Los datos son el nuevo capital económico del mundo y suponen un verdadero desafío para la seguridad corporativa. En estos momentos más que nunca, tras la crisis que ha supuesto la pandemia generada por la Covid 19, la exposición de los datos es una cuestión trascendental para nuestros clientes, los operadores. Aprovechando que hoy se celebra el Día Europeo de la Protección de Datos vamos a analizar los puntos más importantes que, según mi criterio, tienen que tener en cuenta los operadores a la hora de abordar el cumplimiento de la normativa en cuanto a la protección de los datos.
Formación
Formar, concienciar y sensibilizar es la base para garantizar un correcto cumplimiento de la legalidad. No me refiero solo a los empleados, que realizan tratamiento con datos de carácter personal; sino también y en especial a la directiva, la cual tienen que estar totalmente alineada para conseguir cumplir los objetivos definidos en materia de protección de datos.
Delegado de Protección de Datos
El operador tiene que nombrar un Delegado de Protección de Datos y comunicar dicho nombramiento a la Agencia Española de Protección de Datos (AEPD) o, en su caso, a las autoridades autonómicas de protección de datos.
Ejercicio de derecho del ciudadano
Se deben establecer los mecanismos necesarios para facilitar al ciudadano el ejercicio de sus derechos y que permita al trabajador atender con diligencia y celeridad dichas solicitudes y poder realizar un posterior seguimiento. Los sistemas tienen que estar adaptados para permitir un correcto cumplimiento en lo que al ejercicio de los derechos del ciudadano se refiere.
Legitimidad del tratamiento
Contar con una base que legitime todos y cada uno de los tratamientos que realiza el operador es imprescindible. En muchas ocasiones la base legitimadora se sustenta en la contratación de servicios por parte del cliente. Otras veces la base legitimadora consiste en obtener el consentimiento por parte del interesado. En dicho caso, el operador tiene que contar con mecanismos que permitan una posterior oposición del interesado a dicho tratamiento.
Renovación del consentimiento
Los operadores deben definir un plazo para la renovación del consentimiento con el interesado. Las estadísticas reflejan que casi la mitad de las empresas reconoce no haber valorado la necesidad de renovar sus consentimientos. La renovación de consentimiento se tiene que realizar de manera periódica para garantizar que se dispone de un consentimiento adecuado para el tratamiento que se quiere realizar y que este se encuentra debidamente actualizado.
Plazos de conservación
Se han de definir plazos de conservación para los datos personales con el fin de garantizar que no se conservan más tiempo del estrictamente necesario. Los sistemas de la compañía que contienen datos de carácter personal deben contar con la función, entre otras, que permitan al empleado el bloqueo y/o borrado de datos personales para el ejercicio de los derechos, la cual se suele llevar a cabo de manera manual. Dado el elevado volumen de información que manejan este tipo de compañías, dichos sistemas deben contar con mecanismos que permitan automatizar la correcta rotación de los datos personales según se haya definido. Las estadísticas muestran que solo una décima parte de las empresas cuenta con sistemas automatizados que faciliten dicho cumplimiento.
Registro de Actividades del Tratamiento (RAT)
El operador debe contar con un registro donde recoger de forma detallada todos y cada uno de los tratamientos con datos de carácter personal que realiza la compañía. Un RAT actualizado y pormenorizado es una herramienta clave para identificar los tratamientos y el contacto con el encargado de un tratamiento. Además, es el lugar perfecto para detallar todos y cada uno de los sistemas de la compañía que intervienen en dichos tratamientos y que custodian datos de carácter personal.
El RAT se puede convertir en una herramienta de gran utilidad a la hora de supervisar, controlar las medidas de seguridad y garantizar la correcta rotación de los datos en todos los sistemas.
Los operadores deberán definir un protocolo que establezca los plazos de revisión del RAT, solo así podemos garantizar que la información que contiene es válida y se encuentra actualizada.
Medidas técnicas y organizativas desde el diseño y por defecto
Considero que este es uno de los principales cambios en el nuevo marco normativo. Propiciando una evolución significativa en la seguridad, dejando atrás una forma de actuar reactiva para pasar a proceder de un modo totalmente proactivo para con la seguridad de los sistemas y desde el punto de partida de los mismos, el diseño. Esto nos permite garantizar un nivel de seguridad adecuado al riesgo, todo ello siempre acompañado de un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas aplicadas.
Revisión del cumplimiento
La entrada en vigor del nuevo marco normativo supuso importantes cambios legislativos. Todas las compañías se vieron inmersas en largos procesos para adaptarse al cumplimento del mismo. Es muy importante que dicho cumplimiento se revise y mantenga actualizado ante posibles cambios legislativos que apliquen a nuestro sector.
Sistema de Gestión de la Seguridad de la Información (SGSI)
El SGSI es un conjunto de políticas de administración de la información. Claro ejemplo de un sistema orientado a la mejora continua que dota a la compañía de una herramienta de gran utilidad que facilita la revisión y seguridad del todo su ecosistema. Se trata de una herramienta de gran utilidad que centraliza la definición, implantación y revisión de las medidas establecidas para todos los sistemas de la compañía.
El consejo que ofrezco a los operadores, que es extensible a todo tipo de compañías, es que acorde a sus necesidades formen un equipo interno cuya responsabilidad sea implantar y mantener un sistema que garantice el correcto cumplimiento legal tanto en materia de protección de datos como en seguridad. Dicho equipo tiene que estar formado por personas con un amplio conocimiento de los procesos de la compañía y que disponga de conocimiento o se forme en materia legislativa. Realizando también la función de concentrar las comunicaciones necesarias con expertos externos. Por mi experiencia puedo afirmar que, la base para garantizar el cumplimento y la seguridad de los sistemas depende del conocimiento de los estos, algo que es más fácil de conseguir trabajando desde dentro de la compañía.
