Q
Atrás

GDPR: una oportunidad para un buen gobierno del dato

Autor: Piedad Negro. Senior Consultant en Quint 

Se puede aplicar el GDPR (Reglamento General de Protección de Datos) sólo para cumplir la ley, o se puede ir más allá: prepararse para dar resultados con la transformación digital. Como muchos sabrán, GDPR hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y su libre circulación. Este Reglamento supondrá, la práctica derogación de la vigente Ley de protección de datos, también conocida como LOPD y, con ello, la necesaria adecuación al mismo. Como ya ocurría con esta última, el Reglamento reconoce y protege una serie de derechos y libertades, que se traduce en el necesario cumplimiento de un conjunto de obligaciones tanto por parte del sector público como privado, pero con otro enfoque. En este sentido, se pretende lograr un mayor grado de involucración de las organizaciones, y con ello:

  • El desarrollo de una actitud consciente, diligente y proactiva en las organizaciones.
  • El establecimiento de medidas adaptadas a las características de cada organización.
  • Una orientación al riesgo en base a la naturaleza, ámbito, contexto y fines de tratamiento.

Infografia-GDPR

¿Pero el cumplimiento de estas obligaciones supone realmente un problema? Aunque la amenaza de sanción (hasta un 4% del volumen de negocio anual global) podría hacer pensar que sí, Quint defiende que es una oportunidad, una palanca para dar los primeros pasos hacia un verdadero gobierno del dato. No se puede caer en la práctica de los mismos errores que durante la vigencia de la LOPD, y limitarse a desarrollar iniciativas para salir del paso, evitando abordar la transformación real que requieren las organizaciones respecto al tratamiento de datos. Por ello, ante este nuevo reto, hay que preguntarse:

  • Si ya se está cumpliendo con la LOPD, ¿se está preparado para respetar el GDPR? No, es necesario adoptar nuevas medidas. En esencia, GDPR modifica algunos de los aspectos del régimen actual y contiene nuevas obligaciones dirigidas a:
    • Reforzar la legitimación del tratamiento de datos.
    • Reforzar la transparencia en la relación con el interesado.
    • Reforzar los derechos reconocidos y las medidas que posibiliten su ejercicio, incrementando las garantías de éste.
    • Clarificar las responsabilidades y relaciones entre los diferentes roles destacados, con la aparición de nuevos roles.
    • Condicionar la adopción de medidas que apuntalen la responsabilidad activa al riesgo.
  • Si no se está adaptado… ¿a qué esperas? La fecha límite es hasta el 25 de mayo de 2018.
  • ¿Es el único reto legal al que tendrás que enfrentarte? No, ya que a corto plazo se aprobará la nueva Ley Orgánica de Protección de Datos de Carácter Personal, de la que se ha publicado el proyecto de ley. Esta debería entrar en vigor también el 25 de mayo, y persigue garantizar una plena integración y adaptación del Reglamento al ordenamiento interno español.
  • ¿Cómo enfrentarse a su adecuación? Una posibilidad es optar por acciones de “chapa  pintura”, pero ¿por qué no dar un paso más?

Para Quint, el cumplimiento de GDPR abre la puerta a la ejecución de un programa de medidas para la construcción del Gobierno Integral del Dato, que abarque el tratamiento de cualquier dato manejado por nuestra organización, sea o no de carácter personal. Para ello, se considera necesario determinar soluciones a largo plazo, que permitan un crecimiento sostenible y escalado. No sólo queremos que se cumpla hoy las obligaciones impuestas legalmente, sino que éste sea un hito más en la estrategia del dato, en base a la cual definir un plan con el que transformarse en una verdadera organización orientada al dato.

Para hacer frente a este primer hito, relacionamos los requerimientos de GDPR con nuestro modelo de global de gobierno del dato, fundamentado en el marco DMBOK (Data Management Body Of Knowledge).

Negocio del dato

Así, como ya apuntaba, el cumplimiento de GDPR debe integrarse como parte de la Estrategia del Dato de las organizaciones, y, en consecuencia, desplegar las actuaciones que hagan posible su cumplimiento, las cuales impactarán sobre el resto de áreas (Seguridad, Arquitectura, Calidad & Control, Operativa o/y Tecnología). Estas medidas no deben definirse de forma independiente, sino coordinadas e integradas dentro de la cartera de proyectos e iniciativas que se estén desarrollando en este ámbito.

