Cómo deben adecuarse las organizaciones al nuevo Reglamento General de Protección de Datos, según Alhambra-Eidos

Alhambra-Eidos, compañía comprometida desde 1991 con ofrecer la máxima calidad tanto en proyectos TI globales como en servicios gestionados o en la nube, organizó el pasado jueves 15 de junio un desayuno junto a Veritas (del que Alhambra-Eidos es Gold Partner), en el que se mostró cómo deben adecuarse las organizaciones al nuevo Reglamento General de Protección de Datos (GDPR).

El desayuno comenzó con la ponencia de Rogelio Polanco, Director de Calidad de Alhambra-Eidos, el cual explicó qué es y cómo afecta al negocio y a la infraestructura IT el nuevo reglamento GDPR.

La mayor preocupación reside en los datos no estructurados que a nivel mundial las organizaciones han estado recogiendo y almacenando en todo tipo de archivos y soportes, tanto en local, como en soporte físico o en la nube. Y es que los datos no estructurados se fijan para 2017 en un 79% de todos los datos almacenados por las compañías.

La nueva regulación, que será de aplicación desde mayo de 2018, deja clara la responsabilidad de las compañías en la seguridad del tratamiento de los datos de carácter personal, obligando al propietario de los datos a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo: cifrado, garantía de confidencialidad e integridad, restauración y acceso a los datos personales, verificación y evaluación, etc.

Polanco explicó a los asistentes cómo deben las organizaciones aterrizar los conceptos de este nuevo reglamento a través de un recorrido por cinco dimensiones:

·         Gobernanza regulatoria: evaluación de los requisitos jurídicos, gestión de terceros implicados, gestión del riesgo y gestión del cumplimiento.

·         Foco en las personas y comunicaciones: capacitación y sensibilización periódica de empleados y socios internos y externos.

·         Procesos: adaptación organizativa, especial atención a HR, CRM y otros procesos de negocio.

·         Datos: gestión del ciclo de vida del dato.

·         Seguridad: prevención, gestión de incidentes y vigilancia de cumplimiento.

Posteriormente planteó una estrategia a seguir por las organizaciones con el fin de que cumplan con el Reglamento GDPR. El primer paso consiste en elaborar un plan de diagnóstico para tener un conocimiento detallado y transversal de la organización, sus requisitos y el manejo de datos regulados. Seguidamente se realiza una definición del plan de proyecto y un diseño del sistema y los medios de control para su posterior ejecución y despliegue. Finalmente, tras su implantación, se entra en una fase de seguimiento y evaluación periódica de las medidas de seguridad tomadas, las necesidades tecnológicas requeridas frente a cambios de requisitos de negocio, uso legítimo de los datos, etc.

Tras su intervención, tomó la palabra Álvaro Monje, Technical Sales Iberia de Veritas, el cual realizó una aproximación integral a la gestión de datos para facilitar el cumplimiento normativo de GDPR y mostró las herramientas disponibles para adecuar la infraestructura a esta nueva regulación.

Para el ponente, todo comienza por conocer los datos que se tienen y así saber dónde hacer foco con el objetivo de minimizar el impacto de GDPR. Además, según Monje, para cumplir con el nuevo reglamento es necesario aplicar una gestión 360º de los datos aportando visibilidad, disponibilidad y protección. Para ello, los primeros pasos son evaluar la situación actual y los requerimientos futuros, identificar las preocupaciones con respecto a datos personales, así como realizar informes de madurez de GDPR.

El evento finalizó con una mesa debate, donde Polanco concluyó que: “Los sistemas de información de hoy día son capaces de relacionar datos aparentemente inconexos de innumerables fuentes de datos. Conocer lo mejor posible a los clientes es el objetivo de cualquier organización. Este fenómeno imparable del big data, inteligencia artificial o transformación digital conlleva obligatoriamente una mejora en el tratamiento de datos personales del individuo. Y es aquí donde debemos dar la bienvenida a GDPR, que sienta las nuevas reglas sobre la práctica del tratamiento de los datos que identifican a un individuo”.