Por qué es importante el GDPR y qué puntos hay que tener en cuenta para cumplirlo

Un estudio llevado a cabo por Opinium Research para Trend Micro, en el que se ha encuestado a más de 1.000 responsables de la toma de decisiones de TI de todo el mundo, revela que los consejos de administración de administración españoles no están tratando el GDPR con la seriedad que requiere, lo que conlleva un exceso de confianza en lo que respecta al cumplimiento.

Quizá te interese... Por una Transformación Digital segura (IT Webinar)   Cómo debe ser el Centro de Datos de Nueva Generación Cómo mejorar la analítica de tu banco digital y optimizar la experiencia de usuario 7 sugerencias para mejorar la carga de tu web o app Cómo superar los desafíos de TI en las pequeñas empresas La empresa digital: transformando las TI con nuevas infraestructuras

La investigación pone de manifiesto que existe un buen conocimiento de los principios sobre los que se sustenta el GDPR. De hecho, la totalidad de los participantes españoles sabe que debe cumplir con la regulación y prácticamente la mayoría (el 95%)asegura haber leído sus requisitos. Además, el 82% de las empresas nacionales está convencida de que sus datos están tan seguros cómo es posible, frente al 79% de la media global.

A pesar del alto grado de concienciación percibida, existe cierta confusión sobre lo que constituyen los 'datos personales' que se necesitan proteger.

Esta firma no es la única que advierte de esta situación. La consultora IDC también ha hecho algunas consideraciones en su blog dado que, aunque cada sector tiene que cumplir con regulaciones específicas, el nuevo Reglamento es la norma más importante y que mayor impacto tendrá para las organizaciones y entra en vigor el próximo mes de mayo. “En las conversaciones que mantenemos con las empresas, constatamos que hay un desconocimiento significativo sobre lo que representa e implica esta normativa”, dice.

Este reglamento tiene como objetivo la protección de datos personales (todos los que permitan identificar una persona) de los ciudadanos de la Unión Europea y codifica los derechos que a partir de hoy todas las entidades que procesen datos de ciudadanos de la UE están obligadas a respetar. Con la norma el ciudadano tiene derecho a acceder a los datos que una entidad posee sobre él, al derecho al olvido, y derecho al consentimiento explícito. Es decir, el ciudadano tiene más derechos, pero suponen nuevas obligaciones para las empresas como, por ejemplo, la comunicación obligatoria de las brechas de seguridad en 72 horas.

El incumplimiento tendrá graves consecuencias

El incumplimiento de estas normas, recuerda también IDC, que puede acarrear multas hasta el 4% de sus ingresos o 20 millones de euros, lo que sea más elevado. Además, puede implicar la prohibición de procesar datos personales, lo que puede ser sinónimo de no poder facturar. “Esto significa que la gestión del riesgo en las empresas va a cambiar definitivamente. Podemos, efectivamente, decir que habrá un antes y un después de la GDPR”, señala.

Por eso, recomienda que a las empresas a la hora de diseñar el modelo de seguridad empresarial que racionalicen la tecnología y simplifiquen el propio entorno de seguridad, e implementen el liderazgo y los modelos organizativos necesarios.

Puntos a tener en cuenta

Por su parte, OpenText resume en seis puntos las obligaciones que las organizaciones tendrán que cumplir con la llegada del GDPR. Son éstos:

Legalidad, legitimidad y transparencia. Las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa.

Limitación de uso. La información personal sólo puede recogerse con un fin explícito y legítimo, y su uso no puede expandirse más allá del consentimiento del usuario.

Minimización de los datos. Existe una clara tendencia por parte de la mayoría de organizaciones de maximizar los datos. Con la llegada del GDPR, los datos personales recogidos deben limitarse únicamente a lo que es necesario en relación con los objetivos para los cuales fueron recogidos y tratados.

Precisión. La información personal debe ser precisa. Los usuarios deben tener derecho a solicitar correcciones que deben ser atendidas a la mayor brevedad posible.

Limitación de almacenamiento. Las organizaciones están obligadas a no retener los datos personales más tiempo del necesario para el uso explícito y legítimo autorizado por el usuario.

Integridad y confidencialidad. Las empresas que gestionen datos deben garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.

Para cumplir con la nueva regulación y garantizar la seguridad y protección de la información, las organizaciones necesitan poner en marcha una estrategia de gestión de la información que ayude a controlar la obtención, protección, retención y eliminación de datos personales.