Para prepararse para GDPR, lo que se requiere de un departamento de TI para garantizar la protección de datos para la empresa.
Para prepararse para GDPR, lo que se requiere de un departamento de TI para garantizar la protección de datos para la empresa.
El Reglamento general de protección de datos no requiere una gran cantidad de conocimientos técnicos. Deberían conocer la infraestructura técnica de las organizaciones y todos los lugares donde se almacenan, procesan y transitan los datos personales, lo que facilita el manejo de las solicitudes de acceso de los sujetos.
La compañía necesitaría una comprensión razonable de la seguridad, asegurando que se implementen los controles y procedimientos de seguridad adecuados. Esto también se aplica a los datos personales almacenados en papel, asegurándose de que también sean seguros.
De GDPR, artículo 24 (énfasis agregado):
- Teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como los riesgos de las diferentes probabilidades y severidades de los derechos y libertades de las personas naturales, el controlador implementará el apropiado técnico y organizativo. medidas para garantizar y poder demostrar que el procesamiento se realiza de conformidad con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
- Cuando sea proporcional en relación con las actividades de procesamiento, las medidas a las que se hace referencia en el párrafo 1 incluirán la implementación de políticas de protección de datos apropiadas por parte del controlador.
GDPR dice que los datos personales deben tomarse en serio, pero la cantidad de tiempo / esfuerzo / dinero que se espera que gaste para proteger estos datos no debe ser excesiva. Se espera que todo sea "proporcionado" o "apropiado". El problema es que nadie te va a decir lo que es apropiado. ¿Instalar un escáner corporal frente a la sala de su servidor va a ser excesivo o no? Le dirán que depende de para qué se usan esos servidores o de cuánto dinero tiene para desperdiciar. Y como me temo que nadie te dirá con seguridad cuánto valen tus datos (¿cuál sería el valor de un número de teléfono? ¿Quién sabe?), Creo que todo se reduce a los recursos que tienes. Entonces, si usted es dueño de una compañía multimillonaria y hay una violación de datos, no puede inventar una excusa como "lo siento, señor oficial, no tuvimos el tiempo ni el dinero para pagar a una persona informada Para cambiar las contraseñas predeterminadas del WIFI! " Y si usted es un profesional independiente que solo gana unos $ K al año, no creo que deba instalar un escáner de cuerpo entero frente a su habitación para proteger los datos personales de sus clientes.
Algunos ejemplos que probablemente se aplican a casi todos:
Si el departamento de TI (y toda la compañía) ha estado siguiendo las mejores prácticas habituales, entonces probablemente no haya mucho más que hacer.
Esta es la forma en que lo veo, en general, pero para mí la situación aún no está clara, aunque se supone que la ley será efectiva en unos pocos días, porque todavía hay muchos casos especiales que deben ser aclarado (ojalá, tarde o temprano) por los legisladores o los organismos responsables en cada país de la UE. Por ejemplo, en el futuro, el legislador o alguna autoridad en su país (en la UE) pueden decidir que para el cumplimiento de GDPR algunos tipos específicos de empresas deben seguir algún tipo de directrices específicas (como algunas normas ISO, como eckes sugeridas en un comentario) .
Lea otras preguntas en las etiquetas audit eu-data-protection