El próximo año el alojamiento de información relativo a la protección de las personas físicas en Europa, estará sometido a una nueva legislación, más estricta en materia de seguridad y protección de datos, de obligada aplicación en los 28 estados miembros de la UE. El nuevo Reglamento (UE) 2016/679 (GDPR, en siglas en inglés) fue aprobado el año pasado y deberá ser respetado por todas las empresas a partir del 25 de mayo de 2018. A partir de esa fecha, la seguridad de los datos deberá extenderse a todas las fases de diseño y producción de las diferentes acciones comerciales, hasta el punto de que una vulneración de seguridad deberá ser notificada de inmediato a las autoridades y al usuario, en caso de que supongan pérdida de datos y/o si acceden a los datos indebidamente.
Garantizar la disponibilidad de los datos pasa entonces a ser tarea prioritaria en el Departamento de IT ya que la GDPR prevé que el incumplimiento de las obligaciones de los registros de tratamiento lleva aparejadas multas de hasta 10.000.000€ o el 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayor cuantía.
A nivel técnico, para garantizar la disponibilidad de acceso a los datos hay que controlar dos tiempos para la criticidad del servicio: el RTO (Recovery Time Objective) que es el tiempo necesario para recuperar un servicio que se ha caído y el RPO (Recovery Point Objective), que es el punto en el tiempo en el que recuperamos el servicio y que se corresponde al momento en el que podemos obtener los datos.
Hoy, los datos se clasifican en estructurados consumidos y generados por aplicaciones y que están guardados en formatos ordenados. Y, además, los datos no estructurados que son los generados por los propios usuarios.
Es también importante a nivel técnico la capacidad de certificar el tratamiento del “derecho al olvido” como manifestación del usuario de derechos de cancelación y oposición aplicados a los datos, para impedir la difusión de información personal cuando su publicación no cumpla con los requisitos de adecuación y pertinencia previstos en la normativa. Además, se incorporan en la GDPR cambios en la securización de los datos de perfiles, minimización de datos en su tratamiento y en su plazo, nuevas condiciones en cuanto a consentimiento, portabilidad de la información sensible o la duración del período de almacenamiento. Estos son parte de los aspectos regulados que deberán ser tenidos en cuenta y donde los proveedores de aplicaciones y servicios Cloud estarán especialmente expuestos. Por otra parte, el responsable del tratamiento deberá asegurarse que los datos recogidos son los “adecuados, pertinentes y limitados a lo estrictamente necesario en relación con los fines para los que son tratados”.
Toda nueva regulación obliga a las organizaciones a cambiar y esto solamente se puede hacer con las suficientes dosis de planificación e inversión. Además, será necesario construir un nuevo ecosistema de tecnologías y servicios que cumplan con los nuevos requerimientos, nuevos perfiles organizativos que supervisen su cumplimiento y procesos de calidad de la seguridad de la información que soporten controles y auditorías futuras.
Un IT Manager tiene que preguntarse cómo se miden los tiempos de restauración, si se tienen o no, controlados los RTO´s y RPO´s de los modelos de negocio, si se tiene o no, una ruta pensada para gestionar la GDPR, si sabe dónde están los datos sensibles y quién accede a ellos, si se está evaluando quitarse las cintas y/o no tiene más remedio que continuar con ellas… Desde Grupo Econocom, a partir de nuestra Solución de Gestión de Disponibilidad del Dato damos respuesta a todas estas preguntas y ayudamos a planificar junto al cliente una hoja de ruta. Los objetivos de esta solución consisten en poder ofrecer el dato no estructurado a todos los usuarios garantizando la disponibilidad de los mismos con calidad y poder introducir medidas correctivas en caso de degradación; en un segundo nivel, ayudar a las empresas al cumplimiento de la GDPR. Para ello, habrá que contar con herramientas y/o adecuar las que tenga el cliente de fabricantes premium.
Será muy importante el seguimiento del proyecto desde un punto de vista evolutivo, para revisar el entorno, y también desde un punto de vista proactivo y reactivo. Ninguna de estas soluciones requiere de infraestructura y la forma de pago puede ser plana, para que no implique una inversión inicial.
Una visión holística del esfuerzo y contar con un Partner especializado resulta determinante, aunque otros factores, como nivel de madurez de procesos de la organización y/o la profunda comprensión de la actividad de la compañía junto al conocimiento de la ley, se convierten en elementos clave que, en la mayoría de los casos, marcarán la diferencia.
François Castro, Director General Services IT