EntrevistasSeguridad

"La prioridad de GDPR debe ser velar por proteger los derechos de los afectados"

Noemí Baz, Data Privacy Manager de Sopra Steria España, aborda algunas de las preocupaciones derivadas de la introducción de esta normativa.

-¿Quiénes son los principales afectados por la entrada de la nueva normativa?

N. B.: En general, cualquier entidad pública o privada que trate datos de carácter personal se verá afectada en mayor o medida, modulada la afectación por el tipo de datos que trate, las operativas de esos tratamientos y, evidentemente, el volumen de datos. Pero si hablamos de afectados, quizá las empresas de telecomunicaciones, de márquetin directo e indirecto y aquellas que representan a redes sociales (RSS) y buscadores, sean las que más van a notar el cambio en cuanto a que el consentimiento de los titulares de los datos, la información que debe de proporcionárseles y los derechos que les asisten, han salido muy fortalecidos en el texto final de esta norma. Por otro lado, existen también los principales “beneficiados”, que somos todos, los ciudadanos de a pie.

-Hay estimaciones que indican que el 90% de las empresas españolas no va a ser capaz de cumplir con RGDP en tiempo?

N. B.: Es cierto que existe un retraso en la adaptación de gran parte de los requisitos exigidos por esta normativa porque para las compañías que manejan un gran volumen de datos el impacto que el cumplimiento de los requisitos tiene en los procesos internos y a nivel tecnológico es brutal. Gran parte de las compañías han puesto en marcha proyectos de carácter transversal para cumplir con los requisitos, pero se trata de cambios profundos en las organizaciones a medio y largo plazo.

Noemí Baz, Data Privacy Manager de Sopra Steria España
Noemí Baz, Data Privacy Manager de Sopra Steria España

-¿Tienen las empresas razones para estar preocupadas por la introducción de esta normativa?

N. B.: Deberían estar más ocupadas que preocupadas. Entiendo la preocupación por dos elementos: la complejidad de la ejecución de determinadas acciones, como los análisis de riesgos o las evaluaciones de impacto a la privacidad y la implantación de medidas de seguridad técnicas y organizativas que pueden venir, en muchos casos, a modificar procesos transversales de la organización, conjuntamente con el impacto en la gestión tecnológica para el cumplimiento de algunos requisitos y las sanciones previstas. Pero si se ponen en marcha todos los mecanismos que prevé la normativa de una manera eficaz y consciente, si la protección de datos de carácter personal y la seguridad de la información empapan a las organizaciones como parte de la cultura, será un cambio de paradigma muy beneficioso para todos.

-¿Quien tiene más dificultades para cumplir, las grandes o las pymes?

N. B.: Creo que a pesar de disponer de más recursos, económicos y humanos, las grandes organizaciones son las que tienen más dificultades para cumplimiento efectivo de los requisitos por el volumen de datos que se tratan diariamente, la multiplicidad de entornos de tratamiento, distintas tecnologías, el volumen de afectados, …. No sólo cumplir y poner en marcha los requisitos, sino también mantenerlos. En el caso de las pymes, en un primer momento les puede parecer más costoso, pero salvo aquellas que su negocio sea el márquetin directo o indirecto, las vinculadas a RSS (en cualquiera de sus facetas) o que traten datos sensibles, el perímetro y el volumen facilitarán la ejecución y el mantenimiento. Las administraciones públicas son también uno de los sectores que mayor impacto van a recibir y las que van a tener que luchar más para cumplir de forma efectiva.

-¿Cree que las empresas van a necesitar ayuda externa para poder cumplir con la normativa?

N. B.: Sin duda. No conozco, hasta el momento, ninguna entidad pública o privada que esté realizando este proceso de forma total y absolutamente independiente. Todas las entidades, en mayor o menor medida, han solicitado soporte externo de profesionales especializados en compliance IT y seguridad para poder gestionar con éxito este gran proyecto. Externalizar todo o parte del proyecto de adecuación a esta normativa, abarata francamente los costes de su implantación, entendidos estos como tiempo y dinero, que con recursos propios puede acabar desbordando muchas veces las capacidades internas.

-¿Cuáles deben ser las prioridades de inversión de las empresas que tiene que cumplir con la normativa?

N. B.: La prioridad debe ser velar por la protección de los derechos de los afectados: ya sea a través de la gestión del consentimiento, de la tutela efectiva de los derechos o de la implantación efectiva de procesos y medios tecnológicos que aseguren la privacidad de los datos de todos nosotros.

Computing 786