23 de noviembre de 2024
RRHHDigital - El periódico online referente en Recursos Humanos

El CDO el nuevo perfil necesario para cumplir con la nueva normativa europea de tratamiento de datos

Para conmemorar el Día Internacional de la Protección de Datos Personales que se celebra cada 28 de enero, acens (www.acens.com), proveedor líder de servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, ha querido compartir las claves que serán necesarias para adaptarse al Reglamento General de Protección de Datos, que será de obligado cumplimiento el próximo 25 de mayo del 2018. La principal incorporar nuevos perfiles como el DPO en las empresas.

Según afirma la Unión Europea la perspectiva de un mercado único digital regulado supondrá un ahorro de 2,3 millones de euros a las compañías europeas. Sin embargo, la armonización del marco normativo de protección de datos personales supone la implementación de todo un proceso de gestión y una serie de cambios sobre los que aún hoy existen muchas incógnitas para las empresas.

El periodo que resta de apenas año y medio hasta la aplicación del Reglamento tiene como objetivo permitir que las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable. 

Teniendo en cuenta que el nuevo Reglamento prevé sanciones de hasta 20 millones de euros por incumplimiento de la normativa, los expertos de acens han querido dar una serie de claves y recomendaciones a tener en cuenta para esa adaptación: 

1. Acredita el cumplimiento mediante un Sistema de Gestión de Seguridad: Para garantizar el cumplimiento continuo de los requisitos del nuevo reglamento es altamente recomendable adoptar un sistema de gestión siguiendo el esquema de los estándares internacionales como ISO 27001. No basta un compromiso, sino que será necesario un seguimiento mediante un sistema con sus prácticas y controles durante todo el proceso del tratamiento de datos. “La empresa tiene que acreditar el cumplimiento y que se están haciendo las cosas como marca el reglamento”, comenta Fernando Serrano López, Responsable de Seguridad de acens.

2. Considera la privacidad de forma previa a cualquier tratamiento de datos: Considerar la privacidad como un elemento esencial de forma previa a cualquier tratamiento de datos será algo que las organizaciones deberán incorporar como cultura de empresas realizando análisis previos incluso de impacto. “Uno de los conceptos más resaltables de esta norma es el de privacidad, desde el diseño y por defecto”, comenta Gustavo San Felipe, al cargo de la Seguridad Corporativa, Calidad y Procesos en acens. 

3. Consulta a la autoridad de control si el impacto es alto: En el caso que la evaluación del impacto entrañe un alto riesgo se deberá consultar a la autoridad de control, la Agencia de Protección de Datos en el caso español. 

4. Incorpora nuevos perfiles como el DPO: Será necesario contar con nuevos perfiles profesionales y surge una nueva figura con más autonomía e independencia que el responsable de seguridad: el Delegado de Protección de Datos o DPO, que velará por el cumplimiento de la ley en las organizaciones. 

5. Conoce la obligación de notificar incidencias: La notificación de incidentes de seguridad a la autoridad competente ya existía para ciertos proveedores de servicio, pero ahora se amplía siendo de ámbito global para todas las compañías. “Una de las novedades más importantes que introduce esta regulación es la obligatoriedad de notificar las violaciones de seguridad cuando son relativas a la privacidad de datos. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados”, advierte Gustavo San Felipe. 

6. Incorpora medidas de seguridad como la seudonimización y el cifrado: En relación a las medidas de seguridad el reglamento menciona algunos mecanismos y medidas de control como la seudonimización y el cifrado, para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema capacidad de soportar datos y recuperarse ante incidentes. “No se detallan medidas específicas de seguridad, pero sí que menciona los objetivos y controles de seguridad que se deben cumplir como la seudonimización de los datos y el cifrado, garantizar la confidencialidad, disponibilidad e integridad de los datos o la resiliencia del sistema”, señala Gustavo San Felipe. 

7. Confirma la garantía de tus proveedores de tecnología: Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores. “Las empresas deberán contar con software de cifrado, pero más allá de ese software o esas herramientas necesitará una serie de utilidades y de herramientas que le permita desarrollar ese marco de gestión. Por supuesto todo esto va a estar almacenado y alojado en alguna ubicación y ahí es fundamental el uso de tecnologías como Cloud y confiar en una compañía que hace la función de encargado de tratamiento según se contempla en el propio reglamento y que obviamente cumpla todas las garantías y nos ayude a ese cumplimiento, que la infraestructura sea sólida, que tenga alta disponibilidad”, apunta Gustavo San Felipe. 

8. Las sanciones alcanzarán los 20 los millones de euros o el 4% del volumen anual de negocio: Las cuantías de las multas por incumplimiento de estas obligaciones se incrementan y pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual, optando la autoridad sancionadora por la de mayor cuantía. 

9. Las empresas internacionales tendrán responsable visible en Europa: La ley es de aplicación no sólo para empresas europeas sino para toda aquella que gestione datos de usuarios residentes en Europa por lo que toda empresa internacional deberá contar con un responsable visible en Europa. 

10. La normativa será de obligado cumplimiento a partir del 25 de mayo 2018: El Reglamento General de Protección de Datos entró en vigor el 25 de mayo del 2016, pero como indica Fernando Serrano “no hay obligación de cumplimiento hasta el 25 de mayo de 2018. Hay un margen para que las empresas se adapten”. 

“Desde acens, como encargado de tratamiento de muchos ficheros de sus clientes ya está adaptando su plataforma y servicios para facilitar ese cumplimiento a las compañías que necesiten ayuda y proporcionar servicios que la nueva normativa demande”, concluye Fernando Serrano López, Responsable de Seguridad de acens.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Los lectores opinan

¿Qué impacto tendría la implementación de una jornada laboral reducida en el rendimiento y la satisfacción de los empleados?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital