Escenario después de las medidas de cumplimiento GDPR

¿Qué sigue después de los principales procedimientos de cumplimiento de GDPR? ¿Qué acciones se pueden tomar a mediano y largo plazo? ¿Deberíamos esperar las leyes para casos o escenarios específicos?

Aquí, veremos algunas recomendaciones de expertos.

El 25 de mayo de 2018, una vez que se hayan implementado las principales disposiciones para cumplir con la nueva regulación GDPR, cualquier acción nueva debe ser compatible desde la etapa de diseño y estar debidamente protegida. Sin embargo, todavía habrá mucho por hacer. Cuando los principales indicadores han sido tratados como una prioridad, debemos continuar avanzando en los proyectos presentados en la hoja de ruta para evitar el riesgo de estar expuestos a sanciones y multas. El reglamento sí considera que el trabajo de DPO (oficial de protección de datos) es permanente. Es parte del proceso de mejora continua. Por lo tanto, se trata de continuar la implementación de los mejores procedimientos. Pueden ser proyectos o programas de TI reales para participar en retrasos tradicionales de 6 a 18 meses que han sido observados por muchos expertos.

Frente a los riesgos de las acciones colectivas

Nadie sabe exactamente qué acciones y qué control se ejercerá. Por otro lado, debe entenderse que las organizaciones están expuestas a acciones colectivas por parte de usuarios, clientes o consumidores, aunque el riesgo de ser un infractor siempre es real.

Entre los sitios de trabajo a mediano y largo plazo, se puede hacer referencia al derecho de acceso (con rectificación, oposición y supresión); así como el derecho a la portabilidad que permitirá a las partes interesadas recuperar un archivo transmitible electrónicamente a un tercero, generalmente en caso de cambio de proveedor.

El componente de información / comunicación también puede ser un programa importante. En particular, es vital ser transparente sobre el propósito de las acciones. Por ejemplo, si doy mis datos personales para un servicio específico; no se trata de usarlos para otro propósito.

Por lo tanto, es importante garantizar que las modalidades de recopilación de datos sean justas, legales y transparentes. Si corresponde, para el procesamiento de back-office en “cerca de la costa” o “fuera de la costa” (por ejemplo, centros de consulta o resolución de problemas en el sudeste asiático), se debe informar que es probable que los datos se exhiban fuera de la UE.

Oportunidades de negocio y revisión de su estrategia digital

El respeto de la nueva regulación puede abrir oportunidades comerciales reales:

“Si uno es positivo, esta superposición de restricciones regulatorias puede convertirse en una mina de oro”.

Al ponerse en orden, las empresas podrán comunicar sus fortalezas competitivas a sus clientes. Pueden, por ejemplo declaran que no monetizan el uso de datos personales ni lo hacen en su interés al obtener su adhesión. Por ejemplo, la elección del punto de venta o los puntos de contacto que han elegido el servicio.

Tal enfoque alienta a crear o al menos reconsiderar su estrategia digital. Conduce a la reestructuración del procesamiento de bases de datos, incluidos los datos privados. Por ejemplo, muestra que

No solo respeto la regulación a los ojos de mis usuarios o clientes, sino que les propongo, siendo transparentes, aprovecharlos para mejorar el servicio.

Principio de responsabilidad

Este enfoque transparente es más apropiado para todos los grupos principales. El principio de responsabilidad entre los subcontratistas y el recopilador y el titular de los datos (y nunca “propietario” porque los datos siguen siendo propiedad de las personas). El recolector de datos se hace responsable de la correcta aplicación de las reglas por parte de sus subcontratistas.

Avance en el área legal e informática

Tienes que ser pragmático. Debe intervenir en los aspectos legales, técnicos y de otro tipo de los datos. Existen herramientas, como el DPPS (Evaluación de impacto de protección de datos) que no solo le permite facilitar diversas tareas, sino también códigos de conducta y guías de buenas prácticas como el ICO (Reino Unido).

La asignación de datos personales, en archivos o aplicaciones, puede implicar cientos de acciones. Por lo tanto, se recomienda diseñar un plan de priorización basado en la naturaleza y la sensibilidad de los datos.

La implementación de procedimientos de seguridad y trazabilidad es también, en sí mismo, un proceso de mejora continua.

Por lo tanto, es bienvenido realizar diagnósticos o auditorías de cumplimiento de la empresa. Luego puede actuar de manera ad hoc dependiendo de la evaluación de impacto. En algunos aspectos, puede ser apropiado recurrir a algún tipo de apoyo.

Los límites de encriptación

Se recomienda el cifrado en sentido ascendente, especialmente en el caso de procedimientos de pago o transacciones financieras como los protocolos Pci-Dss. Pero puede ser muy tedioso para algunas organizaciones. Puede llevar mucho tiempo y puede ser pesado para las bases históricas de gran volumen y poca información (como los archivos de destinatario de un boletín informativo). No se recomienda sistemáticamente, ya que esto puede ser desproporcionado en algunos contextos.

Minimización, anonimización y seudonimización

La aplicación del principio de minimización permite exponer menos datos al recopilar solo los datos que son realmente útiles y necesarios en el contexto del propósito establecido.

No debemos centrarnos en el mapeo técnico, sino en la identificación, el derecho a la identidad en un espacio limitado y la calificación. “¿Podemos guardar estos datos? Sí, si no podemos hacerlo de otra manera”.

La anonimización, que es irreversible, es un buen enfoque bajo la ley, si es necesario mantener una fuerte confidencialidad, mientras que la seudonimización (que permite regresar) sigue siendo discutible, incluso si es legalmente válida. Pero, nuevamente, los procesos son tediosos y costosos si se realizan después.

Derecho de información y borrado

El derecho a la información, que es también el derecho a cuestionar, también debe seguir siendo motivo de preocupación, “de forma dinámica y proactiva”.

La obligación de eliminar o purgar plantea la cuestión de cuánto tiempo deben conservarse los datos, lo que depende de su naturaleza y de los compromisos contractuales o condiciones generales. Entonces hay un impacto en la acción. Este capítulo también plantea preguntas sobre el deber de la memoria, el derecho a la historia, pero también se refiere a la libertad de prensa, cuyo objetivo es preservar la memoria de los hechos.

A largo plazo, jurisprudencia y reajustes …

En el balance general, el cumplimiento del GDPR es un proceso continuo. La regulación GDPR, es una inflación de artículos, veinte más, en comparación con la ley de 1978, es decir 99 artículos, que son introducidos por 173 ‘considerandos’ con la mayor cantidad de interpretaciones posibles. Sin embargo, nada es lo suficientemente claro, pero los casos de litigio se centrarán en ciertos puntos.

Finalmente, notamos que las apuestas son globales y frontales. El principio legal es la parte más importante de GDPR, sin embargo, no es una cuestión de libertad sino de dignidad, y el respeto por la dignidad de las personas.