La AEPD comienza a interesarse por otros temas

Si hasta ahora era frecuente encontrar sanciones relacionadas con aspectos externos y “visibles” del cumplimiento normativo en relación con la protección de datos, como las webs, parece que ahora hay interés por asegurar que el tratamiento interno de los datos también es el adecuado.
David Fernández

Si hasta ahora era frecuente encontrar sanciones relacionadas con aspectos externos y “visibles” del cumplimiento normativo en relación con la protección de datos, como las webs, parece que ahora hay interés por asegurar que el tratamiento interno de los datos también es el adecuado.

Hace unos días se publicaban en el BOE un par de sanciones referidas al tratamiento de los datos. Concretamente por incumplimiento del RGPD en sus artículos 5.1.f) y 5.2, 6 y 17 respectivamente.

Entre las dos ascendían a un total de 12 millones de euros.

¿Por qué son tan frecuentes estas multas?

Lo cierto es que este tipo de multas son frecuentes en el territorio nacional, pero también toda Europa. Dado que el Reglamento aplica a todo dato de un residente en la Unión Europea.

Dada la alta frecuencia con la que aparecen las multas, cabe preguntarse a qué se debe el incumplimiento de legal.

Si asumimos la buena fe de las compañías, las razones que motiven lo anterior podrían reducirse principalmente a dos:

  1. Desconocimiento normativo
  2. Incapacidad de cumplirlo por falta de herramientas adecuadas

Desconocimiento de GDPR

El primero de los puntos no hay que subestimarlo. A pesar de los grandes departamentos legales de las multinacionales, o de la publicidad con la que cuenta este Reglamento, existen multitud de hábitos y procesos heredados que llevan a incumplir la Ley por desconocimiento. En mayor o menor medida.

Además, el hecho punible, dados los plazos que toma la justicia, no es tan cercano como el lector podría imaginar. Algunas de las denuncias que motivan las multas que se están tratando se remontarían al 2018.

¿Cómo mitigar el desconocimiento?

Por nuestro lado, en este sentido, el equipo de icaria Technology recibe con frecuencia formación. Además, también se revisan los procedimientos que involucran el tratamiento de datos personales con el objetivo de encontrar posibles fugas de información.

Gracias a esto, mejoramos constantemente nuestros productos e instruimos a nuestros clientes al respecto, en la medida de nuestras posibilidades, pues no somos especialistas legales.

En definitiva, la formación es crucial en este ámbito. Y por nuestro lado tratamos de darla tanto a nivel interno como externo. Sirva de ejemplo este artículo.

Carencia de herramientas adecuadas

Tanto las grandes empresas como las pequeñas y medianas pueden no encontrar la herramienta adecuada para proteger su información a la hora de distribuirla a terceros, usarla en entornos no productivos o permitir a sus clientes ejercer los derechos recogidos en GDPR.

En este sentido, los primeros encontrarán las herramientas que permiten el cumplimiento normativo muy rígidas. Posiblemente también piensen que no es posible implantarlas en entornos tan complejos como los suyos. Los segundos, por el contrario, tendrán dificultad para encontrar la herramienta adecuada para entornos más reducidos, tanto en características como en coste.

Claves para la protección de datos

Unamos las piezas del puzle, los datos y su protección

El papel de icaria Technology

Es evidente que no somos una empresa de formación, tampoco un departamento legal. Más allá de lo que podamos aportar desde nuestra experiencia y formación, en cuanto a cumplimiento normativo a nivel legal no somos los apropiados.

No obstante, hay un ámbito en el que icaria Technology sí juega un papel relevante. Las soluciones tecnológicas.

El equipo de icaria Technology se caracteriza por ser innovador, proactivo e inquieto. Hace más de 7 años que lanzó la primera aplicación dedicada específicamente al cumplimiento de GDPR. Y desde entonces, no ha dejado de avanzar y explorar nuevas soluciones; contando en estos momentos con dos aplicaciones para ello: icaria TDM e icaria GDPR.

icaria TDM en acción

Para copias completas las bases de datos de producción

¿Has preguntado cómo se generan los datos de prueba en tu organización? ¿Qué datos está usando el equipo de QA o los desarrolladores?

Si lo hiciste, espero que no recibieses la siguiente respuesta: “los copiamos directamente de producción”. O mejor aún, “los copiamos directamente de producción una vez al mes, para que estén frescos”. Si la recibiste preocúpate, aunque no estarás solo.

Mal de muchos, consuelo de tontos, dicen por ahí.

Existen herramientas específicas para este propósito. Capaces de mantener los refrescos de datos mensuales al tiempo que se cumple GDPR. Al tiempo que se coordina la información de entre las distintas bases de datos que tienes; incluso con distintas tecnologías. Y, sobre todo, al tiempo que proteges la información de tus clientes y tu propia reputación.

La solución de disociación masiva  de icaria TDM es idónea para ello.

