La próxima entrada en vigor del nuevo reglamento GDPR supone un verdadero reto para las empresas, pues su implantación no es tan sencilla y afectará a varias áreas y niveles de la empresa. Este reglamento impactará a todos los departamentos de la empresa, desde marketing y finanzas hasta los de Auditoría, IT, Seguridad, Formación o Recursos Humanos, áreas que jugarán un papel importante en la implementación de GDPR.
Pero la solución no es única y depende del nivel de madurez de cada compañía. Cada una requerirá una combinación de herramientas, directrices, gobierno continuo de los procesos y cambio cultural. Por lo tanto, adecuar la normativa exige ante todo el análisis y la evaluación de la situación actual y una estrategia de cobertura para alcanzar el objetivo GDPR.
Los expertos de Techedge consideran que dos son los aspectos que resultan cruciales en un proyecto GDPR, donde el aporte de herramientas tecnológicas resulta diferencial:
Scouting y análisis de procesos: es un paso fundamental, dado que permite identificar los datos sensibles y de riesgo afectados por GDPR dentro de las compañías.
Gobierno y reglamentación de los procesos: es el esqueleto principal de cada proyecto GDPR, donde se establecen los mecanismos de control para respetar la normativa.
Scouting y análisis de procesos
Existe una gran complejidad en los sistemas de información de una empresa. ¿Cómo determinar con certeza dónde se encuentran almacenados estos datos sensibles? Es imposible realizar una búsqueda que no resulte sistemática dentro de los sistemas actuales. Por eso, una primera necesidad es contar con herramientas que automaticen el escaneo completo de los datos. Estas soluciones, basadas en técnicas de minería de datos y reglas “matching”, permiten revisar los repositorios de datos estructurados y no estructurados para identificar, clasificar, catalogar y, así, detectar de forma eficiente dónde se encuentran.
Estas soluciones requieren configuración y adaptación a través de las fases de proyecto para que las reglas de ‘matching’ y calidad del dato sean cada vez más optimas y así reducir los falsos positivos. Una vez analizado este punto, es posible avanzar en la minería de procesos para extraer los flujos de datos dentro de la organización e identificar el tratamiento que se hace del dato, desde dónde y quiénes acceden a él. El resultado de esta fase permite tener documentados los procesos que involucran a los datos afectados, hecho fundamental para definir las políticas de gestión. Estas soluciones pueden ser utilizadas una sola vez, pero también es aconsejable, sobre todo dependiendo de la compañía, que este análisis se realice de forma periódica para detectar nuevas entradas y cambios.
Gobierno y reglamentación de los procesos
En palabras de Fabio Cerioni, CTO de Techedge España & LATAM, “analizando en detalle el texto del reglamento de GDPR, casi la mitad de los artículos de la normativa estén relacionados con los procesos de negocio asociados con las políticas de mantenimiento de registros, las responsabilidades de las funciones y entidades. Además, hay que considerar el principio de “rendición de cuentas”, donde las empresas tendrán que demostrar, en caso de ser requerido, y aportando la documentación apropiada, que están cumpliendo con las normas de datos personales. Y en este punto lo complica todo aún más”.
El reglamento requiere para gestionar la política de datos mantener un registro de las actividades de procesamiento, de forma que se debe realizar un gobierno y la trazabilidad completa del dato. Si consideramos todos los factores del GDPR, la complejidad del gobierno puede ser casi exponencial:
- · Número de objetos de negocios involucrados (con fecha de expiración): empleados, clientes, pacientes, proveedores, colaboradores, etc.
- · Número de unidades de negocio dedicadas total o parcialmente a estas actividades.
- · Número de sistemas de software que gestionan el contenido de datos sensibles, históricos y bases de datos.
- · Diferentes categorías de tipología de datos, con sus propias políticas de tratamiento, requisitos de retención, post-procesamiento y responsable del dato.
Por tanto, se requiere documentar todos los indicadores para tener evidencias del cumplimiento de GDPR. Las expectativas de control son significativas y ambiciosas. Y este es realmente el principal objetivo y la primera dificultad que debe resolver, pues implementar GDPR implica tener la capacidad de demostrar de forma fehaciente el cumplimiento de la regulación para evitar multas. Este proceso debe ser continuo y sistemático para el buen gobierno de los datos y de los procedimientos. También existen herramientas de software para este objetivo que permiten definir y regular de forma automática los procedimientos. Son las denominadas Governance, Risk Management and Compliance (GRC).
