Subscríbase al boletin de noticias de OpenKM para estar informado

Reglamento General de Protección de Datos de la UE - GDPR

Escrito por Ana Canteli en enero 05, 2018

El 25 de mayo de 2018 será una fecha para recordar para empresas y organizaciones de todo tipo (radicadas en la Unión Europea o no), que controlen o procesen datos de ciudadanos de la U.E.

Ese día entrará en vigor el Nuevo Reglamento General de Protección de Datos de la Unión Europea , más conocido como GDPR por sus siglas en inglés - General Data Protection Regulation -.

Si en 2016 el mercado de intercambio de bienes ascendió a 362 mil millones de €¹; y el de servicios a casi 226 mil millones, sólo para el bloque UE-EE.UU; podemos hacernos una idea del impacto económico, social y real, que esta disposición legal va a tener para las regiones económicas más desarrolladas del mundo.

Y es que esta directiva de la Unión Europea, que tiene como objetivo garantizar la seguridad de los datos, es aplicable no sólo en territorio de la unión; si no que sus garantías protegen el tratamiento de datos de personas físicas y por tanto, ciudadanos de cualquier estado miembro de la Unión. Con independencia del país en el que esté radicada la empresa que posee dichos datos.

Con el fin de garantizar la seguridad de los datos, se han hecho efectivas un conjunto de medidas de protección de datos personales; cuyo reglamento general de protección de datos contempla multas de hasta 20 millones de €, o el 4% del volumen total de ventas de la organización. En pocas palabras; el incumplimiento o la violación de ésta regulación, puede sacar del mercado hasta a las empresas más grandes y mejor establecidas del sector.

Por lo tanto, las primeras preguntas que nos asaltan ante este nuevo escenario son: ¿Estoy afectado por el cumplimiento del nuevo reglamento? Y ¿Qué he de hacer para cumplirlo?

En los próximos meses apreciarán un incremento de informaciones relativas a softwares que publicitarán el cumplimiento del reglamento general de protección de datos. Ante estas afirmaciones, hay que ser prudentes y realistas.

Por sí sólo, ningún software, aplicación o herramienta informática, tales como sistemas de gestión documental, sistemas de gestión de contenidos empresariales o sistemas de gestión de registros entre otros; va a hacer que nuestra empresa cumpla con los requisitos de control, procesamiento, tratamiento o protección de datos personales, tal como requiere el marco jurídico de la Unión. Si bien es cierto, que van a ser una ayuda necesaria e indispensable para su cumplimiento.

Es decir, aunque en la mayoría de los casos, la simple instalación de la aplicación puede ofrecer directamente una cobertura completa para que la organización cumpla con los requisitos del GDPR; en otros será no sólo necesario algún tipo de personalización, si no también será ineludible establecer códigos de conducta dentro de la organización.

Podemos identificar a grandes rasgos 2 casos diferenciados en este sentido. Por ejemplo, organizaciones del sector turístico tales como hoteles; donde la aplicación de la directiva europea en la mayor parte de los casos, tendrá una implementación sencilla, en comparación con organizaciones del sector sanitario - tales como hospitales, donde la implementación va a resultar más compleja -.

Esta nueva normativa que entrará en vigor; pretende realizar una evaluación del impacto y dar respuesta a las nuevas amenazas, que la era digital vierte sobre la seguridad y la privacidad de las personas.

Históricamente para la Unión Europea, el derecho a la privacidad es un principio inmutable y especialmente protegido. La privacidad es considerada un derecho fundamental de los seres humanos ( artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea )
Mientras que en otros países como los Estados Unidos; la normativa vigente y el concepto de privacidad es diferente ,en función del sector empresarial, o la sensibilidad, o valor comercial que se dé a la información protegida.

Dependiendo del país, sector de actividad, usos y costumbres; la irrupción de esta nueva normativa puede suponer un gran cambio en la forma de gestionar datos de personas físicas, y llevar a cabo el tratamiento de los mismos.

