La Regulación General de la Protección de Datos (RGPD) implica la implantación de nuevos procesos en las empresas, en los que estarán involucrados el personal, los actuales procesos corporativos y las tecnologías, para un control exhaustivo de los datos personales en poder de las empresas.
Todas las empresas europeas de cualquier sector deberán de cumplir con dicha Regulación que sustituye a la LOPD. El 25 de Mayo es el plazo dado para su cumplimiento y existirá un periodo de adaptación de 6 meses más. A partir de este momento podríamos caer en sanciones de 20 millones de € o el 4 % EBITDA.
Ante un caso de fuga de información, las empresas tendrán que demostrar por un lado que han analizado los requisitos de la RGPD en función del tipo de procesamiento de datos personales que hagan y haber implementado las medidas técnicas y organizativas que les permitan adecuarse a los requisitos legales.
¿Cómo podemos acercarnos al cumplimiento de la RGPD y evitar dichas sanciones?
Deberíamos pasar por 3 fases lógicas, la de evaluación de nuestro estado actual en la empresa para el cumplimiento, la de implantación y la de verificación del cumplimiento de la Regulación.
Fase de Evaluación:
- Objetivo: Conocer el gap que existe en la organización para cumplir con la RGPD
- Actividades:
- Realizar una evaluación del nivel de madurez de la organización respecto a la RGPD
- Elaborar un plan de acción con las principales recomendaciones para la adecuación a la RGPD
- Duración estimada entre 2 y 4 semanas
- Fecha de inicio: enero de 2018
Fase de Implantación:
- Objetivo: Implantar el conjunto de procedimientos y herramientas de acuerdo con el plan de acción Conocer con precisión el gap que existe en la organización para cumplir con la RGPD
- Actividades:
- Ejecución del plan de acción para cumplir la RGPD.
- Se requiere disponer de acuerdos con fabricantes de SW
- Duración estimada entre 1 y 6 meses. Depende del tamaño de la Organización y de su actual cumplimiento de la LOPD
Fase de Verificación:
- Objetivo: Asegurar que se cumple con la RGPD
- Actividades:
- Revisar que la implantación realizada cumple los objetivos de la RGPD
- Duración estimada entre 1 y 2 semanas
¿Qué necesitaríamos para abordar este proyecto?
Un equipo con experiencia en auditorías de la LOPD y con conocimiento en la RGPD para que realice una evaluación completa, sin fisuras. Es necesario un Plan de Acción completo y adaptado a cada Organización.
Además de herramientas que den soporte a la implantación de los nuevos procedimientos que se tendrán que institucionalizar en la Organización. Harán falta herramientas de:
- Detección de fugas de información
- Procesos automáticos para recoger el consentimiento
- Encriptación de datos
- Gestión de identidades
- etc…