Todos damos por hecho lo que es el sentido común. Somos conscientes de su existencia. Somos testigos de su funcionamiento. Y somos el escenario de su puesta en marcha. Hablamos de los conocimientos y las creencias compartidas por la comunidad, aquellos que consideramos “prudentes, lógicos o válidos”. Pero ¿cómo se comporta cuando se trata de afrontar un cambio? El más reciente que se me ocurre es la renovación y aplicación del Reglamento General de Protección de Datos (RGPD), una acción que trae consigo la toma de conciencia y la puesta en marcha de sistemas capaces de otorgar la seguridad que las empresas necesitan.
Así que, no esperamos más. Hemos pensado, hemos reflexionado y hemos recogido los dictámenes que el sentido común emite de cara al cumplimiento del RGPD.
Lo que el sentido común dicta en el cumplimiento del RGPD
Durante los últimos dos años, las empresas, en general, y los despachos de abogados, en particular, se han preguntado cómo podían adaptar sus actividades a la normativa vigente. Desde su entrada en vigor en 2016, se convirtió en un objetivo fundamental de sus responsables de tratamiento y cumplimiento. Ahora, ya no hay prórrogas que abran el proceso de adaptación.
Probablemente hayas cumplido con tu obligación, pero si no lo has hecho, es necesario que actúes cuanto antes. No lo decimos nosotros, lo dice el sentido común. Todo lo que les vamos a contar, ya es una realidad:
- Desaparición de los ficheros. Lo que necesitas ahora es un registro del tratamiento que sustituye al registro de ficheros al que estábamos acostumbrados. Integrará las medidas de seguridad que integraba el documento. El RGPD “suprime la necesidad de crear formalmente los ficheros y notificarlos al Registro de protección de datos de las autoridades de control”.
- Mayor transparencia informativa. Nuestro sentido común está adquiriendo el conocimiento sobre una mayor transparencia, lo que se consigue gracias a los nuevos mecanismos para recabar y acreditar el consentimiento expreso. Los despachos de abogados deben estar preparados para poder ofrecer la información a las personas que solicitan conocer el origen de los datos, por lo que se han implantado herramientas tecnológicas que ayudan a atender a los derechos mencionados.
- Nuevos derechos. Hablamos de portabilidad, limitación y olvido, que no estaban integrados hasta el momento. El olvido se incluye vinculado al derecho de supresión, limitación y portabilidad, y es que “los interesados tienen derecho a obtener la supresión de los datos cuando estos ya nos sean necesarios para la finalidad para la que fueron recogidos”, entre otras cosas.
- Adiós a las medidas de seguridad estándar. Serán establecidas en función del riesgo detectado. El RGPD no establece un listado de medidas que puedan aplicarse de acuerdo con un tipo de datos u otro, sino que “establece que el responsable y el encargado del tratamiento apliquen medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento”. ¿Qué implica esto? Precisamente, la evaluación de los riesgos.
- Multas cuantiosas. Todos hemos empezado a ser conscientes de las consecuencias que puede acarrear una nula o mala protección de los datos. Tanto es así que el propio Reglamento establece multas administrativas que alcanzan entre los 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.
- Seudonimización de la información. Podemos considerar este término como un equivalente a la encriptación. Los datos encriptados son exentos de auditorías, por lo que una vez que quedan protegidos, pueden seguir usando los procesos actuales de almacenamiento y tránsito. ¿Qué queremos decir con esto? Que pueden seguir en nubes públicas o cualquier sistema de almacenamiento, además de poder compartir los datos a través de cualquier medio. Si tuvieran una pérdida de datos, se podrían recuperar desastres de manera ágil gracias a las funcionalidades del IRM y quedarían exentos de notificar el suceso a toda su base de datos.
Nuestro sentido común nos dice que hay que estar preparados. ¡Vamos a protegernos!
¿Cómo están viviendo las empresas los primeros meses de aplicación del RGPD?
Hace apenas unos meses, nos encontrábamos con titulares del tipo: “Al 67% de las empresas les preocupa no lograr la plena adecuación al RGPD”. Han pasado unas semanas, y el Reglamento ya se ha aplicado. ¿Cómo lo están afrontando las empresas? Para empezar, las compañías han enviado correos avisando a los usuarios del cambio en la normativa, lo que conlleva la aceptación de nuevos términos de uso y condiciones.
Desde que comenzó a aplicarse el RGPD, los titulares de internet han pasado de hablar sobre ‘Cumplimiento del RGPD’ a ‘Envío de SMS y correos electrónicos aumentan un 500%”. Sin embargo, no importa tanto la cantidad como la causa, y es que las empresas están tratando de invertir más de cinco millones de euros en las validaciones para poder cumplir con el nuevo RGPD europeo. Ese es ahora su objetivo prioritario.
¿Una conclusión?
Estamos viviendo un proceso de cambio y, como era de esperar, las empresas están haciendo eco de su comportamiento. Millones de mensajes circulan en busca de validaciones, miles de compañías implantan soluciones tecnológicas capaces de garantizar la seguridad de la información, pero solo las más valientes han integrado todos los dictámenes que el sentido común nos dicta de cara al RGPD. Ya no se preguntan qué necesitarán, si sus datos estarán más seguros, qué formación deben tener, si están obligadas a proteger sus datos… ¿Sabéis por qué?
Porque la respuesta se encuentra en la adaptación. Son los efectos de la seguridad.