Hace unos días estuve en un evento de innovación que no tiene nada que ver con GDPR. El caso es que iba solo y cuando paramos
a eso de las 11.30 para tomar un café, me puse a deambular por la sala, hasta que me atrajo una conversación que mantenían 3 personas. Comentaban que ya habían “implantado” GDPR en sus respectivas empresas, y lo que decían era básicamente que ya habían incluido todas las cláusulas en todos los contratos, en las páginas web y en los correos electrónicos. Respecto a los correos electrónicos, echa un vistazo a este post [Los disclaimers en los correos electrónicos con GDPR]. Respecto a la conversación en general, empecé a reflexionar y es cierto que casi todo el mundo tiene la sensación de que GDPR son cláusulas en contratos, pero GDPR es mucho más que eso; GDPR es algo relacionado con:
Las personas
Ya puedes tener todas las cláusulas que quieras, que como la gente de tu empresa no tenga cierta cultura de seguridad y sepa qué información se trae entre manos, vas a acabar teniendo problemas, porque enviarán indebidamente datos por correo electrónico, mandarán ficheros con datos personales, no utilizarán contraseñas seguras, etc., y el día que pase algo, harán cualquier cosa menos informar, bien por ignorancia, bien por cobardía.
Reforzar la educación y la formación es uno de los mecanismos básicos para no incurrir en problemas relacionados con GDPR. Por favor, no obviéis este tema.
Los procesos
Para cumplir con GDPR, las empresas tienen que tener claro qué información tienen que proteger, dónde está almacenada, y cómo se mueve. Esto de cómo se mueve son los flujos de datos de los procesos. Cuál es la fuente de la información, a quiénes les llega, qué hacen con ella, a quién se la reenvían, quién tiene acceso, quiénes la copian en pinchos USB que se llevan a su casa para trabajar el fin de semana; pinchos USB que olvidan y que sus hijos o compañeros de pisos toman prestados para grabar música que comparten con sus amigos sin borrar la información original por si acaso es importante.
Por simple que sea un proceso, no tenerlo controlado puede ser fuente de problemas.
Procesos controlados y personas formadas.
La tecnología
La tecnología es otra pieza clave en GDPR. Programas más o menos sofisticados; desde el CRM a los cientos de hojas Excel que hay en cualquier empresa; del servidor protegido, a la carpeta compartida de Fulano que nadie controla. Contraseñas más o menos seguras; datos en la nube en plataformas mejores o peores; redes más expuestas a los virus que otras; WiFi de empresa a la que puedes acceder con cualquier móvil, etc.
Demasiadas cosas que controlar, ¿no? Pues no. No es simplemente por cumplir rellenando unas cláusulas. GDPR te advierte claramente de que la tecnología alberga muchos riesgos para la seguridad de tus datos que debes considerar.
Así pues, tecnología segura, procesos controlados y personas formadas.
¿Quieres algo más que unas cláusulas? En Sistemas y Normas hacemos auditorías de riesgos, proponemos soluciones y formamos a las personas. Si te interesa, escríbenos a info@sistemasynormas.com.