Estos días por distintas causas he estado ayudando a algunos compañeros a aclarar un poco la implicación del RGPD que llegará el día 25 de mayo.
Pero lo más curioso es que sigo viendo artículos que solo relacionan el RGPD con los sistemas TI única y exclusivamente, y aunque si que están muy relacionados, no solo abordan estos entornos, sino cualquier entorno que contenga datos, digamos un listado en papel o una pizarra escrita con tiza que publique datos y por supuesto un cartel de publicidad.
Como la mayoría de la gente sabe, uno de los cambios más importantes, o por lo menos así lo veo yo, es el cambio de seguridad pasiva, que es lo mismo que decir «hasta que no me suceda nada no tengo que hacer nada», a ser una norma pro-activa, o lo que es lo mismo decir «tengo que estar preparado por si me sucede algo»
He leído post y comentarios en varias redes sociales que comentaban que esta norma no ayudaría a la seguridad informática, y yo estoy en total desacuerdo con ello, puede que inicialmente la gente no sea consciente de los problemas que pueden llegar a tener si son denunciados con la nueva normativa, y como es típico en casi todo el mundo, hasta que no haya un caso sonado, las empresas no se darán cuenta y empezarán a actuar, pero yo creo que si que puede ayudar mucho a mejorar los servicios y seguridad IT esta normativa (ya que la mayor fuga de datos está claro que puede venir de estos entornos) así como la organización de una empresa, y me explico.
Si partimos de la base, que el RGPD esta en gran medida basado en la normativa
ISO 27001 que es la que aplica a la Seguridad de la Información, creo que es una buena base para empezar a trabajar y mejorar la seguridad y los procedimientos.
Con el RGPD las empresas tienen que tener catalogada su información, dónde esta, que uso se hace de ella y que haremos en caso de un incidente, algo que, en la mayoría de los casos, a día de hoy no son conscientes, quizás el dónde si, pero el resto …….
Si ya tenemos el dónde y el uso, podremos ser conscientes de las necesidades de aplicar seguridad a los datos, ya que al menos tendremos un estudio de su nivel de confidencialidad, así podremos determinar si tenemos que aplicar más medidas de seguridad a estos datos.
También deberemos tener por escrito un pequeño documento donde describamos que protocolo vamos a seguir en caso de un incidente, y esto de nuevo nos puede llevar a determinar como hago las copias de seguridad, dónde las hago, cómo las puedo recuperar y dónde las guardo, y claro esta, las famosas 72 horas que tenemos para comunicar el incidente una vez seamos conscientes del fallo.
Por último, y excluyendo a las empresas de tamaño grande que ya se especifica que deberán realizar una evaluación de riesgos siguiendo alguna metodología adecuada, digamos por ejemplo MAGERIT, las pequeñas-medianas empresas (si no me equivoco son las menores de 250 trabajadores) al menos se deberán preguntar estas cuestiones
¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo
tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
Si alguna contestación es positiva, yo les recomendaría contactar con una persona especializada para evaluar sus riesgos, y aunque no sea obligado, sería bueno que designen a una 
persona como responsable o encargado para la gestión del riesgo.
Para terminar decir que las medidas que se estaban aplicando con la LOPD pueden ser validas, pero se deberá realizar una evaluación del impacto sobre la protección de datos con el nuevo esquema RGPD para comprobar que sigan siendo validad y cumplan con la nueva normativa ¿lo realizarán las empresas?
Sinceramente, creo que esta normativa mejora lo que había.
Un saludo a todos.