GDPR, según la visión de ISACA

  • Normativa

A pocos días de que empiece a aplicarse el Reglamento General de Protección de Datos (GDPR), la Asociación de Auditores y el Control de los Sistemas de Información (ISACA Madrid) ofrece su visión sobre cómo va a afectar a la sociedad española la aplicación de la normativa.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Actualmente la LOPD obliga a realizar una declaración ante la Agencia Española de Protección de Datos de los ficheros que contienen los datos personales de los interesados; a asegurar la información según el tipo y uso de los datos, que debe estar recogido en el documento de seguridad y, para poder utilizar los datos, obtener el consentimiento tácito del interesado, es decir, ha dado su aceptación si no nos dice expresamente que “no”.

Como explica Ricardo Barrasa, presidente de ISACA Madrid, GDPR “cambia profundamente la forma de gestionar la privacidad de los datos”, y esto es porque, con la normativa, se tienen que documentar e inventariar los distintos flujos de datos personales (denominado Actividades de Tratamiento). Se cambian ficheros por procesos.

Además, la seguridad sobre la privacidad se implementará en función de riesgo o exposición de la información personal y los productos/servicios se tienen diseñar e implementar con la seguridad adecuada.

Barrasa subraya también el gran cambio que supone que el consentimiento de los interesados por el uso de los datos debe ser expreso y se debe documentar y acreditar por cada uso de los datos (acciones comerciales, análisis de mercado, …). “Esto va a generar un trabajo específico de redacción de explicaciones claras y detalladas para que el usuario tenga muy claro qué datos suyos se van a recogen y para qué se van a utilizar”, explica.

Asimismo, GDPR obliga a informar a las autoridades y a los interesados en caso de incidentes de seguridad, muestra una especial sensibilidad con los datos de salud, orientación sexual, política, etc. y eleva sustancialmente las multas, que pueden llegar a los 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Al respecto, señala que “actualmente la Agencia Española de Protección de Datos (AEPD) impone multas ante el incumplimiento de la legislación vigente. GDPR sigue la misma filosofía, pero incrementándolas para que sea realmente sean disuasorias y proporcionadas.

Para cumplir con esta normativa, Ricardo Barrasa señala que las empresas necesitarán “tener sensibilidad con la privacidad de los datos, diseñar roductos/servicios seguros… “y esto significa tener personal con esta capacidad”.

Esa figura, según el presidente de ISACA Madrid, es el Delegado de Protección de Datos (DPD o DPO en inglés), cuya existencia es obligatoria para la Administración Pública y para las grandes empresas y opcional para las demás, pero “en mi opinión muy necesaria y siempre se puede contratar un DPD externo”, dice.

En su opinión, se van a necesitar más profesionales que puedan hacer los correspondientes trabajos de adecuación de las empresas al nuevo Reglamento. “Nuestros miembros con alguna de nuestras certificaciones, CISA, CISM y CRISC, tienen mucha ventaja sobre otros profesionales, pero hay que formarse adecuadamente para ejercer como DPD con calidad. En esta línea ISACA Madrid está preparando un curso para ser un excelente Delegado de Protección de Datos”, añade.