GDPR y su proceso de adopción entorno a tres principios


GDPR y su proceso de adopción

Autor: Antonio Vergara Muñoz

Estoy seguro que por estas fechas, todos tenemos en mente que el próximo 25 de mayo será de obligado cumplimiento el nuevo Reglamento General de Protección de Datos (GDPR en sus siglas en inglés, General Data Protection Regulation) y que se desarrolla o complementa en España con la nueva LOPD.

Mientras tanto, con la vista puesta en el calendario yel plan de proyectos en marcha, nos comenzamos a preguntar si llegaremos a tiempo para adaptarnos a una norma que supone el mayor cambio regulatorio en cuanto a la privacidad de los datos personales en más de veinte años, aumentando los derechos de los individuos y las obligaciones de las empresas.

Para abordarlo con éxito, en primer lugar, debemos enfocar este proyecto, más que como una revolución una evolución, pues no olvidemos que nuestras organizaciones ya operan en la actualidad conforme a la LOPD y este nuevo requerimiento legal, nos ayudará además en los distintos procesos de transformación digital en los que podamos estar ya inmersos.  Y, en segundo lugar, ser conscientes de que el nuevo reglamento abarca a toda la organización y debe abordarse dentro de un marco de relaciones de colaboración entre las distintas áreas que conforman la entidad, estando construido en base a tres principios fundamentales y que constituyen las líneas de trabajo que deben primar en el camino hacia una rápida adaptación al RGPD: el principio de protección de datos, el principio de transparencia y el principio de responsabilidad activa.

Analicemos a continuación cada uno de estos principios desde el punto de vista de IT, mencionando a su vez, algunas de las soluciones y herramientas, que desde SAP se ofrecen y que están orientadas a proporcionar la funcionalidad necesaria para ayudar a las organizaciones en el proyecto de adaptarse en tiempo y forma a los requerimientos de la norma.

El principio protección de datos impone la necesidad de adoptar en nuestra organización, una política y una serie de medidas, encaminadas a considerar la privacidad de los datos personales, desde el diseño o concepción de los procesos que intervienen sobre los mismos y a limitar en lo máximo de lo posible el tratamiento de éstos.

Cumplir GDPR

Acorde a este principio, desde IT estamos llamados a liderar este proceso, debiendo poner en marcha una serie de actividades encaminadas a identificar las distintas fuentes de datos que puedan existir en nuestra organización, reconociendo además aquellos datos considerados como especiales y los distintos procesos a los que se vean sometidos, sin olvidar que lo más urgente es garantizar que los datos son exactos y que se mantienen medidas razonables encaminadas a garantizar la calidad de los mismos. Se trata al fin y al cabo de un proceso de gobernanza con el dato personal como finalidad y para el cual nos podemos valer de una herramienta como SAP InformationSteward, que combina funcionalidades para el perfilado, valoración y categorización de los datos.

Identificados los datos personales y aquellos procesos que los tratan, siguiendo con este primer principio, desde IT debemos continuar proporcionando al responsable del tratamiento y a última instancia a la nueva figura del Delegado de Protección de Datos(DPD), que poseemos la capacidad de garantizar los derechos del individuo sobre sus datos y esto se traduce en nuestro entorno de IT, de la capacidad de poder actualizar atributos particulares del dato, limitar qué procesos pueden afectarle, poder suprimirlos o bloquearlos y exportar los datos del sistema.  Operaciones todas ellas nucleares en cualquiera de nuestros sistemas, pues afectan al modo en como los datos están almacenados y distribuidos en los modelos, así como a los procesos que las aplicaciones ejecutan sobre ellos.

Cabe destacar, que para los sistemas SAP, el componenteSAP InformationLifecycle Management(ILM), nos proporciona la funcionalidad adecuada para diseñar y administrar las políticas y reglas para que el aplicativo permita el ejercicio de los derechos comentados anteriormente y SAPInformationRetrieval Framework (IRF) para ejercitar al búsqueda y extracción del dato personal a partir de un conjunto de datos específicos.

Cumplir con el reglamento ya no es suficiente, sino que acorde al siguiente principio, el de responsabilidad proactiva, hay que ser capaz de demostrarlo.  Desde sistemas deberemos de considerar dos líneas de trabajo principales en cooperación estrecha con el Delegado de Protección de Datos (DPD), una nueva figura que aparece en el reglamento y que actúa como garante del cumplimiento de la norma e interlocutor ante las autoridades de control.

La primera es la capacidad de realizar evaluaciones de impacto y de riesgo siguiendo alguna metodología proveniente del entorno normativo (ISO), de asociaciones independientes (ISACA), colegios profesionales de informática o en el caso particular nuestro, del marco de trabajo desarrollado en la administración (MAGERIT).  Y en segundo lugar de proveer cuadros de mando que consoliden las distintas tareas y procesos relevantes relacionados con la conformidad con el reglamento, como las actividades llevadas a cabo para obtener los consentimientos, la clasificación e identificación de los datos personales a lo largo de nuestro entorno de sistemas o la monitorización de posibles violaciones de seguridad.

El tratamiento de los datos, su obtención de un modo lícito y leal y que la comunicación relativa a los procesos a los que serán sometidos sea entendible y fácilmente de comprender por el individuo,es la esencia del tercer principio: el de transparencia.  Si bien, este fin no tiene una implicación tan directa en el área de sistemas como los otros dos, es importante no olvidar que los datos personales deben contar con los consentimientos adecuados según están tipificados en el reglamento y una herramienta que ayuda en todo el proceso es SAP Process Control, que gestiona y monitoriza políticas y controles para medir las distintas actividades que se realizan sobre los datos personales.

En el cuadro que se acompaña, se enumeran los principios fundamentales del nuevo reglamento y se relacionan con las distintas soluciones que SAP ofrece para ayudar en el camino de adaptación a la norma, periplo al que le quedan unos ochenta días hasta el 25 de mayo y que, como Juan Picaporte, el mayordomo en la aventura de Julio Verne, lo podemos recorrer exitosa y diligentemente o por el contrario, nos podemos ver como el conejito blanco de Alicia, que va siempre con prisas corriendo a ninguna parte.

SAP GDPR

¿Qué le ha parecido la información?
Comparte esto:

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

catorce − 13 =