{"id":16298,"date":"2020-01-26T14:43:16","date_gmt":"2020-01-26T12:43:16","guid":{"rendered":"https:\/\/www.hiberus.com\/crecemos-contigo\/?p=16298"},"modified":"2023-11-28T13:11:30","modified_gmt":"2023-11-28T12:11:30","slug":"adaptacion-al-gdpr-evaluacion-de-riesgos","status":"publish","type":"post","link":"https:\/\/www.hiberus.com\/crecemos-contigo\/adaptacion-al-gdpr-evaluacion-de-riesgos\/","title":{"rendered":"Adaptaci\u00f3n al GDPR: Evaluaci\u00f3n de riesgos."},"content":{"rendered":"

Adaptaci\u00f3n al GDPR. Quedan escasos meses y mucho por hacer: evaluaci\u00f3n de riesgos, adaptaci\u00f3n de procedimientos internos e implantaci\u00f3n de medidas de seguridad.<\/h2>\n

El Reglamento Europeo General de Protecci\u00f3n de Datos<\/a> (GDPR), que entr\u00f3 en vigor el 25 de mayo de 2016, establece un nuevo marco normativo que requiere que las organizaciones y empresas se adapten a las obligaciones legales que implica antes del 25 de mayo de 2018, fecha en la que comenzar\u00e1 a ser de aplicaci\u00f3n directa en todos los estados miembros.<\/p>\n

La adaptaci\u00f3n al GDPR no es sencilla. Implica una revisi\u00f3n exhaustiva de todos los procesos y sistemas de la empresa que tratan datos personales y establecer procedimientos internos espec\u00edficos a medida de cada organizaci\u00f3n que poder acreditar eficazmente implantados y publicados.<\/p>\n

Muchas empresas se encuentran a\u00fan en la misma situaci\u00f3n que hace a\u00f1o y medio: sin plantearse la adaptaci\u00f3n al GDPR y confiando en que esa \u201ccarpeta de la LOPD\u201d que obtuvieron como un mero tr\u00e1mite con posterioridad a 1999, siga cogiendo polvo en alg\u00fan caj\u00f3n de alg\u00fan departamento de la empresa.<\/p>\n

Ahora, esa carpeta no sirve para garantizar la seguridad de uno de los activos m\u00e1s valiosos: la informaci\u00f3n y los datos personales de los trabajadores de la empresa, de clientes y proveedores. Ahora, esa carpeta no sirve para exonerar a la empresa de las cuantiosas sanciones previstas en aplicaci\u00f3n del GDPR de hasta el 4% del volumen de facturaci\u00f3n anual global o 20 millones de euros. Ahora, esa carpeta no sirve para cumplir el GDPR que prev\u00e9 la auto-responsabilidad proactiva acreditable<\/strong>, es decir, ser capaces de cumplir y poder acreditar que cumplimos.<\/p>\n

Una de las tendencias m\u00e1s preocupantes de los \u00faltimos tiempos, y m\u00e1s en 2016 y lo que llevamos de 2017, es despertarnos cada d\u00eda con una nueva noticia de brecha de seguridad de datos<\/strong> en empresas de cualquier sector.<\/p>\n

Las peque\u00f1as y medianas empresas, los establecimientos comerciales, los despachos profesionales, las instituciones financieras y de cr\u00e9dito, los gigantes del entretenimiento e incluso las administraciones p\u00fablicas est\u00e1n cayendo presas de los cibercriminales y, en muchos casos, est\u00e1n permitiendo el acceso a datos confidenciales y especialmente sensibles, a un ritmo alarmante.<\/p>\n

Las empresas dicen esforzarse en mejorar su cumplimiento, pero realmente muy pocas se preocupan de verdad en implantar, en ir m\u00e1s all\u00e1 de ese marcar los checks de cuatro formularios y archivarlos en la carpeta correspondiente, sin prestar realmente atenci\u00f3n a la esencia del GDPR: conocer el tipo de datos que manejan, identificar los tratamientos, los sistemas que soportan los procesos de tratamiento de datos, las posibles brechas de seguridad que pueden afectar a esos datos e implementar los procesos y procedimientos necesarios para mitigar cualquier fuga de informaci\u00f3n. Y esto, respecto de todas las \u00e1reas de gesti\u00f3n interna de la empresa y de negocio, lo que necesariamente exige, para acometer la adaptaci\u00f3n al GDPR, un \u00a0an\u00e1lisis del estado de adaptaci\u00f3n y de los riesgos<\/a> derivados de la no adaptaci\u00f3n.<\/p>\n

