Per Ignacio Chico.
Director General de Iron Mountain Espanya.
Molt pot canviar durant els propers dos anys. En 2018 ja s’haurà fet el primer trasplantament cerebral humà, Adobe Flash haurà desaparegut, el Regne Unit haurà deixat Europa – o no – i el flux de dades en les empreses s’haurà quintuplicat, segons IDC.
Una altra fita significativa que arribarà el 2018 és que s’acabarà el termini per complir amb la nova normativa sobre el tractament d’informació personal identificable (PII). Unit a un creixement espectacular del volum de dades, el resultat podria tenir enormes implicacions per a qualsevol tipus d’empresa que processi dades personals.
A principis d’aquest any el Parlament Europeu va aprovar el vot final sobre el Nou Reglament de Protecció de Dades (GDPR), dissenyat per protegir la informació personal en un món cada vegada més digital. Encara que les noves lleis no entraran en vigor fins d’aquí a dos anys, aquest és un termini relativament curt si tenim en compte que les empreses necessitaran donar resposta a nous requeriments, avaluar les mesures existents i planificar una ruta per complir plenament amb la nova legislació.
Per ajudar a les empreses a entendre l’impacte que el Reglament de Protecció de Dades tindrà sobre els seus processos de gestió documental i on s’emmarca dins d’un entorn legal més ampli, aconsellem seguir els següents sis passos que considerem clau perquè preparin la seva informació i quedi llesta per complir amb la nova regulació.
Què és el Reglament de Protecció de Dades?
Dissenyat per protegir la informació personal en un entorn cada vegada més digital, el Reglament de Protecció de Dades és el canvi més radical del segle pel que fa a legislació de protecció de dades. Inclou més de 50 articles que tenen implicacions de llarg abast per a les empreses, l’ús que fan de les dades personals i el seu emmagatzematge. Essencialment, la legislació protegeix el dret dels ciutadans europeus a determinar si, quan, com i a qui es poden lliurar les seves dades personals i com es poden utilitzar aquestes.
La recomanació de l’Oficina del Comissionat d’Informació (òrgan públic independent del Regne Unit establert per fomentar l’accés a la informació oficial i protegir la informació personal) és que les empreses han de començar a planificar la seva estratègia per complir amb el Reglament de Protecció de Dades lo més aviat possible. El problema és que moltes organitzacions a Europa no són conscients dels canvis que els hi afectaran i l’impacte que rebran.
Hi ha un nombre de mesures importants que les empreses poden portar a terme per identificar on està situada la informació de tipus personal i entendre quines són les seves obligacions per protegir-la. Les multes multimilionàries que esperen aquells que incompleixin la llei haurien de ser un bon motiu per prendre aquestes mesures sense major dilació.
Pas 1 – Què són dades personals i on estan?
La primera mesura per decidir quines parts de la nova legislació afecten a la seva empresa és saber què s’entén per dades personals. La definició de “dades personals” en el context de la nova normativa es refereix a les dades directe o indirectament relacionades amb una persona. Aquestes dades també inclouen identificadors de dispositius, cookies i adreces IP. Això significa que, sota el Reglament de Protecció de Dades, els responsables de la informació dins de les empreses haurien de saber on estan i quines són totes les dades personals que estan sota el seu control i ser capaços de demostrar que entenen els riscos potencials per a la informació i com mitigar-los.
Pas 2 – Haig de complir el Reglament de Protecció de Dades?
A continuació, és important entendre la terminologia clau inclosa en el Reglament de Protecció de Dades amb la finalitat d’identificar si és important per a la seva empresa. A més de les “dades personals”, també són importants termes com “abast territorial”, “sol·licituds d’accés de dades”, “consultoria sobre l’impacte de la protecció de dades”, “dret a l’oblit”, “portabilitat de dades” i “consentiment”. Al centre d’informació de la nostra pàgina web podeu trobar més informació, així com en el glossari de termes eugdpr.org.
Pas 3 – On es troben les dades en la meva empresa?
Per poder complir la normativa el primer que cal fer és saber on estan les dades personals. Un anàlisi detallat de les dades emmagatzemades en els sistemes informàtics corporatius, en dispositius personals dels empleats, en magatzems externs i en dependències destinades a l’arxiu, sense oblidar la informació que emmagatzemen proveïdors, subcontractes i empreses col·laboradores (que emmagatzemen dades personals en nom de la seva empresa) li proporcionarà una visió completa de la situació.
Pas 4 – Desenvolupi un mapa de dades i classifiqui la informació
Després de l’anàlisi, recomanem crear un mapa de dades que proporcioni una visió de 360º de tota la informació, tant física com digital, incloent dades personals emmagatzemades per tota l’empresa. El mapa de dades és una eina important que garanteix poder localitzar, tractar i monitoritzar tota la informació de forma continuada.
Pas 5 – Revisi i actualitzi les polítiques existents
Una vegada sàpiga on està la informació, és necessari saber què es pot fer amb ella i quant temps es pot conservar. Per a això haurà d’assegurar-se que les seves polítiques de retenció estan actualitzades i que contemplen les obligacions legals, regulatòries i contractuals per conservar solament el que es deu i destruir les dades personals (i totes les altres) quan es requereix, de forma demostrable.
Pas 6 – Mantingui’s al dia i preparat
Finalment, és important garantir que tota l’empresa al complet estigui al corrent d’aquestes obligacions. La informació passa per mans d’empleats, subcontractats i proveïdors, per la qual cosa totes les parts han d’entendre i complir amb les mateixes polítiques de retenció. De la mateixa forma que les lleis canvien i imposen noves obligacions al llarg del temps, les polítiques de retenció de la seva empresa haurien de ser dinàmiques i receptives, adaptables a un entorn empresarial i legal canviant.
Les empreses europees ja estan acostumades a assegurar que les dades personals que conserven estiguin emmagatzemades segons la legislació vigent. No obstant això, l’arribada del Reglament de Protecció de Dades i les multes associades al seu incompliment – que podrien aconseguir fins al 4% de la facturació anual global de l’empresa o a 20 milions d’euros – són un advertiment de que ara és essencial conservar la documentació de forma adequada.
