El RGPD no es cosa de un día

Por fin ha llegado el día 25 de mayo. El día D donde todos los datos personales pasan a estar protegidos. Donde ya no se van a producir incidentes de seguridad. Donde todos los tratamientos de datos personales pasan a ser legítimos. Donde los datos ya no van a ser conservados sine díe. Donde los usuarios tenemos todo el control de nuestros datos. Donde el derecho al olvido es una realidad. Donde todo el mundo ha sido informado de que todas las políticas de privacidad del planeta han sido actualizadas (sí, la nuestra también). El día más esperado ha llegado. Y una vez llegado a este grado de regocijo, ¿y ahora qué?

Pues siento deciros que el RGPD no es cosa de un día. Hoy, 25 de mayo de 2018, entra en aplicación el Reglamento General de Protección de Datos, conocido por RGPD o GDPR por sus siglas en inglés. Pero que entre hoy en aplicación (lleva en vigor desde 2016) no quiere decir que todo lo que no hayamos hecho no hace falta hacerlo, o que si ya hemos hecho una adecuación no tengamos que hacer nada más. ¿Por qué?

Uno de los conceptos que introduce el RGPD y quizá el que más impacto produzca es el conocido accountability. Ese término que nos invita a aplicar las medidas técnicas y organizativas que la organización considere apropiadas para garantizar la privacidad de los datos, a ser capaz de demostrar el cumplimiento de los principios del tratamiento recogidos en el artículo 5 de la norma europea, en definitiva, a ser responsables de forma proactiva.

Por ello, esto empieza hoy. Y pongo algunos ejemplos de tareas o acciones que se deben aplicar desde hoy para cumplir con el reglamento:

  • Evaluaciones de impacto. Como sabemos, son una herramienta preventiva que nos ayudará a identificar, evaluar y gestionar los riesgos a los que está expuesto un tratamiento. De esta forma seremos capaces de identificar las medidas apropiadas para garantizar los derechos y las libertades de las personas físicas. Por tanto, debemos aplicar los controles necesarios para identificar posibles nuevos tratamientos y poder realizar las evaluaciones de impacto que sean necesarias.
  • Medidas para mitigación del riesgo. Seguro que todos vosotros conocéis el nuevo enfoque de riesgo que introduce la norma europea, lo que nos lleva a tener que realizar una revisión periódica del mismo, así como a analizar cada uno de los riesgos residuales para gestionarlo y decidir qué medidas aplicar en cada casos.
  • Ejercicio de derechos. La llegada de nuevos derechos como es, por ejemplo, el derecho a la portabilidad, nos lleva a tener que actualizar nuestros procedimientos de atención de derechos para garantizar la respuesta al ejercicio de este derecho en el plazo establecido legalmente.
  • Controles periódicos. Como estamos comentando a lo largo de este artículo, esto del RGPD no es algo estático sino que se debe revisar y supervisar el cumplimiento. Por tanto, recomendamos establecer controles periódicos que garanticen el cumplimiento de las medidas de seguridad establecidas por la organización.
  • Vulneraciones de seguridad. Creo que todos los que estamos metidos en este mundillo de la seguridad somos conscientes de que en caso de un incidente de seguridad es importante la gestión que se realice del mismo desde el minuto 0. En el caso de los datos personales también, además de que ahora es un requisito legal la notificación a la autoridad de control siempre que la violación de seguridad constituya un riesgo para los derechos y libertades de los interesados.
  • Encargados del tratamiento. Y por último pero no menos importante hay que establecer un procedimiento y una revisión periódica de los contratos y medidas de seguridad que los encargados del tratamiento están aplicando. No nos olvidemos que el RGPD nos deja el deber a los responsables del tratamiento de vigilar y determinar qué proveedores elegimos como encargados del tratamiento.

Por tanto, estoy convencido que todavía nos queda mucho trabajo a todos hasta tener una gestión de protección de datos madura en nuestras organizaciones. Muchos creíamos que el día 25 era un deadline pero a mi entender hoy es un hito más para el cumplimiento de RGPD. Viviremos más tranquilos sin la oleada de correos con actualizaciones de políticas de privacidad, pero no debemos olvidar el objetivo: proteger los datos personales. Sigamos trabajando en ello.