Por qué es importante el GDPR y qué puntos hay que tener en cuenta para cumplirlo
- Seguridad
Un nuevo estudio revela que hay un exceso de confianza en lo que respecta al cumplimiento del nuevo Reglamento General de Privacidad de los Datos (RGPD). Hay un amplio conocimiento de los principios de la norma pero confusión sobre los datos personales que hay proteger.
Un estudio llevado a cabo por Opinium Research para Trend Micro, en el que se ha encuestado a más de 1.000 responsables de la toma de decisiones de TI de todo el mundo, revela que los consejos de administración de administración españoles no están tratando el GDPR con la seriedad que requiere, lo que conlleva un exceso de confianza en lo que respecta al cumplimiento.
La investigación pone de manifiesto que existe un buen conocimiento de los principios sobre los que se sustenta el GDPR. De hecho, la totalidad de los participantes españoles sabe que debe cumplir con la regulación y prácticamente la mayoría (el 95%)asegura haber leído sus requisitos. Además, el 82% de las empresas nacionales está convencida de que sus datos están tan seguros cómo es posible, frente al 79% de la media global.
A pesar del alto grado de concienciación percibida, existe cierta confusión sobre lo que constituyen los 'datos personales' que se necesitan proteger.
Esta firma no es la única que advierte de esta situación. La consultora IDC también ha hecho algunas consideraciones en su blog dado que, aunque cada sector tiene que cumplir con regulaciones específicas, el nuevo Reglamento es la norma más importante y que mayor impacto tendrá para las organizaciones y entra en vigor el próximo mes de mayo. “En las conversaciones que mantenemos con las empresas, constatamos que hay un desconocimiento significativo sobre lo que representa e implica esta normativa”, dice.
Este reglamento tiene como objetivo la protección de datos personales (todos los que permitan identificar una persona) de los ciudadanos de la Unión Europea y codifica los derechos que a partir de hoy todas las entidades que procesen datos de ciudadanos de la UE están obligadas a respetar. Con la norma el ciudadano tiene derecho a acceder a los datos que una entidad posee sobre él, al derecho al olvido, y derecho al consentimiento explícito. Es decir, el ciudadano tiene más derechos, pero suponen nuevas obligaciones para las empresas como, por ejemplo, la comunicación obligatoria de las brechas de seguridad en 72 horas.
El incumplimiento tendrá graves consecuencias
El incumplimiento de estas normas, recuerda también IDC, que puede acarrear multas hasta el 4% de sus ingresos o 20 millones de euros, lo que sea más elevado. Además, puede implicar la prohibición de procesar datos personales, lo que puede ser sinónimo de no poder facturar. “Esto significa que la gestión del riesgo en las empresas va a cambiar definitivamente. Podemos, efectivamente, decir que habrá un antes y un después de la GDPR”, señala.
Por eso, recomienda que a las empresas a la hora de diseñar el modelo de seguridad empresarial que racionalicen la tecnología y simplifiquen el propio entorno de seguridad, e implementen el liderazgo y los modelos organizativos necesarios.
Puntos a tener en cuenta
Por su parte, OpenText resume en seis puntos las obligaciones que las organizaciones tendrán que cumplir con la llegada del GDPR. Son éstos:
Legalidad, legitimidad y transparencia. Las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa.
Limitación de uso. La información personal sólo puede recogerse con un fin explícito y legítimo, y su uso no puede expandirse más allá del consentimiento del usuario.
Minimización de los datos. Existe una clara tendencia por parte de la mayoría de organizaciones de maximizar los datos. Con la llegada del GDPR, los datos personales recogidos deben limitarse únicamente a lo que es necesario en relación con los objetivos para los cuales fueron recogidos y tratados.
Precisión. La información personal debe ser precisa. Los usuarios deben tener derecho a solicitar correcciones que deben ser atendidas a la mayor brevedad posible.
Limitación de almacenamiento. Las organizaciones están obligadas a no retener los datos personales más tiempo del necesario para el uso explícito y legítimo autorizado por el usuario.
Integridad y confidencialidad. Las empresas que gestionen datos deben garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.
Para cumplir con la nueva regulación y garantizar la seguridad y protección de la información, las organizaciones necesitan poner en marcha una estrategia de gestión de la información que ayude a controlar la obtención, protección, retención y eliminación de datos personales.