Recomendaciones para estar siempre al día en protección de datos
- Normativa
IDC Research España recuerda a las compañías tienen que tener un plan de cumplimiento continuo con GDPR tras el inicio de su aplicación el 25 de mayo, y ofrece una serie de recomendaciones para hacer frente a la normativa.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
IDC Research España, que calcula que las inversión en España para cumplir con GDPR alcanzará los 140,7 millones de euros en 2018, ha querido recordar, para hacer frente a la nueva normativa, las empresas necesitan diseñar un plan de complimiento continuo, proactivo y que involucre a todas las personas de la organización. Este plan continuo, que también hay que documentar, valorar dónde están los datos y cómo son, actuar, es decir, empezar a hacer cumplir ese dato y controlar quién accede a ese dato.
Para facilitar un cumplimiento continuado de la norma, la firma considera que hay que tener en cuenta diez puntos esenciales. En este decálogo recuerda a las organizaciones que GDPR es un reto reputacional y una oportunidad para mejorar el gobierno del dato, ya que el 80% de las personas que puedan ver vulnerada su información personal no volverán a confiar nunca en esa empresa.
A la hora de diseñar un plan de cumplimiento continuo, proactivo, por diseño, hay que involucrar a todas las personas de la organización. Además, tiene que documentarse el plan de acción y realizar un seguimiento periódico para poder justificar la existencia del mismo y el grado de cumplimiento.
La firma dice que la formación del colaborador es parte clave para concienciar a las personas de la importancia de sus acciones en la custodia del dato y garantizar el cumplimiento. Para no dejar ningún flanco al descubierto, señala que “es prioritaria la formación de los colaboradores de la empresa por delante de la tecnología ya que deben comprender las implicaciones de sus acciones y las consecuencias para la organización”.
La figura del DPO clave para poder orquestar internamente todos los planes de unificación de la información y la formación del personal. El plan de acción debe ser global y seguido por todos los miembros de la organización y debe haber un responsable que lidere y orqueste internamente todos los procesos de recopilación de la información, éste es el DPD o Delegado de Protección de Datos.
Fundamental también es alinear el plan de cumplimento GDPR con las Personas (formación) y los Datos (plan de ciberseguridad) para proteger el acceso al dato y evitar la fuga de información sensible. “Para ello es necesario priorizar las inversiones en materia de ciberseguridad que acompañen a la protección del dato y utilizar solo una plataforma para la gestión y el control de los datos”, señala en el post.
La recomendación de la firma es que se cifre y anonimice la información como parte fundamental para minimizar el impacto en caso de fuga de información, y esto ya lo percibe como una prioridad de las empresas.
Por otro lado, al ser un proceso continuo, la gestión de permisos e identidades será clave en la aplicación del GDPR. “En 2019 el 75% de los CIO, es decir, tres de cada cuatro empresas, reenfocará la estrategia de seguridad en torno a autenticación y confianza”, dice el post.
Asimismo, recomienda recurrir a ayuda externa para facilitar la integración del plan de cumplimiento de la manera más transparente y con las mayores garantías, sobre todo en tres áreas: definición del plan de riesgo, asesoramiento legal y plan de ciberseguridad.
Y por último, hay que acercar al usuario final de forma transparente las condiciones de la nueva normativa generando confianza y una relación bidireccional entre la organización y el cliente.
En definitiva, el usuario final debe ser el foco del plan de cumplimiento del GDPR. Es necesario ser capaces de construir una comunicación bidireccional entre la empresa y el usuario y facilitar que este usuario pueda ejercitar sus derechos al olvido, rectificación o portabilidad entre otros, concluye Emilio Castellote.