Nuevo Reglamento General de Protección de Datos

 

 

Hola a todos:

Ayer día 22 tuve la oportunidad gracias a FENAC (Federación Nacional de Consultoría y Servicios Profesionales) y al Colegio de Abogados que cedió amablemente sus instalaciones para el acto de disfrutar con las ponencias que nos proporcionaron algunas pinceladas sobre los cambios profundos que en este complicado asunto se nos vienen encima a empresas y profesionales en el ámbito de la Protección de Datos que podamos acumular en  nuestros servidores y que debemos proteger y custodiar.

Os adjunto la ficha de las ponencias:

Resultan sobrecogedores los cambios, pues como nos explicaron, la diligencia en la custodia de estos datos ya no es «pasiva», esto es, con comunicar la existencia de esos ficheros a la autoridad competente estábamos más o menos cumpliendo las exigencias de la AEPD.

Pues ya no. Los responsables de la custodia «activa», esto es, poniendo todos los medios posibles a nuestro alcance somos todos los que de alguna manera tengamos datos de los considerados sensibles. Y resulta que como están las cosas, sensible es casi todo. Pero no nos debemos parar ahí.

Si detectamos alguna intrusión o sospechamos que puede haber existido, deberemos comunicarlo en un plazo máximo de 72 horas a la autoridad competente, o sea, la AEPD. Parece sencillo, pero para poder detectar esta intrusión deberemos tener unos sistemas adecuados para poder hacerlo. Y estos sistemas deberán cubrir cada uno de los procesos en los que pueda darse esta fuga de información o intrusión sobre la misma.

Si no la detectamos y se demuestra que la fuga de información se ha producido por negligencia nuestra, los responsables seremos nosotros, no el «malo», que también, pero el multazo nos cae a nosotros por falta de diligencia en la detección y comunicación.

Más aún: Aparece la figura del DPO, que será aquella persona encargada de gestionar todo este sistema de protección. Pero vamos a complicarlo un poco más: Esta persona deberá tener amplios conocimientos de la legislación, pero también de informática, tiene que tener algo de hacker, un poco de conocimientos de marketing y big data para saber qué hacer y qué no hacer, lo permitido y lo prohibido, deberá ser un experto en seguridad informática, también conocer procesos internos y todos y cada uno de ellos.

¿Por qué? Por algo tan sencillo como que cada proceso tendrá su propio sistema legal de tratamiento de los datos, con las advertencias legales destinadas al consumidor correspondiente, y con consentimiento expreso de la utilización de esos datos. Pero no vale uno genérico: Tendrá que ser expreso para cada uno.

Como bien apuntaba uno de los ponentes, no es posible que una sola persona pueda abarcar todo esto y algunas funciones más que se me olvidan. Tendrá que ser un Comité interno el que gestione todo esto. Y para poder llevarlo a cabo con ciertas garantías de no ser receptores de alguno de los multazos contemplados, que pueden llegar a 20M de €, o hasta el 4% de la facturación anual, no es suficiente como hasta ahora con cubrir el expediente con advertencias legales genéricas, custodia tradicional de servidores, no.

Nada de eso:

Para comenzar a cumplir los requisitos, hace falta una auditoría de procesos y sistemas, para detectar todas aquellas posibles fallas de seguridad. Tras esto, decidir aquellos puntos críticos y el escalonamiento de las prioridades.

Una vez aclarados estos pequeños detalles, implementar los medios necesarios para proteger estos datos.

Lo bueno del asunto, es que hay magníficos profesionales en España ya dedicados a esto desde hace años. Lo malo, es que las cosas de este calibre llevan el tiempo que llevan y que para cumplir con las fechas del nuevo Reglamento no es suficiente apretar un interruptor, cifrar con más o menos fortuna los archivos, poner los cortafuegos adecuados. El proceso de adaptación es largo y nada sencillo, sin contar con los medios necesarios, y la consideración presupuestaria del gasto.

Y como bien se dijo allí, hasta que no se termina la auditoría y las necesidades, no es posible hacer una estimación de la inversión, con lo que no es posible presupuestarlo.

Divertido ¿Verdad? Y la fecha límite es el 25 de Mayo.

Otra de las cosas que se dijeron es que hay cierta sensación de impunidad actualmente acerca del incumplimiento de los preceptos existentes. Bueno, pues tampoco. Ya la cosa del uso de datos y de poner límites al abuso del big data mining está muy seria pues de lo que se trata es de la defensa de nuestros derechos individuales como ciudadanos y consumidores y del mal uso de los datos cruzados que puedan recopilarse de múltiples fuentes de cada uno de nosotros.

El aviso de todos los ponentes fue muy claro: Ya vamos tarde.

Saludos a todos.

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Ir a la barra de herramientas