Secure&Magazine: especial nuevo Reglamento General de Protección de Datos

Secure&Magazine: especial nuevo Reglamento General de Protección de Datos

encabezado revista gdpr

 


 

Estimados lectores,

El editorial de este segundo número de la revista Secure&Magazine empieza con la palabra “incertidumbre”. El porqué es sencillo: este es uno de los términos más repetidos en todo lo que se refiere a la implantación del nuevo Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés). Usuarios y, sobre todo, empresas se enfrentan con expectación a los cambios que implica este nuevo modelo de privacidad, que llega de manos de la Unión Europea y que ya ha entrado en vigor (será de obligado cumplimiento a partir del 25 de mayo de 2018).

Para dar alguna pincelada, podemos decir que el RGPD no se limita al cumplimiento de las normas, sino que deja en manos del responsable la adopción de las medidas que considere oportunas para cumplir con él. El aspecto positivo es que no es tan rígido y permite que empresa y norma se adapten. Pero, al contrario que la actual Ley Orgánica de Protección de Datos (LOPD) -que menciona las medidas de seguridad que se deben implantar- el nuevo Reglamento dice qué obligaciones hay que cumplir, pero no explica cómo hacerlo, y esto supone un reto.

La pregunta es: ¿están preparadas las empresas para abordar el nuevo Reglamento General de Protección de Datos? Podemos decir, sin duda, que no. Queda mucho por hacer y, por eso, desde Secure&IT recomendamos a las compañías que, si no se han puesto en marcha ya, empiecen a desarrollar un plan de acción para adaptar su forma de trabajar a los nuevos requisitos del RGPD (designar un Delegado de Protección de Datos –DPD-, actualizar las medidas de seguridad para proteger los datos personales según dicta el Reglamento, etc.).

Probablemente, la modificación más importante a la que se deban enfrentar las empresas (y que afectará en su forma de trabajar) tendrá que ver con las medidas de seguridad y con la obtención del consentimiento de los interesados (ya no sirve con el consentimiento tácito o implícito –casillas ya marcadas, aceptación por omisión, etc.-, sino que debe ser explícito). En cuanto a las medidas de seguridad, deberán implantar aquellas que resulten necesarias, basadas en los riesgos a los que estén expuestos los afectados por el tratamiento de sus datos personales. Por tanto, podemos decir que no sirve “reciclar” el documento de seguridad.

La Agencia Española de Protección de Datos ha publicado en su web varias guías (una sobre las novedades y otra específica para los responsables del tratamiento de datos personales) para que el RGPD sea más accesible y fácil de entender. Hay que concebirlas como lo que son: pautas para conformar un sistema de gestión de la privacidad. Por eso, lo mejor para adaptarse al nuevo Reglamento es contar con especialistas en la materia, y no solo del ámbito jurídico: son imprescindibles los expertos en procesos de seguridad de la información y, por supuesto, los técnicos con experiencia. Es la única forma de asegurar que el próximo mayo la empresa cumplirá adecuadamente con la nueva normativa.

De todo lo que rodea al nuevo GDPR (cambios con respecto a la normativa anterior, responsabilidades legales de las empresas ante el nuevo Reglamento, procedimientos y tecnologías necesarias para la adecuación) se habló en nuestra III Jornada de Ciberseguridad: Seamos prácticos: medidas organizativas y técnicas de adecuación al GDPR. Por este motivo, hemos decidido convertir esta edición de nuestra revista en casi un especial sobre el nuevo Reglamento General de Protección de Datos.

Pero, no queremos dejar de lado dos incidentes de seguridad que han movilizado al mundo entero, WannaCry y Petya, que también tienen relación con la nueva normativa. A partir del año que viene, las organizaciones o compañías que traten datos de carácter personal estarán obligadas a notificar a la autoridad de control competente cualquier tipo de brecha grave de seguridad que sufran, en un plazo de 72 horas desde que ocurra.

Aprovechamos también la ocasión para reiterar nuestro agradecimiento a los asistentes, patrocinadores y ponentes su participación en nuestra III Jornada de Ciberseguridad.

El equipo de Secure&IT

Comments

Comentarios desactivados