Lo que debes conocer para asegurar el cumplimiento del GDPR
El CDO tiene como misión principal explotar los datos de la organización para extraer de ellos todo su valor como uno de los principales activos de la organización. Y como responsable de su ciclo de vida, debe asegurar que se dispone de mecanismos para controlar los datos y evitar su pérdida.
Cómo cumplir con el GDPR: Consejos y herramientas
-
Identificar las regulaciones, auditorías y controles por los que se rige la organización.
Aunque estas regulaciones siempre dependen del sector de actividad al que pertenezca, el GDPR será sin duda el reglamento con mayor ámbito de aplicación.
-
Descubrir, buscar y clasificar los datos personales que gestione la organización.
El GDPR establece una serie de datos como sensibles por ser de categorías especiales. En este caso, lo ideal es contar con herramientas que se encarguen de la inspección de esa información gestionada y faciliten esa labor. En este sentido, Office 365 cuenta con una herramienta denominada Content Search que permite localizar sin límite y buscar de forma simultánea determinados contenidos en buzones de correo, documentos almacenados en OneDrive o SharePoint, conversaciones en Skype Empresarial o contenido en Teams y grupos de Office 365.
-
Clasificar la información empleando un esquema ya existente. Como responsables de la estrategia y gestión de datos, el GDPR nos obliga a revisar los procesos actuales con el fin de asegurar la conformidad, definiendo políticas, roles y responsabilidades para el acceso, identificar escenarios y casos de uso. Entre la información a clasificar estarían aquellos datos estrictamente personales, los de uso público, los identificativos, es decir, (DNI, pasaporte nº de seguridad social…), los datos vinculados al departamento de RR HH, los confidenciales y los altamente confidenciales como son los (passwords, código fuente o informes financieros, entre otros).
-
Proteger adecuadamente la información. La mejor manera de hacerlo es aplicando tecnologías DLP (Data Loss Prevention) para identificar, monitorizar y proteger de forma automática la información. Se establecerían tres niveles de protección: sensibilización (con avisos, mostrando políticas, formación…), evitando un posible intercambio con el exterior y evitando el intercambio tanto interno como externo.
-
Monitorizar posibles fugas de datos personales. Tanto en lo referente al uso como a su exportación. Hay que tener en cuenta las posibles justificaciones de los usuarios en determinados escenarios, los horarios en los que tienen lugar esos accesos o transmisiones e identificar los procesos que vulneran las políticas de DLP de la organización.
Conclusión
Para cumplir con el reglamento GDPR adecuadamente, dar unidad a todas estas acciones y poder utilizar las herramientas encargadas de implementar correctamente las políticas y gestión de auditorías lo mejor es contar con un Gestor de Cumplimiento (Compliance Manager) y con un Centro de Control que asigne, rastree y registre las tareas, proporcione un repositorio seguro, donde administrar evidencias relacionadas con las actividades de cumplimiento y genere informes detallados, que documenten dichas actividades realizadas por la organización para proporcionarlas a otras partes interesadas en el cumplimiento.