Durante 2018 nos vimos en la necesidad de adaptarnos al nuevo Reglamento Europeo de protección de datos y, a final de año, con la entrada en vigor de la nueva Ley Orgánica, a incluir las variaciones establecidas en ella. Ahora estamos comenzando 2019, y nos encontramos con nuestra Organización adaptada a la nueva normativa, pero no sabemos cómo debemos proseguir. Para ello, os doy unas pequeñas pautas para seguir trabajando en la protección de los datos en vuestras Organizaciones.
Con la nueva normativa han surgido diferentes cambios, siendo alguno de los más significativos aquellos que hacen referencia a las obligaciones periódicas para el cumplimiento de la normativa de protección de datos.
La antigua legislación obligaba a las Organizaciones que trataban datos, cuyas medidas de seguridad exigibles eran de nivel medio o alto, a realizar auditorías con una periodicidad no superior a dos años. Esta obligación no está incluida en la nueva legislación, y únicamente se especifica en el artículo 5 apartado 2, del Reglamento Europeo 2016/679, que el responsable del tratamiento de los datos debe poder demostrar la responsabilidad proactiva en la protección y el tratamiento de los datos.
Debido a este cambio, una de las dudas que surgen es “¿Cómo puedo demostrar la responsabilidad proactiva en mi empresa, una vez adaptada a la nueva normativa?”
Como ya sabréis, una de las principales claves para el adecuado cumplimiento de la normativa de protección de datos supone entender qué datos se necesitan y para qué se van a utilizar, así como aplicar las medidas de seguridad correspondientes. Por ello, si bien podría nombraros diferentes formas de demostrar el cumplimiento de este principio de responsabilidad proactiva, considero que la forma más práctica y efectiva, y que sigue esta clave principal, es la realización de auditorías periódicas.
Las auditorías son un instrumento de evaluación para analizar las prácticas que está siguiendo una Organización. Nos permiten realizar un estudio de cómo se están aplicando las diferentes políticas de seguridad, tanto técnicas como organizativas, con el objeto de evaluar su adecuada adopción entre el personal de la Organización. Fruto de ellas, se identifican diferentes desviaciones para poder ser subsanadas, siempre con el objetivo de mejorar.
Si bien no hay una periodicidad impuesta para la realización de las auditorías, considero que lo recomendable es que se realicen con una periodicidad anual para poder identificar a la mayor brevedad posible, las posibles deficiencias existentes en la Organización.
Y para la realización de las mismas, os recomiendo que apliquéis algunos de los diferentes tipos de auditorías para no pasar por alto algún aspecto ya que, si bien las auditorías internas son las más prácticas para las Organizaciones, éstas suelen dar una visión incompleta debido a los vicios o costumbres que se van adquiriendo con el tiempo. Por ello, considero más efectivo realizar auditorías externas que te darán una visión imparcial sobre el tratamiento y la seguridad que se da a los datos. Además, el que una persona externa venga a auditar siempre va a dar más empaque al asunto, concienciando a la gente de la importancia de seguir los procedimientos de protección de datos.
Las auditorías que realicéis no tienen por qué ser siempre referentes al cumplimiento de la normativa de protección de datos, sino que puedes complementarlas con auditorías más técnicas de análisis de vulnerabilidades o test de penetración, ya que la implementación de medidas técnicas de seguridad es uno de los principios necesarios para que puedas cumplir con la normativa.
Otra de las acciones que puedes adoptar en tu organización es la realización de análisis de riesgos periódicos.
Los análisis de riesgos permiten identificar la probabilidad de materialización de una amenaza de seguridad y es necesario realizarlos con el objeto de poder adoptar las medidas de seguridad necesarias según el nivel de riesgo que se tenga.
Además, estos análisis de riesgos deben realizarse también de una manera periódica. Nuestra recomendación también es realizarlos con una periodicidad anual debido a que los riesgos que tienen las Organizaciones en el año 2019 no son los mismos que los que había en el año 2018, ya sea por factores internos (cambios en las estructuras organizativas, realización de nuevos tratamientos de datos, implantación de nuevos sistemas….) o por factores externos (nuevas amenazas de ciberseguridad, amenazas de terrorismo…).
Todos sabemos que uno de los objetivos de las empresas al cumplir con la normativa es evitar las temidas sanciones, pero el verdadero objetivo que debes perseguir al cumplir con la normativa, es la protección de toda la información que trata tu organización, ya no solo los datos personales que tienes obligación de proteger por ley, sino también toda esa información confidencial que usa tu empresa. Por ello, no os durmáis y creáis que con lo hecho en 2018 es suficiente. Yo os animo a definir un plan de auditorías para verificar si el personal de vuestras compañías está actuando correctamente y a evaluar periódicamente los riesgos que tenéis.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.