Escrito por Ana Canteli en enero 05, 2018
El 25 de mayo de 2018 será una fecha para recordar para empresas y organizaciones de todo tipo (radicadas en la Unión Europea o no), que controlen o procesen datos de ciudadanos de la U.E.
Ese día entrará en vigor el Nuevo Reglamento General de Protección de Datos de la Unión Europea , más conocido como GDPR por sus siglas en inglés - General Data Protection Regulation -.
Si en 2016 el mercado de intercambio de bienes ascendió a 362 mil millones de €1; y el de servicios a casi 226 mil millones, sólo para el bloque UE-EE.UU; podemos hacernos una idea del impacto económico, social y real, que esta disposición legal va a tener para las regiones económicas más desarrolladas del mundo.
Y es que esta directiva de la Unión Europea, que tiene como objetivo garantizar la seguridad de los datos, es aplicable no sólo en territorio de la unión; si no que sus garantías protegen el tratamiento de datos de personas físicas y por tanto, ciudadanos de cualquier estado miembro de la Unión. Con independencia del país en el que esté radicada la empresa que posee dichos datos.
Con el fin de garantizar la seguridad de los datos, se han hecho efectivas un conjunto de medidas de protección de datos personales; cuyo reglamento general de protección de datos contempla multas de hasta 20 millones de €, o el 4% del volumen total de ventas de la organización. En pocas palabras; el incumplimiento o la violación de ésta regulación, puede sacar del mercado hasta a las empresas más grandes y mejor establecidas del sector.
Por lo tanto, las primeras preguntas que nos asaltan ante este nuevo escenario son: ¿Estoy afectado por el cumplimiento del nuevo reglamento? Y ¿Qué he de hacer para cumplirlo?
En los próximos meses apreciarán un incremento de informaciones relativas a softwares que publicitarán el cumplimiento del reglamento general de protección de datos. Ante estas afirmaciones, hay que ser prudentes y realistas.
Por sí sólo, ningún software, aplicación o herramienta informática, tales como sistemas de gestión documental, sistemas de gestión de contenidos empresariales o sistemas de gestión de registros entre otros; va a hacer que nuestra empresa cumpla con los requisitos de control, procesamiento, tratamiento o protección de datos personales, tal como requiere el marco jurídico de la Unión. Si bien es cierto, que van a ser una ayuda necesaria e indispensable para su cumplimiento.
Es decir, aunque en la mayoría de los casos, la simple instalación de la aplicación puede ofrecer directamente una cobertura completa para que la organización cumpla con los requisitos del GDPR; en otros será no sólo necesario algún tipo de personalización, si no también será ineludible establecer códigos de conducta dentro de la organización.
Podemos identificar a grandes rasgos 2 casos diferenciados en este sentido. Por ejemplo, organizaciones del sector turístico tales como hoteles; donde la aplicación de la directiva europea en la mayor parte de los casos, tendrá una implementación sencilla, en comparación con organizaciones del sector sanitario - tales como hospitales, donde la implementación va a resultar más compleja -.
Esta nueva normativa que entrará en vigor; pretende realizar una evaluación del impacto y dar respuesta a las nuevas amenazas, que la era digital vierte sobre la seguridad y la privacidad de las personas.
Históricamente para la Unión Europea, el derecho a la privacidad es un principio inmutable y especialmente protegido. La privacidad es considerada un derecho fundamental de los seres humanos ( artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea )
Mientras que en otros países como los Estados Unidos; la normativa vigente y el concepto de privacidad es diferente ,en función del sector empresarial, o la sensibilidad, o valor comercial que se dé a la información protegida.
Dependiendo del país, sector de actividad, usos y costumbres; la irrupción de esta nueva normativa puede suponer un gran cambio en la forma de gestionar datos de personas físicas, y llevar a cabo el tratamiento de los mismos.
La definición de concepto de datos personales es más amplia que en el marco legal anterior; ya que incorpora toda aquella información susceptible de permitir la identificación personal. Se considera dato de carácter personal “cualquier información relacionada con una persona física que pueda ser usada para identificar directa o indirectamente a la persona. Puede ser cualquier cosa: una dirección IP, una foto, un vídeo, un nombre, un e-mail, datos bancarios, publicaciones en redes sociales, información sanitaria, etc.”
El GDPR estipula también qué organizaciones están sujetas a la normativa “se aplicará el tratamiento de datos personales por controladores y procesadores en la UE, independientemente de si el procesamiento se lleva a cabo en la UE o no.”
