Guía práctica para cumplir el RGPD
Estamos percibiendo una verdadera preocupación en las empresas por el cumplimiento del Reglamento Europeo de Protección de Datos. En este punto, quizá lo más importante para las empresas es tener certezas de qué está sucediendo y qué va a suceder hasta que el Reglamento sea de obligatorio cumplimiento.
Por lo pronto, la AEPD ha dicho que espera tener aprobada la Ley Española de Protección de Datos para mayo de 2018, si no me he equivocado, por tanto, debemos ir centrando nuestros esfuerzos en ir cumpliendo lo que ya son certezas y lo que irá saliendo con cuentagotas con el objetivo de llegar lo mejor posible a la fecha marcada.
Está claro que cambia la normativa para un enfoque a riesgos, riesgos en los tratamientos de los datos y si hablamos de riesgos, no hay que inventar la rueda, hay que basarse en estándares conocidos como ISO 27001, Esquema Nacional de Seguridad, etc., porque el marco de las medidas de seguridad será dinámico.
De este modo, se irán publicando paulatinamente listados de tratamientos de alto riesgo y se espera que se publique una nueva guía de evaluación de impacto para septiembre.
RGPD: Enfoque similar a las ISO para el tratamiento de datos
Dicho todo lo anterior y cogiendo dos temas que nadie tiene muy claro podemos afirmar que conceptualmente el Documento de Seguridad tal y como lo conocemos desaparece, habrá que establecer normas, guías, procedimientos, etc., dentro de las organizaciones con un enfoque muy ISO para delimitar los tratamientos de datos. Otro punto que no aparece de manera clara por ningún sitio son las Auditorías, al menos, como las conocíamos hasta ahora. Pero que nadie se lleve a engaño, serán obligatorias, al menos, como buena práctica y deber de diligencia proactivo que está en la filosofía de toda la ley, por tanto, y más si queremos certificar nuestra empresa en la futura norma de certificación que saldrá, estas Auditorías serán obligatorias, no solo bienalmente, sino anualmente, al menos en los tratamientos de datos que supongan un alto riesgo y como buena práctica en el resto.
Asimismo, para cumplir con todo lo anterior, ser proactivo y mostrar una trazabilidad adecuada en el cumplimiento de la Normativa de Protección de datos, se nos antoja imprescindible contar con herramientas software que nos ayuden al cumplimiento de la normativa y que sirvan además como elemento de prueba de la diligencia y proactividad en dicho cumplimiento.
El software RGPD será sin duda la solución imprescindible en dicho cumplimiento, por experiencia, por robustez y por la constante adaptación que hace a esta y otras normativas también de obligado cumplimiento.
En que puede ayudarnos de manera resumida GlobalSUITE – Data Protection (GDPR)
- Realización del PIA y análisis de riesgos
- Plantillas de una Metodología predefinida
- Catálogos de Riesgos y Medidas predefinidos
- Posible parametrización del Cálculo del Riesgo
- Identificación de riesgos
- Identificación de Riesgos por tratamientos
- Catálogo de Riesgos de tratamientos de datos configurable
- Propuesta de Riesgos a partir del catálogo
- Publicación de Encuestas de Riesgos
- Gestión GDPR
- Gestión de Empleados, proveedores,
- Control sobre las cesiones y encargos de tratamiento de datos
- Gestión de Incidencias
- Gestión de Soportes
- Prestaciones de Servicio
- Cumplimiento y auditoría GDPR
- Análisis de Brecha,
- Generación de un Plan de Adecuación.
- Gestión de Auditorías.
- Históricos de informes y situación actual,
- Trazabilidad de toda la información asociada en el sistema
- Análisis de riesgos
- Selección de tratamientos de datos a analizar
- Análisis de los riesgos de los tratamientos de datos
- Históricos de Análisis y Gestión de Riesgos
- Visualización de todos los puntos de un análisis histórico
- Comparativa entre los diferentes históricos
- Tratamientos de datos
- Definición, clasificación y valoración de los tratamientos de datos
- Orientación a la estructura organizativa,
- Configuración de categorías y dimensiones de los elementos
- Evaluación de riesgos
- Mapa de Riesgos (o Mapa de Calor)
- Diferentes representaciones gráficas para mostrar resultados
- Identificación de Riesgos Repercutidos o dependientes
- Gestión de planes de acción derivados del análisis de riesgos
- Gestión de derechos
- Gestión de Expedientes de derechos
- Modelos de Contestación
Como decía anteriormente y por concluir, son muchas las cuestiones que todavía habrá que redefinir y aprender, pero nuestra recomendación es que se vayan acometiendo las muchas tareas que el nuevo Reglamento viene a establecer y luego completar con las que la AEPD vaya estableciendo, de otro modo, será muy complicado, por no decir imposible llegar a la fecha establecida para el cumplimiento del Reglamento.
Todo lo anterior, si se hace de manera estructurada, guiada y con método, será mucho más sencillo y para eso, el mejor aliado es GlobalSUITE – Data Protection (GDPR).