Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).
Acceso a las conclusiones del análisis
La parte jurídica de un proyecto RGPD está sujeta a la interpretación constante de la empresa que se adapta, de sus asesores, de las autoridades de control y de las autoridades judiciales.
La parte de seguridad contiene una obligación de resultado consistente en que no tiene que producirse ninguna violación de datos.
Tanto en las obligaciones jurídicas como en las relativas a la seguridad de los datos personales, intervienen factores y variables que van mucho más allá de la carga de trabajo que suponga el proyecto.
Ello hace que, aunque un proyecto mayor en duración y recursos debería, aparentemente, ser más eficaz en la prevención de infracciones que uno pequeño, en la práctica no tiene por qué ser así. Puede darse perfectamente el caso de que un gran proyecto no consiga impedir que se produzcan infracciones y uno pequeño sí. Ocurre lo mismo que en las campañas de publicidad, que no permiten saber dónde se está tirando el dinero.
Entre los factores que pueden contribuir a que haya o no infracciones, independientemente del esfuerzo realizado y los recursos invertidos en un proyecto RGPD, destacan los siguientes:
- La metodología aplicada
- La experiencia de las personas que lideran el proyecto
- El conocimiento de las medidas más eficaces
- La priorización de los datos más sensibles
- La priorización de las obligaciones con mayor sanción
- La concentración del esfuerzo en los riesgos con mayor probabilidad e impacto
- La cultura de cumplimiento de la empresa
- La voluntad de cumplimiento del negocio
- El apetito de riesgo
- Los objetivos económicos del negocio
- La presión comercial y en materia de marketing
- El sector al que pertenece la empresa
- La tipología de los datos
- La tipología de los interesados
- El valor de los datos en el mercado
- El nivel de interés de eventuales atacantes en los datos
- El factor humano
- La suerte
Debe tenerse en cuenta que un proyecto de RGPD no parte de cero, ya que acumula el trabajo realizado y la experiencia adquirida en 25 años de protección de datos en España. Por ello debe evitarse caer en los mismos errores que se cometieron en los primeros años.
Por ejemplo, en materia de análisis de tratamientos, una metodología que siga descubriendo tratamientos tres meses después del inicio del proyecto no puede ser una buena metodología, ya que demuestra una gestión caótica y sin autoridad del modelo de datos. Pasaba lo mismo en los años 90 con los ficheros.
El análisis y registro de los tratamientos no puede quedar permanentemente dependiendo de las múltiples iniciativas que tenga cada departamento (metodología pull) sino que debe establecer un modelo de datos que vaya acompañado de procedimientos que garanticen la privacidad desde el diseño y por defecto (metodología push), de manera que, una vez implantado el modelo de datos, cualquier modificación del mismo deba iniciar este procedimiento, con la correspondiente evaluación de impacto, si es necesario.
Este simple cambio de una metodología pull a una metodología push puede ahorrar muchas horas de proyecto y prevenir los riesgos de nuevos tratamientos sin consentimiento o de nuevas finalidades no informadas con una mayor eficacia.
En materia de seguridad ocurre algo parecido.
Por todo ello es muy difícil compararar la carga de trabajo de las dos disciplinas en términos meramente cuantitativos.
Pingback: La seguridad es el 20% de un proyecto RGPD | Xavier Ribas