Ricardo Maté Director general de Sophos Iberia

Han pasado casi dos años desde que el 25 de Mayo de 2016 se hiciese oficial y entrase en vigor el nuevo reglamento general de protección de datos (GDPR) y desde entonces, las empresas han adaptado sus procesos y sistemas para ajustarse a los nuevos requisitos. Independientemente de dónde se encuentre, si una empresa gestiona cualquier dato personal de ciudadanos de cualquiera de los Estados miembro de la Unión Europea, deberá cumplir con la nueva normativa.

Ahora sí, podemos decir que hemos entrado en la recta final. A pocos de días de que se inicie su obligado cumplimiento, son muchas las empresas que aún no están preparadas, ya sea por desconocimiento, por falta de tiempo o recursos. El nuevo reglamento comenzará a aplicarse oficialmente el 25 de mayo, y cualquier empresa que no cumpla con los requisitos después de esa fecha podría verse expuesta a grandes multas, que pueden alcanzar cifras máximas de hasta 20 millones de euros o 4% del volumen de negocio anual de una organización.

La idea detrás del GDPR es la de proteger la privacidad de los ciudadanos de la UE al darles un mayor control sobre cómo se obtienen, gestionan y comparten sus datos personales. La regulación define e impone consecuencias reales para aquellas organizaciones que no administren los datos de forma adecuada. Asimismo, la normativa implica una mayor responsabilidad de las organizaciones a la hora de administrar y proteger la información personal que recopilan de sus usuarios.

Para muchas organizaciones que manejan datos, ya sean grandes empresas o pymes, esto significa un cambio en sus procesos de recopilación y gestión de datos, y un profundo análisis sobre qué tipo de datos están siendo obtenidos y cómo se están asegurando. El GDPR quiere evitar que las empresas recopilen datos de los ciudadanos sin ningún motivo aparente y tan solo recopilen datos de usuarios cuando exista una "base legal" para hacerlo que debe estar documentada y justificada.

La normativa ha conseguido cambiar el equilibrio de poder de los datos, pasando der ser grandes activos de una empresa a potenciales cargas que implican riesgos y grandes responsabilidades. Hasta ahora almacenar la mayor cantidad de datos posible podía suponer una ventaja. A partir de mayo, asegurar de que los datos que ya no son necesarios son eliminados se convertirá en una medida de defensa. Cuanto menos se almacene, menos se tiene que perder y menos expuestos estaremos a los diversos y potenciales riesgos como pueden ser los ciberataques o posibles filtraciones, intencionadas o no, que pueden implicar grandes quebraderos de cabeza para las empresas.

Uno de los objetivo del GDPR es hacer que las organizaciones sean mucho más proactivas en cuanto a la divulgación de posibles filtraciones y violación de la seguridad de los datos. Esta es la razón por la cual GDPR exige que cualquier persona afectada por una violación de datos sea notificada dentro de las 72 horas de la detección de la violación.

Existen medidas que las empresas deben tener cuenta a la hora de definir sus procesos y que le ayudarán a gestionar y proteger los datos. Lo primero de todo, es informar a los empleados. Muchas personas desconocen la existencia de la nueva normativa y mucho menos sus implicaciones. Es importante establecer dentro de la empresa una política de protección de datos que de adapte a las necesidades específicas de la empresa y posteriormente comunicarla a todos los empleados para que puedan ejecutarla de la mejor forma posible y así evitar posibles infracciones, especialmente debidas al desconocimiento.

Otra de las medias con el fin de evitar filtraciones de datos es el cifrado de los mismos. Las empresas tienen que poder afirmar que sus ordenadores, portátiles y otros dispositivos externos son seguros. Contar con sistemas de cifrado de disco completo, como Central Device Encrytion de Sophos,  evitará que la información quede expuesta en caso de pérdida o robo de uno de los dispositivos de la empresa. Asimismo, cada vez más empresas recurren a la nube para almacenar sus datos y se comparten documentos e información a través de plataformas en la nube o email. El sistema SafeGuard Encryrtion permite que el cifrado de los documentos se pueda realizarse de forma automática al subir, descargar o enviar documentos, ya sea por email o desde la nube, y sin interrumpir las tareas diarias de los empleados.

Por otra parte, en cuanto a la recopilación de los datos, las empresas deben mejorar sus procesos de obtención del consentimiento de los usuarios y clientes. Los ciudadanos de la UE debemos ser plenamente conscientes de lo que estamos aceptando cuando una organización o empresa nos solicita datos de carácter personal. En este sentido cabe recordar que uno de los derechos que tenemos los ciudadanos es la posibilidad de solicitar información sobre nuestros datos personales almacenados. En estos casos, las empresas deberán entregarnos un informe por escrito que explique qué datos se guardan y se gestionan, para qué se usan y con quién se han compartido. Los ciudadanos también podemos solicitar que se elimine cualquier dato que se tenga sobre nosotros.

La implementación del GDPR se trata en gran medida de crear y formalizar procesos que ayuden a las empresas a cumplir con los nuevos requisitos que implica la gestión de los datos personales hoy en día. Es recomendable ver el nuevo reglamento como un aliado y comprender que tan solo dicta una serie de buenas prácticas que beneficiarán tanto a los usuarios como a las organizaciones. Si la normativa supone una preocupación para su empresa, es aconsejable comprobar y verificar que sus procesos y sistemas de protección cumplen con el nuevo reglamento para su mayor tranquilidad lo antes posible ya que en tan solo unos días su aplicación será de obligado cumplimiento.