Por qué el RGPD debería ser un proceso que abarque toda la organización.

El RGPD sitúa la seguridad de los datos en el centro de todas las organizaciones que controlan los datos en Europa y/o los datos de los ciudadanos europeos. Su énfasis en la privacidad mediante el diseño significa que todos los procesos de datos dentro de una organización tienen que cumplir con los requisitos. La seguridad de los datos ya no es sólo una preocupación para el equipo de TI.

Aunque los departamentos de TI seguirán siendo la puerta de entrada para almacenar datos de forma segura y proporcionar redes seguras, TI tendrá que entender cómo los departamentos de marketing, ventas, finanzas y de RRHH procesan los datos para mantenerlos seguros.  

Para guiar a otros departamentos hacia la privacidad desde el diseño, el departamento de TI debe ser capaz de formular la pregunta correcta a las partes interesadas correctas en un esfuerzo por obtener y mantener el cumplimiento.

Proporcionar un punto de partida

Nuestros expertos en cumplimiento han creado un cuestionario de mapeo de RGPDcuestionario de mapeo de RGPD basado en la forma en que ya abordamos el cumplimiento de PCI DSS con nuestros clientes. Con este cuestionario usted tiene un punto de partida sólido para guiar estas conversaciones internas.

• Obtenga una visión general de cómo el RGPDafectará a todo el negocio
• Resuma las preguntas que deben ser resueltasen las áreasmáscomunes de la empresa.
• Proporcione un punto de partida para la documentación de datosnecesariaenvirtud de la legislación.
• Demuestre las áreasen las que podría ser necesario un apoyoexternoadicional para cumplir con las normas.

Siguientepaso: Inventario de procesamiento de datos

Una vez que haya mapeado las respuestas a estas preguntas, debería empezar a pensar en cómo cumplir con las normas. La forma más sencilla de hacerlo es abordar uno de los requisitos del RGPD:

Al crear un Inventario de Procesos de Datos, no sólo está cumpliendo con el requisito de documentar sus procesos, sino que quizás lo más importante es que está creando una visión general de todos los procesos que involucran datos personales. Esto le permite evaluar, por ejemplo, si sus procesos cumplen los principios de tratamiento del artículo 5.   

Un inventario de procesamiento de datos debe incluir una lista de cada actividad y un resaltar como mínimo:

1. Nombre y datos de contacto del controlador
2. El nombre y los datos de contacto de todos los procesadores o controladores conjuntos.
3. La finalidad del procesamiento
4. La base legítima del procesamiento
5. La categoría y el tipo de datos que estáprocesando
6. Los miembros de suorganización que tendránacceso a los datos y a suubicación.
7. Cualquiertransferencia de datos a tercerospaíses
8. El límite de tiempoen el que se guardarán los datos
9. Las medidas de seguridadestablecidas para salvaguardar los datos

Encuentre aquíel artículo 30 completo.

Como es posible que el departamento de TI no esté al tanto de algunos procesos "ocultos" (por ejemplo, la descarga y el almacenamiento de hojas de cálculo a nivel local o las herramientas de supervisión de marketing), todos los departamentos deberían participar activamente en la creación de un inventario de procesos.

Si desea ayuda para crear o gestionar un inventario de procesos de datos, , póngase en contacto  con nosotros y podremos guiar a su organización a través de las acciones necesarias.