Skip to content

Retos digitales en el cumplimiento GDPR

By Microsoft Services Spain on 7 de mayo 2018

Archivado en Transformación digital

El nuevo reglamento UE 679/2016 (GDPR – de sus siglas en inglés General Data Protection Regulation) se ha creado para regular la protección de la privacidad de los datos personales de los ciudadanos europeos.

A partir del próximo mes de mayo entrará en vigor este esquema de control y protección que establecerá las responsabilidades de las organizaciones que: (1) solicitan datos (responsables del tratamiento); (2) albergan y tratan datos (encargados del tratamiento) protegiendo también los derechos de los sujetos.

Da igual donde se ubiquen las organizaciones, si los sujetos son ciudadanos de la UE, el reglamento es de cumplimiento obligatorio, implicando de esta forma una responsabilidad proactiva:

  • Estar siempre preparado para solicitar datos personales a los interesados;
  • Tener claramente documentado su uso;
  • Tener activo un gobierno de datos de gestión consentida y el ejercicio de derechos;
  • Proteger los datos con medidas sólidas y orientadas a la privacidad de la información.

Todos estos requisitos hacen que las organizaciones deban adoptar soluciones de gestión, auditoría y linaje del dato en sus procesos internos, así como sistemas para agilizar la comunicación con los interesados, de forma segura.

Todas estas soluciones requieren de inversiones que, si no se realizan, pueden reducir la capacidad innovadora de las organizaciones, aparte de las consabidas sanciones.

El nuevo gobierno de datos

La adopción de soluciones de BigData y el crecimiento imparable de la inteligencia artificial aplicada a los datos son tendencias que han hecho posible conocer mucho mejor a usuarios y clientes. Pero estas nuevas oportunidades implican también responsabilidades, y el cumplimiento GDPR requerirá de soluciones de gobierno de datos más avanzadas:

  • La protección y la prevención de los accesos no autorizados con soluciones de seguridad, cifrado y auditoría, donde Microsoft ya juega un papel muy importante a través de sus ofertas de Ciberseguridad;
  • La capacidad de reacción rápida en caso de incidente de seguridad con soluciones de Incident Response (IR). Como ejemplo, recordar que, si el incidente de seguridad afecta a la privacidad de los datos personales, éste se debe notificar a la autoridad en un plazo máximo de 72h.

En el documento Data governance for GDPR compliance: principles, processes and practices, se encuentran detalladas todas las acciones y pasos para la elaboración de un gobierno de datos acorde a la normativa de GDPR.

Protegiendo desde el diseño del sistema y en la operación

El reglamento incluye además dos exigencias de obligado cumplimiento para las organizaciones:

  • La protección de datos desde el diseño y por defecto. Desde Microsoft siempre recomendamos incorporar expertos en seguridad en todos los proyectos, a través de soluciones de Secure Development Lifecycle (SDL);
  • Seguridad en el tratamiento de los datos. Donde a través de nuestros programas de Digital Advisory ayudamos a CDOs y responsables de Cumplimiento y Seguridad a definir la responsabilidad en el tratamiento de los datos con garantías y a utilizar las herramientas para la toma de decisiones en función de coste, complejidad y análisis de riesgos.

Optimizando el ciclo de vida: el delegado de protección de datos y el ciclo de procesamiento

Una vez finalizadas las fases de 1) descubrimiento de datos personales, 2) definición del modelo de gobierno de datos y 3) implementación de las capacidades de seguridad, se deberán implementar medidas y procesos de operación y soporte de la organización, entre otros:

  • Designación de DPD (Delegado de Protección de Datos): el rol puede ser no dedicado y en algunos casos personal externo que desempeña la función de coordinar el cumplimiento y la interlocución con la autoridad reguladora;
  • Proceso continuo de atención a los interesados, tanto para actividades que tengan que ver con el consentimiento, como con la reclamación de derechos, a través de soluciones que compaginan la inteligencia artificial y los asistentes personales en soluciones CRM;
  • Formación activa en las nuevas herramientas y procesos a todo el personal en gestión de datos a través de workshops de capacitación;
  • Evaluaciones de impacto cuando se introduzcan nuevas tecnologías y/o se realicen modificaciones notables en el tratamiento de los datos a través ofertas de control de seguridad y revisión de arquitectura;
  • Detección de brechas de seguridad (a comunicar a la autoridad en 72h), Incident Response ya mencionados antes;
  • Coordinación de transferencia de datos a terceros países u organizaciones internacionales.

Transformar el desafío del cumplimiento en oportunidad de mejora

Todas las organizaciones que deban afrontar el cumplimiento del nuevo reglamento deben verlo como una oportunidad para transmitir un mensaje de confianza a clientes, socios de negocio y accionistas.