¿Qué son datos personales en la GDPR? Conceptos básicos

La definición de concepto de datos personales es más amplia que en el marco legal anterior; ya que incorpora toda aquella información susceptible de permitir la identificación personal. Se considera dato de carácter personal “cualquier información relacionada con una persona física que pueda ser usada para identificar directa o indirectamente a la persona. Puede ser cualquier cosa: una dirección IP, una foto, un vídeo, un nombre, un e-mail, datos bancarios, publicaciones en redes sociales, información sanitaria, etc.”
El GDPR estipula también qué organizaciones están sujetas a la normativa “se aplicará el tratamiento de datos personales por controladores y procesadores en la UE, independientemente de si el procesamiento se lleva a cabo en la UE o no.”

Un controlador es la entidad que determina los propósitos, condiciones y medios del tratamiento de datos personales. Mientras que el procesador es una entidad que procesa datos personales en nombre del controlador.

Esto significa que el almacenamiento en la nube, la tecnología big data o aplicaciones de análisis predictivo; deben cumplir también la normativa.

También; “se aplicará al tratamiento de datos personales de personas residentes en la UE realizado por un controlador o procesador no establecido en la UE, cuando las actividades se refieran a ofrecer bienes y servicios a los ciudadanos de la UE (independientemente de si se exige el pago por ello) y el seguimiento del comportamiento que se lleve a cabo dentro de la UE. Las empresas no pertenecientes a la UE que procesen los datos de los ciudadanos de la UE, también tendrán que designar un representante en la UE.”

Novedades del Reglamento General de Protección de Datos

• Consentimiento claro, conciso y afirmativo: incluir ventanas emergentes con la opción “Acepto” ya seleccionada, o extractos incluidos en políticas de privacidad, ya no será suficiente para cumplir la nueva normativa. Este estándar más desarrollado afecta por ejemplo, al almacenamiento de cookies diseñadas para identificar el dispositivo o a la persona a través de la web.
• La figura del Responsable de Protección de datos o Encargado del Tratamiento de datos, es obligatoria: cualquier organización que realice tratamiento de datos que “impliquen un control periódico y sistemático de los datos a gran escala o cuando la entidad realice un tratamiento a gran escala de “categorías especiales de datos personales” deberá designar agentes responsables de protección de datos".
• Gobernabilidad de la información: la organización debe establecer quién debe autorizar los accesos a datos personales ubicados en los sistemas o aplicaciones de la empresa; quién debe acceder a los datos y limitar el permiso de acceso.
• Controles regulares: se requerirán auditorías y revisiones de forma habitual, para asegurar el cumplimiento del nuevo reglamento en materia de seguridad.
• Ubicación y traslado de datos: el usuario debe ser informado de que sus datos están siendo almacenados en la UE y de si son transferidos a otros países no seguros.
• Responsabilidad legal compartida: tanto los procesadores de datos, como los controladores, comparten la obligación y responsabilidad legal directa en caso de violación de datos.
• Derecho de acceso a tus datos personales: el usuario tiene derecho a saber si sus datos personales están siendo tratados, dónde y con qué objetivo. El responsable deberá proveer de forma totalmente gratuita, una copia de los datos personales en formato digital.
• Respeto y aplicación global del principio de privacidad: la privacidad se debe tener en cuenta desde el inicio conceptual del producto o servicio que la empresa quiere ofrecer, pasando por todas y cada de una de las fases y elementos que forman parte del resultado final.
• Derecho al olvido: en el nuevo reglamento europeo las personas tienen derecho a que la entidad responsable del tratamiento de sus datos personales, los borren, dejen de difundirlos y eviten que terceros prosigan con el procesamiento de los mismo. Hay que tener en cuenta que los controladores pueden acogerse al “interés público en la disponibilidad de los datos”, a la hora de tramitar estas solicitudes.
• Evaluación de la protección de datos: las empresas deben evaluar la eficacia de la política de privacidad de datos con la que cumplen el reglamento, sobre todo en casos en los que el riesgo de violación sea alto; para minimizar el impacto y resolver esas brechas de seguridad.
• Notificación de la violación de datos: en cuanto a políticas de seguridad, si se detecta una violación de datos personales, la organización debe notificarla a la autoridad de protección de datos en 72 horas como máximo; a no ser que existan causas excepcionales que justifiquen la demora.

En el ámbito de la sociedad de la información se ha demostrado que el tiempo de respuesta ante estos hechos es crítico. En los últimos años, hemos sido testigos de grandes robos de datos personales de usuarios; afectando a millones de usuarios en grandes compañías como DropBox, LinkedIn o Yahoo; con el problema añadido que ha supuesto en algunos casos la comunicación tardía de estos hechos.

