En un ERP pueden existir más de 20.000 campos con datos personales. Estar preparado para la adaptación a la LOPD empieza por identificar cuáles son esos campos. Y es que, de acuerdo al RGPD, para tener identificados todos los datos personales, tu ERP debe incluir un indicativo en todos los campos de la base de datos que contienen información personal.
También debería incluirlo cuando existan categorías especiales de datos personales, según la definición de dato personal en el nuevo reglamento. Además, es necesario que se disponga de herramientas para el análisis de esta información.
Responsabilidad, enfoque de riesgo y diseño de procesos
El reglamento de Protección de Datos introduce dos principios innovadores:
- La responsabilidad proactiva. Se describe el principio de responsabilidad proactiva como una obligación legal, que supone que el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el reglamento. Por esta razón, la disponibilidad de evidencias que demuestren que se han adoptado estas medidas adecuadas para el cumplimiento del reglamento, cobra especial importancia.
- El enfoque de riesgo. La atención que hay que poner en las vulnerabilidades, prioridades a nivel de seguridad y el conocimiento de las posibles amenazas constituyen el nuevo foco de acción para las empresas que se esfuerzan por lograr la adaptación a la LOPD. Monitorizar los accesos, hacer un seguimiento de cualquier transformación que sufran los datos, de su eliminación y de los perfiles que acceden a la información permite minimizar las consecuencias negativas implícitas en el riesgo.
Por tanto, tu sistema debe incluir las herramientas necesarias para cumplir con estos dos principios. Estas herramientas deben auditar y verificar toda la configuración de tu instalación en lo referente a la seguridad de los datos personales, corrigiendo todas las debilidades, riesgos y amenazas encontradas.
Además, sería interesante que estas mismas herramientas te indicaran cómo hacer cada uno de los ajustes necesarios para garantizar que se han tomado las medidas técnicas apropiadas en la configuración del ERP, tal y como indica la normativa. Estas funcionalidades pueden utilizarse periódicamente para revisar el estado de la configuración.
Otra novedad del nuevo reglamento es el artículo referente a la Protección de datos desde el diseño y por defecto, también como una obligación legal. Esto significa que las organizaciones deben integrarla en cada nivel de su negocio e incorporarla a sus procesos, durante todo el ciclo de vida de cualquier actividad comercial, recomendando el cifrado de datos (seudonimización) como una medida técnica adecuada.
En la situación ideal, deberías asegurarte que tu ERP lleva incorporado en su ADN esta protección de datos desde el diseño y por defecto, de otro modo, la adaptación a la LOPD puede complicarse. La seudonimización, mediante el cifrado de datos, sin necesidad de ninguna configuración adicional, los usuarios sin permiso para tratar datos personales los verán seudonimizados. Por ejemplo, al acceder a un empleado, todos los datos personales (nombre, apellidos, número de la seguridad social, bajas IT, etc.) estarán cifrados para los usuarios sin permiso.
Derechos para los interesados: herramientas que facilitan la adaptación a la LOPD
Además de los derechos ya reconocidos por la LOPD (derecho al acceso, a la rectificación, a la oposición y a la cancelación), en el reglamento también se incluyen nuevos derechos para los interesados:
- Derecho a la transparencia de la información
- Derecho de supresión (derecho al olvido)
- Derecho de limitación del tratamiento
- Derecho de portabilidad
Tu solución de gestión empresarial debe incluir una nueva gestión de Derechos ejercidos por los interesados, para el registro de los derechos que se han ejercido. La solución debe avisar en los puntos más importantes cuando se gestionen datos de un interesado que ha ejercido un derecho, ayudando, así, a prevenir cualquier incumplimiento de la normativa en lo referente a los derechos ejercidos por los interesados.
Como parte del principio general de responsabilidad activa, el responsable y el encargado del tratamiento deben llevar un Registro de actividades. En el Reglamento se detallan los datos que se deben recoger en este registro, y se excluye de esta obligación a las empresas con menos de 250 trabajadores.
Además, debe incluir herramientas para hacer el seguimiento, verificación y análisis de los tratamientos de datos personales. De esta forma, permitirá consultar todos los accesos y modificaciones de datos personales. Sin necesidad de configuración adicional, debe registrar cualquier acceso o cambio que se haya hecho en un campo con datos personales, dando información del usuario que ha realizado el cambio, los valores antes y después de la modificación, y la fecha y hora en la que se ha realizado.
Un programa de gestión empresarial que genere informes de actividad 360º debe permitir consultar el registro de actividades de datos personales, y gestionar las evidencias técnicas aplicadas al ERP.
El reglamento especifica que han de demostrarse estas medidas aplicadas (protección de datos desde el diseño y por defecto). Herramientas como ésta proporcionan las evidencias automáticamente, detallando toda la actividad referente a datos personales realizada por un usuario entre dos fechas, todos los tratamientos de los usuarios en un periodo de tiempo o la actividad realizada sobre un objeto del ERP. En la práctica, ejemplo de ello sería poder ganar en visibilidad sobre todos los cambios realizados en los datos de un empleado, contacto o paciente.
Las herramientas ekon RGPD incluyen todas estas mejoras, por defecto y desde el diseño, y te aportarán los siguientes beneficios en el proceso de adaptación a la LOPD:
- Reducción de los costes de adaptación a la LOPD.
- Ahorro de tiempo de implementación.
- Seguridad de cumplimento de la LOPD.
- Automatización de procesos de recogida de evidencias.
- Autonomía y simplificación de la implementación.
- Herramientas para el DPO, el responsable y el encargado del tratamiento, que facilitan el cumplimiento de la normativa.
- Prevención de errores en el proceso de adaptación de tu ERP a la nueva normativa.
No es solo una cuestión de cumplimiento normativo. La reputación de tu empresa y su imagen están en juego, por lo que no hay que demorar más la adaptación a la LOPD.
¿Sabes por dónde empezar? ¿Has establecido prioridades y cuentas con las herramientas que te ayudarán a alcanzar objetivos?
- Documentos de gestión y acceso a datos personales - 18 de noviembre de 2019
- Que no te engañen, ¿Qué debes exigir a tu ERP para lograr la adaptación a la LOPD? - 28 de febrero de 2019
- La Evaluación de Impacto en la Protección de Datos - 1 de febrero de 2019