El enfoque de “responsabilidad proactiva” permite asumir la protección de los datos personales como un objetivo superior. Por todo ello, los procesos TIC y de negocio deben respetar el principio de mínimo riesgo para la privacidad de los datos de los usuarios con los que haya relación. Un gobierno de datos eficiente asegurará que nuestra organización siempre conoce que datos tenemos, su tipología y el uso que se les está dando, y de esta forma proteger su privacidad de forma más adecuada.

Además, la integración con otros marcos normativos y estándares de mercado se puede ver beneficiada por el cumplimiento de GDPR, en concreto nuevas regulaciones como: (1) el nuevo marco PSD 2 de la UE (2015/2366) para servicios de pago o (2) los estándares habituales en la seguridad TI: ISO 27001 (“Sistemas de gestión de la seguridad de la información”), ISO 31000 (“Gestión de riesgos”) o ISO 22301 (“Continuidad del negocio”) tienen todos ellos un vínculo especial dentro del nuevo reglamento.

¿Cómo organizar mi ruta al cumplimiento?

Con el objetivo de simplificar la gestión del cumplimiento de GDPR, Microsoft propone a los clientes abordar cuatro fases que, como compañía, hemos seguido nosotros mismos y que se encuentran más detallados en el documento Accelerate your GDPR compliance with the Microsoft Cloud:

Decorative image

El documento cubre tanto escenarios con tecnología en la nube de Microsoft como en entornos on-premise o híbridos.

Descubrimiento

El objetivo de la primera fase, descubrimiento, es identificar los datos personales y dónde residen. En esta fase, lo fundamental es aprovechar las tecnologías que nos facilitan, localizar la información personal y clasificarla, de manera que la tecnología se convierta en un facilitador del cumplimiento. Nuestra solución de Office 365 ya aporta una consola de seguridad y cumplimiento regulatorio que permite realizar esta fase.

Gestión

En la segunda fase, gestión, el objetivo es tener gobierno de la información personal dentro de la organización. Una vez que los datos personales han sido inventariados, es necesario establecer los controles y políticas que se aplican según el contenido. Una vez más, las soluciones basadas en Inteligencia Artificial de Microsoft, permiten automatizar muchas de las gestiones que se deben hacer sobre los datos. Esta gestión además debe ser transparente.

Protección

El objetivo de la tercera fase, proteger, es establecer los controles de seguridad necesarios para prevenir, detectar y responder a vulnerabilidades y brechas de seguridad (ya sea por accesos no autorizados o alteración de estos). Esta fase es la más cercana a todos los profesionales de seguridad de la información. Microsoft dispone ya de una suite completa para proteger los datos en Office 365, así como en Azure y ofertas para proteger la información en aquellas infraestructuras on-premise.

Reporte

Por último, tenemos la cuarta fase, reporte, cuyo objetivo es mantener la documentación necesaria que nos permita cumplir con las solicitudes de datos, informar de las brechas de seguridad y proporcionar las evidencias necesarias para facilitar las revisiones de los procesos de seguridad.

¿Por qué Microsoft Servicios?

La organización internacional de Microsoft para Servicios Profesionales está especialmente preparada para ayudar a sus clientes en los distintos desafíos a los que se enfrentarán en su camino hacia el cumplimiento normativo total.

Tenemos personal especializado en la gestión y entrega de proyectos de consultoría que podrán realizar entre otras, actividades como las siguientes:

  • Realización de talleres de “Descubrimiento y creación de planes GDPR
  • Proyectos de consultoría para construir o actualizar su “Gobierno de datos
  • Acompañamiento desde los servicios de soporte a su ciclo de vida de desarrollo seguro “Secure Development LifeCycle (SDL)” (mandato de “Seguridad por defecto”).
  • Proyectos de arquitectura o consultoría para reforzar y/o ajustar las medidas de seguridad relativas a los datos personales, integrando sistemas existentes de servicios en la nube Microsoft, como on-premise.
  • Servicios de adopción de cloud de forma segura, combinando agilidad y rapidez para cubrir las necesidades de negocio, cumpliendo con los requisitos de privacidad y seguridad a través de nuestra oferta “Security Control Framework” (SCF)
  • Mediante el diseño y adaptación de nuestra plataforma CRM Dynamics 365 para poder responder al ciclo completo (trazable) del ejercicio de derechos por parte de los interesados.
  • Los programas de “Digital Advisory” (DAS) en el gobierno TIC, gracias a los que puede beneficiarse de nuestra experiencia en otras organizaciones y países, y aprender de forma colaborativa de nuestras mejores prácticas en la implantación de los proyectos tecnológicos asociados.

Autores

Martiniano Mallavibarrena
Santiago Núñez

Useful Links

Contacte con nosotros