Un cambio cultural<\/h2>\n

La adaptaci\u00f3n al GDPR supone un cambio cultural para muchas empresas en las que la privacidad y la seguridad deber\u00e1 pasar a ser una prioridad aplicada \u201cdesde el dise\u00f1o\u201d (Privacy & Security by design)<\/em>, desde el mismo inicio de todo proceso empresarial y administrativo, desde el dise\u00f1o mismo de cualquier l\u00ednea de actividad, aplicaci\u00f3n o proceso de negocio.<\/p>\n

La p\u00e9rdida de datos y fugas de informaci\u00f3n no se producen solamente por ataques externos que nos puedan afectar (que, por cierto, suceden constantemente y a todos los niveles). Todos nosotros, tanto de forma particular como empresarial, estamos sufriendo ataques o intentos de ataques constantemente, aunque no seamos plenamente conscientes de ello. Tambi\u00e9n se producen, y cada vez en mayor medida, como consecuencia de mantener sistemas y procedimientos inseguros, por fallos, descuidos y comportamientos personales no adecuados y por no tener, en general, la seguridad entre las primeras prioridades empresariales.<\/p>\n

Todo ello porque, la verdad sea dicha, los datos son un gran negocio. Hoy en d\u00eda, teniendo en cuenta los dispositivos de Internet de las cosas (IoT), los almacenamientos Data Cloud, la inform\u00e1tica m\u00f3vil y la permanente hiperconexi\u00f3n, los datos circulan sin cesar entre todos los dispositivos y sistemas de gesti\u00f3n y almacenamiento, siendo susceptibles de ser violados si no se implantan las medidas de protecci\u00f3n y seguridad adecuadas a todos los niveles y, adem\u00e1s, si aun implantadas, no se escalan a todos los niveles de la empresa, aprobando y publicando los procedimientos concretos que permitan lo m\u00e1s importante en gesti\u00f3n de seguridad empresarial: Que todos sepan lo que deben hacer para minimizar cualquier incidente o responsabilidad de la empresa.<\/p>\n

En Seguridad de la Informaci\u00f3n, Protecci\u00f3n de Datos y CiberSeguridad, un enfoque reactivo es una estrategia perdedora.<\/h3>\n

Dentro de este inmenso rompecabezas, el cumplimiento en s\u00ed mismo es s\u00f3lo una pieza m\u00e1s. De hecho, es la pieza m\u00e1s reactiva del mismo. Un buen Sistema de Seguridad de la Informaci\u00f3n se construye a partir de muchas piezas, tales como pol\u00edticas, procedimientos, an\u00e1lisis, registros, m\u00e9tricas, revisiones y actualizaciones, por nombrar algunos.<\/p>\n

Las pol\u00edticas y los procedimientos son medidas proactivas, destinadas a establecer el escenario en el que se mueve la empresa y, por tanto, todo su personal de forma ordenada y publicada, as\u00ed como a determinar el tipo de datos que la empresa trata, almacena y transfiere a terceros con el fin de limitar o minimizar la producci\u00f3n de brechas de seguridad que permitan fugas de datos e informaci\u00f3n confidencial, con el consiguiente impacto econ\u00f3mico y reputacional para la empresa.<\/p>\n

Es necesario, por tanto, conocer el grado de adaptaci\u00f3n de la empresa al GDPR, analizando uno por uno todos los flujos de datos que se traten en las diversas \u00e1reas productivas o de gesti\u00f3n de la organizaci\u00f3n; estableciendo un Registro de Identificaci\u00f3n de los tratamientos de datos personales<\/strong> y haciendo una valoraci\u00f3n exhaustiva del grado de implantaci\u00f3n de las medidas que garanticen la seguridad de los datos tratados. Es decir, es necesario conocer y valorar el nivel de riesgo cubierto y, por extensi\u00f3n, el nivel de riesgo expuesto, as\u00ed como analizar el impacto que supondr\u00eda la existencia de determinadas brechas de seguridad, en el caso de que la evaluaci\u00f3n del grado de adaptaci\u00f3n arroje como resultado riesgos de nivel alto o muy alto.<\/p>\n

\u00bfEn qu\u00e9 consiste el An\u00e1lisis de Adaptaci\u00f3n al GDPR?<\/h2>\n

Para realizar un an\u00e1lisis del estado de adaptaci\u00f3n al GDPR realmente eficaz que identifique las potenciales brechas de seguridad de la empresa, as\u00ed como el nivel de impacto que supondr\u00eda su explotaci\u00f3n, debe seguirse una metodolog\u00eda<\/strong> clara de identificaci\u00f3n de cada uno de los posibles sucesos que afecten a los datos siguiendo las directrices normativas, con el fin de alcanzar un mapa visual e informe final de la salud que tenga la empresa en materia de protecci\u00f3n de datos personales en la actualidad.<\/p>\n

