La nueva Regulación General de Protección de Datos de la UE (GDPR) , será aplicable a partir del 25 de mayo de 2018 en todos los países de UE sustituyendo o complementando la normativa de protección de datos personales que ya existiese en cada país miembro. Esta regulación aspira a proteger el procesamiento y almacenamiento de datos personales de los ciudadanos de la UE, concediéndoles o ampliando una serie de derechos que mejoran su capacidad de decisión y control sobre los mismos, regulando nuevas obligaciones que las empresas deberán cumplir en este ámbito y endureciendo las sanciones por su eventual incumplimiento.
El presente comunicado no pretende ser una guía de implantación de la norma, sino un documento informativo acerca de las capacidades actuales que tiene RPS y las que están planificadas a corto plazo para facilitar que las empresas puedan cumplir y adaptarse a la nueva regulación.
Con la GDPR las empresas deben adaptarse al nuevo reglamento revisando sus sistemas de información en el ámbito de la seguridad y los privilegios de acceso a los datos de carácter personal, pero para GDPR es especialmente relevante también, el deber de las empresas de adaptar sus procedimientos y normativas internas para la obtención, documentación, gestión, almacenaje y protección de los citados datos.
SEGURIDAD Y PRIVILEGIOS
Respecto a la seguridad y privilegios de acceso, actualmente RPS ya proporciona una serie de herramientas y utilidades suficientes para facilitar que la empresa cumpla con la regulación. Aunque en esta no se especifica en detalle el método a seguir, RPS propone las siguientes funcionalidades:
- Acceso a los datos través de usuario y contraseña segura. El administrador del sistema debe asegurarse que todos los usuarios están definidos exigiendo directivas de contraseña y exigir expiración de contraseña.
- A través de la seguridad de RPS, se podrían definir usuarios y roles, asignando permisos diferenciados de acceso a los datos de carácter personal, bien a través de los accesos de menú o de la personalización de pantallas, de tal forma que solo tuvieran acceso a los datos personales los usuarios legitimados para su procesamiento y no cualquier otro usuario.
- Los documentos del Gestor Documental que contuvieran datos de carácter personal podrían, a través de la seguridad de RPS, tener concedidos los derechos de acceso solo a los usuarios legitimados para su procesamiento y no cualquier usuario.
- En RPS, solo se acceden a los datos y documentos a través del servidor de aplicaciones, es decir los usuarios no tienen acceso directo a la base de datos (ODBC, Excel, etc.) ni tampoco a las carpetas de archivos. Aquellos usuarios de RPS que tengan accesos cliente/servidor 2 capas, podrían estar en riesgo de vulnerabilidad y deberían revisarlo. En la mayoría de los casos bastaría con eliminar los accesos directos la la base de datos o las carpetas de archivos.
- En RPS se podría habilitar la función de “Seguimiento de entidades” sobre aquellas entidades y propiedades de carácter personal. De esta forma el sistema registraría una auditoría de los usuarios que crean o modifican los datos de carácter personal.
PROCEDIMIENTOS INTERNOS
Desde el punto de vista de los procedimientos internos de las empresas, éstas deben de identificar los datos de carácter personal que almacenan, cuales son los objetivos del almacenamiento de estos datos y que procesos aplican sobre éstos, asimismo deben definir los procedimientos internos que se aplicarán para solicitar el consentimiento de tratamiento de datos personales a un ciudadano y también el procedimiento a aplicar cuando un ciudadano ejerza sus derechos de cancelación, rectificación, eliminación, etc.
En éste ámbito de los procedimientos internos, RPS propone con su módulo de BPM una herramienta para documentar los procesos y subprocesos de la empresa, es una herramienta en el ámbito declarativo de cómo se deben desplegar estos procedimientos, así como las acciones de mejora.
NUEVAS TOOLS
Adicionalmente, y con la voluntad de facilitar aún más el cumplimiento de la regulación con RPS, en el aspecto operativo anunciamos el desarrollo de una serie de utilidades en la capa administrador para facilitar a la empresa la identificación de los datos de carácter personal y los procedimientos que deberían aplicarse sobre ellos:
- Definición de qué entidades y propiedades son de carácter personal. En el standard éstas son: los empleados, contactos de clientes/proveedores, agentes comerciales y los propios clientes/proveedores que no son empresas sino personas físicas. Adicionalmente hay que tener en cuenta que RPS dispone también de una herramienta de personalización que permite añadir propiedades y entidades personalizadas en cada instalación y por lo tanto esta identificación de datos personales deberá permitir ser configurada en cada instalación y siempre bajo la responsabilidad del usuario administrador.
- Definición de qué propiedades son identificativas de las personas, es decir el nombre y el DNI, quizás el domicilio y otros datos. También esta función deberá estar abierta a las posibles personalizaciones realizadas por los administradores. Esta identificación es necesaria para el caso de tener que anonimizar los datos personales.
- Para cada una de las entidades de carácter personal se permitirá documentar en diferentes campos de tipo “memo” los siguientes procedimientos:
- Propósito/Finalidad por el cual la empresa registra estos datos y qué tipo de operaciones se realizan.
- Texto informativo o plantilla a través del cual se le informa a la persona de sus derechos de cancelación restricción y eliminación.
- Descripción de cuál es el procedimiento de obtención de datos, el registro, la notificación a la persona y el consentimiento de ésta.
- Identificación de riesgos, así como acciones para minimizar la probabilidad que ocurra y acciones para mitigar el impacto.
Estas herramientas de ayuda para el administrador de RPS se podrán instalar de forma independiente en cada instalación, en RPS 2017 o 2015, y estarán disponibles antes del 6 de Julio de 2018 para clientes con contrato de mantenimiento en vigor.
Cabe recordar que esta regulación es nueva, y aunque se publicó en mayo de 2016 su aplicación se inicia el 25 de mayo de 2018. No existe pues experiencia en su aplicabilidad y practicidad. Teniendo esto en cuenta, y en la medida que se vaya desplegando, se irán incorporando mejoras en RPS para facilitar su cumplimiento si así fuese necesario.