Gestión de datos personales, más allá del Cumplimiento Normativo

PMFarma utiliza cookies propias y de terceros para recopilar informacion con la finalidad de mejorar nuestros servicios y mostrarte publicidad relacionada con tus preferencias. Al continuar navegando por el sitio, aceptas el uso de las mismas. Tienes la posibilidad de configurar tu navegador pudiendo impedir que sean instaladas.   Configurar
Ver por categoría:
Enviar a un amigo

Junio 2019
Gestión de datos personales, más allá del Cumplimiento Normativo
Por
Julio Saíz. Business Development Area Manager-Infrastructure and Cloud Services. Alhambra-Eidos.

Si ahora mismo pensamos en normativas, la primera que se nos viene a la cabeza es la GDPR. Tras la “crisis” y revuelo que supuso la entrada en vigor del, ya no tan nuevo, Reglamento General de Protección de Datos —hace ya casi un año de su fecha límite de adopción—, es interesante valorar los efectos de su implantación en las compañías, tanto negativos como positivos, y así, aprender para procesos similares en el futuro.


Si bien esta normativa afecta a cualquier tipo de organización que albergue datos de usuarios, en el caso del sector farmacéutico, altamente sensible, la cuestión es de especial relevancia. Resulta necesario llevar y mantener un registro completo del tratamiento de los datos personales, con su gestión, medidas de seguridad y privacidad correspondientes.

La importancia de la gestión: oportunidades y beneficios
Aunque muchos lo vivieron como una “pesadilla”, muchas compañías comienzan a ser conscientes de cómo los nuevos procesos, junto con aquellos que se han revisado y mejorado, tienen un impacto muy positivo en sus negocios. La GDPR, por seguir con el ejemplo, se trata de una oportunidad, de entre todas las que hay en el Cumplimiento Normativo, para mejorar la operatividad y optimizar el funcionamiento y desarrollo de los procesos.

Y es que, obligadas a cumplir con la Ley, muchas organizaciones se han parado —¡por fin! — a estudiar y conocer sus registros. Durante el exhaustivo trabajo, las compañías han podido ser conscientes de la ingente cantidad de información que tienen y lo poco que saben de ella. Se tratan, en su mayoría, de grandes masas de datos sin organizar. Datos que, sin etiqueta, control o registro, no aportan ninguna información de valor a la compañía, ocupan espacio, cuestan dinero y, además, la ponen en riesgo.

Durante años, hemos estado, guardando datos, informes médicos, por ejemplo, en archivos sin catalogar y sin protección alguna. Según estudios realizados por Veritas, el 20% de los datos de las compañías son datos de misión crítica; el 33% son datos redundantes, obsoletos o de escaso valor; y el 52% son datos antiguos, no clasificados y sin valor, es decir, oscuros.

Muchas veces hablamos de datos e información indistintamente, haciéndolos parecer sinónimos, pero no lo son. Un dato es una representación simbólica, un hecho. Mientras que la información es un conjunto ordenado de datos ya procesados que aportan valor para tomar decisiones, resolver problemas y/o incrementar el conocimiento de los que reciben dicha información. Es decir, el procesamiento de los datos es indispensable si queremos obtener información.

La importancia de las evidencias
Las normativas sirven como frenos para las compañías, materializados en sanciones administrativas y económicas. Pero es que, no solo debemos cumplir con ellas, sino que además tenemos que tener evidencias de ese cumplimiento y dar parte en caso de fuga de datos o incumplimiento. Esto ha hecho que nos “pongamos las pilas”, investiguemos y nos surjan las dudas…

De momento, podemos sintetizar y adelantar que cualquier normativa de protección de datos, y muy especialmente la GDPR, implica los siguientes requisitos: protección de la información, aseguramiento del servicio, seguridad en el tratamiento de la información, monitorización y registro de logs y, por último, auditorías y simulacros.

Un camino que nosotros recomendamos es almacenar sólo aquellos datos que conforman información de valor para tu empresa; asegurar y evidenciar su protección y confidencialidad, así como la continuidad de acceso y, finalmente, realizar y evidenciar auditorías (internas y externas) de forma periódica.

Personal especializado
Ante este reto en torno al Cumplimiento Normativo, con la ley de un lado y la enorme acumulación de datos en el otro, nos surgen dudas tales como: ¿Qué hacer con toda esta cantidad de datos? ¿Dónde guardarlos? ¿Cómo protegerlos? ¿Hay que asumir el coste de tratar, almacenar y gestionar datos carentes de valor? Para todas estas cuestiones, y aunque de momento no sea obligatorio, es muy recomendable contar con un Delegado de Protección de Datos (DPO) en plantilla. Está claro que el riesgo 0 no existe, pero esta figura debe velar por que tanto la compañía, como sus trabajadores, estén alineados con el Cumplimiento Normativo.

Sin embargo, que exista una persona encargada no significa que el resto de la empresa se quede al margen y se desentienda. La gestión de datos personales debe ser una materia a tener en cuenta por todos y cada uno de los integrantes de la compañía. Puesto que, de una manera u otra, muchos de los equipos tratan directamente con información confidencial. Además de la sensibilización general, recomendaría escoger un “líder” en cada departamento que pueda salvaguardar los datos de los usuarios y garantizar el cumplimiento de los procesos.

Ya no vale que guarde ficheros con datos de clientes en mi ordenador sin especificar la procedencia o duplicar archivos. Debemos seguir una serie de procesos claros y seguros, revisados periódicamente. De esta manera minimizaremos los riesgos y, una vez tengamos interiorizados todos los procesos, ganaremos en eficiencia y ahorraremos tiempo y espacio de almacenamiento.
Optar por ayuda de confianza

En el caso de no poder disponer de un DPO, siempre se puede recurrir a expertos, a través de la externalización del servicio. Un proveedor especializado nos puede ofrecer garantías de calidad y seguridad, sobre todo, teniendo en cuenta, que los datos nunca van a parar de crecer y entrar en el “mundo cloud”.

En Alhambra-Eidos contamos con los certificados de calidad ISO 27018 de Protección de Datos Personales en la Nube, ISO 27000 para todos nuestros Servicios Gestionados, Cloud Computing y Redes Multiservicio, ISO 22301 de Continuidad de Negocio para todos nuestros servicios e ISO 20000 para todos nuestros Servicios Gestionados, Cloud Computing y Redes Multiservicio, además de certificaciones como ISO 14001, ISO 9001 o Nivel 3 de CMMI para Soluciones Software. Somos una de las primeras compañías a nivel mundial en obtener certificados como la ISO 27018, lo cual nos posiciona a la cabeza en la gestión de Servicios Cloud y muestra todo el trabajo y esfuerzo realizado en aras de la seguridad y la continuidad del negocio a través de nuestros servicios en la nube.

Y es que, para ofrecer un servicio con garantías en relación a la Protección de Datos y el Cumplimiento Normativo, debemos empezar en casa. Nuestras certificaciones permiten a nuestros clientes lograr las suyas. Si nosotros cumplimos, nuestros clientes, con nuestra ayuda, también cumplirán y podrán disfrutar de los beneficios que aporta la organización del dato.