3 aportes de la calificación al cumplimiento del RGPD

Es un hecho que el cumplimiento del nuevo reglamento de protección de datos europeo (RGPD) es un tema de actualidad en muchos ámbitos de la sociedad, debido a que afecta tanto al cumplimiento de las empresas, como a los derechos del ciudadano, y viene acompañado de un régimen sancionador que ha hecho levantar todas las alertas.

Nuestra perspectiva es algo diferente de las que estamos habituados a encontrarnos. Su enfoque es el de contribuir a un cumplimiento eficiente del reglamento (en aquellos ámbitos que nos atañen). Hasta ahora, estábamos acostumbrados –por nuestra LOPD- a que se nos indicasen las medidas de seguridad que debían aplicarse en función de la tipología de información manejada. Pues bien, esto se acabó. Este nuevo reglamento nos trae el principio de responsabilidad activa (“accountability” en inglés), que constituye una de las principales novedades del reglamento. Este principio supone para los responsables del tratamiento la obligación de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de los datos personales es conforme con el reglamento” (Art. 24 RGPD).

Pero el reglamento no especifica claramente las medidas que se deben adoptar, sino que deja a juicio del responsable del tratamiento su selección y la determinación del procedimiento para demostrarlas.  Y más vale que esas “medidas apropiadas” estén bien elegidas, puesto que de lo contrario, el citado régimen sancionador puede resultar bastante oneroso.

Por tanto, es aconsejable que las organizaciones apliquen una metodología que les ayude en este aspecto del proceso de adecuación permitiéndoles obrar con la debida diligencia. Y es aquí donde aportamos una primera diferencia: mediante nuestra metodología y sistema de calificación, brindamos una estimable ayuda a los responsables del tratamiento en la aplicación de la seguridad por diseño y por defecto, ofreciéndoles un marco de controles flexible, basados en las mejores prácticas y estándares internacionales, y clasificados en varios niveles de protección, que permiten seleccionar las medidas apropiadas en función del tipo de información.

Por otra parte, la propia calificación y obtención sello de ciberseguridad, permiten demostrar la implantación efectiva de las medidas correspondientes, ya que pone de manifiesto que las mismas han sido auditadas y comprobadas por una entidad profesional independiente.

Finalmente, se constituye como un mecanismo eficaz y eficiente para la supervisión de los encargados del tratamiento. Desde el punto de vista de éstos, el sello de calificación LEET Security permite acreditar la utilización de las medidas de seguridad que garantizan la protección de los datos con el mismo nivel exigible por el propio responsable, a la vez que añade confianza en el servicio.

Con esta damos inicio a una breve serie de publicaciones en las que iremos desarrollando estos tres aspectos sobre los que la calificación ayuda a cumplir el reglamento con mayor eficiencia.

Puedes seguirnos en twitter.com/leet_security

15 de febrero de 2018