Profundizando en sus disposiciones, GDPR incorpora requisitos que impactan directamente en aspectos tan tangibles y propios a cualquier entidad, como su organización. GDPR identifica una serie de roles (Delegado de Protección de Datos – DPD -, Responsable, Encargado y Representante del Tratamiento) que deben ser asumidos, y, sobre todo, ejercidos. Esto provoca la necesaria definición de un verdadero modelo de gobierno en torno a los datos de carácter personal.

Estos nuevos y/o actualizados roles, cuyas responsabilidades serán finalmente completadas en la futura ley de protección de datos, suponen la adopción, en la práctica, de medidas como:

  • Calidad y Control:
    • Una definición clara de roles y responsabilidades, así como su designación.
    • El establecimiento del modelo de gobierno que facilite la interactuación ágil y eficaz.
    • El posible establecimiento de un equipo de soporte multidisciplinar para el DPD, si fuera necesario.
    • La actualización o establecimiento de los contratos y/o actos jurídicos que formalicen la relación de estos responsables con la organización.
  • Estrategia:
    • La determinación de la política de contratación a seguir para asumir estos roles.

Como ejemplo, y para entender el impacto de no abordar este tipo de iniciativas, el ya comentado proyecto de Ley Orgánica considera falta grave, entre otros, encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito.

Junto a los roles anteriormente comentados, ¿no se considera necesario habilitar en la organización otras figuras que contemplen el gobierno del dato en sentido amplio, homogeneizando su gestión y administración? En Quint se considera imprescindible, ya que esta necesidad no es exclusiva de los datos de carácter personal, y nuestra sugerencia es no limitarnos únicamente a las prescripciones legales.

Otro aspecto de especial relevancia, y que impacta fundamentalmente sobre la Operativa y Arquitectura del Dato, es la incorporación de los requisitos enfocados en dos ámbitos:

  • El ciclo de vida de los datos de carácter personal, incidiendo especialmente en la evaluación de impacto (en los casos exigibles), el consentimiento, la trazabilidad de los datos, y la gestión y tratamiento de fuentes.
  • El ejercicio de los derechos reconocidos, a los que denominaríamos derechos ARCO+, ya que supone una ampliación de los ya reconocidos por la LOPD:
    • Derecho de Acceso.
    • Derecho Rectificación y supresión (derecho al olvido).
    • Derecho a la limitación del tratamiento.
    • Obligación de notificación por rectificación o supresión de los datos o limitación del tratamiento.
    • Derecho a la portabilidad de los datos, y su trasmisión a un tercero.
    • Derecho de oposición.
    • Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, con efectos jurídicos o similar impacto.

En ambos casos, esto va a suponer, por ejemplo:

  • Calidad y Control:
    • Identificación y análisis de los procesos actuales, para actualizarlos y adaptarlos en línea con esta norma.
  • Operativa:
    • La identificación y tratamiento de fuentes.
    • Adecuación de los canales disponibles de interacción con terceros.
    • La habilitación, en los casos que sea preciso, de instrumentos como:
      • El registro de las actividades de tratamiento.
      • El registro de las categorías de actividades de tratamiento.
    • Arquitectura:
      • La revisión y actualización tanto del modelo de datos, como de los datos de referencia y datos maestros, así como de la estructura de metadatos utilizada.
    • Seguridad:
      • La definición y/o actualización de políticas de seguridad y acceso.
      • La incorporación, antes del tratamiento, de la evaluación del impacto, cuando sea necesario.

Lo que he recogido en este artículo es una relación no exhaustiva del trabajo que puede suponer abordar esta adecuación, que permite hacernos una idea de su envergadura. Así mismo, he querido evidenciar la importancia de abordarla de forma integrada, en base a un plan de carácter global, fundamentado en la estrategia global del dato de tu organización, en la que esta adecuación constituiría un hito prioritario (recuerda que debemos estar adaptados antes del 25 de mayo).

Por lo tanto, es conveniente no perder más tiempo, ya que seguramente todavía queda mucho camino por recorrer, y nuevos retos a la vista, como la futura Ley Orgánica que está a punto de aprobarse. Pero tampoco hay que desesperar y hay que tener en cuenta que no hay que abordar el reto solos, y que se se puede contar con el soporte y apoyo del equipo de Quint para hacer más llevadero el camino hacia el gobierno del dato.