5 puntos clave sobre GDPR/LOPD

28 May 2020
Rogelio Polanco

Absortos como estamos ante la crisis provocada por el COVID-19, se nos pasan por alto noticias relevantes para nuestra sociedad, como es que se cumple el segundo aniversario de uno de los hitos que han ejercido mayor impacto en nuestros derechos en la gestión de datos personales y la transformación organizativa: la fecha límite de implantación de la normativa GDPR (el 25 de mayo de 2018).


Índice de contenidos:


 

Implantación de nuevos derechos y obligaciones

En este tiempo no solo los ciudadanos de Europa, sino también cualquier organización, de cualquier lugar del mundo, ha necesitado ponerse al día en los criterios de seguridad de los datos y la aplicación de los nuevos derechos y obligaciones, siempre que la información gestionada incluyera datos personales de cualquiera de los 450 millones de habitantes que formamos la Unión Europea.

Un inicio complejo y sembrado de dudas hace dos años, donde incluso algunas empresas fuera de la UE optaron por no prestar servicios a los ciudadanos europeos, y que ha dado paso a cambios relevantes en nuestro concepto de Dato Personal, en nuestros derechos como propietarios de nuestros datos conscientes de la importancia y el valor que tienen, y en el uso que de ellos hacen las organizaciones. Algunos cambios han sido menores, pero otros tienen un calado y una dimensión muy relevante para los criterios de organización y negocio de muchas empresas.

GDPR-complianceEn nuestro país, en primer lugar, fuimos conscientes de cómo de cerca está la legislación europea a la realidad social y económica de los ciudadanos de la Unión. En el caso español, el retraso en la adaptación de GDPR a la normativa nacional forzó a muchas organizaciones a mirar de reojo lo que aún no había llegado como Ley nacional cuando ya era plenamente vigente GDPR. Y es que la nueva LOPD no llegó a nuestras manos de manera oficial hasta diciembre de 2018.

Aun hoy en día, sigue habiendo organizaciones que tienen a GDPR como único manual de referencia, y no a la legislación nacional publicada medio año después. Que sea posible aproximarse a una y a otra sin demasiados cambios nos da una idea de la dimensión europea que tiene esta norma, más allá de las legislaciones locales de cada país.

 

5 aspectos a comparar entre la antigua y la nueva LOPD

Algunas de las cuestiones reseñables respecto a la anterior LOPD del año 1999 son:

  • Corresponsabilidad

La cadena de valor en la gestión del dato entre el responsable del dato (la empresa a la que se ceden los datos) y los encargados de tratamiento (sus proveedores de servicios) es ahora más clara que nunca, trasladando una mayor corresponsabilidad en los incidentes y en garantizar la seguridad de la información a toda la cadena que gestiona el dato.

  • Seguridad en el diseño

También adquiere un protagonismo mucho mayor el hecho de que las organizaciones deben poder acreditar que la seguridad de la información almacenada, así como los derechos de los ciudadanos sobre sus propios datos, son tenidos en cuenta desde los primeros momentos en los que se diseña un servicio, mucho antes de su entrada en producción y puesta a la venta. La “Seguridad desde el Diseño” es por tanto un requisito más de las etapas iniciales de diseño de cualquier nuevo servicio, o de la modificación de servicios que ya estén funcionando.

  • Resiliencia

A los tres principios de la seguridad de la información (confidencialidad, integridad y disponibilidad) se le suma, por primera vez en una normativa de obligado cumplimiento, el concepto de “resiliencia”; esto es: la capacidad de los sistemas de seguir dando servicios conforme al objetivo que fueron diseñados, en circunstancias adversas como caídas de sistemas, problemas en el acceso al dato, pérdida de comunicaciones, etc. Es un paso adelante muy necesario para adentrar a las organizaciones en una mayor madurez en conceptos necesarios para una sociedad de servicios como la tolerancia a fallos o la continuidad.

  • Portabilidad

Y finalmente, y no menos importante, se implementa sobre los datos de un ciudadano en poder de una empresa el concepto de “portabilidad”; en la práctica, esto se traduce en la capacidad de los ciudadanos y consumidores de poder trasladar sus datos entre servicios similares, como puede ser el caso de operadoras de comunicaciones o cualquier otra empresa de servicios digitales, a fin de conservar el historial, los registros más antiguos de interés para el ciudadano, etc.

  • Buenas prácticas

Desde el punto de vista de las empresas proveedoras de servicios, GDPR aporta un valor añadido importantísimo para aquellas que quieran incrementar los niveles de excelencia a sus clientes: la posibilidad de acreditar el cumplimiento de sus servicios conforme a los requisitos de GDPR a través de normativas, buenas prácticas y códigos de conducta a los que cada sector podrá suscribirse conforme sean publicados y validaros por el Supervisor de Protección de Datos.

