Uno de los temas de actualidad dentro del sector tecnológico es el GDPR (General Data Protection Regulation). El nuevo Reglamento General de Protección de Datos de la UE supone un dolor de cabeza a nivel organizacional y sobre todo informático de todas las empresas o compañías que tengan presencia física en la UE o manejen datos de sus residentes.
Las PYMES y medianas empresas son las que se verán más afectadas en su intento de cumplir satisfactoriamente con el reglamento, de tal forma que eviten las altas sanciones o multas que suponen una mala gestión de los datos de los usuarios. Debido a que cuentan con menos recursos a nivel económico y de personal se verán obligadas a asumir por si mismas las medidas y cambios que presenta la nueva regulación, que entrará en vigor a partir de mayo del 2018.
De cualquier forma, el fin común es el de garantizar la privacidad de los datos que los usuarios comparten con las empresas, el cual suele ser mal empleado por las mismas. El reglamento busca, principalmente, proteger a los usuarios de los intereses comerciales que muchas veces termina siendo desmesurado. En este apartado es cuando entra en juego la proactividad de las empresas.
En los siguientes fragmentos desarrollaremos las nuevas medidas de seguridad que deberán seguir las empresas para lograr un buen cumplimiento del GDPR.
Realizar un análisis de riesgos
Se deben realizar análisis de riesgos que generen medidas de seguridad a nivel jurídico, técnico y organizativo, haciendo énfasis en la redacción de nuevas cláusulas que velen por el consentimiento de la información. Estos análisis irán en función del tratamiento de los datos y las consecuencias que conllevan su destrucción o pérdida, el uso ilícito o alteración de los mismos y el acceso o comunicación no autorizada de dichos datos.
Principio de responsabilidad proactiva
Las empresas deben trabajar en el diseño de políticas de seguridad, en el registro de eventos y en la documentación. Se debe verificar mediante un análisis de riesgos si las acciones definidas garantizan el cumplimiento de la seguridad. Además, se debe fijar un método de evaluación en el que se mida el estado de cumplimiento de la planificación y se adopte nuevas medidas o se redefinan las existentes.
Adoptar políticas internas
Una medida de suma importancia que demanda el nuevo reglamento es la proactividad por parte de las empresas. Se deberán generar nuevas obligaciones y figuras dentro de la organización, como, por ejemplo, la figura del DPO (Data Protection Officer), quien será el encargado de coordinar la política de seguridad de los datos y a su vez el enlace con las autoridades, ya que deben realizarse comunicaciones de posibles fallos en un plazo de 72 horas.
Fuente: Tuyu