Isabel Tristán Security Client Executive at Cognitive Solutions Unit, IBM.
	"El camino hacia GDPR" La protección de los datos es una de las preocupaciones clave de cualquier empresa. La nueva regulación europea GDPR (General Data Protection Regulation) cambia la forma en que las organizaciones gestionan sus políticas, procesos y tecnologías relacionadas con los datos.

GDPR es un nuevo imperativo para gestionar datos a un nivel granular comprendiendo dónde están alojados los datos, cómo fluyen, con quién se comparten, qué tipo de consentimiento se ha dado y cuándo deben ser borrados esos datos para cumplir el derecho de “olvido”. Además, las empresas deben notificar en 72 horas cualquier brecha de seguridad que afecte a datos personales.

Como todos sabemos, GDPR afecta a todo tipo de organizaciones, en cualquier lugar, que estén haciendo negocios con alguna de las personas de la Unión Europea. E incluso muchos de los requerimientos regulatorios pueden extenderse a individuos de países vecinos del área económica europea.

Un marco modelo para el cumplimiento regulatorio

La regulación especifica claramente lo que hay que hacer, pero no dice cómo hacerlo. Desde IBM consideramos que no es necesario complicar los procesos y hemos definido un sencillo marco de referencia de actuación que guíe el camino de adopción de GDPR. Este marco muestra que cada organización tiene sus propias necesidades, que no todas parten de la misma situación y, por lo tanto, pueden saltar a la fase que sea más apropiada para ellas. Si miramos las cinco fases que desde IBM hemos definido, es fácil ver cómo encajan todas las piezas.

En la primera fase es necesario evaluar la situación de la organización: ver qué datos de los que se recogen y almacenan cumplen con la regulación GDPR. Crear un mapa de los riesgos potenciales y retos de cumplimiento regulatorio es vital en este punto.

Con el conocimiento de qué tipo de datos recopila su organización y en qué parte de su infraestructura se almacenan, es hora de diseñar adecuadamente los protocolos para definir quién debe tener acceso a qué datos en esta segunda fase. Las organizaciones deben diseñar medidas técnicas y organizativas (TOM- Technical and Organizational Measures).

Una parte fundamental de la preparación para GDPR es la transformación de la forma en que la infraestructura de la organización maneja los datos personales. Esto incluye acelerar todos los procesos de conocimiento de datos personales y aumentar la automatización de las solicitudes de acceso a los datos, al tiempo que se garantiza que los empleados que manejan los datos estén capacitados y comprendan las políticas asociadas con datos específicos. Aquí es donde se necesita desarrollar un programa sostenible de cumplimiento de privacidad, implementar controles de seguridad y gobierno.

Para el momento en que se pase a la cuarta fase, ya se está en condiciones de ejecutar el programa. Se inspeccionan los datos, monitorizando el acceso a los datos personales, probando la seguridad y utilizando los principios de privacidad y seguridad por diseño. Esto incluye identificar las deficiencias de los datos, proteger los datos almacenados y establecer las operaciones adecuadas para poder responder en caso de un incidente de seguridad.

La capacidad de documentar la conformidad con las normas GDPR será crucial para demostrar que la organización cumple con los requerimientos de GDPR. Con acceso a informes adecuados, la empresa debería poder rastrear e identificar quién accedió a los datos personales, desde dónde accedieron, cuándo se accedió a ellos y cómo.

Sí, GDPR requiere hacer cambios. Y algunos de esos cambios pueden ser bastante complicados. Pero con una comprensión clara de lo que debe hacer y un plan para hacerlo, se puede.

Nota: Los clientes son responsables de asegurar su propio cumplimiento de las distintas leyes y regulaciones, incluyendo GDPR. IBM no brinda asesoramiento legal y no representa ni garantiza que sus productos o servicios garanticen que los clientes cumplan con cualquier ley o regulación. Más información sobre el proceso de preparación de GDPR de IBM y nuestras capacidades y ofertas de GDPR para respaldar el proceso de cumplimiento aquí: www.ibm.com/gdpr