Bien es cierto, que algunos de estos puntos, como el de la portabilidad, están en proceso de maduración en la mayoría de las compañías, al ser compleja su instauración completa.

 

¿Cómo han influido las normativas en las compañías en estos dos años?

Servicios más robustos

La adaptación a GDPR ha supuesto un salto enorme en el diseño de nuevos servicios en una sociedad, de servicios precisamente, tan avanzada como la europea. El punto de partida actual, que obliga a las organizaciones a tener en cuenta los criterios de seguridad de los datos desde las fases de diseño de cualquier idea, resulta un concepto habitual en 2020, pero en muchos casos revolucionario hace tan solo 2 años.

Esto está creando mejores servicios, más robustos, más solventes, y sin lugar a duda más avanzados para competir no solo en el mercado europeo, sino como un enfoque a seguir a la hora de salir a nuevos mercados con unos criterios de seguridad de los datos que exceden la mayoría de los estándares y legislaciones de otras áreas del mundo fuera del a UE. GDPR contribuye con este enfoque a desarrollar una cultura de la seguridad del dato muy necesaria en el “cibermundo” de los “ciberservicios” que se abre paso a nivel global, poniendo a las empresas europeas en la punta de lanza.

Más eficiencia y competitividad

Ser exigentes con los datos que custodiamos como organizaciones también nos ha hecho poner el foco en el valor de los datos, en la necesidad de explotar la información para dar un salto adelante de eficacia y competitividad. Para ello, las organizaciones de todos los tamaños y sectores han digitalizado procesos, información, y hasta la propia relación con los clientes.

De manera que ha generado un enorme volumen de información que ayuda posteriormente a entender mejor cómo aportar valor al cliente, reducir las transacciones, mejorar la calidad, etc. Para llevar adelante estos objetivos de eficacia y mejora competitiva, las empresas necesitan seguir aportando a sus procesos medios IT, software y formación para sus equipos humanos.

Mayor seguridad

Un aspecto igualmente relevante en la relación entre empresas es que GDPR ha contribuido a incrementar los requisitos de seguridad que deben garantizar los proveedores tecnológicos de servicios como el cloud computing y las telecomunicaciones. Ya no sirve con prestar el servicio según lo anunciado en el contrato. Hay que entrar además en el “cómo” se presta el servicio, y no solo en el “qué servicio se presta”. No es extraño por tanto que se realicen cada vez más evaluaciones para asegurar la idoneidad de condiciones en empresas en las que se apoyan las organizaciones para explotar los datos personales de sus clientes, guardarlos, o procesarlos.

La transición hacia la madurez

Dicho todo esto, la transformación hacia una sociedad digitalizada más garantista en el cuidado y protección de los datos de los ciudadanos, no es una foto estática a la que se llega por el simple hecho de adaptarse a GDPR. Es un proceso de madurez en el que cada organización se inició con un nivel concreto, y cada una según su esfuerzo y dedicación puede evaluarse a sí mismo para saber dónde se encuentra.

En todos los casos, sigue existiendo un camino de mejora donde incrementar palancas transformadoras importantes para ser empresas competitivas y con futuro en un mundo centrado en los servicios: ciberseguridad, acceso universal a los datos, transacciones automáticas, digitalización de los procesos de negocio, resiliencia y continuidad del negocio… Términos que GDPR ha puesto en valor, y que constituyen atributos clave para cualquier organización que quiera mirar al futuro con optimismo.

Quizá te interese:

3 razones por la que una empresa debe ser sostenible

RGPD: Retos tras el 25 de mayo

Por qué es importante la GDPR en el día a día de los usuarios

Quizá te interese

Rogelio Polanco

Rogelio Polanco

Rogelio Polanco, Quality Director de Alhambra IT, es Ingeniero Informático por la University of Walles y MBA Internacional por la Universidad Camilo José Cela, y ha desarrollado gran parte de su carrera dentro de la compañía, a la que se incorporó en 2006. Tras pasar por posiciones de Project Manager, Product Manager y Desarrollo de Negocio, actualmente Dirige el Área de Calidad de la compañía, donde se encarga de la gestión del cambio impulsando los requisitos que se demandan a las Tecnologías de la Información: Seguridad de la Información, Continuidad de Negocio y Resiliencia de los Sistemas IT, LOPD, Esquema Nacional de Seguridad, Compliance Corporativo, Planes de Seguridad, adaptación de modelos y metodologías de Desarrollo de Software…

Noticias relacionadas

Categorías relacionadas

Más Información