Pistas para abordar el nuevo reglamento con éxito

Doc1.jpgEn menos de un año el nuevo reglamento GDPR entrará en vigor

En menos de un año el nuevo reglamento GDPR entrará en vigor. ¿Cómo afectará a las empresas? ¿Qué se necesita para cumplir? ¿Por dónde empezar? Muchos interrogantes que requieren respuestas y soluciones. La implementación GDPR no es tan simple, pues afecta a varias áreas y niveles de la empresa. Desde los departamentos legales, Marketing y Finanzas, que obliga al cumplimiento de normativas, hasta los de Auditoría, IT, Seguridad, Formación, o Recursos Humanos, áreas que jugarán un papel importante en la implementación de GDPR.

La solución no es única y depende del nivel de madurez de cada compañía. Cada una requerirá una combinación de herramientas, directrices, gobierno continuo de los procesos y cambio cultural. Por lo tanto, adecuar la normativa requiere ante todo el análisis y la evaluación de la situación actual y una estrategia de cobertura para alcanzar el objetivo GDPR.

En este post, me centraré en dos aspectos que resultan cruciales en un proyecto GDPR, donde el aporte de herramientas tecnológicas resulta diferencial:

Scouting y análisis de procesos: es un paso fundamental, dado que permite identificar los datos sensibles y de riesgo afectados por GDPR dentro de las compañías.

Gobierno y reglamentación de los procesos: es el esqueleto principal de cada proyecto GDPR, en donde se establecen los mecanismos de control para respetar la normativa.

Scouting y análisis de procesos

Existe una gran complejidad en los sistemas de información de una empresa. ¿Cómo determinar con certeza dónde se encuentran almacenados estos datos sensibles? Es imposible realizar una búsqueda que no resulte sistemática dentro de los sistemas actuales. Por eso, una primera necesidad es contar con herramientas que automaticen el escaneo completo de los datos. Estas soluciones, basadas en técnicas de minería de datos y reglas "matching",  permiten revisar los repositorios de datos estructurados y no estructurados para identificar, clasificar y catalogarlos, para así detectar, de forma eficiente, donde se encuentran.

Claramente, estas soluciones no son del tipo "Plug&Play", es decir, requieren una configuración y un refinamiento a través de las fases de proyecto para que las reglas de "matching" y calidad del dato sean cada vez más optimas y así reducir los falsos positivos. Una vez analizado este punto, es posible avanzar en la minería de procesos para extraer los flujos de datos dentro de la organización e identificar el tratamiento que se hace del dato, desde dónde y quiénes acceden a él. 

El resultado de esta fase permite tener documentados los procesos que involucran a los datos afectados, hecho fundamental para definir las políticas de gestión. Estas soluciones pueden ser utilizadas una sola vez, pero también es aconsejable, sobre todo dependiendo de la compañía, que este análisis se realice de forma periódica para detectar nuevas entradas y cambios.

Gobierno y reglamentación de los procesos

Analizando en detalle el texto del reglamento de GDPR, casi la mitad de los artículos de la normativa están relacionados con los procesos de negocio asociados con las políticas de mantenimiento de registros, las responsabilidades de las funciones y entidades. Además, hay que considerar el principio de "rendición de cuentas", donde las empresas tendrán que demostrar, en caso de ser requerido, y aportando la documentación apropiada, que están cumpliendo con las normas de datos personales. Y este punto lo complica todo aún más.

El reglamento requiere, para gestionar la política de datos, mantener un registro de las actividades de procesamiento, de forma que se debe realizar un gobierno y la trazabilidad completa del dato. Si consideramos todos los factores del GDPR, la complejidad del gobierno puede ser casi exponencial:

  • Número de objetos de negocios involucrados (con fecha de expiración): empleados, clientes, pacientes, proveedores, colaboradores, etc.
  • Número de unidades de negocio dedicadas total o parcialmente a estas actividades.
  • Número de sistemas de software que gestionan el contenido de datos sensibles, históricos y bases de datos.

 Doc2.jpg

Diferentes categorías de tipología de datos, con sus propias políticas de tratamiento, requisitos de retención, post-procesamiento y responsable del dato.

Por tanto, se requiere documentar todos los indicadores para tener evidencias del cumplimiento de GDPR. Las expectativas de control son significativas y ambiciosas. Y este es realmente el principal objetivo y la primera dificultad que debe resolver, pues implementar GDPR implica tener la capacidad de demostrar de forma fehaciente el cumplimiento de la regulación para evitar multas. Este proceso debe ser continuo y sistemático para el buen gobierno de los datos y de los procedimientos. También existen herramientas de software para este objetivo que permiten definir y regular de forma automática los procedimientos. Son las denominadas Governance, Risk Management and Compliance (GRC).

Si bien las herramientas GRC no han sido diseñadas originalmente para cumplir con la reglamentación GDPR, sirven para que las organizaciones tengan una visión de las principales actividades de todos los procesos de negocio y para asegurar el nivel de cumplimiento de los controles internos. Estas herramientas resultan, por tanto, el repositorio ideal para el control centralizado, que permite alertar en caso de inspecciones, almacenamiento de pruebas, firma de evidencia, creación y delegación de planes de mediación y mantenimiento de una traza de auditoría de los cambios.

Conclusión

La tecnología, una vez más, es una facilitadora para que las organizaciones puedan dar respuesta a las necesidades legislativas y del negocio. Existen herramientas y soluciones que facilitan abordar el gran reto que implica cumplir con la normativa GDPR y acompañar la implantación con un cambio de procedimientos. La solución no es única y es importante conocer las posibilidades existentes, evaluar la cobertura de las mismas, apoyarse en las aplicaciones y herramientas con las que ya cuenta la compañía, adaptándolas a las necesidades y contar con el conocimiento de quienes ya hemos evaluado y analizado estas herramientas, para trazar una línea recta entre el "aquí estamos" y "allí debemos estar".-

¿Quieres saber cómo podemos ayudarte? Déjanos tus datos y en breve nos pondremos en contacto contigo.

¿Hablamos?

Fabio Cerioni

Fabio Cerioni

Fabio Cerioni es CTO y accionista de Techedge España & LATAM. Finalizó Ingenieria Informática cum Laude en 1994. Comienza su carrera en el campo aereospacial definiendo protocolos de comunicación de tierra, colaborando con el JPL y la ESA. En 1999 entra en Realtech Italia incorporándose al equipo de desarrollo. En 2001 se traslada a Realtech España como consultor. En 2004 es nombrado responsable del equipo de desarrollo e integración. En 2011 es nombrado Chief Technical Officer. Actualmente es responsable de la definición interna de producto, la innovación y la coordinación tecnológica en Techedge España & LATAM.

FOLLOW-ME