Qué duda cabe que el nuevo paradigma digital, el big data, la innovación constante en ingeniería social, los procesamientos masivos de información personal, imponen un nuevo modelo en la gestión de datos personales. Esto es inapelable.
Las empresas deben asumir nuevos retos en la gestión de la protección de datos, retos que sin ningún género de dudas, se convertirán en grandes oportunidades que nadie debería desestimar.
Con la misión de responder a estos nuevos retos y aportar soluciones más efectivas que la actual LOPD, nacida antes de la revolución digital, nace el nuevo reglamento europeo de protección de datos, cuya fecha límite de aplicación es mayo de 2018. Para entonces todas las empresas deberán haber realizado la transición hacia una nueva forma de concebir la protección de datos.
La sociedad evoluciona hacia un modelo hiper e interconectado y las regulaciones deben acompañar esta evolución para afrontar las nuevas amenazas. ¿Las organizaciones serán capaces de hacerlo también?
Un cambio de foco y paradigma para una sociedad digital
El nuevo reglamento propone un cambio de enfoque sustancial en la manera de abordar la protección de datos: se pasa de un modelo de gestión de la privacidad reactivo a un modelo proactivo; se exige a las empresas europeas una implicación más proactiva y comprometida con la seguridad para que puedan ofrecer una respuesta eficaz a las nuevas amenazas que plantean los entornos digitales.
Se trata de cambiar de enfoque en la concepción de la seguridad interna y avanzar hacia un modelo basado esencialmente en la prevención: fomentar las actuaciones de prevención para un cumplimiento efectivo de la norma y ser capaz de acreditarlo.
La carga de la prueba será un factor decisivo en el nuevo reglamento: no basta con hacerlo bien, hay que ser capaz de demostrarlo.
El eje de la prevención y la acreditación pasa por el desarrollo de herramientas y contenidos que promuevan la concienciación y la formación de todos los integrantes de una organización para convertirlos en agentes activos y eficaces en la defensa de la seguridad.
Por esa razón, la formación se impone como un recurso esencial que permite acreditar:
- Capacidad proactiva: la capacitación y concienciación es el mejor recurso preventivo.
- Diligencia: en las iniciativas dirigidas a la prevención, capacidad reactiva y resilencia.
Retos y oportunidades del nuevo reglamento
El nuevo reglamento de protección de datos plantea nuevos desafíos que cualquier empresa puede transformar en oportunidades si concibe su acatamiento desde el punto de vista estratégico de negocio, en lugar de poner el foco en el cumplimiento normativo por temor a las sanciones, como ocurrió (y ocurre) con la actual LOPD.
A pesar del tiempo transcurrido desde la LOPD y su último reglamento de desarrollo, la cultura en protección de datos de España deja todavía mucho que desear. Muchas empresas solo acometieron cambios cosméticos en la gestión de la privacidad, pero que no aportaban una protección efectiva. El nuevo reglamento pretende subsanar este problema eliminando obligaciones formales, como la inscripción de ficheros, e imponiendo medidas que otorgan un mayor control a los ciudadanos sobre su propia información.
Por otra parte, la mayoría de las medidas técnicas y organizativas que establece este nuevo marco son las mismas que proponemos las empresas que nos dedicamos a la seguridad informática y la protección de datos, cuyo objetivo es consolidar un escudo defensivo que proteja la información interna, repela amenazas y garantice los derechos de las personas.
Principales retos:
- Privacidad por diseño.
- Documentación para acreditar cumplimiento.
- Mayores exigencias informativas.
- Desarrollo de nuevos derechos: portabilidad, derecho al olvido, limitación del tratamiento, refuerzo del consentimiento.
- Mayores medidas de seguridad.
- Evaluaciones de Impacto de Privacidad, más conocidas como Privacy Impact Assessment (PIA).
- Delegado de protección de datos.
Dos elementos llaman la atención por encima de los demás: el concepto de “Privacidad por diseño”, asociado a la idea proactiva de la privacidad, y las “Evaluaciones de impacto sobre la Privacidad”.
El primero de ellos busca que el primer requisito en el diseño de un sistema de información sea garantizar la confidencialidad de los datos de los usuarios, tomando las medidas necesarias para ello. Las empresas deberán asumir la privacidad como una prioridad y hacer de su defensa un marco transversal. ¿Qué significa esto? Que la seguridad debe estar presente en toda la vida útil de la información. En definitiva, esto supone darle prioridad absoluta a la seguridad interna y esencialmente a la proactividad.
Sobre las evaluaciones de impacto sobre la privacidad o Privacy Impact Assessment (PIA), y las oportunidades que surgen de este nuevo marco, hablaremos en una próxima entrada.
Excelente artículo, Marina.Claro y práctico. Ahora a empezar con la adaptación/regularización de nuestro sistema de gestión tanto de seguridad como de protección de datos.
Gracias Rosa por acercarte a comentar, hay mucho camino que recorrer y mucha reconversión que acometer, esperemos que este nuevo reglamento sea más efectivo, de mayor aplicación y con más implicaciones prácticas que la actual LOPD.
Desde S2 seguiremos trabajando desde la concienciación, este es el primero de una serie de post donde iremos desgranando las implicaciones prácticas del nuevo reglamento.
Un abrazo
Muy buen articulo, Marina, y creo que has dado en el clavo con la palabra “transversal”, la protección de datos hoy en día es un problema que afecta a toda la empresa, no sólo al responsable del tratamiento, sino que todos los implicados en el manejo de los datos personales deberían participar.
De verdad, como siempre excelente!.
Hola Marina. Felicidades por el artículo en el que me pararía, además de en lo ya señalado por Rosa como por Sonia, en lo que haces referencia sobre que “muchas empresas solo acometieron cambios cosméticos en la gestión de la privacidad, pero que no aportaban una protección efectiva” Esa es la cuestión, o la protección es efectiva, real y se implanta o es puro formalismo. La conciencia ciudadana es cada vez mayor, ya que todo el mundo quiere que sus derechos sean atendidos, pero por desgracia en cuanto a obligaciones, el ciudadano como gestor o administrador y en definitiva como Responsable de Tratamiento lo asume como una carga y no como una oportunidad de mejora en su organización. Cuando el consultor LOPD logre trasmitir eso, la diligencia será parte del proceso y la mejora vendrá por sí misma.
Un abrazo
Gracias Sonia y Rafael por comentar de manera tan acertad, comparto plenamente vuestras obserbaciones. Estoy convencidada de que el nuevo reglamento no va a admitir formalismos ni soluciones cosméticas. Es una gran oportunidad para los verdaderos consultores que trabajan de manera rigurosa y profesional ya que los procesos de adecuación van a requerir un nivel de personalización mucho mayor que el que se requería para la LOPD, incluyendo las cláusulas informáticas que exigen muchos más elementos a informar. Servirán de poco las cláusulas estándar, es el momento de acometer cambios sustanciales, para empresas y profesionales consultores.
Un abrazo compañeros