Una \u00f3ptima evaluaci\u00f3n del grado de adaptaci\u00f3n al GDPR deber\u00e1 partir, por tanto de las correspondientes entrevistas de evaluaci\u00f3n en profundidad a cada responsable de \u00e1rea de la empresa con implicaci\u00f3n en el tratamiento de datos personales, en las que se identificar\u00e1n, entre otras cosas:<\/p>\n

    \n
  1. En primer lugar, el tipo de datos tratados<\/strong>. Se deber\u00e1 hacer un an\u00e1lisis en profundidad de los datos que contiene cada fichero, cu\u00e1l es su origen, si existe o no consentimiento expl\u00edcito e inequ\u00edvoco y acreditable, la informaci\u00f3n aportada en el momento de prestarlo y su registro, cu\u00e1l es el destino de esa informaci\u00f3n, si se transfiere fuera del EEE, qui\u00e9n tiene acceso a dichos datos, la justificaci\u00f3n y finalidad de dichos accesos, la causa leg\u00edtima del tratamiento y el per\u00edodo de conservaci\u00f3n de tales datos; configurando as\u00ed en gran parte el Registro de Identificaci\u00f3n de operaciones y actuaciones de tratamiento.<\/strong><\/li>\n
  2. A continuaci\u00f3n, se evaluar\u00e1n los riesgos generales<\/strong> inherentes al GDPR, que son comunes a toda la organizaci\u00f3n, como puede ser el estado de identificaci\u00f3n de los datos, los medios de captura de los mismos, existencia y comunicaci\u00f3n de pol\u00edticas de seguridad o el registro del consentimiento, por citar algunos de ellos.<\/li>\n
  3. Seguidamente se deber\u00eda analizar el grado de legitimaci\u00f3n<\/strong> existente para el tratamiento de dichos datos personales, en cuanto a la informaci\u00f3n previamente proporcionada al interesado y su grado de claridad y f\u00e1cil acceso, la forma de acreditar el consentimiento expreso e inequ\u00edvoco, etc.<\/li>\n
  4. Dado que el GDPR concede una importancia prioritaria a la informaci\u00f3n de derechos<\/strong>, deber\u00e1 analizarse a fondo el modo y la actualidad con la que se informa a los interesados cu\u00e1les son los derechos GDPR, cu\u00e1les son los mecanismos de verificaci\u00f3n de la identidad de los titulares de los datos, cu\u00e1les y c\u00f3mo est\u00e1n implantados los mecanismos para que los interesados ejerzan sus derechos o para que la empresa pueda dar un adecuado nivel de respuesta ante dicho ejercicio. No basta decir que se cumple con la norma sino que han de implantarse soluciones que permitan identificar las solicitudes y activar el procedimiento adecuado para dar la respuesta que el cumplimiento exige.<\/li>\n
  5. La relaci\u00f3n responsable-encargados del tratamiento<\/strong> es un punto de an\u00e1lisis importante siempre que se produce cualquier tipo de externalizaci\u00f3n del tratamiento de datos, debi\u00e9ndose analizar que se contemplan todas las condiciones necesarias para garantizar que el encargado mantiene el mismo nivel de seguridad que el propio responsable y, evidenciando las instrucciones claras del responsable al encargado sobre la seguridad a aplicar a los datos, as\u00ed como los controles peri\u00f3dicos que garanticen el cumplimiento continuado de las instrucciones por parte del encargado.<\/li>\n
  6. Las medidas de respuesta proactiva<\/strong> que tenga implementadas la empresa y, entre ellas, la necesidad o no de tener definida la figura del DPO (Delegado de Protecci\u00f3n de Datos) o c\u00f3mo va a procederse en la empresa para propiciar la detecci\u00f3n y comunicaci\u00f3n de brechas de seguridad.<\/li>\n
  7. Una de las novedades del GDPR es la anonimizaci\u00f3n de los datos<\/strong> por lo que deber\u00e1 ser, por tanto, uno de los principales aspectos a analizar. Tener prevista la anonimizaci\u00f3n de los datos, el m\u00e9todo o sistema mediante el que se va a realizar, la posibilidad de reidentificaci\u00f3n as\u00ed como la garant\u00eda de privacidad de los datos en todo el proceso, marcar\u00e1n el grado de adaptaci\u00f3n en este punto concreto.<\/li>\n
  8. La existencia o no de transferencias internacionales de datos personales<\/strong>, especialmente si son fuera del Espacio Econ\u00f3mico Europeo (EEE), determinar\u00e1 la necesidad de implantaci\u00f3n de medidas de seguridad y procedimentales adicionales.<\/li>\n
  9. Prestaremos especial atenci\u00f3n a la calidad de los datos<\/strong> y, en su caso, a los datos especialmente protegidos, teniendo en cuenta la necesidad de minimizaci\u00f3n de los mismos, la garant\u00eda de que se recojan exclusivamente los necesarios y el cuidado por la actualizaci\u00f3n y plazo de conservaci\u00f3n de los mismos, extremando sobre ellos las medidas de seguridad adecuadas.<\/li>\n
  10. Un repaso profundo a las medidas de seguridad<\/strong> existentes en la organizaci\u00f3n deber\u00e1 contemplar todas las posibles oportunidades de fuga de datos en todas las etapas del ciclo de vida de los mismos, desde el momento de su obtenci\u00f3n hasta su destrucci\u00f3n, analizando todos los medios utilizados para su captura y tratamiento, ya sean fijos o m\u00f3viles, prestando especial atenci\u00f3n al transporte y comunicaci\u00f3n.<\/li>\n
  11. Otra de las novedades del GDPR es el derecho de portabilidad de los datos<\/strong>. Deber\u00e1 evaluarse c\u00f3mo implantar los procedimientos y m\u00e9todos necesarios para dar respuesta a este derecho y definirse en el Sistema de Gesti\u00f3n de Protecci\u00f3n de Datos de la empresa.<\/li>\n
  12. Para cerrar este an\u00e1lisis de adaptaci\u00f3n al GDPR, repasaremos las pol\u00edticas y procedimientos<\/strong> necesarios para garantizar la seguridad de los datos tratados. Cu\u00e1les est\u00e1n actualizados o cu\u00e1les deben crearse nuevos; cu\u00e1les est\u00e1n redactadas, aprobadas, comunicadas o publicadas e implantadas y cu\u00e1les no. Y, sobre todo procurar hacer su contenido \u00fatil y factible a la aplicaci\u00f3n pr\u00e1ctica diaria del negocio, de la actividad de la empresa, o no se aplicar\u00e1n; y distribuirla a todos los equipos de trabajo implicados en el tratamiento de datos definiendo bien los roles y las responsabilidades, as\u00ed como las pautas claras de actuaci\u00f3n.<\/li>\n<\/ol>\n