Un controlador es la entidad que determina los propósitos, condiciones y medios del tratamiento de datos personales. Mientras que el procesador es una entidad que procesa datos personales en nombre del controlador.
Esto significa que el almacenamiento en la nube, la tecnología big data o aplicaciones de análisis predictivo; deben cumplir también la normativa.
También; “se aplicará al tratamiento de datos personales de personas residentes en la UE realizado por un controlador o procesador no establecido en la UE, cuando las actividades se refieran a ofrecer bienes y servicios a los ciudadanos de la UE (independientemente de si se exige el pago por ello) y el seguimiento del comportamiento que se lleve a cabo dentro de la UE. Las empresas no pertenecientes a la UE que procesen los datos de los ciudadanos de la UE, también tendrán que designar un representante en la UE.”
En el ámbito de la sociedad de la información se ha demostrado que el tiempo de respuesta ante estos hechos es crítico. En los últimos años, hemos sido testigos de grandes robos de datos personales de usuarios; afectando a millones de usuarios en grandes compañías como DropBox, LinkedIn o Yahoo; con el problema añadido que ha supuesto en algunos casos la comunicación tardía de estos hechos.
Como habíamos comentado anteriomente un sistema de facto, difícilmente puede cubrir todos los casos que se dan en la empresa. En algunos casos será posible una aplicación directa, pero en otros será necesario realizar parametrizaciones, o simplemente establecer códigos de conducta dentro de la organización.
En este aspecto el sistema de gestión documental de OpenKM es lo suficientemente versátil, parametrizable y adaptable; de modo que ofrece las políticas de seguridad adecuadas para permitir que organizaciones de diferentes sectores, puedan utilizar el software para gestionar los documentos e información de la entidad. De forma que cumplan los requisitos de la normativa del Nuevo Reglamento General de Protección de Datos de la Unión Europea.
Por ejemplo, dependiendo del sector de actividad, la gestión de los metadatos debe realizarse bajo encriptación; circunstancia que a su vez puede ser objeto de diferentes niveles de seguridad. En otros escenarios, puede que la empresa no tenga que encriptar los metadatos, pero que sí deba hacerlo con los ficheros físicos.
La disyuntiva se produce no sólo en relación al acceso a la información; si no en hacer posible la gestión de la información, de forma que los administradores de sistemas - por ejemplo en ámbitos de acceso restringido a la información, como ocurre en el sector sanitario-, puedan desarrollar su labor; asegurando que ni siquiera los administradores pueden acceder a datos de determinada naturaleza. Que las comunicaciones entre el ordenador del usuario y la aplicación, estén encriptadas por SSL, etc.
Además, el sistema de gestión de contenidos empresariales que se incorpore a la suite de programas de la empresa; debe ser capaz de integrarse con el resto de aplicaciones. En este sentido OpenKM ofrece SDK’s para JAVA, PHP y .NET, que permiten la integración del software de forma que la empresa puede gestionar el conocimiento acumulado en ella. Teniendo en cuenta aspectos como el tipo de datos que alberga cada una de las aplicaciones, qué nivel de acceso es necesario definir. ¿Es necesario encriptar los datos? ¿A nivel de base de datos? ¿De sistema operativo? …
En el ámbito de aplicación del nuevo reglamento, sería conveniente aplicar una serie de buenas prácticas:
De todas formas, un elemento indispensable y sin el cual no se podría aspirar a aplicar ninguna normativa o ley; es el modelo de arquitectura de la información de la empresa. Cuanto más robusto sea el modelo, más desarrollados serán los controles que sostienen los sistemas y por tanto, más fácil será incorporar y cumplir en el largo plazo la GDPR.
Norteamérica: Si necesita comunicarse con nosotros, por favor llame al +1 646 206 6071.
Horario de oficina:
Lunes - Viernes: 08:00 am - 12:00 pm, 14:00 pm - 18:00 pm EST. Ahora son las 02:33 am del Domingo en New York, USA.
Europa España: Si necesita comunicarse con nosotros, por favor llame al +34 605 074 544.
Horario de oficina:
Lunes - Viernes: 09:00 am - 14:00 pm, 16:00 pm - 19:00 pm CET. Ahora son las 08:33 am del Domingo en Palma de Mallorca, Spain.
OpenKM en el mundo: