El 25 de Mayo de 2018, entra en vigor el Reglamento (firmado en Abril de 2016) General de Protección de Datos (RGDP) o en ingles (GDPR) General Data Protección Regulation.
Este reglamento de la Unión Europea, tiene el fin de protegernos aún más de nuestra privacidad e información a los usuarios, y esta vez se lo han tomado en serio, para que las grandes empresas no se lo tomen con humor, como paso con la LOPD Española, con multas de hasta 600.000€, que las grandes compañias las pagaban con bastante facilidad para seguir “mercadeando” con nuestros datos.
Ahora esta bien claro:
Todas las empresas que trabajan en la UE, nacionales y extranjeras, que tengan información de ciudadanos de la UE, deben cumplir la nueva Directiva de protección de datos de la UE antes del 25 de mayo de 2018, si no las empresas pueden hacer frente a multas de hasta 20 millones de euros o el 4% de su volumen de negocios global anual. La regulación GDPR tiene el código (EU) 2016/679.
Estoy convencido, que en el primer o segundo mes de estar en vigor, saldrá alguna multa “ejemplar” y “pactada” con alguna multinacional para que se tome la GDPR más en serio.
Otro aspecto interesante es la creación de un nuevo ROL en las empresas el “Data Protection Officer (DPO)” que coordinará la política de protección de datos y que será el enlace con las autoridades. Son algunas de las cosas que ya están abordando o tendrán que abordar las compañías para estar en línea con los exigido por el GDPR.
Ahora viene el plato fuerte, además de las penalizaciones económicas de órdago, el reglamento obliga a las empresas a reportar sus brechas/vulnerabilidades de seguridad en un plazo de tres días (72h) desde que se producen.
Esto significa, que si por ejemplo, uno de nuestros empleados, pierde un pendrive, portátil, etc… Que contenga información de nuestros clientes, curriculum de candiatos, información personal o cualquier tipo de dato o información que identifique a una persona, hay que informarlo. Si no lo haces y se localiza esa información por parte de las autoridades, o por ejemplo sale información en medios de comunicación, te expones a las suculentas penalizaciones económicas, que he hablado anteriormente.
Tranquilos, el Director de IT, si hace bien su trabajo, además de prevenir (lo más importante) la fuga de información. Establécera los mecanismos necesarios para que la información que manejan nuestros empleados\usuarios, este encriptada.
Este pilar vital, hace que el reglamento, nos indique que si en el momento de la brecha/vulnerabilidad o fuga de información, los datos, estaban encriptados, no tenemos la obligación de avisar.
Por lo que evitaremos el mal trago a nivel de imagen de la empresa y confianza de la misma, minimizamos el fallo humano, y nos cercioramos que el acceso a dicha información por terceros malintencionados es más complejo.
El Director de IT, no debe preocuparse solamente de los datos que están en los Equipos sobremesa, portátiles y dispositivos de almacenamiento extraibles.
Debe poner foco en la información que salen de los sevidores y almacenamientos virtuales (CLOUD). Como también no olvidar las herramientas más peligrosas en el mundo empresarial: los dispositivos móviles (Smartphone, Tablet, etc..), los más importantes a proteger.
Que son los más vulnerables ante su pérdida, con lo que conlleva la fuga de informacion más grande; ya que actualmente por necesidades del negocio y productividad se almacena todo tipo de información en estos dispositivos.
Buena aventura nos espera estos 5 meses que nos queda, los cuales habrá que cambiar muchos procesos y formas de tratar la información en las empresas.