemas
A la hora de diseñar los sistemas, tiene que ser fundamental crear la arquitectura contemplando que esta cumpla todas las medidas de seguridad de información y que no sea la gestión de la privacidad de la información un accesorio supletorio que se incluya en último lugar.
9. ¿Qué hacer ante una brecha en la seguridad de los datos?
Diseñar un protocolo de comunicación, ante una brecha de seguridad permitirá mitigar los efectos de la brecha. Hoy en día es casi imposible defender a las empresas de posibles brechas por ello tenemos que definir un protocolo de actuación ante posibles futuras brechas.
10. ¿Han procedimentado medidas para cumplir la regulación GDPR?
Es muy importante crear toda la documentación procedimental sobre las medidas adoptadas por la empresa para gestionar correctamente la regulación GDPR. Ya que la administración puede requerirnos esta documentación con el objetivo de comprender el flujo de trabajo de la compañía.
Si le ha resultado difícil comprobar el cumplimiento de estas diez pautas, no se alarme ya que desde Fervimax queremos ayudar a las empresas a gestionar correctamente la nueva regulación europea, realizando auditorías internas y externas a las empresas y proveyéndoles de los servicios necesarios para adaptar a la empresa a la nueva normativa. Por ello no dude en ponerse en contacto con nosotros para resolver cualquier duda.
¿Tienes preguntas sobre la regulación GDPR?
Contactar con Alberto Peñaranda