Para disponer de un subconjunto de datos

Bien, supongamos que no estás trayendo la base de datos completa. Entonces, ¿cómo lo haces? ¿Transfieres únicamente los datos reales de una sucursal concreta? ¿De los DNIs que comienzan por 33? En ese caso estás segmentando, no pones en riesgo todos tus datos; pero sigues sin cumplir GDPR.

En este sentido, te proponemos que revises la serie de artículos donde se trata el tema de la segmentación y su valiosa importancia en el proceso de pruebas. Aquí los tienes disponibles.

Para generar un subconjunto reducido de datos

Tampoco eres de los anteriores. Tienes claro que no puedes usar datos reales si no pasan antes por procesos de enmascaramiento; pero no dispones de él. Estás generando los datos a mano.

Si es así, ¿cuántas personas hay dedicadas a ello? ¿Realmente están siendo capaces de generar los datos adecuados? Peor aún, ¿qué hay de tu Time to Market?

Generar datos a mano, para una amplia mayoría de las pruebas, no es viable.

Para generar automáticamente un subconjunto de datos

De nuevo, si tampoco te sientes completamente identificado en el grupo anterior, es posible que seas de los que “tienen todo automatizado”, incluyendo el proceso de generación de datos.

Quizá lo haces con las APIs propias de tus aplicaciones, quizá mediante grandes scripts. En cualquier caso, ¿eres capaz de generar un cliente con 30 servicios, gran parte de ellos con productos descatalogados y con incidencias abiertas con antigüedad de más de un año? Lo más probable es que no.

Ciertamente consigues emplear menos recursos que el caso anterior. De hecho, consigues disponer de más datos. Pero no son los datos adecuados, muchos errores acabarán viéndose en producción con el problema que esto supone.

La solución de icaria TDM de generación de datos sintéticos trata de abarcar estos escenarios. Permitiendo copias equivalentes de una misma estructura, entregas repetitivas, modificaciones en repositorios de datos. Y, por supuesto, cumpliendo con GDPR.

Mucho más que el enmascaramiento de datos

icaria TDM es mucho más que un proceso de anonimización de datos en entornos de prueba. Se trata de una solución integral de manejo de datos de prueba. Incluyendo otras funcionalidades como la localización de tipos de datos. El buscador de datos. O la automatización de comprobación del resultado esperado de la prueba.

icaria GDPR en acción

Tus entornos de prueba están protegidos, pero ¿qué hay de los entornos productivos?

Más allá de insistir en el cambio frecuente de contraseñas o en instalar el mejor firewall. Con frecuencia sufrimos de Síndrome de Diógenes y descuidamos el borrado de datos de aquellos que hace un tiempo nos abandonaron, con los que cortaron relación. O simplemente de los que nos piden que dejemos de conservar su información.

Recuerda que GDPR otorga una serie de derechos a las personas relativos a los datos que te han prestado. Porque sí, sus datos personales te los están prestando. Tienes que poder devolvérselos y olvidarte de ellos cuando proceda.

El derecho de supresión

Las despedidas llegan, y eso es inevitable. Tras un posible luto donde querrás escribir a la persona por si vuelve a estar interesada, se le olvidó el juego de llaves o simplemente porque legalmente es necesario; también debería llegar el olvido.

¿Estás eliminando los datos personales de las personas relacionadas con tu organización tras este periodo? No importa si son empleados, clientes o proveedores. Si se trata de información sensible asociada a ellos has de eliminarla.

El miedo a modificar los datos en producción

Con frecuencia encontramos que donde no se está haciendo esto o se hace parcialmente es debido al miedo a modificar los datos en producción. ¿Qué pasará con mi aplicación? ¿Seguirá funcionando? ¿Cómo aseguro no borrar de más?

Para minimizar estas dudas, un producto probado, extendido y con experiencia; que se adecúe a la situación cuando se requiera; y con capacidad de respuesta ante eventos inesperados como errores en la ejecución del derecho de supresión es la solución. Como icaria GDPR.

Con perspectiva de innovación e incorporación de más funcionalidad. Icaria GDPR es el producto de icaria Technology destinado al cumplimiento de los principales derechos que otorga GDPR a las personas.

Datos en riesgo
No arriesgues tus datos

¿Te identificas con estas cuestiones?

Si te has sentido identificado en este artículo no es necesario que nos lo confieses. Simplemente te recomendamos que revises internamente tus procedimientos. Valores las distintas opciones de las que dispones.

Si después de hacerlo, quieres saber más o entender cómo los productos de icaria Technology pueden ayudarte, contacta con nosotros.

A través del siguiente enlace podremos aportarte mucho más que el contenido del artículo, mostrarte los productos icaria en un escenario real y valorar una solución adecuada a tus necesidades.

Compartir:

Compartir en facebook
Compartir en twitter
Compartir en pinterest
Compartir en linkedin