El Reglamento General de Protección de Datos (RGPD) entró en vigor con carácter obligatorio en la Unión Europea el 25 de mayo y aún existen algunas dudas sobre su ámbito de actuación. Muchas empresas todavía no ven con claridad los cambios que esta legislación va a traer a su día a día y por eso preparamos una lista de verificación con 10 medidas de seguridad para tomar ahora mismo!
Planear la aplicación del RGPD
Deberá haber un plan de acción estratégico para la implementación del RGPD y antes de partir para la acción es necesario que se analice toda la infraestructura de la empresa, así como todas las fuentes de información. Todas las áreas de la empresa deberán estar presentes en este proyecto y en este plano debe constar la identificación, evaluación y categorización de los datos privados que las empresas han almacenado, así como su origen.
Asesoramiento profesional adecuado
El asesoramiento de profesionales con conocimientos sobre la nueva legislación es esencial para que el RGPD sea implementado de forma correcta. El consultor jurídico es capaz de identificar los pasos ya implementados y los que aún faltan para cumplir el RGPD. El levantamiento de necesidades es muy útil si necesita recurrir a un socio para realizar los cambios necesarios.
Nombrar (o no) un DPO
La empresa necesita verificar si es obligatorio nombrar un Encargado de Protección de Datos. En caso de necesidad, este profesional es responsable de las obligaciones que constan en el RGPD. El nuevo Reglamento exige que se designe un DPO si uno de estos casos es el siguiente:
- El procesamiento de datos es llevado a cabo por una entidad pública (excepto los tribunales que actúan en su capacidad judicial);
- Las actividades centrales de la empresa consisten en la monitorización regular y sistemática de datos personales de sujetos a gran escala;
- Las actividades centrales de la empresa consisten en el procesamiento a gran escala de datos relacionados con la actividad criminal / quejas / ofensas / etc previstos en los artículos 9 y 10.
Aplicar la privacidad by design
Los procesos deben ser creados o adaptados, para que los datos sean protegidos. La metodología a utilizar debe ser privacy by design, para facilitar la monitorización de comunicación de los eventos relacionados con los datos personales.
Actualizar la política de privacidad de acuerdo con la nueva ley
La política de privacidad de los datos debe actualizarse de acuerdo con las nuevas exigencias de la legislación. Debe definirse una escala de clasificación y de tratamiento de los datos personales. El departamento jurídico de la empresa debe estar involucrado en este proceso.
Hacer la información más segura
La empresa debe implementar procesos que permitan detectar, reportar y resolver problemas de violación de datos personales, manteniendo siempre presente la cuestión de la seguridad. El RAAS le da la garantía de aislamiento de sus datos para una protección total de la información.
Cambio de los canales de atención
Los procedimientos de atención al cliente deben estar preparados para recibir todas las solicitudes de conformidad con la nueva ley, ya sea en línea o fuera de línea. Es esencial garantizar que la seguridad de los datos de los ciudadanos no se vea comprometida.
Garantizar que los stakeholders cumplen la nueva ley
Todos los proveedores implicados en el procesamiento de datos deben cumplir también los requisitos del nuevo RGPD. Por ejemplo, al comprar una base de datos debe asegurarse de que la entidad subcontratada también cumple la nueva ley, de lo contrario podría tener problemas.
Involucra a toda la organización en el proceso de adaptación
La empresa debe crear un programa interno de comunicación, para que involucra todas las áreas en este cambio. El responsable del cumplimiento del RGPD debe informar y sensibilizar a los colaboradores sobre la privacidad de los datos y los riesgos que el incumplimiento de la ley trae para la empresa.
Cifrado y/o enmascaramiento de los datos
La empresa debe asegurarse de que los datos altamente sensibles están cifrados, para que no haya riesgo de ser perdidos y la empresa sea víctima de las graves multas que figuran en el nuevo reglamento. El enmascaramiento de datos tiene como objetivo la creación de una versión de los datos estructuralmente idéntica, pero no igual. Esta técnica crea una base de datos con información ficticia, pero realista, que puede ser utilizada para fines de pruebas y formación. Las soluciones de enmascaramiento de datos ofrecen una variedad de técnicas sofisticadas de scrambling para proteger datos sensibles, reemplazándolos de forma irreversible por datos que no son reales, manteniendo la integridad referencial de la base de datos.