Gracias a la implantación del proceso de gestión de riesgos se está reforzando la seguridad de la información
Hace poco más de un mes que entró en vigor la aplicación del Reglamento General de Protección de Datos (GDPR en inglés) y las empresas han evolucionado desde lo que supone el desconcierto inicial sobre la norma hasta la concienciación en la protección de los datos de los usuarios.
Según nuestra experiencia, trabajando día a día con empresas de los sectores alimentario, sanitario, industrial y de servicios tecnológicos en la implantación de la GDPR, aún existe cierto desconocimiento, sobre todo, en las labores diarias y en los cambios internos en el seno de la compañía.
Tratamiento y conservación de datos
En este sentido, el reglamento exige a las empresas que gestionen cómo van a tratar los datos y el tiempo de conservación de estos. Para definirlo existen dos vías: a partir de una normativa donde se reflejan estos tiempos o por decisión interna de la compañía. Por ejemplo, la videovigilancia cuenta con la Instrucción 1/2006 que establece que, como máximo, se puede almacenar 30 días; por otra parte, el tiempo de conservación de los datos de un Curriculum Vitae no se halla en ninguna norma, por lo que la AEPD aconseja que se eliminen en un año. Esto ha desconcertado a las empresas, ya que no solo hay que definir el plazo, sino también cumplir con ello.
No obstante, la entrada en vigor de la GDPR ha generado mucha concienciación en torno a la privacidad de los usuarios y a la forma adecuada de la gestión de los datos. Una de las novedades del reglamento ha sido la implantación del proceso de gestión de riesgos. Antes, con la LOPD, no se analizaban los riesgos. Ahora, las medidas se implantan en función de los riesgos que existen en los tratamientos de datos de carácter personal de la empresa: hay que analizarlos y esto ayuda a las empresas a saber en qué estado se encuentran.
Gracias a esta gestión de los riesgos, hay medidas de seguridad que antes no existían, por lo que se está reforzando la seguridad de la información. Así pues, se pondrían las debidas sanciones cuando una compañía no haya tomado las medidas para que, por ejemplo, no tuviera lugar una fuga de información de carácter personal. Los riesgos siempre van a existir, por eso la AEPD ante un incidente de seguridad, comprobará si se han tomado medidas para que eso no sucediera.
La concienciación también ha llegado al nivel de la dirección de las compañías, ya que los datos se están protegiendo de manera más exhaustiva, entendiendo que estos se han ofrecido para contratar un servicio o por un interés concreto y no pertenecen a la empresa. Además, también se han concienciado desde el punto de vista del marketing, pues se está respetando la privacidad de los usuarios sin enviar publicidad de forma discriminada y solicitando el consentimiento.
