Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

Fernando Jofre trabajadores en remoto correo

¿Estamos ya preparándonos para el GDPR?

Superado (¿o quizá todavía no?) el escollo del cumplimiento de SII (Suministro Inmediato de Información) que a partir de este 1 de Julio obligará a unas 62.000 empresas a enviar electrónicamente información sobre todas las facturas de clientes y proveedores dentro de los 4 días siguientes a la fecha de emisión de la factura o la fecha de contabilidad, tenemos también sobre la mesa una nueva obligación que acatar. Y esta vez afectará a muchísimas más… A todas.

Dentro de un año, concretamente el 28 de mayo de 2018, entrará en vigor el nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), el mayor cambio legislativo en materia de protección de datos de los últimos 20 años. El propósito de las nuevas leyes es devolver a los ciudadanos europeos el control de sus datos, aquellos que día tras día almacenan, analizan y transfieren todo tipo de organizaciones, tanto privadas, como las de sector público o las ONGs…

Este nuevo reglamento proporcionará una mayor uniformidad de la normativa a aplicar en cada uno de los países europeos, si bien en España ya contábamos con una de las legislaciones más avanzadas, materializada en la conocida LOPD, y posteriormente complementadas en la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico).

Con este horizonte no tan lejano, y para evitar las sanciones económicas (multas de hasta 20 millones de euros o el 4% de la facturación mundial total anual, la que sea superior) y los perjuicios en reputación que podría suponer su incumplimiento, es necesario ir poniéndose las pilas.

Por dar alguna pincelada sobre el nuevo reglamento, cubre todos los datos directos o indirectos que permitan identificar a cualquier ciudadano de la UE, y obliga a notificar las infracciones de datos en un plazo máximo de 72 horas.

Es por lo tanto necesario revisar internamente las prácticas en materia de privacidad y protección de datos. Y cuando digo internamente, no sólo hay que revisar lo que tenemos “en casa”, sino también todo aquello que tenemos externalizado. Concretamente en el cloud. Porque no hay empresa que a día de hoy no tenga contratados servicios en la nube.

Es más, en un momento dado y por simplificar, a lo mejor merece la pena externalizarlo prácticamente todo a un proveedor de confianza que disponga de las certificaciones adecuadas de cumplimiento normativo. Ganaremos en tranquilidad, pero este escenario es tan ideal que resulta prácticamente imposible. Siempre tendremos datos almacenados localmente, y, por lo tanto, riesgos.

Las acciones a tomar afectan a varios frentes: adoptar una serie de políticas y procedimientos orientados a la detección, protección y respuesta, asegurar que nuestras infraestructuras y servicios están preparados para cumplir con la ley y formación interna a los empleados.

Informáticamente hablando, hay que tomar medidas de extremo a extremo, involucrando servidores locales, ordenadores, dispositivos y el cloud. Es el momento de comentar este asunto con nuestro Partner de confianza y emprender un camino inevitable.

Deja un comentario

Scroll al inicio