Preparándonos para el GDPR

 

Con la llegada del 2018 entramos de lleno en la recta final para la implementación de las novedades que introduce el General Data Protection Regulation (GDPR). Este reglamento de la Unión Europea, aprobado en 2016 y que supondrá profundos cambios en la normativa de protección de datos, se volverá obligatorio a partir del próximo mes de mayo, por lo que todas las empresas deben tener incorporadas las modificaciones necesarias para entonces.

Desde la aprobación en 1995 de la Directiva referente al procesamiento de información personal, la Unión Europea no había elaborado nuevas regulaciones en esta materia. La creciente necesidad de armonizar y actualizar las legislaciones estatales hizo que el 12 de marzo del 2014 el Parlamento Europeo aprobase una primera versión del GDPR, que dos años después adquiriría su redacción definitiva.

El GDPR tiene como objetivo primordial unificar los estándares de la Unión Europea y lograr que los ciudadanos europeos tengan mayor control sobre sus datos personales, entendiéndose estos como toda información relativa a una persona física identificada o identificable cuya identidad pueda determinarse directa o indirectamente.

¿Cuáles son los aspectos más relevantes del GDPR?

Es conveniente advertir que el ámbito de aplicación del GDPR no solo se extiende a las compañías con sede en la UE, sino que también incluye a todas aquellas fuera del territorio europeo que traten datos de ciudadanos comunitarios. Todas estas empresas deberán recabar el consentimiento explícito de las personas, denominadas interesados en el reglamento, cuya información vaya a ser tratada. Esto último además se aplicará de manera retroactiva, es decir, toda autorización obtenida de forma tácita hasta el momento deberá ser ratificada de manera expresa.

Otra de las novedades más destacadas es el plazo de notificación en caso de que se produzca una brecha de seguridad. Las empresas dispondrán de 72 horas para reportarlas a la autoridad de control y a los afectados una vez producidas.

Si este u otros mandatos del GDPR se incumplieran, las multas podrían ascender hasta el 4% del volumen de negocio total anual o a 20 millones de euros, eligiendo entre estas opciones la de mayor cuantía. Sin embargo, la determinación final del importe podrá ser graduada por la autoridad nacional de control, la Agencia Española de Protección de Datos en el caso de España, que decidirá en base a criterios de efectividad, proporcionalidad y disuasión.

En cuanto a los derechos de los ciudadanos, el GDPR obliga al responsable del tratamiento de la información personal a proporcionar al interesado un informe exhaustivo en el que se incluirán, por ejemplo, el periodo de conservación de los datos o la existencia de decisiones automatizadas. Asimismo se introduce el derecho al olvido, que supone una formulación reforzada del actual derecho de cancelación, por el que el interesado podrá solicitar que sus reseñas dejen de ser almacenadas, tratadas o publicadas en internet.

El derecho a la limitación en el uso de los datos es otro de los aspectos importantes incluidos en el GDPR. Esta limitación se producirá cuando el interesado haga constar la inexactitud de alguno de sus identificadores, cuando se produzca un tratamiento ilícito pero no se desee la supresión, cuando el responsable ya no necesite la información personal pero el interesado los precise para una reclamación o cuando el interesado ejercite su derecho de oposición, hasta que este se resuelva.

Por otra parte, en cuanto a las obligaciones impuestas al responsable, este deberá realizar un análisis de riesgos en el que detallará las medidas técnicas y organizativas a implementar para cumplir con el GDPR. También tendrá que llevar un registro de actividades que incluirá, entre otros, los fines del tratamiento, la descripción de las categorías de interesados y de datos o la información sobre transferencias internacionales.

Primeros pasos en la adaptación al GDPR


Vista la magnitud de la reforma y el poco tiempo que resta para que el cumplimiento del GDPR se vuelva obligatorio, es necesario sentar unas bases claras para poder ajustarnos a la nueva normativa. Nosotros apostamos por seguir estos cinco pasos:

1. Conoce a tu empresa para determinar los puntos débiles en los procedimientos de tratamiento de datos personales. Debemos autoanalizarnos para ser capaces de detectar en qué aspectos es más probable que no seamos capaces de cumplir con las exigencias impuestas por el GDPR. Solo así focalizaremos el esfuerzo en necesidades reales y concretas y podremos cumplir con los plazos de Europa.

2. Haz un inventario de datos e identifica a las personas clave a las que incluir en el proceso. Esto es importante ya que el GDPR, en su artículo 9, refuerza la protección de determinadas informaciones por considerarlas especialmente sensibles. Realizando una recolección detallada de datos y personas facilitamos la tarea de localizar aquellos que deben gozar de las consideraciones de seguridad especiales incluidas en el reglamento.

3. Define las medidas técnicas y organizativas y el método a seguir. La adaptación al GDPR exige transversalidad. No es posible lograr una adecuación completa a la norma europea sin abordar este reto desde una perspectiva global. Por ello, las reformas no pueden afectar solo a una parte de la corporación, sino que han de incorporar tanto medidas en el plano técnico como en el organizativo.

4. Implanta las medidas. En este caso se trata de llevar a la práctica el plan diseñado en la fase anterior, siendo capaces de integrar todas las áreas.

5. Forma y conciencia a todo el personal. Esta es una tarea que debe darse en todas las fases de la adaptación, ya que al final el éxito o el fracaso dependerá de los trabajadores y de su habilidad para incorporar los cambios.

 

Miguel Ángel Thomas socio responsable del área de Ciberseguridad en everis. Contacta con él a través de Linkedin.

La importancia de la tecnología Cloud para la transformación digital de la banca

Como viene pasando en todo lo que nos rodea, los cambios en el mundo de la banca son cada vez más rápidos y ocurren con mayor cadencia. La capacidad de adaptación, flexibilidad y adopción de nuevas reglas de juego es clave para la supervivencia de un sector que además está sometido a fuertes regulaciones: internas, Banco de España, BCE, etc. Por si todo este panorama no fuese suficientemente complejo, recientes procesos han obligado a la banca a absorber diversas fusiones entre entidades y, por lo tanto, a integrar nuevos y distintos sistemas, siendo necesario establecer puentes que les permitan la interconexión con los ya existentes.

Leer el resto

La importancia del networking

En televisión, prensa, redes sociales,… seguramente has podido escuchar un concepto muy familiarizado con esta época digital y el mundo globalizado en el que vivimos: networking.

Pero ¿qué es el networking? Recogiendo opiniones de distintas personas acerca de qué les puede sugerir o cómo se podría definir, tendríamos las siguientes ideas:

Leer el resto

No te diré que es fácil…, pero vale la pena

Espina Bífida… ¿Alguna vez has oído hablar de esto? Si es así, aquí sólo te ampliaré la información que ya sabes. Si, por el contrario, perteneces a ese gran número de personas a las que ni siquiera les suena, te voy a contar qué es y cómo se vive con ello. Lo primero es lo primero: ¿Qué es la Espina Bífida? Según la Organización Mundial de la Salud es una malformación congénita por la cual la columna vertebral no se desarrolla completamente durante las primeras semanas del embarazo. Este defecto de nacimiento puede provocar distintos grados de parálisis y pérdida de sensibilidad en las extremidades inferiores, en función de la altura a la que se ha producido la lesión, así como diversas complicaciones en las funciones intestinales y urinarias. Asimismo, puede producir hidrocefalia, entendida como la acumulación de líquido cefalorraquídeo en los ventrículos craneales.

Leer el resto

Experiencia del paciente: participación ciudadana en los servicios de salud

En un nuevo paradigma de atención sanitaria caracterizado por el creciente empoderamiento de las personas en relación a su salud así como la irrupción de las nuevas tecnologías en los procesos sanitarios a menudo orientadas a la personalización de servicios,  se pone de manifiesto la importancia de diseñar los servicios de salud focalizando en la centralidad del paciente.

Leer el resto