Pistas para abordar la implantación de GDPR
- Estrategias
La próxima entrada en vigor del nuevo reglamento supone un verdadero reto para las empresas, pues su implantación no es tan sencilla y afectará a varias áreas de la empresa. Identificar los datos sensibles y de riesgo afectados por GDPR y establecer los mecanismos de control, son dos aspectos cruciales.
En menos de un año, el nuevo reglamento GDPR entrará en vigor y su implementación impactará a todos los departamentos de la empresa, desde marketing y finanzas hasta los de Auditoría, IT, Seguridad, Formación o Recursos Humanos. Pero la solución no es única y depende del nivel de madurez de cada compañía. Cada una requerirá una combinación de herramientas, directrices, gobierno continuo de los procesos y cambio cultural.
Adecuar la normativa exige ante todo el análisis y la evaluación de la situación actual y una estrategia de cobertura para alcanzar el objetivo GDPR. Los expertos de Techedge consideran que dos son los aspectos que resultan cruciales en un proyecto GDPR, donde el aporte de herramientas tecnológicas resulta diferencial:
Scouting y análisis de procesos
Es un paso fundamental, dado que permite identificar los datos sensibles y de riesgo afectados por GDPR dentro de las compañías. Pero, ¿cómo determinar con certeza dónde se encuentran almacenados estos datos sensibles? Una primera necesidad es contar con herramientas que automaticen el escaneo completo de los datos estructurados y no estructurados, para identificar, clasificar, catalogar y, así, detectar de forma eficiente dónde se encuentran.
Estas soluciones requieren configuración y adaptación a través de las fases de proyecto para que las reglas de "matching" y calidad del dato sean cada vez más optimas y así reducir los falsos positivos. El resultado de esta fase permite tener documentados los procesos que involucran a los datos afectados, hecho fundamental para definir las políticas de gestión. Estas soluciones pueden ser utilizadas una sola vez, pero también es aconsejable, sobre todo dependiendo de la compañía, que este análisis se realice de forma periódica para detectar nuevas entradas y cambios.
Gobierno y reglamentación de los procesos
Es el esqueleto principal de cada proyecto GDPR, donde se establecen los mecanismos de control para respetar la normativa. El reglamento requiere para gestionar la política de datos mantener un registro de las actividades de procesamiento, de forma que se debe realizar un gobierno y la trazabilidad completa del dato.
Se requiere documentar todos los indicadores para tener evidencias del cumplimiento de GDPR. Este es realmente el principal objetivo y la primera dificultad que debe resolver, pues implementar GDPR implica tener la capacidad de demostrar de forma fehaciente el cumplimiento de la regulación para evitar multas. Este proceso debe ser continuo y sistemático para el buen gobierno de los datos y de los procedimientos. También existen herramientas de software para este objetivo que permiten definir y regular de forma automática los procedimientos. Son las denominadas Governance, Risk Management and Compliance (GRC).
Si bien las herramientas GRC no han sido diseñadas originalmente para cumplir con la reglamentación GDPR, sirven para que las organizaciones tengan una visión de las principales actividades de todos los procesos de negocio y para asegurar el nivel de cumplimiento de los controles internos. Estas herramientas resultan, por tanto, el repositorio ideal para el control centralizado, que permite alertar en caso de inspecciones, almacenamiento de pruebas, firma de evidencia, creación y delegación de planes de mediación y mantenimiento de una traza de auditoría de los cambios.