Se puede aplicar el GDPR (Reglamento General de Protección de Datos) sólo para cumplir la ley, o se puede ir más allá: prepararse para dar resultados con la transformación digital. Como muchos sabrán, GDPR hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y su libre circulación. Este Reglamento supondrá, la práctica derogación de la vigente Ley de protección de datos, también conocida como LOPD y, con ello, la necesaria adecuación al mismo. Como ya ocurría con esta última, el Reglamento reconoce y protege una serie de derechos y libertades, que se traduce en el necesario cumplimiento de un conjunto de obligaciones tanto por parte del sector público como privado, pero con otro enfoque. En este sentido, se pretende lograr un mayor grado de involucración de las organizaciones, y con ello:
¿Pero el cumplimiento de estas obligaciones supone realmente un problema? Aunque la amenaza de sanción (hasta un 4% del volumen de negocio anual global) podría hacer pensar que sí, Quint defiende que es una oportunidad, una palanca para dar los primeros pasos hacia un verdadero gobierno del dato. No se puede caer en la práctica de los mismos errores que durante la vigencia de la LOPD, y limitarse a desarrollar iniciativas para salir del paso, evitando abordar la transformación real que requieren las organizaciones respecto al tratamiento de datos. Por ello, ante este nuevo reto, hay que preguntarse:
Para Quint, el cumplimiento de GDPR abre la puerta a la ejecución de un programa de medidas para la construcción del Gobierno Integral del Dato, que abarque el tratamiento de cualquier dato manejado por nuestra organización, sea o no de carácter personal. Para ello, se considera necesario determinar soluciones a largo plazo, que permitan un crecimiento sostenible y escalado. No sólo queremos que se cumpla hoy las obligaciones impuestas legalmente, sino que éste sea un hito más en la estrategia del dato, en base a la cual definir un plan con el que transformarse en una verdadera organización orientada al dato.
Para hacer frente a este primer hito, relacionamos los requerimientos de GDPR con nuestro modelo de global de gobierno del dato, fundamentado en el marco DMBOK (Data Management Body Of Knowledge).
Así, como ya apuntaba, el cumplimiento de GDPR debe integrarse como parte de la Estrategia del Dato de las organizaciones, y, en consecuencia, desplegar las actuaciones que hagan posible su cumplimiento, las cuales impactarán sobre el resto de áreas (Seguridad, Arquitectura, Calidad & Control, Operativa o/y Tecnología). Estas medidas no deben definirse de forma independiente, sino coordinadas e integradas dentro de la cartera de proyectos e iniciativas que se estén desarrollando en este ámbito.
Profundizando en sus disposiciones, GDPR incorpora requisitos que impactan directamente en aspectos tan tangibles y propios a cualquier entidad, como su organización. GDPR identifica una serie de roles (Delegado de Protección de Datos – DPD -, Responsable, Encargado y Representante del Tratamiento) que deben ser asumidos, y, sobre todo, ejercidos. Esto provoca la necesaria definición de un verdadero modelo de gobierno en torno a los datos de carácter personal.
Estos nuevos y/o actualizados roles, cuyas responsabilidades serán finalmente completadas en la futura ley de protección de datos, suponen la adopción, en la práctica, de medidas como:
Como ejemplo, y para entender el impacto de no abordar este tipo de iniciativas, el ya comentado proyecto de Ley Orgánica considera falta grave, entre otros, encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito.
Junto a los roles anteriormente comentados, ¿no se considera necesario habilitar en la organización otras figuras que contemplen el gobierno del dato en sentido amplio, homogeneizando su gestión y administración? En Quint se considera imprescindible, ya que esta necesidad no es exclusiva de los datos de carácter personal, y nuestra sugerencia es no limitarnos únicamente a las prescripciones legales.
Otro aspecto de especial relevancia, y que impacta fundamentalmente sobre la Operativa y Arquitectura del Dato, es la incorporación de los requisitos enfocados en dos ámbitos:
En ambos casos, esto va a suponer, por ejemplo:
Lo que he recogido en este artículo es una relación no exhaustiva del trabajo que puede suponer abordar esta adecuación, que permite hacernos una idea de su envergadura. Así mismo, he querido evidenciar la importancia de abordarla de forma integrada, en base a un plan de carácter global, fundamentado en la estrategia global del dato de tu organización, en la que esta adecuación constituiría un hito prioritario (recuerda que debemos estar adaptados antes del 25 de mayo).
Por lo tanto, es conveniente no perder más tiempo, ya que seguramente todavía queda mucho camino por recorrer, y nuevos retos a la vista, como la futura Ley Orgánica que está a punto de aprobarse. Pero tampoco hay que desesperar y hay que tener en cuenta que no hay que abordar el reto solos, y que se se puede contar con el soporte y apoyo del equipo de Quint para hacer más llevadero el camino hacia el gobierno del dato.
Más información? Llámanos al 914 290 584 quint@quintgroup.com