    A partir de este an\u00e1lisis el paso siguiente ser\u00e1 realizar una evaluaci\u00f3n de impacto<\/strong> (EIPD) a aquellas \u00e1reas de negocio en las que el riesgo expuesto en el tratamiento de datos personales haya resultado alto o muy alto, o bien constituyan los supuestos espec\u00edficos determinados por la norma. En esta evaluaci\u00f3n de impacto, que analizaremos en otro post, se evidenciar\u00e1 la probabilidad de ocurrencia de determinados riesgos asociados a cada uno de los aspectos estudiados y el nivel de impacto que su producci\u00f3n supondr\u00eda para la empresa, procediendo a determinar as\u00ed las medidas necesarias para adaptar el nivel de riesgo identificado al aceptado por la empresa en funci\u00f3n de sus prioridades o a tomar medidas para minimizar el riesgo procurando por tanto tambi\u00e9n reducir el posible impacto.<\/p>\n

    Parece bastante evidente que el An\u00e1lisis del grado de Adaptaci\u00f3n al GDPR es algo mucho m\u00e1s serio e importante que una carpeta con algunos checks marcados tras los que se imprimen un mont\u00f3n de folios con texto que nadie lee o pocos aplican en realidad.<\/p>\n

    Se trata de un proceso anal\u00edtico profundo que deber\u00eda realizarse en toda empresa para empezar a cumplir el GDPR, para minimizar los riesgos econ\u00f3micos y reputacionales derivados del incumplimiento o sanci\u00f3n, y para adentrarse en el maravilloso mundo del proceso de mejora continua de la gesti\u00f3n del gobierno de los datos en la empresa,<\/strong> consiguiendo as\u00ed optimizar la seguridad de uno de sus principales activos, si no el m\u00e1s importante: los datos.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Adaptaci\u00f3n al GDPR. Quedan escasos meses y mucho por hacer: evaluaci\u00f3n de riesgos, adaptaci\u00f3n de procedimientos internos e implantaci\u00f3n de medidas de…<\/p>\n","protected":false},"author":2,"featured_media":17150,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_ayudawp_aiss_exclude":false,"footnotes":""},"categories":[244,7],"tags":[21,49],"class_list":{"0":"post-16298","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-ciberseguridad","8":"category-next-tech","9":"tag-ciberseguridad","10":"tag-legal-tecnologico"},"acf":[],"_links":{"self":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts\/16298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/comments?post=16298"}],"version-history":[{"count":8,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts\/16298\/revisions"}],"predecessor-version":[{"id":18001,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts\/16298\/revisions\/18001"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/media\/17150"}],"wp:attachment":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/media?parent=16298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/categories?post=16298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/tags?post=16298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}