Día Internacional de la Protección de Datos

Como viene siendo habitual hoy, 28 de enero, celebramos el Día Internacional de la Protección de Datos. Su celebración está más de actualidad que nunca debido a las numerosas novedades normativas como la recién estrenada en España Ley Orgánica de Protección de Datos y Protección de los Derechos Digitales.

Dicha ley adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD). Si bien es verdad que no supondrá grandes problemas de adaptación para las empresas, sí que conviene saber que se desarrollan algunos aspectos con más detalle. No es objeto de este post enumerar una lista exhaustiva de los mismos pero sí que queremos destacar algunas de las cuestiones que se especifican en la misma. Entre otros se explica la forma en que debe informarse a los interesados acerca del tratamiento que se realiza de sus datos personales a través de un sistema de capas de informació: la protección de datos de las personas fallecidas, el nuevo régimen sancionador del RGPD, y algunas cuestiones relacionadas con el Delegado de Protección de Datos, como son los supuestos en los que es necesaria su designación por parte de las organizaciones o sus atribuciones.

Si algo ha caracterizado el RGPD es su característica supranacional. Uno de los aspectos que más llamó la atención desde su publicación es la cuestión de que esta regulación no sólo afecta a organizaciones dentro de la UE sino a todas aquellas que, aún estando ubicadas fuera de la Unión, hicieran algún tipo de tratamiento de datos de carácter personal de ciudadanos europeos. A esto hay que añadir que países de la región de Latino América tales como Colombia, Perú, Argentina, Uruguay, México, Costa Rica, Nicaragua, República Dominicana o Brasil, han incorporado o van a incorporar regulaciones en materia de privacidad equivalentes al RGPD.

SandaS GRC habilita la posibilidad de gestionar cualesquiera que fueran los contextos regulatorios a los que ha de responder una organización, ya sea local o multinacional.

Sin embargo la privacidad no solo está de actualidad debido a los últimos cambios normativos. Se trata de un cambio cultural. En esta nueva economía de datos y de la confianza cobra especial relevancia la protección de la información y el empoderamiento de las personas. Cambio del que cada vez son más conscientes tanto empresas como ciudadanos. Las primeras son conscientes del impacto que una brecha de datos puede suponer a nivel de negocio, y los segundos están cada vez más concienciados de los riesgos que puede suponer para ellos un mal uso de los mismos.

En este escenario se torna de vital importancia disponer de todas las herramientas a nuestro alcance para realizar una gestión efectiva. Aprovechando sinergias y evitando repetir trabajos. En este sentido desde el punto de vista de la Gestión del Riesgo y Cumplimiento una herramienta como SandaS GRC nos puede ayudar desde distintas perspectivas.

Al tratarse de un sistema integrado SandaS GRC nos puede facilitar mucho el trabajo desde la perspectiva de riesgo. Como ya es bien sabido el RGPD cambia el enfoque anterior, pasando de una serie de medidas tasadas acordes al nivel de los datos por un enfoque basado en riesgos, con el fin de establecer medidas de seguridad y control acorde al mismo. Debemos tener en cuenta que en muchas ocasiones ya tendremos algunos análisis de riesgos realizados sobre todos o parte de los activos involucrados en el tratamiento de los datos, bien porque fueron objeto de análisis para alguna certificación, otras normativas, etc. Lo ideal sería poder aprovechar ya esta información y solo completar aquello que nos falte como nuevas amenazas (las de ámbito legal, por ejemplo) u otros activos que contribuyan al riesgo. De esta forma, estaremos construyendo un sistema integrado que nos permita escalar.

No debemos olvidar que la visión del riesgo es poliédrica. Y, si bien en un momento dado podemos poner el foco en el análisis de los riesgos derivados del tratamiento de la información de carácter personal, probablemente debamos tener en cuenta otros dominios del riesgo que puedan afectar a los servicios de la compañía: seguridad TI, vulnerabilidades, operacionales, penales, etc. Una herramienta de gestión integral del riesgo nos va a facilitar la valoración de nuestros activos en función de todas estas dimensiones y el análisis de riesgos efectivo dentro de cada ámbito. Partir del “folio en blanco” es muy complicado, y probablemente sea poco eficiente. La regulación no nació ayer y todas las organizaciones ya han venido haciendo los correspondientes trabajos de adecuación. Una herramienta de gestión eficiente debe ser capaz de reaprovechar este trabajo permitiendo la posibilidad de cargar el máximo posible del trabajo realizado y seguir construyendo a partir de ahí.

Por otro lado, es importante poder realizar un seguimiento de manera rápida y efectiva. Para ello podremos configurar cuadros de mando que nos ayuden a una eficaz toma de decisiones. SandaS GRC dispone de un agregador de riesgos que nos permite visualizar mediante cuadros de mando tanto los riesgos apreciados por los consultores de distintos perfiles, legales y de seguridad, como los riesgos procedentes de distintas fuentes de la capa operativa. Es muy relevante que adaptemos la información a los distintos perfiles de la organización CEO, CISO, DPO…) y otros responsables de negocio, para que puedan conocer cuál es el nivel de riesgo al que están expuestos, si está evolucionando como era de esperar o qué ámbitos o procesos de negocio están contribuyendo en mayor o menor medida al mismo

En definitiva se trata de tener a nuestra disposición automatizaciones que nos hagan la vida más fácil con el objetivo de que podamos sacar el mejor partido posible a los recursos con los que contamos. De esta forma los consultores podrán aportar toda su experiencia en aquellas tareas de mayor utilidad para el negocio.

Product Management SandaS GRC – Risk & Compliance