Cómo OpenKM puede contribuir al cumplimiento del nuevo reglamento

Como habíamos comentado anteriomente un sistema de facto, difícilmente puede cubrir todos los casos que se dan en la empresa. En algunos casos será posible una aplicación directa, pero en otros será necesario realizar parametrizaciones, o simplemente establecer códigos de conducta dentro de la organización.

En este aspecto el sistema de gestión documental de OpenKM es lo suficientemente versátil, parametrizable y adaptable; de modo que ofrece las políticas de seguridad adecuadas para permitir que organizaciones de diferentes sectores, puedan utilizar el software para gestionar los documentos e información de la entidad. De forma que cumplan los requisitos de la normativa del Nuevo Reglamento General de Protección de Datos de la Unión Europea.

Por ejemplo, dependiendo del sector de actividad, la gestión de los metadatos debe realizarse bajo encriptación; circunstancia que a su vez puede ser objeto de diferentes niveles de seguridad. En otros escenarios, puede que la empresa no tenga que encriptar los metadatos, pero que sí deba hacerlo con los ficheros físicos.

La disyuntiva se produce no sólo en relación al acceso a la información; si no en hacer posible la gestión de la información, de forma que los administradores de sistemas - por ejemplo en ámbitos de acceso restringido a la información, como ocurre en el sector sanitario-, puedan desarrollar su labor; asegurando que ni siquiera los administradores pueden acceder a datos de determinada naturaleza. Que las comunicaciones entre el ordenador del usuario y la aplicación, estén encriptadas por SSL, etc.

Además, el sistema de gestión de contenidos empresariales que se incorpore a la suite de programas de la empresa; debe ser capaz de integrarse con el resto de aplicaciones. En este sentido OpenKM ofrece SDK’s para JAVA, PHP y .NET, que permiten la integración del software de forma que la empresa puede gestionar el conocimiento acumulado en ella. Teniendo en cuenta aspectos como el tipo de datos que alberga cada una de las aplicaciones, qué nivel de acceso es necesario definir. ¿Es necesario encriptar los datos? ¿A nivel de base de datos? ¿De sistema operativo? …

Implementación del Reglamento General de Protección de Datos de la Unión Europea en la empresa: Buenas prácticas.

En el ámbito de aplicación del nuevo reglamento, sería conveniente aplicar una serie de buenas prácticas:

• Control de accesos fallidos al sistema de gestión documental.
• Conexión entre el navegador y la aplicación realizada por medio de SSL, asegurando la transmisión de datos.
• Realizar una auditoría completa sobre todas las acciones realizadas por el usuario; desde que se accede al sistema hasta que cierra sesión. Permite la trazabilidad tanto de la actividad del usuario como del ciclo de vida del documento. Desde que sea crea, pasando por las diferentes etapas - OpenKM desde la pestaña "Historial" permite acceder a las versiones de un mismo archivo y además, permite compararlas para ver las diferencias entre ellas-, cuántos usuarios han intervenido en él, qué han hecho, etc.
• Aplicación de la seguridad a nivel granular. Con OpenKM podemos hacer que los usuarios accedan al gestor documental adaptado a su medida; de forma que accedan a las áreas de trabajo que necesitan y dentro de ellas, a las funcionalidades que utilizan. A nivel de nodo ( carpeta, registro, correo electrónico, documento ), también podemos gestionar la seguridad de forma independiente. Los usuarios, tanto a nivel grupal como a nivel individual, pueden ejecutar o no, determinados privilegios – privilegio de lectura, de escritura, de borrado, de descarga…- en función de los privilegios a los que tengan acceso. El conjunto de metadatos asignado a cada documento, puede ser visible en su totalidad o no, dependiendo de quién accede al archivo. Incluso es posible, que dentro del grupo de metadatos, unos campos sean accesibles y otros estén encriptados.

De todas formas, un elemento indispensable y sin el cual no se podría aspirar a aplicar ninguna normativa o ley; es el modelo de arquitectura de la información de la empresa. Cuanto más robusto sea el modelo, más desarrollados serán los controles que sostienen los sistemas y por tanto, más fácil será incorporar y cumplir en el largo plazo la GDPR.