La cuenta atrás ha comenzado: quedan dos años y pocos días para la aplicación del Nuevo Reglamento General de Protección de Datos (RDUE 2016/679). Concretamente, éste será aplicable a partir del 25 de mayo de 2018.
Como no nos gustan las prisas y teniendo en cuenta que a este reglamento “le teníamos ganas”, nos hemos puesto manos a la obra, perfilando las primeras aproximaciones del modelo para dar cumplimiento al recién llegado Reglamento.
¿Por dónde empiezo?
El primer paso consistirá en analizar el nuevo Reglamento para identificar el GAP existente entre nuestro modelo de gestión y el requerido por dicho reglamento. Sin embargo, al poco tiempo de iniciar este trabajo nos percataremos de que la foto final es un tanto difusa e imprecisa, podríamos decir que incompleta. Esto es debido a que todavía hay aspectos por concretar, especialmente en lo relativo a las medidas de seguridad que el Responsable del tratamiento deberá aplicar en cada caso. Por lo tanto, sin un destino final claro, complicado nos va a resultar establecer una hoja de ruta.
No obstante, aunque no podemos identificar con precisión las acciones que nos llevarán al cumplimiento estricto del nuevo reglamento, sí podemos iniciar esta andadura con ciertas garantías de que nuestras acciones no van en detrimento de la futura adecuación. Al menos, ésta es la conclusión a la que llego tras contrastar opiniones y puntos de vista con muchos de los profesionales con los que pude compartir la jornada sobre el Nuevo Reglamento Europeo de Protección de Datos que tuvo lugar en el ICAV, la semana pasada. Estamos hablando de expertos del ámbito legislativo / jurídico, del sector de las tecnologías de la información, seguridad, ciberseguridad, e incluso, contamos con representación de las Autoridades de Control.
¿Qué camino seguir?
Ante esta situación, la primera opción que se presenta a las organizaciones es, sencillamente, esperar. Mantener el modelo actual y quedar a la espera de que las Autoridades de Control (Ej. AEPD) concreten los aspectos que están en el aire. Esta posición puede parecer prudente, porque a ninguno nos gusta desechar trabajo, pero sin embargo, no iniciar el proceso de adaptación nos puede llevar a tener que hacer una transición brusca en el corto-medio plazo. Por otro lado, en el plazo que disponemos hasta la aplicación del reglamento, es muy probable que vayamos a acometer proyectos que guarden relación con los requisitos finales en materia de protección de datos, por lo que no iniciar ahora el proceso de adaptación, puede significar desechar una buena oportunidad para aprovechar las sinergias entre los proyectos previstos y los futuros trabajos de adecuación al nuevo reglamento. Por lo tanto, la segunda opción consiste en iniciar el proceso de adecuación, llevando a cabo acciones en relación a los aspectos que cobran mayor protagonismo, entre los que se encuentra una clara gestión enfocada al riesgo.
Nuevo Reglamento y Modelos de Gestión
Con una visión muy simplista (sabiendo que dejamos fuera otros aspectos significativos), cada organización deberá analizar los riesgos y aplicar los controles y salvaguardas necesarios para llevar dichos riesgos a unos niveles aceptables. Esta mecánica se puede aplicar en las Administraciones Públicas a través del Esquema Nacional de Seguridad. Por otra parte, la norma ISO 27001 puede ser una guía adecuada para aquellas organizaciones del sector privado. De forma similar aunque menos extendida, pueden ser válidos enfoques de gestión del riesgo basados en la norma ISO 31000.
Nuevamente recordamos que el conjunto final de medidas de seguridad a aplicar en cada caso no está definido, pero todo hace pensar que implantar un modelo de gestión basado en referenciales previamente citados será de gran ayuda para dar cumplimiento al Nuevo Reglamento Europeo de Protección de Datos.
Aquellos que estén familiarizados con la gestión de riesgos, les puede resultar interesante revisar el artículo que publicamos referido a la evaluación de impacto.
Por si no fuera suficiente, el nuevo Reglamento incluye como parte de sus novedades, mención a las certificaciones. Esto incrementaría más si aún cabe el interés en la implantación (y certificación) de SGSI, etc. Pero respecto a esta cuestión únicamente hay rumores. Aspectos como el reconocimiento de certificaciones SGSI están en la mesa del Grupo de Trabajo 29/2016 por lo que todavía no podemos anticipar nada en concreto.
Seguridad de la información, gestión de riesgo y protección de datos de carácter personal convergen, como no podría ser de otro modo, a un modelo de gestión común y, aunque estemos a la espera de conocer algunos detalles sobre los requisitos finales que deberemos cumplir, apostar por los modelos de gestión en materia de seguridad parece la mejor de las opciones.
Empezamos a recorrer el camino hacia la adaptación al RGPD y esperamos contar con vuestra compañía.
Un saludo.
[Sobre Samuel Segarra]