Blog

El Reinado de los Datos

Los datos deben tratarse, gobernarse y asegurarse, en su ciclo de vida completo

En un entorno económico como el actual, en el que la gestión y obtención de datos es clave para el desarrollo de los negocios, el tratamiento de estos datos, y su protección, han dejado de ser tareas exclusivas a cargo de los responsables de IT.

Los CIOs actuales no solamente han de conocer qué tecnologías y protocolos es necesario implementar para evitar, en la medida de lo posible, unos ciberataques cada vez más sofisticados. Ahora también es necesario que dispongan de una visión global del negocio que les ayude a definir una estrategia de protección integral.

En una primera etapa, se vuelve imprescindible clasificar y catalogar los datos. Es necesario encriptarlos y enmascararlos, mantenerlos cifrados en todo momento, desde que se recaban hasta cuando se utilizan para sacar conclusiones que permitan mejorar el negocio. Por otro lado, es imprescindible aplicar políticas adecuadas que concreten qué personas pueden tratar los datos, y hasta qué nivel puede ver cada uno de los perfiles que trabajen con los mismos. Definir quiénes pueden ver según qué datos.

Otro de los objetivos a alcanzar en el diseño de la estrategia de protección es el cubrir todo el ciclo de vida de la información. Los datos deben tratarse, gobernarse, a lo largo de todo su ciclo de vida, lo que implica no sólo conocer de dónde provienen, su fuente, sino también cómo se transformaron y dónde se utilizaron.

Además de para garantizar la seguridad de la empresa, todos estos requerimientos ayudan a que ésta cumpla con la normativa vigente. Es decir, con la entrada en vigor del Reglamento Europeo de Protección de Datos, en mayo del presente año, se han venido a reforzar las exigencias de protección imprescindibles para todo lo que tiene que ver con el tratamiento de los datos personales. Un reglamento que sustituye a la antigua directiva de 1995, en el que realidades de hoy en día como las “redes sociales” o el “big data”, eran conceptos aún muy lejanos.

Lo que recalca la ley es que todo ciudadano, toda persona física, tiene derecho a la protección de sus datos personales, entendiendo por los mismos aquellos que sirvan para identificarla directa o indirectamente. Entre los datos de este tipo estarían, por ejemplo, el nombre, apellidos, dirección, teléfono…Y también otros más sensibles y especialmente protegidos, como los relativos a la condición sexual, salud, creencias, ideología, etc.

Uno de los cambios más significativos con respecto a la legislación anterior que ha introducido la que entró en vigor el pasado mayo es la ampliación del ámbito territorial, ya que ahora su cobertura engloba a todos los ciudadanos “que se encuentren en la UE”.

Respecto a los puntos clave de la normativa, cabe mencionar que ésta requiere a las entidades disponer de un consentimiento expreso, no tácito, de la cesión de los datos por parte de las personas. Es decir, una aceptación libre e inequívoca pero al mismo tiempo informada e individual del proceso. Además, las empresas deben estar en condiciones de probar y comprobar que la solicitud de consentimiento fue recibida por el solicitante. Esto se traduce en que, a la hora de pedir cualquier dato, se ha de informar de manera clara y sencilla, del por qué, para qué, durante cuánto tiempo, y quién se hará cargo de su tratamiento en el futuro.

Finalmente, se incrementan también las cuantías de las multas. Se contemplan advertencias, apercibimientos, medidas concretas y multas administrativas de hasta 10 millones de euros o, en su defecto, de hasta el 2% del volumen de negocio anual si se trata de una empresa.