Cómo elaborar políticas, normativas y controles [RGPD, Medida 1]

La gobernanza de datos no es un concepto reciente. Las organizaciones llevan años estructurando, protegiendo y analizando sus datos. Muchos sectores sumamente regulados, como los servicios financieros o las ciencias biológicas, iniciaron sus programas de gobernanza de datos con el fin de dar respuesta a sus exigencias de cumplimiento, por ejemplo para acatar el BCBS 239, Solvency 2 o la ley HIPAA. Con la aprobación del Reglamento General de Protección de Datos (RGPD) y otras normativas sobre confidencialidad de datos de todo el mundo, la mayor parte de las empresas, sean del tamaño y el sector que sean, deben establecer sus mejores prácticas en materia de gobernanza de datos.

Celebramos un webinar llamado Medidas prácticas para cumplir con el RGPD, disponible ahora a petición, sobre 16 medidas prácticas que puede tomar para cumplir con el RGPD.

Watch Practical Steps to GDPR Compliance now.
Watch Now

¿En qué consiste el RGPD?

El RGPD, presentado por la Unión Europea (UE), es de aplicación para el tratamiento de datos de carácter personal de todos los interesados, como clientes actuales y futuros y empleados. Tras un periodo de transición de dos años, entró en vigor el 25 de mayo de 2018.

El RGPD se aplica a interesados de la UE, incluso cuando los datos son tratados por organizaciones que operan en otras jurisdicciones, como los Estados Unidos, Asia-Pacífico, Oriente Medio o África. El incumplimiento del RGPD puede conllevar multas considerables de 20 millones de euros o el 4 % de los ingresos mundiales de la organización, la cantidad que sea más elevada.

El objeto del RGPD consiste en crear mejores políticas de protección de datos y otorgar mayor responsabilidad a las organizaciones que manejan datos personales. Mediante una exhaustiva relación de 99 artículos, el RGPD presenta un conjunto de normas que son de obligado cumplimiento para las organizaciones. Conjuntamente, estos artículos garantizan que las organizaciones manejarán los datos personales de forma sensible, los protegerán, controlarán la calidad de los datos y se asegurarán de que los interesados conozcan el uso que se da a sus datos.

Sin embargo, la transición no es fácil. Los nuevos procesos deben ser sistémicos y beneficiosos, en lugar de puntuales, manuales e intrusivos. Si su organización está sujeta al RGPD, tenemos un plan de 16 medidas exhaustivo y estructurado para asegurar el cumplimiento con el RGPD.

La medida 1 del plan consiste en elaborar las políticas pertinentes que fortalezcan su programa de gobernanza de datos.

Elabore políticas, normativas y controles

Todas las organizaciones deben formular políticas vinculadas de forma directa o indirecta a los artículos del RGPD. Estas abordan distintas disciplinas, como la titularidad, la confidencialidad, el acceso, la protección, la seguridad, la gestión de metadatos y la gestión de la calidad de los datos. He aquí algunas preguntas a las que debemos dar respuesta:

  • ¿Qué son los datos de carácter personal? ¿Dónde se tratan y por qué? ¿De dónde proceden y cuál es su destino?
  • ¿Cómo se controla el consentimiento explícito?
  • ¿Cómo se restringe el tratamiento de datos personales?
  • ¿Quién puede acceder a estos datos y cómo se controla y hace el seguimiento de ese acceso?
  • ¿Cómo se pueden enmascarar o suprimir los datos cuando no se ha captado el consentimiento o su plazo de conservación ha prescrito?
  • ¿Son realmente necesarios estos datos o son opcionales?

A menos que exista un motivo para procesar este tipo de tareas manualmente, el objetivo es automatizar cada una de estas políticas de alguna forma en los sistemas informáticos.

La plataforma de Talend y su paquete de productos ofrecen una forma simplificada de llevarlo a la práctica. A continuación enumeramos algunos controles de muestra del RGPD y las herramientas de Talend correspondientes que facilitan su implantación.

Artículo 6 del RGPD: Licitud del tratamiento

El artículo 6 del RGPD exige que se den las autorizaciones adecuadas por parte de los departamentos de asesoramiento y cumplimiento jurídicos durante la «fase de diseño» de cualquier nuevo proyecto que exija el tratamiento de datos de carácter personal.

Herramientas que contribuyen a lograrlo: Talend Metadata Manager y Talend MDM.

Artículo 7 del RGPD: Condiciones para el consentimiento

El consentimiento se refiere al consentimiento explícito del cliente, que indica su voluntad de compartir su información personal. Este un aspecto crítico del cumplimiento del RGPD y para las organizaciones es esencial aportar pruebas de que se obtuvo el consentimiento. Ahora ya no puede tratarse de un subtexto y debe garantizarse la trazabilidad para indicar cuándo y cómo (teléfono, correo electrónico, etc.) se recibió el consentimiento. Si los clientes otorgan su consentimiento explícito de forma parcial, también debe quedar constancia de ello.

Herramientas que contribuyen a lograrlo: Talend Data Quality, Talend Big Data y Talend Master Data Management (MDM).

Artículo 9 del RGPD: Tratamiento de categorías especiales

Las categorías especiales se refieren a datos de carácter personal como la raza, el origen étnico o las opiniones políticas. El RGPD espera que este tipo de parámetros especiales se identifique como elementos de datos críticos (EDC). Según el artículo 9, los departamentos de asesoramiento y cumplimiento jurídicos deberán autorizar el uso de categorías especiales desde la misma «fase de diseño» de un proyecto.

Herramientas que contribuyen a lograrlo: Talend Metadata Manager y Talend Data Quality.

Artículo 11 del RGPD: Tratamiento que no requiere identificación

Ofrecer anonimato al interesado en forma de enmascaramiento de los datos es un pilar importante de la protección y la seguridad de los datos (artículo 11). Esto garantiza que la información confidencial no corra el riesgo de ser robada. La elaboración de políticas y normativas que dificulten la identificación de un interesado es crítica para salvaguardar el anonimato. Definir unas funciones y responsabilidades claras con unos derechos administrativos adecuados es otro paso hacia la restricción del acceso a datos privados.

Herramientas que contribuyen a lograrlo: Talend Data Quality y Talend Data Preparation

Artículo 30 del RGPD: Registro de las actividades de tratamiento

El artículo 30 del RGPD obliga a llevar un registro de auditoría claro de los datos sensibles en una empresa, incluidas terceras partes. Esto garantiza que exista un linaje de datos con una comprensión exhaustiva de la cronología y la historia del ciclo vital de los datos.

Herramientas que contribuyen a lograrlo: Talend Metadata Manager

Próximas medidas para la elaboración de políticas a efectos del RGPD

El establecimiento de un marco de políticas para la gobernanza de datos garantiza que sus datos críticos estén bajo control. Fomenta la alineación entre los equipos de asesoramiento jurídico, cumplimiento, confidencialidad y gestión de datos corporativos, y garantiza que todos vayan a una antes de pasar a la siguiente etapa de la implantación.

Para obtener más información sobre las próximas medidas del plan de 16 medidas de Talend para el cumplimiento del RGPD, consulte este webinar a petición. El webinar ofrece un análisis profundo de cada una de las 16 medidas y explica cómo hacer efectivas realmente las políticas y normativas.

| Last Updated: agosto 12th, 2019